首都大学東京の情報流出の件で公開質問状送った - 職質アンチパターン これの件.以下引用. このたびは多大なご迷惑、ご心配をおかけすることになり、 深くお詫び申し上げます。 質問状の方は、たしかに受領いたしました。 後日、回答させていただきます。 何卒よろしくお願いします。 首都大学東京 なるほど.
Breaking av software 市場に出回っているアンチウイルスソフトウェアの脆弱性についての研究発表のスライド資料が公開されている。 アンチウイルスソフトウェアは、セキュリティ向上のために重要だという意見があるが、このスライド著者は疑問を投げかけている。そもそも、ソフトウェアの追加は、攻撃できる箇所が増えるということだ。アンチウイルスソフトウェアは果たしてセキュアに作られているのか。 特に、多くのアンチウイルスソフトウェアは、カーネルドライバーを使ったりしている。もし脆弱性があればとんでもないことだ。 アンチウイルスソフトウェアの攻撃手段としては、細工されたファイルフォーマットをスキャンさせる事が大半だ。アンチウイルスソフトウェアは、様々なフォーマットのファイルをパースする必要がある。もし、そのパーサーにバッファーオーバーフローなどの不具合があれば任意のコードを実行させることが
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、システム統括本部 プラットフォーム開発本部 セキュリティテクノロジー部 セキュリティスペシャリストの戸田 薫です。 今回は、SSLサーバ証明書に関してお伝えします。 SHA-1からSHA-2へ 「SHA-1」の危殆化を背景にSHA-1証明書の利用禁止に関する工程表が業界団体や企業から告知されています。 CAブラウザフォーラム(ブラウザベンダーの業界団体) 2017/01/01以降、SHA-1証明書を利用したSSLサイトとのSSL通信と禁止する。 Google Chrome 2015年上旬(詳細時期未定)以降、「有効期限が2016/01/01以降」のSHA-1証明書を利用したSSLサイトにアクセスした場合、警告メッセージ
Hiromitsu Takagi @HiromitsuTakagi そもそも「パスワード」とは何か。パスワードとは人が覚えて使うものである。必然的に複数のログインサービスで同じものが使われ得るのが前提となる。故に、管理者さえ利用者パスワードを知り得ないよう技術的対策し、利用者には自由にパスワード設定できるようにするのが当然であった。それが今日、… Hiromitsu Takagi @HiromitsuTakagi …今日、幾つもの管理者からパスワード(又はその弱いハッシュ値)が流出する事故が相次ぎ、リスト攻撃が横行したことから、ログインサービス毎に異なるパスワードを付けよとする意見が強まった。管理者が利用者に対して「当サービス専用のパスワードを設定してください」と指示する例も出てきた。… Hiromitsu Takagi @HiromitsuTakagi …出てきた。しかしそれはもはや「パ
アプリのインストール 電話番号とEmailを登録 電話番号とEmailを登録します。 認証 続いて認証 今回はSMSを選択しました。 登録した電話番号宛にpinコードが送られるので認証します。 プラスボタンを押して次へ進みます。 バックアップ設定 Authyは2段階認証のデータを暗号化してコピーしておいてくれるので携帯電話をなくしたり、壊したりしてもバックアップパスワードさえ覚えておけば復元がきるようですのでバックアップパスワードの設定をします。 バックアップパスワードを入力します。 再度入力します。 Scan QR Code あとはGoogle Authenticatorなどと同じようにQRコードを読み込んで使用します。 QRコードを読み込むとアカウントネームの編集やロゴの選択ができます。 ロゴはこんなにたくさん用意されています。 今回はAWSのロゴを選択してみました。 MFAコードが表
情報処理推進機構(IPA)とJPCERTコーディネーションセンター(JPCERT/CC)が共同で運営する脆弱性関連情報ポータルサイト「JVN(Japan Valnerability Notes)」は2014年12月22日、IT機器の時刻合わせに広く使われているサーバーソフト(デーモン)の「Network Time Protocol daemon(ntpd)」に複数の脆弱性が見つかったことを伝えた。発見された脆弱性の中には、不正に細工されたNTPパケットを一つ受け取るだけで、サーバーがいきなり乗っ取られる危険性があるものも含まれている。 見つかった脆弱性は四つ。(1)設定ファイルntp.conf中でauth keyを設定していない場合に、暗号強度が低いデフォルト鍵が生成される問題、(2)古いバージョンのntp-keygenが、弱いシード値を使って乱数を発生し、これを基に暗号強度の低い対称鍵を
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます CentOSは米国時間12月5日、毎月末にローリングリリースを提供する仕組みへの移行を発表するとともに、「CentOS 7」のローリングリリースを公開した。「CentOS」は、Red Hatによって無償公開されているソースコードから派生した、大企業向けのLinuxディストリビューション。 発表によると、各ローリングリリースには、mirror.centos.orgのリポジトリにプッシュされた全てのアップデートが含まれ、セキュリティ、バグ修正、各種改善など、あらゆるアップデートが対象になる。全てのビルドはbuildlogs.centos.org/で公開される。 リリースのファイル名には、日付と、コンテンツを示すビルドタグが含まれる。例えば、
WordPress案件、前からいろいろ請けさせてもらっているんですが だんだん「簡単にー」っていう範囲から外れてきていて どんどん予算もかさばっている現状があります。私なりの把握していることを書いてみます。 WordPressが広まりだした頃から、アタックを受けやすくなっているWordPress。 WordPressが動いて安くて便利なロリポップでのアクセス制限のハードルが高いです。 一時期特にロリポップがやっていた「簡単インストール」でやっていたロリポップ加工版のやつに穴があった(?)か何かで、ファイルアップロードしているものにも影響が出てくるように。 ログインのアドレスを変えてみたり、サーバーに関係なくアタックへの対処法っていろいろあったんですが、どんどん.htaccess制限されちゃって。 個別IPアドレスを通す設定にしてるものだから、「IPアドレスって何?」って人にはすごいハードル
県警でサイバー犯罪を担当している人から話を聞いた時のメモが出てきたので下記にまとめる。 メモは2年ほど前のもので、現在の警察の見解とは異なっている可能性がある。 IDとパスワードの管理について同じIDとパスワードを複数のWebサービスで使い回している人は非常に多い。定期的にパスワードを変更することは使い回しの温床になるので推奨していない。IDとパスワードの使い回しを狙って、不正取得したIDとパスワードを複数のサービスに1回ずつ入力して侵入を試みる手口が増えている。1回ずつしか試みられないので不正検知が難しい。フィッシングやスパイウェア等によるtechnicalな不正アクセス事案は全体の4割程度であり、残り6割はパスワード設定管理の甘さや知人・友人にパスワードを漏らしたことによるソーシャルな手口である。10代のオンラインゲームの不正操作事案が急増傾向にある。不正アクセス禁止法について不正アク
jQueryプラグインのCAPTCHAスクリプトにクロスサイトスクリプティング(XSS)の脆弱性が見つかったとして、セキュリティ研究者が情報を公開した。 Webサイトの検証機能実装に使われている「jQuery Validation Plugin」のCAPTCHAスクリプトに深刻な脆弱性が見つかったとして、セキュリティ研究者が自身のブログで11月18日に情報を公開した。同プラグインの作者はこの脆弱性を修正するパッチを19日に公開している。 セキュリティ研究者Sijmen Ruwhof氏のブログによると、脆弱性はjQuery Validation Pluginのバージョン1.13.0に存在する。2014年8月に発見して作者やjQueryにメールで連絡したが、返事がなかったため情報の公開に踏み切ったという。 この脆弱性はCAPTCHAデモンストレーションスクリプトに起因するといい、jQuery
警視庁は2014年11月19日、不正利用目的のプロキシサーバーを設置したとして、東京都豊島区の「SUNテクノ」と東京都台東区の「大光」を捜索し、不正アクセス禁止法違反などの容疑で中国籍の男ら6人を逮捕した。両社は、インターネット接続事業者で使う第三者のユーザーアカウントを不正に入手し、中国内に住むユーザーにプロキシサーバー経由でそのアカウントを使わせていたとされる。悪用されたユーザーアカウントには、ロジテック製無線LANルーターのユーザーが持つアカウントが含まれていたとする一部の報道もある。 プロキシサーバーとは、ユーザーがWebサイトを閲覧する際、ユーザーのパソコンの代わりにWebサイトのコンテンツを収めたWebサーバーと代理で通信するサーバーを指す。企業ネットワークなどでは、ダウンロードしたデータを共有することで通信を高速化したり、不正な通信を検知・遮断してセキュリティを高めたりするた
インターネットバンキングの不正送金事件などで、発信元を隠すためにネットへの接続を中継するプロキシサーバーと呼ばれるサーバーが悪用されるケースが相次いでいることから、警視庁など20の警察本部は、各地のサーバー管理会社が中国の顧客に不正に日本のインターネットに接続させようとしたなどとして、不正アクセス禁止法違反などの疑いで一斉摘発に乗り出しました。 摘発されたのは、全国各地にある「プロキシサーバー」と呼ばれるインターネットへの接続を中継するサーバーの管理会社です。 このうち、東京・豊島区駒込にあるサーバー管理会社「サンテクノ」には警視庁が捜索に入り、32歳の社員ら2人が他人のIDとパスワードを使って、中国の顧客に日本のインターネットに不正に接続させようとしたとして、不正アクセス禁止法違反の疑いで逮捕する方針です。 プロキシサーバーは、発信元が海外でも国内から接続したように装うことができるため、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く