はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
簡単な暗号化 - Java編
Java言語による暗号化をサンプルと共に説明しています。 JDK1.5以上には、JCE(Java 暗号化拡張機能)が含まれており、この機能を利用すると、共通鍵方式による暗号化や公開鍵方式による暗号化機能を実装できます。 このページでは、以下の手法を説明しています。 ・ 共通鍵を自動生成して暗号化する ・ 共通鍵を作成して暗号化する(その1)[htt://www.trustss.co.jp/Java/JEncrypt122.html] ・ 共通鍵を作成して暗号化する(その2)[htt://www.trustss.co.jp/Java/JEncrypt123.html] ・ パスワードベース暗号化[htt://www.trustss.co.jp/Java/JEncrypt124.html] また、Windowd APIとの連携として以下の説明もあります。 ・ Javaで暗号化したデータをWin
github の mass assignment 脆弱性が突かれた件
Github に脆弱性。やった人は Rails に有りがちな脆弱性を issue に挙げていたが相手にされず、実際にそれを突いてきた。一見 childish だが、それだけ簡単に脆弱な実装がなされてしまうということだ。週明けの今日、Rubyist はまず関連情報に一読を。 — Yuki Nishijima (@yuki24) March 4, 2012 気になって調べたのでメモ。自分も気をつけないとなー。 Public Key Security Vulnerability and Mitigation - github.com/blog/ github に脆弱性があってそれが突かれたらしい。 Rails アプリにありがちな脆弱性の一つ、Mass assignment とかいうタイプの脆弱性である。 mass assignment 脆弱性とは mass assignment 脆弱性とは何か、
『暗号をめぐる最近の話題』 — 旧メイン・ブログ | Baldanders.info
ゴメン。 「最近の話題」ってのは少しウソ。 実は1年前の話なのだが,私が放ったらかしにしていたのだ。 でも個人的にはもうすぐ OpenPGP 運用鍵の更新タイミングだし,そろそろ覚え書きの形でもまとめておかないといけない気がするので,今更ながら書いておく。 2011年はじめ,米国 NIST から以下の文書が公開された。 NIST Special Publication 800-131A -- Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths (PDF) DRAFT FIPS PUB 180-4 -- Secure Hash Standard (SHS) (PDF) 特に重要なのは SP 800-131A のほう。 SP 800-131A には推奨
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
高木浩光@自宅の日記 - Wi-FiのMACアドレスはもはや住所と考えるしかない
■ Wi-FiのMACアドレスはもはや住所と考えるしかない 目次 まえがき これまでの経緯 2つのMACアドレスで自宅の場所を特定される場合 SSIDに「_nomap」でオプトアウト? PlaceEngineはどうなった? まえがき 先週、以下の件が話題になった。 Greater choice for wireless access point owners, Official Google Blog, 2011年11月14日 Removing your Wi-Fi network from Google's map, CNET News, 2011年11月14日 グーグル、Wi-Fiネットワークの位置情報収集で対応策を公開, CNET Japan, 2011年11月16日 Google's WiFi Opt-Out Process Makes Users Navigate Technic
サードパーティCookieの歴史と現状 Part1 前提知識の共有 - 最速転職研究会
Web開発者のためのサードパーティCookieやらトラッキングやらの問題点について三回ぐらいに分けて書きます。 この文章は個人的に書いていますので、おい、お前のところのサービスがサードパーティCookieに依存してるじゃねーかというツッコミがあるかもしれないが、そういうことを気にしているといつまで経っても公開できないという問題が出てしまうので、そんなことはお構いなしに書く。ちなみに例外なく自社サービスに対してもサードパーティCookieに依存するな死ねと言っている。これはWebプログラマー観点で、自分がサービス開発に関わる上で知っておかねばならないだろう知識として十数年間だらだらとWebを見ていて自然に知っていたものと、あるいは興味を持って率先して調べたものが含まれている。ググッて直ぐに分かる程度の用語の定義的なことは書かない。あくまでWebサイト制作者側からの観点なので、ブラウザ開発関係
ウェブアプリのセキュリティをちゃんと知ろう
7. ウェブアプリの入力、処理、出力入出力ウェブサーバウェブアプリ(PHP など)外部 API サーバ(Facebook API 、決済会社など)入出力処理入出力データベースサーバ(MySQL など)ウェブブラウザ 10. ウェブサーバーを通したウェブブラウザからの入力の仕様を考えようPHP に入ってくる値は何かを知る可変長のバイト列 (文字列ではない!!)GET パラメータPOST パラメータアップロードファイルリクエストヘッダ (Cookie など)実際の処理に渡すべき値は何かを考える文字列か、バイト列か?文字コードは何か?(ウェブサーバーでバイト列を処理することってあまりないので、 PHP では基本的に文字コードのバリデーションは必要だと思って良い)長さはどうか?どういう文法や構造を持つデータ?入力された値を実際の処理に渡すべき値かどうかを確認することを「バリデーション」という 11
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
私はいかにして様々なブラウザの脆弱性を発見したか - 葉っぱ日記
先日、Twitterでどのように脆弱性を見つけるかに興味あるんだろうかと書いたら、意外に色々な人から反応があったので、これまでに自分が見つけた脆弱性のいくつかについてどういう経緯で見つけたのかちょっと書いてみます。 JVN#89344424: 複数のメールクライアントソフトにおける、添付ファイルによりメールクライアントソフトが使用不能になる脆弱性 これは、添付ファイル名にUnicodeの円記号を含めておくと、メーラ側でShift_JISに変換する際にバックスラッシュに変換されてしまって想定外のディレクトリに添付ファイルが展開されてしまったり、あるいは「©on」のような名前のファイルを添付しておくことでShift_JISに変換してCONというファイルを開こうとしてメーラが固まってしまうという問題です。これは、私自身が文字コードの問題について調べ始めた初期段階で、Unicodeからの変換で問題
パスワード認証を回避してWindowsにログインする方法 - うさぎ文学日記
目の前にPCがあるのに、パスワードがわからずログインできないという状況ありますよね。合法的な状況なのであれば、パスワードなしでログインする方法を試してみてはいかがでしょうか。 今日現在、最新状態のWindows7で実行可能です。当たり前ですが、自分に権限のないPCなどで試さないようにして下さいね。 方法は以下の通り簡単です。 Ubuntuなどでブートして、Windowsドライブをマウント C:\Windows\System32以下の「Utilman.exe」を「Utilman.old」にリネーム C:\Windows\System32以下の「cmd.exe」を「Utilman.exe」にコピー 再起動して、Windowsの起動画面で「Windowsキー + U」でコマンドプロンプトが起動 あとは、「explorer.exe」などを実行することもできます。 実験 Ubuntu(ここではBac
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊
パスワード破りのプロはこうやってアナタのパスワードを見破っている | ライフハッカー・ジャパン
先日、LastPassで発生したセキュリティリスク。改めて、「セキュリティ度の高いパスワードが必須だ」ということを認識した方も多いことでしょう。とはいえ、実際パスワードを設定するとなると、どうしてもパターン化してしまいがち...。これが、ハッカーの標的になってしまうかもしれません。 セキュリティの専門家Roger Grimes氏は、IT系メディア「InfoWorld」で、容易に類推されやすいパスワードについて述べ、パスワードはもはや、よく使われている6~8ケタでは十分でなく、それ以上長いものを設定すべきと指摘しています。 Photo by reidrac. この記事によると、パスワード破りのプロのほとんどは、2分の1の確率でユーザのパスワードに一つ以上の母音が含まれていることを知っているとか。また、数字が含まれている場合、それはたいてい「1」か「2」で、パスワードの最後にくるのだそうです。
これぐらいやっとけ 〜Linuxサーバのセキュリティ設定〜 - nabeの雑記帳
管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 起動サービスと概要 iptables/Firewallの設定 iptablesの中身 limit-burstについて hashlimitについて hosts.allow/hosts.deny(TCP Wrapper)の設定 sshdの設定 その他の設定 Apacheの設定 Postfixの設定 Dovecotの設定 まとめ はてブさんは #の切り分けやめてくれないかな……。 起動サービスと概要 Apache (www) sshd smtp/pop bind (DNS) ntpd いくつかの注意点。 sftpで十分なのでftpdは使わない。WinS
フィッシング詐欺やスキミング詐欺などの関連犯罪から身を守ろう! - BENRISTA
キャッシュレス決済やキャッシングの関連犯罪を解説するページです。あらかじめ知識を得ておけば、無用な犯罪に巻き込まれるリスクが減りますよ。 スキミング詐欺: スキミング詐欺とは? スキミング詐欺の事例: 国内におけるスキミング詐欺の現状: 古いキャッシュカードが狙われる: 海外におけるスキミング詐欺の現状: 対策は厚みを確認したり揺らしてみるなど: アナログな方法で盗まれることも: フィッシング詐欺: フィッシング詐欺とは? フィッシング詐欺例: Amazonからのフィッシング詐欺メール: 銀行名義で届いたフィッシング詐欺メール: 昔はおかしな日本語メールも多かった: フィッシング詐欺への対策: 1.送信元のメールアドレスを確認 2.文章の中身を確認 3.Gmailを利用する クレジットマスター: クレジットマスターとは? なぜ有効な番号を見つけ出せるのか: クレジットマスターの現状: 芸能
間違いだらけの「かんたんログイン」実装法
今回は、そのかんたんログインの問題点について説明します。 「契約者固有ID」を用いるかんたんログイン かんたんログインとは、携帯電話の「契約者固有ID」を用いたログイン手法です。 第1回で説明したように、携帯電話のブラウザのリクエストヘッダには契約者固有IDと呼ばれるIDを付けることができます。契約者固有IDは、携帯電話事業者によって詳細は異なりますが、すべての携帯電話事業者が対応しています。 図1は、NTTドコモの携帯電話がサポートしている契約者固有IDである「iモードID」がサーバに送信される様子です。この情報は、ユーザーがそれと意識することなく送信されます。携帯電話のかんたんログインとは、契約者固有IDのみを用いて認証を行い、ログイン機能を実現することです。 かんたんログインは、ベーシック認証のようにIDとパスワードを管理する必要もなく、Cookieのように対応する端末を考慮する手間
楕円曲線暗号 - faireal.net
概要 「楕円曲線暗号を用いた鍵交換」では、位数331の小さな群を使い、 テストのため、全部の点を書き出した。 今回は、位数1033の群を使い、「合意の点」以外の点は、必要になって初めて計算する。 秘密の係数を知っている正規のユーザとハッカーで、計算速度に差がつくことを実証するため、 今回は点にスカラーを掛けるとき、繰り返し二乗法を使う。 小さいといっても位数が1000を超えるので、 逆元の計算はbruteではなく、拡張ユークリッドを使う。 パラメータは次のとおり。 基礎となる有限群 mod 1049 楕円曲線 y2 = x3 + 5x + 109 位数 1033 曲線上の合意の点 ( 775, 359 ) 基礎となるメソッド とりあえず無限遠点はデータ上 (0, 0) としておく。 function ECCPoint( x , y ) { this.x = reduce( x , modu
オンライン生活をより強固に保つためのシンプルな5つのコツ | ライフハッカー・ジャパン
安全なウェブブラウジングを実現するため、アプリケーション、拡張機能、VPN(Virtual Private Network)など、様々なツールがありますが、実は、普段使っているブラウザやウェブサービスにも、セキュリティを守るための機能はそこそこ備えられています。そこでこちらでは、面倒なインストールや設定が不要の、シンプルなセキュリティ対策をご紹介しましょう。 1: パスワードを安全に保存する 『LastPass』や『KeePass』など、パスワードを安全に管理してくれるアプリケーションはありますが(ライフハッカーオススメのパスワード管理ツールについては、ライフハッカーアーカイブ記事「最強のパスワード管理ツール5選!」もどうぞ)、ウェブブラウザのパスワード保存システムにも、セキュリティ対策が施されています。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
これからの「パスワード」の話をしよう
http://www.machu.jp/posts/20071023/p01/