W3C、パスワードを不要にする「Web Authentication」(WebAuthn)を勧告として発表。Chrome、Firefox、Androidなど主要ブラウザですでに実装済み
W3C、パスワードを不要にする「Web Authentication」(WebAuthn)を勧告として発表。Chrome、Firefox、Androidなど主要ブラウザですでに実装済み W3Cは3月4日、FIDOアライアンスのFIDO2仕様の中心的な構成要素であるWeb認証技術の「Web Authentication」(WebAuthn)が勧告になったことを発表しました。 W3Cが策定する仕様はおもに、草稿(Working Draft)、勧告候補(Candidate Recommendation)、勧告案(Proposed Recommendation)を経て正式仕様となる「勧告」(Recommendation)に到達します。今回、WebAuthnが勧告となったのに合わせて、W3CとFIDOアライアンスはWebAuthnの仕様が正式版になったことも発表しました。 WebAuthnは2018
情シスは攻めろ、いや、正しくはこうだ、守ったら死ぬ | ロードバランスすだちくん
シンジです。あけまして、今年もよろしく、すだちくん。2016年1発目の記事は、「情報システム部」のお話です。ひとり情シスなんて呼ばれる方も多く存在しますし、そもそも情シスなんて定義が無く、「パソコンに詳しい人」がそれとなくこなしているケースも多々あったり。実はcloudpackには情シスがありませんでした。でも今はあるんです。なぜなのか。その背景と経験のお話です。 情シスとはなんなのか 企業の組織の一部で、IT管理の根冠を担うとかなんとか。そんな偉そうなもんじゃ無いんですけどね。しかし請け負う範囲は広くて、やれシステム開発だ、やれセキュリティだ、やれIT革命を起こせだとわけの分からん注文が振ってくるところもあるかもしれません。もとより情シスとは、会社の既にあるIT資産を「持続」させることに重きを置かれることが多いような気がします。 そもそも情シスいらねーんじゃねーの説 エンジニアが多数を占
ノマドワーカー必見!フリーWi-Fiを安全に利用できるデバイス「Keezel」が便利 | Techable(テッカブル)
フリーWiFiのおかげで、世の中は本当に便利になった。 カフェやホテルで、ノートパソコンを広げ、誰にも邪魔されず仕事ができる。ノマドワーカーにとって、これほどありがたい環境はないだろう。 しかし、喜んでばかりもいられない。 フリーWiFiには、接続しているパソコンやスマートフォン、タブレットに不正ログインされ、個人情報を盗まれる可能性が、潜んでいるのだ。 そんな危険を回避するプロダクトが、Indiegogoに登場。フリーWiFiを、安全に利用するためのデバイス、「Keezel」である。 ・セキュリティ保護されているWi-Fi回線を提供 「Keezel」の利点は、いろいろあるが、最も優れているのは、フリーWi-Fiに接続し、そこからセキュリティ保護されている、Wi-Fi回線を提供するところ。 接続の場所が、どこだろうとOK。コネクションを暗号化し、不正ログインから徹底的に守ってくれる。 面倒
IIS で SSL 3.0 を無効にする方法 - しばやん雑記
今朝は SSL 3.0 の脆弱性が話題になっていますね。ちなみに私も影響を受けました(死 SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明 - ITmedia ニュース 困らされて悔しいので、SSL 3.0 を IIS で無効化する方法を調べました。相変わらずレジストリ弄らないと変更できないのはどうかと思いつつ試します。 How to disable PCT 1.0, SSL 2.0, SSL 3.0, or TLS 1.0 in Internet Information Services How to Disable SSL 2.0 and SSL 3.0 in IIS 7 てか、何も考えずに Windows Server に IIS を追加すると、SSL 2.0 が有効になった状態になるのはいい加減にやめた方が良いのではないかと。 折角なので SSL 2.
lioven.com – lioven.com
เมื่อเร็วๆนี้แฟนคลับของ Nintendo ได้บ่งชี้เนื้อหาที่น่าแปลกใจเกี่ยวกับฝาของคอนโซล GameCube ที่ผู้ครอบครองไม่เท่าไรนักมองเห็น ท้ายที่สุดคอนโซลรุ่นที่หกนี้ก็ไม่สามารถที่จะแข่งกับ PlayStation 2 รวมทั้ง Xbox เริ่มแรกได้ แต่ว่า gamer ยังคงมีความจำที่ดีเกี่ยวกับ GameCube การนึกถึงความพิเศษที่คนจำนวนไม่น้อยหวังว่า Nintendo จะวางขายอีกทีบน Switch Online ตามที่เป็นจริงแล้ว “กล่องอาหารเที่ยงสีเงิน” ในตำนานป
スタバの無線LAN「at_STARBUCKS_Wi2」を安全に使おう! | ライフハッカー・ジャパン
ついにスターバックス(スタバ)が無料の公衆無線LANサービス「at_STARBUCKS_Wi2」を開始しました。キャリアの制限がなくメルアドを登録するだけで接続できるとあって、すでに利用している人もいるのではないでしょうか。 筆者はスタバに週3回ペースで通っています。これまでカスタムメニューの記事を書いていますし、「当たりレシート」を何枚も当てています。そんな人間なので、今回のスタバの公衆無線LANを体験しないわけにはいきません。というわけで今回は、回線速度も含め実際にサービスを実施している店舗で公衆無線LANを利用してきました。 今回訪れたのは、スターバックス渋谷マークシティ店。渋谷駅に直結しており、立地としては十分。それだけに日中は混雑していますが、朝早い時間に行けばそれほど混んでなく、余裕で席に座ることができます。 at_STARBUCKS_Wi2の設定方法は簡単。公式ページから「登
FTP, FTPS, SFTP
FTP(File Transfer Protocol)はホスト間でファイル転送を行うときに使われるプロトコルである。HTTPより古くから使われているが、パスワードやデータなど通信内容が平文で流れるため(要するに暗号化されずに垂れ流し状態)、悪意のある者がパケットキャプチャをすると転送内容を盗み見されてしまうという深刻な問題がある。 ここでは暗号化してセキュアなファイル転送を行う方法を解説する。 FTP 暗号化されない一般的な FTPは以下のような構成である。 ┏━━━━━┓ ┏━━━━━━┓ ┃FTPサーバ ┣───インターネット────┫FTP ┃ ┃ ┃ ┃クライアント┃ ┗━━━━━┛ ┗━━━━━━┛ ・Tiny FTP Daemon ・FFFTP ・War FTP Daemon プロバイダのサーバやレンタルサーバ上に自分のホームページを持っていると、フ
高木浩光@自宅の日記 - PayPalフィッシングにひっかかりそうになった
■ PayPalフィッシングにひっかかりそうになった 木曜の夕方から風邪をひいて療養中。昼間寝すぎて寝付けないので日記でも書く。 フィッシングといえばPayPalが発祥の地。実際にどんな状況なのか知るために使ってみるべきだったが、実はこれまで一度もPayPalを使ったことがなかった。2月からWindowsマシンを捨ててMacに乗り換えて以来、シェアウェア料金を支払う場面に出くわすようになった。十年ぶりにKagi.comのシェアウェア支払いサービスを利用したとき、PayPalによる支払いの選択肢があったので、試しに使ってみることにした。 PatPalにアカウントを作成すると何通かのメールがやってくるのだが、これがHTMLメールになっている。このとき、「こんなことやってるからフィッシングにひっかかりやすくするんだよ」と思った。
GoogleがHTMLフォームの送信先もインデックスすると発表 | 秋元@サイボウズラボ・プログラマー・ブログ
張られているリンクをより多く見つける目的で、GooglebotにHTML Formを送信させて出てきたページもクロールさせる、という発表があった。 JavascriptやFlashの中から他ページへのリンクを抽出するというのは既に実施していて、今回はそれをページ上の入力フォームにも拡大するものだということ。いわゆるディープウェブ、見えないウェブといわれる領域への進出だ。 クロールされるフォームは以下のようなものに限定されるようだ。 GETメソッドであること robot.txtなどで除外指定されていないこと passwordフィールドを持たないこと user, id, accountなどのフィールドを持たないこと これらを満たすフォームに対して、クローラはいくつか適当な文字を入れてフォームを実行し、その結果新しいリンクが現れたらその先もクロール対象にする、ということ。 この方法で見つかったリ
第1回 まずは「クッキー」を理解すべし
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Macでインターネットに接続する前に確認しておきたいセキュリティ設定 - iTea3.0
ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口*ホームページを作る人のネタ帳