Lookout | データ保護とクラウドセキュリティプラットフォーム
データセキュリティの未来を創造し、すべての人に安心をお届けするために、私たちがどのような取り組みを行っているかをご紹介します。
「君は新人だから知らないと思うけどセッション変数が改竄されることもある。その対策は安全ではない」
noon @n00nw0rks 日本人はリスク管理ができない、リスクはゼロにできないということを受容れられない、とよく言われるけど、日本人だからどうこうというより、リスクを管理できるだけの知識と論理的思考能力がない人は「怯える=意識高い」と考えているんだと思っていて、その話のたびに前の会社のことを思い出す 2014-11-13 11:12:30 noon @n00nw0rks 前の会社でCSRF発見して「hiddenなinputとセッション変数にランダムトークンを保存して照合し正当なページからのリクエストか判別する」のを提案したら「君は新人だから知らないと思うけどセッション変数が改竄されることもある。その対策は安全ではない」と呆れた顔で言われて、 2014-11-13 11:12:50 noon @n00nw0rks 確かにOSやミドルウェアに脆弱性があればそういうこともあるかもだけど、セ
まだ持っていないあなたが1Passwordを入れるべき理由 | reliphone
このエントリは指紋認証の付いていないiPhone 5以前をお持ちの人がiPhone 6、6Plusに買い替えるべき理由でもあります。 かつてない快適さを手に入れるために。 これがiOS8でもっとも魅力的な革新のひとつです。 1Password 無料 販売: AgileBits Inc. 評価: 4(359件) iPhone/iPadに対応 正式にフリーミアム化されました。 Touch IDの開放 iOS8では、指紋認証のTouch IDがサードパーティのアプリにも開放されます。 iPhone 5sを持っている方ならよくご存じの、指紋だけでロック解除ができるアレです。 いままでの1Passwordというのは単なる起動にもパスワード認証を求められる、セキュリティのためとはいえ少し手間のかかるものでしたが、これからは指紋を読み取るだけで完了します。 パスワードを取り出すためのパスワードは要らなく
NTPベースのDDoS攻撃を理解する - ワザノバ | wazanova
http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks1 comment | 0 points年初にLeague of Legends、EA.comのサーバがダウンする原因となったNTPベースのDDoS攻撃について、CoudFalreがエンジニアブログでまとめています。 DNS Reflection is so 2013 DNSベースのDDoS攻撃とNTPベースの攻撃は似ている。プロトコルの違いだけ。攻撃者が、被害者となる相手のIPアドレスを偽ってパケットを送付。事情を知らないサーバは、リクエストに応えて、被害者のIPアドレスにデータを返すという仕組み。実際の攻撃者のソースは隠されていて、トレースするのが難しい。もし大量のサーバが利用されると、相当のボリュームのパケットが、世界中から被害者
日本国内でのLINE利用を韓国当局が傍受することは困難 - 雑種路線でいこう
月刊FACTA7月号で、LINEが韓国の国家情報院に通信傍受されているとする記事が掲載された。これに対してLINEの森川亮社長が「国際基準を満たした最高レベルの暗号技術を使って通信されていますので、記事に書かれている傍受は実行上不可能です」と反論、さらにFACTAの阿部編集長が「それが破られているというのが本誌の認識」と再反論している。その後LINEはITMediaの取材に対し「暗号化後データは独自形式、解読は不可能」と回答した。 LINEの開発者向けブログによるとLINEはサーバーとの通信に通常TLS/SPDYを使っているが、3G通信などで遅延が大きい場合には利用者の操作性を優先して暗号化せずに通信を行う場合があると書かれている。データセンターは日本にあるとのことなので、FACTAの記事にある韓国政府のサイバーセキュリティ関係者の発言が仮に事実であったとして、少なくとも韓国国内での遅延の
ssig33.com - LINE の件考えられる可能性
韓国国内のネイバーのデータセンター間の接続が専用線で、専用線なのでということで通信暗号してなかったら、線に物理的に工作されてバカハブしかけられて盗聴された ネイバーや LINE に韓国国家情報院の工作員が入社していてデータを流出させるか VPN の秘密鍵を盗むかしていた こうではないだろうというもの 暗号を用いた VPN への中間者攻撃が可能になった この場合 LINE がどうのなどと言っている場合でない あまり意味のない考え方 LINE の通信解析した結果ゲートウェイは日本にあるので韓国情報機関による盗聴はあり得ないみたいな主張 ゲートウェイはそこにあるだけでデータの解析とかそういう業務は韓国のサーバーでやってるかもしれないでしょう。 私はこう考える FACTA の記事が完全にガセ ついでに言いたいこと LINE も GMail も信用しませんみたいな人達、日本産の Web サービスの多
「JSON文字列へのインジェクション」と「パラメータの追加」
「JSON文字列へのインジェクション」と「パラメータの追加」:NoSQLを使うなら知っておきたいセキュリティの話(2)(1/2 ページ) MongoDBを用いたWebアプリケーションで生じる可能性がある4種類の脆弱性のうち、今回は「JSON文字列へのインジェクション」と「パラメータの追加」のメカニズムと対策について説明します。 前回の「『演算子のインジェクション』と『SSJI』」では、MongoDBを用いたWebアプリケーションで生じうる脆弱性のうち「演算子のインジェクション」と「SSJI」について、攻撃の実例と対策について解説しました。今回はさらに、「JSON文字列へのインジェクション」と「パラメータの追加」について説明します。 JSON文字列へのインジェクション これまで見てきたように、PHP言語においては連想配列を指定してデータの登録処理や検索処理を実行できます。しかし型の扱いが厳格
多くのATMはWindows XPが使われているらしい…サポート終了で銀行に焦り
多くのATMはWindows XPが使われているらしい…サポート終了で銀行に焦り2014.01.23 12:00 そうこ XPのサポートは終了しました。 今年4月8日をもって延長サポートも打ち切られるWindows XP。まさか、そのXPがあちこちあるATMに使われているとは知りませんでした。そういやATMの動きやら画面やらって、特に真新しさもないままだったけれど。 例えば、米国では約40万台のATM機があり、それらの多くは、自動販売機を扱う中小企業や個人会社によって管理されています。地方銀行に限らず、全米展開の大手銀行のATMですらも、今となってはかなり古いシステムのままなのです。あのJPモルガンのATMさえも、1万9000台のATMのアップデートを予定しているものの、そのうち約3000台は古すぎてそもそもアップデートすら不可能というのです。 各銀行はマイクロソフトと連携し、延長サポート
Windows XP モードも 2014 年 4 月まで | Yomotsu net
先日、Windows XP からのバージョン移行を検討していた方が、「XP モードがあるから Windows 7 を選んだ」とコメントをしているのを見ました。 確かに、Windows XP モードを利用すれば、Windows 7 内で Windows XP と完全互換の環境を利用することができます。しかし、待ってください。Windows XP モードは、オリジナルの Windows XP と完全に同じ動作をしますが、そのサポート ライフサイクル自体も、Windows XP とおなじ 2014 年 4 月 8 日で終了します。このことは、Windows 7 で Windows XP モードをインストールし、使用するの注釈内でオフィシャルの情報として記載されています。 一方で、 Windows XP モードでは、物理的なコンピューターの CD/DVD ドライブへのアクセス、プログラムのインスト
せきららはてブ
あなたのはてなIDとあなたの非公開はてなブックマークをもぞもぞと取得して表示させるページです。 はてなIDを持っていて、はてなブックマークにログインしている必要があります。 まず知ることは、はてなの Web API は my というキーワードが自身のユーザーIDのエイリアスになっていることです。これを利用し、ページを訪れた人のマイブックマーク全文検索APIを Cookie 認証で叩きます。ここで得られたブックマークのうち、一つの公開ブックマークの URL とタイムスタンプを覚えておきましょう。 次に、その取得した公開ブックマークの URL を使って、はてなブックマークエントリー情報取得APIを叩きます。返ってくるのは、その URL にブックマークした人の一覧です。 ここで得られたエントリーブックマークのユーザーID付きタイムスタンプと、先に得られたマイブックマークのタイムスタンプを照合する
Facebookの脆弱性、発見者がZuckerberg CEOのウオールを使って証明
パレスチナのIT研究者が米FacebookのMark Zuckerberg最高経営責任者(CEO)のウオールにバグ報告を直接書き込んだことを、複数の米メディア(VentureBeat、PCMag.comなど)が現地時間2013年8月18日に報じた。同研究者は、Facebookのセキュリティチームに脆弱性を報告したが無視されたので、証明のためにやむなく実行したとしている。 Zuckerberg氏のウオールに投稿したKhalil Shreateh氏は、自身のブログでこの件について詳しく説明している。同氏は、たとえ友達承認されていなくても別のFacebookユーザーのウオールに投稿できてしまう深刻な脆弱性をFacebook上に発見し、Facebookのホワイトハットプログラムを通じて報告した。しかし電子メールで説明を繰り返したのち、8月14日にFacebookのセキュリティチームから「これはバグ
最も危険な検索エンジン? 「Shodan」が浮き彫りにする無防備なネット環境
ニューヨーク(CNNMoney) 「グーグル検索で見つからないものは誰にも見つけられないと思われがちだが、それは真実ではない」――。インターネットの「闇グーグル」とも呼べる検索エンジン「Shodan」を開発したジョン・マザリー氏はそう話す。 ウェブサイトを巡回して情報を収集するグーグルに対し、Shodanはサーバー、ウェブカメラ、プリンター、ルーターなど、インターネットに接続された機器5億台あまりを巡回して情報を収集する。 ごく単純な検索でも、Shodanに表示される結果には息をのむ。インターネットに接続された無数の信号機、防犯カメラ、ホームオートメーション機器などが簡単に見つかるほか、親水公園やガソリンスタンド、ホテルのワインクーラー、火葬場などの制御システムも検索できる。サイバーセキュリティーの専門家は、原子力発電所や粒子加速器の制御システムまで探し当てたという。 何よりも恐ろしいこと
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
3m先から撮った親指の写真から、指紋の複製に成功
3Dプリンタで作るプラスティック銃「Liberator」、発砲成功
Googleが「CAPTCHA」を改良、リスク分析により人間と機械を区別