セキュリティに関するbonkurasolidのブックマーク (7)

  • Let’s EncryptとNginx : セキュアなWebデプロイメントの現状 | POSTD

    最近まで、SSL暗号化通信は「あると好ましい機能」という程度にしか考えられていませんでした。そのため、安全なのはアプリのログインページだけというサービスが数多く存在していました。 しかし、状況は良い方向へと変化しています。現在では暗号化は必須と考えられ、ほとんどの開発者が導入を義務付けています。また、巨大検索エンジンGoogleでは、SSLの導入が検索結果の順位を決定する要因にさえなっています。 しかし、SSLが広範に普及しているにも関わらず、セキュアなWebサービスを構築することは、未だに面倒で、時間がかかり、エラーの原因になりやすいと考えられています。 最近この分野では、 Let’s Encrypt が、SSL証明書をより広く普及させ、Webサイトのセキュリティ維持に係るワークフローを大幅に簡略化しようと取り組んでいます。 強力なWebサーバNginxや、他のハードニング方法と組み合わ

    Let’s EncryptとNginx : セキュアなWebデプロイメントの現状 | POSTD
  • Sandboxie (Read Only)

    Dear Sandboxie Community, As announced on our website sandboxie.com, we are now closing down this forum following the release of the Sandboxie source code to the open source community. [IMPORTANT] Sandboxie Open Source Code is available for download We’re glad that the community has embraced the open source project on GitHub and that a new Sandboxie thread has been started on Wilders Security Foru

  • sshのポートをデフォルトの22/tcpから変えるべきか論争に、終止符を打ちました - ろば電子が詰まつてゐる

    また間が開きましたが、すみだセキュリティ勉強会2015#2を開催しました。発表していただいた@inaz2さん、@yasulibさん、ありがとうございました。当日の発表資料は上記の勉強会ブログからリンクしています。 今回の私の発表は、「攻撃を『隠す』・攻撃から『隠れる』」。ポートスキャンをするとsshが100個現れる「ssh分身の術」がメイン(?)です。 当初は、パケットヘッダやプロトコルのすき間にメッセージを隠したり、ファイルを隠すなども考えていたのですが……。あまりに盛りだくさんになりそうだったので、「ポートスキャンをいかに隠れて実行するか・ポートスキャンからどうやって隠れるか」と、ポートスキャンとnmapに絞って発表しました。 発表資料 私の発表資料は以下です。 (PDF)攻撃を「隠す」、攻撃から「隠れる」 発表ノート付きなのでPDFです。以下、落穂ひろいなど。 スキャンするポート数と

    sshのポートをデフォルトの22/tcpから変えるべきか論争に、終止符を打ちました - ろば電子が詰まつてゐる
  • AndroidからiPhoneに戻った理由、セキュリティとコレ

    AndroidからiPhoneに戻った理由、セキュリティとコレ:半径300メートルのIT(1/2 ページ) iPhone発売からからずっと使い続け、この1年ほどAndroidも使ってみると、良いところも悪いところにも気が付きます。結局iPhoneに戻ったその気付きをご紹介します。 ちょうど1年近く前、私はiPhoneからAndroid端末に機種変更しました。日iPhoneが発売されてからずっと使い続けてきて「そろそろAndroidもアリかな?」となんとなく思ったことがきっかけでしたが、双方いいところ、悪いところがあることに気付くようになりました。実は結局またiPhoneに戻っています。その理由は、簡単にTouch IDで「ロック解除」ができるからです。 端末ロック、してますか? AndroidiPhoneともに、スマートフォンを使っていないときに他人に使えないようにする「端末のロック

    AndroidからiPhoneに戻った理由、セキュリティとコレ
    bonkurasolid
    bonkurasolid 2015/09/04
    iPhone発売からからずっと使い続け、この1年ほどAndroidも使ってみると、良いところも悪いところにも気が付きます。結局iPhoneに戻ったその気付きをご紹介します。
  • ネットバンキングを少しでも安全に使うための方法とは?

    ネットバンキングを少しでも安全に使うための方法とは?:萩原栄幸の情報セキュリティ相談室(1/3 ページ) 便利なインターネットバンキングでウイルス感染による不正送金被害などの問題が深刻化し、しかも状況が変化している。現時点(2015年夏)で考えられる安全に使うための方法を紹介したい。 いまやインターネットバンキングは、金融機関の重要なサービスになり、誰もが利用できる便利なものになった。そして、最近はネットバンキングがかつてない以上に注目を浴びている。現役の頃から、そして現在の金融機関へのコンサルティングを通じて筆者はネットバンキングに関わり続けているが、この注目は極めて居心地の悪いものだ。 ネットバンキングの状況を不安視される個人、法人が非常に多く、相談をよく受ける。今回は相談で寄せられる疑問について、現時点(2015年夏)の回答を紹介したい。ただ、この状況は今後も変化していくため、実はセ

    ネットバンキングを少しでも安全に使うための方法とは?
    bonkurasolid
    bonkurasolid 2015/09/04
    便利なインターネットバンキングでウイルス感染による不正送金被害などの問題が深刻化し、しかも状況が変化している。現時点(2015年夏)で考えられる安全に使うための方法を紹介したい。
  • とあるセキュリティ企業、上場企業100社に対し無断で攻撃を行っていた? | スラド セキュリティ

    セキュリティ関連ビジネスを手がけるsproutが、上場企業100社に対し無断で攻撃を行っていたのではないかという疑惑が出ている。 発端は雑誌「FACTA」の2014年11月号掲載記事『上場企業5割に「サイバー脆弱性」』。会員限定の記事なので文全文は閲覧できないが、sproutの公式Twitterによると、「日発売の経済誌FACTAに、スプラウトが行った上場企業100社のサイバー脆弱性調査が掲載されました。」とのことで、sprout社が上場企業100社に対し、無断で「サイバー脆弱性調査」を行ったようだ。 しかし、脆弱性調査を行う場合、通常は調査対象の同意や事前の調整・準備が必要となる。調査を行うためには攻撃を行う必要があり、それによってデータの消失や改変などの被害が発生する可能性があるからだ(過去記事)。そのため、相手に無断で調査を行った場合、その内容によっては不正アクセス禁止法に抵触す

    とあるセキュリティ企業、上場企業100社に対し無断で攻撃を行っていた? | スラド セキュリティ
  • エメット(EMET)さん、破れたり

    「Enhanced Mitigation Experience Toolkit」(EMET)は、Windowsやアプリケーションに存在する未パッチの脆弱性を悪用した攻撃を検出、阻止してくれる“かもしれない”、脆弱性緩和ツールです。今回は、この“かもしれない”ということがよく分かる実証実験にお付き合いください。 連載目次 エメット(EMET)について簡単におさらい マイクロソフトが無償提供する脆弱(ぜいじゃく)性緩和ツール「Enhanced Mitigation Experience Toolkit」(EMET)は、2014年4月の「Internet Explorer」(IE)の脆弱性に対するゼロデイ攻撃の防御策として一躍注目を集めました。 Enhanced Mitigation Experience Toolkit(マイクロソフト セキュリティ TechCenter) 連載でも、EMET

    エメット(EMET)さん、破れたり
  • 1