ChatGPT(GPT-4)が個人情報を出力するか試してみた | DevelopersIO
危機管理室の吉本です。 生成AI(GPT-3.5)が個人情報を出力することがある。という三井物産セキュアディレクション㈱さんの記事を読み、GPT-4ではどうなるか気になったので自分でも試してみました。 ChatGPT(GPT-3.5)での個人情報開示 記事の内容では、GPT-3.5である手法を用いると、公開されている情報から学習した個人情報を出力させることが可能であると示されています。実際に自分でもやってみたところ、下図のように確かに公開されている個人情報の抽出がでできました。 そこでGPT-4ではどのような結果になるか、またどのように安全性を高めているかをまとめます。 GPT-4の安全性 OpenAI社はGPT-4の安全性について、許可されていないコンテンツへのリクエストに対する回答率が82%減ったとしています。 We spent 6 months making GPT-4 safer
GuardDutyのマスターアカウントからS3保護の自動有効化を設定する | DevelopersIO
はじめに こんにちは。大阪オフィスの林です。 GuardDutyのS3保護は、S3への不審なアクティビティをGuardDutyが検出できる機能なのですが、マルチアカウントを管理するGuardDutyのマスターアカウントではS3保護の自動有効化はデフォルトで有効になっていません。ということで、マルチアカウントを管理する時はGuardDutyのマスターアカウントからS3保護の自動有効化も設定しておきましょう!なお、マルチアカウントでのGuardDuty設定有効化についてはこちらのエントリを参照頂ければと思います。 また、S3保護の概要はこちらのエントリを参照頂ければと思います。 やってみた 下記はGuardDutyのマスターアカウントから管理対象のアカウントを確認した画面です。デフォルトでは「S3の自動有効化はオフ」になっています。(執筆時点では翻訳がアレですが、S3保護の自動有効化のオン/オ
Zoomの脆弱性は知っているが、安全に使うことができるのか? | ライフハッカー・ジャパン
WEB会議アプリZoomの脆弱性が多数指摘されています。 もっとも不安なのは、Windowsクライアントのチャットサービス内でURLをハイパーリンクに変換する方法の脆弱性(IPA/Zoomの脆弱性対策について)。 ハッカーがあなたのWindowsのログイン認証情報を集め、あなたのパソコンにリモートアクセスできる可能性があるのです。 Zoomがこれを完全に修正するまでは、信用できない人からのURLをクリックしたくなる気持ちを抑えてください。 信用できない人とは、つまりコロナ禍のせいで自宅にいて退屈を紛らわそうとあなたが参加しているZoomの公開ミーティングすべてになります。 【Zoomアプリのアップデートについて文末に追記あり】 どんなことが起こっているの?Zoomは、インターネットのURLとUNC(universal naming convention)パスの両方を一般的なハイパーリンクへ
OAuth 2.0 クライアント認証 - Qiita
サーバーは、受け取ったクライアント証明書の主体識別情報が事前登録されているものと一致することを確認し、もってクライアント認証とします。 このクライアント認証方式には tls_client_auth という名前が与えられています(MTLS, 2.1.1. PKI Method Metadata Value)。 なお、クライアント証明書には OAuth 2.0 の文脈におけるクライアント ID は入っていないので、クライアント証明書だけではクライアントを特定することはできません。そのため、クライアント証明書を用いるクライアント認証をおこなう際は、別途クライアント ID をリクエストに含める必要があります。通常は client_id リクエストパラメーターが使用されます。 1.8. self_signed_tls_client_auth クライアント証明書を用いるクライアント認証において、PKI
圧縮・解凍ソフト「WinRAR」の脆弱性、さまざまな攻撃キャンペーンで悪用
世界有数の人気を誇る「Windows」向けファイル圧縮・解凍ユーティリティ「WinRAR」に脆弱性が存在している事実が2019年2月に明らかになった。過去19年間にリリースされたWinRARの全バージョンに影響を与える同脆弱性は、この1カ月間でまたたく間に多くのマルウェア開発者によって利用されるようになった。 これまでに複数の攻撃キャンペーンが確認されており、サイバー犯罪グループが、そしておそらくは国家の支援を受けたハッカーらも、WinRARのこの脆弱性を突いて、ユーザーのデバイスにマルウェアを感染させようとしている。 この脆弱性は米国時間2月20日にCheck Point Software Technologiesによって公表されていた。攻撃者はこの脆弱性を突く仕掛けを施したアーカイブを作成し、WinRARユーザーをだまして解凍させることで、悪意のあるファイルをユーザーシステム上の任意の
PHPプログラマのためのXXE入門
この日記はPHP Advent Calendar 2017の25日目です。前回は@watanabejunyaさんの「PHPでニューラルネットワークを実装してみる」でした。 OWASP Top 10 2017が発表され、ウェブのセキュリティ業界がざわついています。というのも、2013年版までは入っていたCSRFが外され、以下の2つの脅威が選入されたからです。 A4 XML外部実体参照(XXE) A8 安全でないデシリアライゼーション これらのうち、「A8 安全でないデシリアライゼーション」については、過去に「安全でないデシリアライゼーション(Insecure Deserialization)入門」という記事を書いていますので、そちらを参照ください。 本稿では、XML外部実体参照(以下、XXEと表記)について説明します。 XXEとは XXEは、XMLデータを外部から受け取り解析する際に生じる脆
「macOS High Sierra」に見つかった脆弱性とその対処法 | ライフハッカー・ジャパン
必要なのはノート1冊。時間管理&マインドフルネスが同時にできる「インタースティシャル・ジャーナリング」
Engadget | Technology News & Reviews
Nintendo Switch 2: Everything we know about the coming release
Spring Security 使い方メモ Remember-Me - Qiita
<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:sec="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation=" http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd http://www.springframework.org/schema/security http://www.s
Windows10の強制アップデートは原発や核施設を守るため - きしだのHatena
マイクロソフトが強引な手法をとったことの背景には、最近のセキュリティの考え方が、個別のコンピュータを守るためだけではなく社会インフラを守るためでもあると変化してきていることがあるのではないかと思います。 最近、Windows10の強制アップデートについて、あまりにも強引すぎるためにこのままではMSは信頼を失うとかいう発言を目にします。バスの案内表示にWindows10へのアップデートダイアログが表示されたことも話題になりました。 けれども、バス案内表示にWindowsアップデートの画面が出ることと、バス案内表示システムが核施設への攻撃に加担することと、どちらが危険でしょうか。 2014年には韓国の原子力発電所にサイバー攻撃が行われています。 世界のセキュリティ・ラボから - 韓国原発に対するサイバー攻撃、情報の身代金を要求:ITpro 韓国の原子力発電所の制御システム自体はインターネットか
Linuxで脆弱性が見つかった場合の対応方法 まとめ | DevelopersIO
はじめに 先日、Amazon Linuxで脆弱性が見つかった際に弊社のAWSチームのメンバーが以下の記事を公開していました。私は最近までクライアントサイドの開発案件を主に担当していたので自分の業務にはあまり関わりはないのですが、どのような手順でLinuxの脆弱性に対応しているのか興味があったので社内の人に聞いたり調べてみたことをまとめます。 [AmazonLinux] OpenSSLの脆弱性(CVE-2015-1793)について 1.脆弱性の情報を得る まずは脆弱性が見つかった情報はどこから得るのでしょうか?脆弱性に関する情報は以前から以下のサイトのRSSなどから情報を得ることができますが最近はTwitter見てたら知った、なんてこともあるそうです。 Japan Vulnerability Notes JPCERT コーディネーションセンター 以下はTwitterのアカウントです。 JVN
フリーでできるWebセキュリティ(burp編)
3. はじめに1 Burp Suiteはローカルで稼働するProxyソフトで、Webアプリケーションの診断などで使用さ れています。 ■ 「Webアプリケーション診断」って? 診断員 攻撃パターン付加 入力(リクエスト) 出力(レスポンス) 1) リクエストに攻撃パターンを付加。 2) レスポンスの内容から脆弱性の有無を判定。 Proxy プロトコル:HTTP、HTTPS 脆弱性の有無を判定 診断対象 ここで使われる。
第3回 Webアプリの「セッション」に潜む罠
前回まで、セキュリティ対策の責任や、安全ではないWebアプリができる理由を解説してきました。今回から、Webアプリやインフラを狙う具体的な攻撃手法や対策について説明します。 今回のテーマは「セッション管理」です。セッション管理とは、クライアント(Webブラウザー)とWebサーバー間で通信するときの、状態遷移を管理する仕組みです。 Webアクセスで一般的に利用するHTTP(Hypertext Transfer Protocol)というプロトコルには、状態遷移を管理する仕組みがありません。つまり、そのままでは動的なWebアプリケーションを動作させられないのです。そこで、開発者がセッション管理の仕組みを個々のWebアプリケーションで実装する必要があります。 このセッション管理は攻撃者に狙われやすいポイントの一つです。セッション管理の設計・実装の不備に起因する脆弱性には、「セッション・ハイジャック
Selenium と OWASP ZAP を使った自動脆弱性検査への道標
Webアプリケーションをローカル環境で開発している場合に、Selenium と OWASP ZAP を使って自動的に脆弱性検査を実行するための設定・実行手順について説明します。使用するプログラミング言語には依存しない範囲で書くので、具体的な記述方法までは踏み込みません。 前置き大まかに言うと、開発中のWebアプリケーションに対してまず Selenium を使ったテストを実行し(この時、ブラウザのプロキシ設定をZAPにしておきます)、その後で OWASP ZAP による脆弱性検査を行います。自動といっても、今回はローカルのPC上でブラウザやZAPがGUI起動することを前提としています。GUIのない環境でブラウザを実行できるツールもありますし(XVFB, PhantomJS, etc.)、ZAPもデーモンモードで起動できますので、CUI環境(サーバ上等)でも今回のテストは可能なはずです。しかし
5 big security mistakes coders make
Hacks make headlines. But usually, the focus is on who did it -- notorious cyber criminals, hacktivists, or state-sponsored actors. Readers want to know who they are, where they're from, what they did, and why they did it. How they did it gets glossed over. In fact, the "how" is the most important part -- and application vulnerabilities are common culprits. Subtle programming errors allow hackers
Presentations by OWASP Japan // Speaker Deck
All slide content and descriptions are owned by their creators.
とりあえず試すだけのソフトウェアをインストールするなら『Sandboxie』を使ってみよう | ライフハッカー・ジャパン
Windows:Webからダウンロードしたベータ版など、安全か確信が持てないソフトウェアを使ってみたいとき『Sandboxie』がおすすめです。砂場のように囲われたテストスペースで色々と「お試し」ができます。使い方は以下の通りです。 Sandboxieをインストール。必要なドライバなどをインストールする際はセーフモードでの起動が必要な場合もありますが、この手順は問題なく終わるはずです Sandbox加工された(砂場のように囲われた)ウェブブラウザを起動。これは通常のブラウズセッションと平行して作動します。ここからファイルをダウンロードしたり、プログラムをインストールすると、それらはSandbox内に留まります Sandboxieのメインウィンドウからアプリを起動。Sandbox内のアプリには黄色い枠線が表示されます(冒頭の画像参照) テストが終了したらシステムトレイアイコンを右クリックし、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Application Security Checklist - DZone
SAP SQL Injections
もしWebセキュリティのエンジニアがRFC7540の「HTTP/2アプリ」をWeb診断したら
