Googleがハッシュ関数「SHA-1」を破ることに成功、90日後に手法を公開予定
TLS/SSLやOpenPGPなどで使われる暗号的ハッシュ関数「SHA-1」を破ることに、GoogleとオランダのCWI研究が成功しました。これまで「理論上は破られる可能性がある」と指摘されていたSHA-1が現実に破られることになったため、より安全なハッシュアルゴリズムへの移行が必須になったようです。 Google Online Security Blog: Announcing the first SHA1 collision https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html SHAttered http://shattered.io/ 「SHA-1」破りに成功したのはCWIとGoogle。2年の研究の末に成功したとのこと。 約20年前に実用化されたSHA-1の技術的なアイデアは、デジ
AWS WAFをバイパスしてSQLインジェクション攻撃をしてみる - Soon Lazy
最近はAWS WAFを触っています。こういう防御ツールは、やはり攻撃をどれぐらい防いでくれるか気になります。AWS WAFの場合、SQLインジェクション系の脆弱性を探ってくれるsqlmapをかけたところ、攻撃をブロックしてくれたという記事があります。 記事を読んだり自分でちょっと試したりして、ちゃんとSQLインジェクション攻撃を防いでくれるんだーと思っていました。が、つい先日WAFをバイパスしてSQLインジェクション攻撃をするテクニックがあることを知りました。例えばOWASPのこのページには、そういうテクニックがいくつか紹介されています。 こうなると気になるのは、AWS WAFに対してWAFバイパスのテクニックを使うとどうなるかです。というわけで、実際に試してみました。 単純にSQLインジェクションしてみる まずは、AWS WAFがないときにSQLインジェクションができること、また、AWS
suz-lab.com - suz lab リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
Google Authenticatorを使ってLinuxのログイン(PAM)で二段階認証を試す - このブログはURLが変更になりました
先月リリースされたGoogleの新しい認証機構をご存知だろうか。 より高いセキュリティを: 二段階認証システムの提供開始 - Google Apps チームからの公式アップデート情報 Google、Google Appsの二段階認証システムを発表 - ITmedia エンタープライズ Google、スマートフォン利用の2段階認証システムを公開―セキュリティーが飛躍的に強化 - TechCrunch JAPAN これを使うとGoogle Appsのログイン時、パスワードの後でGoogle Authenticatorで生成されたワンタイムパスワードの入力を求められ、両方が正しい場合のみログインできる、いわゆる二段階認証を実現するためのもの。 で、実はこれ、Google Codeで実装が公開されていて、PAM認証も用意されているので、Linuxのログイン認証などにも応用可能。 これは試してみるし
SSL で守られる生活
難解プログラミング言語「Piet」の解説とそのエディタを作った話です。 2015/08/21 Pidet公開しました。 https://github.com/kndama/Pidet
そこそこセキュアなlinuxサーバーを作る - Qiita
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
複数の国内サイトがドメイン名ハイジャックされた件をまとめてみた - piyolog
2014年11月5日にJPCERT/CC、JPRSがドメイン名ハイジャックに関する注意喚起を公開しました。また同日日本経済新聞社が同社サイトがこの攻撃を受けていたことを速報で報じました。*1 ここでは関連情報をまとめます。 注意喚起・対策 JPCERT/CC 登録情報の不正書き換えによるドメイン名ハイジャックに関する注意喚起 JPRS (緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について(2014年11月5日公開) JPRS (PDF) 補足資料:登録情報の不正書き換えによるドメイン名ハイジャックとその対策について JPNIC IPアドレス・AS番号/ドメイン名に関する登録情報の不正書き換えに関する注意喚起 タイムライン 日付 出来事 9月第1週 Volexityが日経で不正なサイトへの接続を確認。 10月9日 VolexityがBlog記事を公開。 10月15日
安全なPHPアプリケーションの作り方2014
Internet Week 2010 S3 今日こそわかる、安全なWebアプリの作り方2010 http://www.nic.ad.jp/iw2010/program/s3/
『Clef』で面倒なパスコード入力とおさらば!iPhoneをPCにかざして簡単ログインしちゃおう | カミアプ | AppleのニュースやIT系の情報をお届け
こんにちは、SHANです。 PCで複数のサービスにログインするとき、いちいちパスワードを入力しするのはちょっと面倒ですよね。かといってログイン状態を保持したままにしておくのも不安な気がします。 そんな時『Clef』を使えば、PCにiPhoneをかざすだけでログインすることができちゃいますよ〜!これから『Clef』の簡単な使い方をご紹介していきますね。 『Clef』は様々なサービスに対応! iPhoneをPCにかざすだけでログインできる『Clef』は、様々なサービスに対応しています。主な対応サービスとしては Twitter Facebook Google YouTube Dropbox Pocket Instapaper Tumblr Lastfm LinkedIn PayPal Kickstarter などが挙げられます。それでは早速使い方を解説していきますね! iPhoneがIDとパスワ
heartbleedをiptablesで止めることについて - yasulib memo
前書き OpenSSLの脆弱性(CVE-2014-0160)が公開されました。 詳細はpiyokangoさんの素晴らしいまとめを参照してください。 OpenSSLの脆弱性(CVE-2014-0160)関連の情報をまとめてみた - piyolog エフセキュアブログにて、トーマツの岩井さんが書いた興味深い記事がありました。 エフセキュアブログ : Openssl Heartbleed 攻撃の検知について #根本的な対策ではなく、あくまで攻撃検知という意味で。 iptables log rules iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT" iptables block rules i
SSHの仕組み!ぼんやりとした理解だったものをすっきりさせようの会 - nigoblog
特にシリーズ化を目論むわけではないですが、 完全に理解しているわけではないけど、使える。 みたいなものってありますよね。 そういうのはよくないのでしっかりと理解しよう! というテーマでやります。 今回はSSHの仕組みについて書いていこうと思います。 参考記事 概要 ~SSHとは~ SSHの仕組みを理解するための用語 鍵交換方式の仕組みと実際のコマンド 便利なオプション まとめ このような流れで書いていきます。 参考記事 こちらを参考にします。(ぶっちゃけこれだけ見ればオッケーな気も。。。) 公開鍵暗号について理解が足りていなかったのでメモ - かせいさんとこ 鍵交換方式による認証 概要 ~SSHとは~ SSHはSecure Shellの略で、あるマシンに別のマシンからアクセス , ログインするというイメージです。 主にサーバー(リモート)にクライアント(ローカル)からアクセスするときに使い
cybozu.com を真に常時 SSL にする話 - Cybozu Inside Out | サイボウズエンジニアのブログ
@ymmt2005 こと山本泰宇です。 今回は cybozu.com を安全に利用するために暗号化した通信(SSL)を常時使用するための取り組みを紹介します。 HTTP と HTTPS HSTS とその弱点 Preloaded HSTS Chrome のリストに cybozu.com を組み込む まとめ HTTP と HTTPS Web ブラウザのアドレスバーに "www.cybozu.com" と打ち込むと、通常は暗号化されない HTTP 通信が行われます。そこでまず考えられるのは、Web サーバーにて HTTP 通信を受け付けたら、HTTPS に永続的リダイレクトをすることです。Apache なら以下のような設定になるでしょう。 <VirtualHost *:80> ServerName www.cybozu.com Redirect permanent / https://www.c
IAMと私 ~IAMのAWS Management Consoleサポートバンザイ~ « サーバーワークス技術ブログ
普段お酒ばかり飲んでいて、あまり(技術っぽい)仕事をしていません。 理系出身なのですが、どちらかというと財務とか人事などの仕事を好みます。 ITのことが嫌いなのではありませんが、一つのことを突き詰める気持ちはあまり強くありません。 そして、今回初めてブログらしいブログを書きます。 しかもそれが技術ブログということで些か緊張気味です。 と、IAMに掛けて、いきなり自己紹介から入ってしまいました、サーバーワークスの鈴木です。 今回は以前から興味を持っていたAWS Identity and Access Managementが今月から正式版となり、AWS Management Console対応も始まったので、早速少し試してみたところ、社長の大石(蔵人之助)からブログにした方がいい!と煽てられ、調子に乗って書いてみました。 IAM(Identity and Access Management)と
IPアドレスを偽装して安全にインターネット接続を可能にするフリーソフト「spotflux」
WindowsとMacに対応し、ワンクリックでグローバルIPアドレスを偽装してインターネットの利用を可能にするのが「spotflux」です。無料で安心と安全を実現する「spotflux」のインストール・操作などは以下から。 実際に「確認くん」を利用して確認してみます。「spotflux」使用前。 使用後、現在接続している場所(現IP )つまりグローバルIPアドレスが変更され、プロバイダー名が見えなくなりました。 Spotflux - A more secure, private, and open internet experience. http://launch.spotflux.com/ ◆インストール 上記サイトの「PC」をクリック。Windowsを使っているので、Windows版である「PC」を選んでいます。 ダウンロードした「spotflux-latestPC.exe」を起動。
UT-VPN Web サイト - 筑波大学 VPN オープンソースプロジェクト
UT-VPN は SoftEther VPN プロジェクトにしました NEW! 2013 年 7 月 25 日、「SoftEther VPN プロジェクト 日本語版」が以下の Web サイトで公開されました。 http://ja.softether.org/ また、同日 SoftEther VPN 1.0 (フリーウェア) 日本語版が上記 Web サイトで公開されました。これにより、「UT-VPN プロジェクト」は「SoftEther VPN プロジェクト」に移行しました。 今後は UT-VPN のバージョンアップの予定はありません。UT-VPN に加えて L2TP/IPsec や OpenVPN などのプロトコルに対応した最新の SoftEther VPN 1.0 をご利用ください。SoftEther VPN 1.0 は 2013 年中頃にオープンソース化する予定です。今後の開発は So
さくらのVPSにVyattaを入れて、Amazon VPCにVPN接続 - kikumotoのメモ帳
第8回JAWS-UGに参加して、そこで富士ソフトの飯尾さんが話したVPCの話題、面白かったです。 ということで、年内にAWS東京リージョンに追加されるはずのVPCを試しおかなきゃ、、、、 といっても、ネットワーク装置なんて持ってないので、さくらのVPSにVyattaを入れて接続することを試みたのでそれをメモしておく。 さくらのVPSにVyattaをインストール これは、 さくらのVPSにVyattaをインストール – BLOG.KAWATASO.NET を参考にして実施。 Amazon VPCの構築 今回は、AWS Management Consoleを使ってVPCを構築する。 以下のような流れで画面を操作する。 VPC タブを選択 Region は "US East" を選択 "Get started creating a VPC" ボタンをクリック "VPC with a Privat
たった1つのパスワードを覚えれば全OS・全ブラウザのあらゆるパスワード自動入力&管理ができる「LastPass」
いろいろなサイトのIDやパスワードをすべて違うランダムなものにしておけば安全なのは分かっていても、入力や管理の手間を考えると面倒になってついつい、全部同じパスワード、しかもすごく短くて覚えやすいものにしてしまいがちですが、「LastPass」を使えば、その名の通りのラスト・パスワード(自分が覚えるべきたった一つだけのパスワード)を覚えておくだけで、Windows/Mac/LinuxといったどのOS上でもいろいろなサイトのパスワードや大事な情報が使えるようになり、しかもIE/Firefox/Chrome/Safari/Operaと連携して同期し、面倒なパスワード入力も全自動化してワンクリックで可能です。 保存したパスワードはすべて256bitのAESで暗号化されてSSL通信でバックアップされ、安全な利用が可能になります。さらにIE/Firefox/RoboForm/1Password/Kee
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
活動紹介|ISOG-J 日本セキュリティオペレーション事業者協議会
SSL Labs - Projects / Public SSL Server Database - SSL Server Test
PCに近づくとロックが解除できるセキュリティカードが登場 Bluetooth 4.0対応