TechCrunchThis afternoon, the Biden White House convened a meeting of top executives and government officials to discuss growing calls to institute right to repair on a national level. The virtual meeting came
図解でわかるSpectreとMeltdown
A brief explanation of spectre(variant 1) and Meltdown(variant 3)
RedmineでCSIRTのインシデント管理
リスト型としては リスト と、 キー・バリューリスト の2種類ありますが、リスト型を選択しました。 キー・バリューリストは値にリスト選択肢文字が割り当てられるため、選択肢文字の設定を変更すると既に登録済みのチケットの内容も変更されます。 とても便利な機能ですが、インシデント管理ではそれぞれのチケットは内容を変更せず、記録として残すべき対象と考えられます。 今回はあえてリスト型を採用しています。 設定例:情報源 設定例:事象経過 カスタムフィールド作成画面で対象となるトラッカーとプロジェクトにチェックを入れることで利用可能になります。 表示フィールドのカスタマイズ 画面上に不必要なものが表示されていると操作者は混乱してしまいます。これらを整理します。 まずトラッカーとワークフローで不必要なフィールドを消しましょう。 トラッカー 使用するトラッカーにて標準フィールドの項目から使用しないフィール
今なぜHTTPS化なのか?インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景
今なぜHTTPS化なのか?インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景 WebサイトをHTTPS化する最も大きな理由は、インターネットの信頼性を維持することです。TLS技術の現状や、安全なHTTPS化に何が必要かを、ヤフー株式会社の大津繁樹氏が解説します。 「SEO対策のためには、WebサイトをHTTPS化しないといけない。」 —— そう聞かされて対応を迫られている技術者の方も多いのではないでしょうか? 確かに、Googleは「HTTPSページが優先的にインデックスに登録されるようになります」と表明し、HTTPS化されたWebサイトが同社の検索結果で有利になると示唆しています。はたして、WebサイトのHTTPS化が必要な理由は、SEO対策だけなのでしょうか? そして、それはGoogleという一社だけの意向で推奨されていることなのでしょうか? こうした疑問に答
エンジニアなら脆弱性情報を読めるようになろう | Tech Blog
こんにちは、アドテクスタジオでセキュリティエンジニアをしている岡崎です。 皆様、年末年始はゆっくりできましたでしょうか。私は年始に公開された「Meltdown and Spectre」のお陰で年始早々、情報整理に追われてました。 今回は、先日「Meltdown and Spectre」の脆弱性のこともあり、脆弱性情報の見方と脆弱性情報API活用について、書かせていただきます。 1,脆弱性情報の見方 エンジニアの方であれば、脆弱性情報を確認する中でCVEやCVSSなどを目にすることが多いと思います。それぞれどのような意味を持ち、どのように見るのかを知っておきましょう。 先日あった「Meltdown and Spectre」を例に見ていきましょう。 https://meltdownattack.com/ https://spectreattack.com/ まず、このような脆弱性情報が公開され
第212回 大騒ぎのSpectreとMeltdownの脆弱性をざっくりと解説
2018年の年明けから大騒ぎとなっているSpectreとMeltdownの脆弱(ぜいじゃく)性をざっくりと解説する。プロセッサの何が問題となって脆弱性が起きているのだろうか? 連載目次 2018年正月早々、プロセッサ業界に騒動が起きている。すでにあちらこちらで報道されているのでご存じの方も多いと思うが、Spectre(スペクター)とMeltdown(メルトダウン)と呼ばれるプロセッサの脆弱性の問題である(脆弱性の詳細は、Google Project Zeroの「Reading privileged memory with a side-channel 」参照のこと)。 脆弱性は、以下の3つである。「Variant 1」と「Variant 2」がSpectreと呼ばれるもの、「Variant 3」がMeltdownと呼ばれる脆弱性だ。 Variant 1: bounds check bypa
AWS データセンターのセキュアな設計について | Amazon Web Services
Amazon Web Services ブログ AWS データセンターのセキュアな設計について AWS は AWS のデータセンターのデジタルなツアーを公開しました。AWS が世界中で運用しているデータセンターをいかにセキュアに保護しているのか初めてお客様にご紹介するものです。このデジタルなツアー内のビデオ、写真および情報は、データセンターの設計、グローバルの統制および AWS のカルチャーがセキュリティの本質であることを解説しています。 このツアーにご参加いただくことで、AWS データセンターのセキュリティストラテジーが、お客様の情報を保護するためにスケーラブルな統制と複数の防御レイヤーによって成り立っていることを理解いただけます。例えば、AWS は潜在的な洪水や地震活動のリスクを慎重に統制しています。 AWS は境界防御レイヤー、保安要員、侵入検知システムおよびその他の電子システムを用
Webサービス公開前に対策しておきたいセキュリティ施策まとめ|kentaro
直近で新しいWebサービスのセキュリティ周りを整備する機会があったので、その時に検討した内容をメモしておきます。 このnoteの前提重点的にみたのが認証機構の部分でしたのでそれに寄った内容になります。 また、一般的なセキュリティ対策(XSSやSQLインジェクション)などについて触れていません。そういった内容については2018年の現在でも徳丸先生の本を一読することが近道かと思います。 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 | 徳丸 浩 https://www.amazon.co.jp/dp/4797361190 "なぜ"セキュリティ施策をするのかセキュリティ対策は大切だということはわかっていても、"なぜ"対策をしないといけないかということにパッと答えられる人はそう多くないのではないでしょうか。 総務省が公開しているテキストには、以下のようなこと
商用環境で設定しておきたいセキュリティ関連 HTTP ヘッダまとめ - A Memorandum
TL;DR X-Content-Type-Options X-Frame-Options(XFO) X-XSS-Protection Content-Security-Policy (CSP) Upgrade-Insecure-Requests Strict-Transport-Security (HSTS) Public-Key-Pins (HPKP) 設定 TL;DR X-Content-Type-Options MIME スニッフィングの無効化 X-Frame-Options(XFO) フレーム表示を制限しクリックジャッキングを予防 X-XSS-Protection XSSフィルタの有効/無効 Content-Security-Policy (CSP) XSSなどの攻撃を軽減するセキュリティレイヤー Strict-Transport-Security (HSTS) HTTP の代わり
社内ネットワークで使うための短縮URLサービス作った - 病みつきエンジニアブログ
社内専用環境とかで“性善説”に基いて運用できる、短縮URLを作ってみた。 github.com 詳細は README に書いているが、 シンプルなUI 命名もできるし、ランダムな文字列もいける 既存の短縮URLの上書き(性善説だし :) DynamoDBがバックエンドで安い Dockerベース ちなみに、イントラネットに置けるようにしたかったので、サーバーレスにはしてない。 モチベーション Google社の勉強会とかにいくと、貼ってあるポスターに http://go/hoge みたいなリンクがあって(あるよね?)そういう“社内専用短縮URL”を実現したかった。 また、Slackのトピックには文字数制限があるが、どうしても制限を超える長いURLへのリンクを貼りたかったという事情があった。かといって、ここに貼りたかったリンクは社内専用の URL なので bit.ly とかの短縮 URL サービ
「WPA3」によるWi-Fiのセキュリティ強化実現へ--Wi-Fi Allianceが機能など発表
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます AppleやMicrosoft、Qualcommといった企業らが参加する業界団体であるWi-Fi Allianceは米国時間1月8日、次世代のワイヤレスネットワークセキュリティ規格である「WPA3」について明らかにした。この規格は、携帯電話やノートPC、IoTを含む、今日のワイヤレス機器のほとんどすべてを保護するために組み込まれている、十数年前に制定された「WPA2」というセキュリティプロトコルを置き換えるものだ。 WPA3では、オープンWi-Fiネットワークにおいて共通するセキュリティ問題の解決を目指した点が目玉の1つとなっている。喫茶店や空港で採用されているオープンWi-Fiネットワークは手軽に利用できるものの、暗号化されていない場
ウィンドウズPC、CPUの脆弱性対応で動作速度に影響
ニューヨーク(CNNMoney) 米インテルなど半導体大手のCPU(中央演算処理装置)に脆弱(ぜいじゃく)性が発覚した問題で、米マイクロソフトは9日、この問題への対策がコンピューターの動作速度に及ぼす影響について、詳しく説明した。同社がここまで詳しい情報を公表するのは異例。 マイクロソフトは何カ月も前からこの問題への対応に取り組んでおり、3日に脆弱性の存在が公になった後は、ウィンドウズ向けの更新プログラムを配信して対処していた。 この更新プログラムの影響で、全てのウィンドウズPCの動作速度がある程度、減速する。 同社のブログによると、「ウィンドウズ10」を搭載した製造後1~2年程度のPCであれば、減速は数ミリ秒にとどまり、ユーザーが気付くことはほとんどなさそうだという。 一方、2016年より前に製造されたPCの場合、もっと大幅に減速する。「ウィンドウズ8」「ウィンドウズ7」を搭載したPCで
Linuxが脆弱性「Spectre」「Meltdown」に対応済みか調べる方法
nixCraftは2018年1月8日(米国時間)、「How to check Linux for Spectre and Meltdown vulnerability - nixCraft」において、利用しているLinuxサーバが先般話題になっているプロセッサの脆弱性「Spectre」「Meltdown」の影響を受けるかどうかを判定する方法を紹介した。 紹介されている方法は次のとおり。 診断スクリプトをダウンロードして実行 wget https://raw.githubusercontent.com/speed47/spectre-meltdown-checker/master/spectre-meltdown-checker.sh sudo sh ./spectre-meltdown-checker.sh 脆弱性に対応していない環境のCentOS 7で実行した結果 脆弱性に対応していない
セキュリティ界隈の方々って誰をフォローしてるの? - nanka iroiro
やったこと twitterをはじめてみたはいいものの誰をフォローしてよいか分からなかったので,セキュリティ界隈の方々のフォロー一覧を取得して集計することにより,フォローする方を決めてみました. 対象ユーザ 今回は#ssmjpのメンバーから以下の条件に当てはまる322名の方々を対象としました. ssmjpに2回以上参加している 最終参加日が2015年1月1日以降 twitterと連携している twitterが鍵垢ではない 結果 322名の方がフォローしていたアカウントTop10はこんな感じです.敬称略です. Rank ID Name Count 1 ockeghem 徳丸 浩 214 2 ntsuji 辻 伸弘(nobuhiro tsuji) 194 3 piyokango piyokango 180 4 togakushi no root, nobody 179 5 hasegawayos
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
【2018年版】意外にあるぞ、無料で強力なセキュリティの教科書
ちょっと前ならば、何かを本気で学ぶためには「専門書を買い込み、熟読すべし」というのが当たり前でした。ところが最近は、その筋の専門家が集まって作成した質の高いドキュメントを、公的な機関が無料で配信する事例が増えています。 以前、このコラムで「読んでおくべき無料のセキュリティの教科書」を紹介しました。今回はそれ以降に見つけた、おすすめの「無料セキュリティガイド」3冊を紹介します。 セキュリティのビギナー向けハンドブック 1冊目は、内閣サイバーセキュリティセンターが無料で提供している「ネットワークビギナーのための情報セキュリティハンドブック」。サイバーセキュリティとは何か? という大きなトピックを、さまざまな切り口から分かりやすく紹介する1冊です。 ダウンロードはここから 例えば第1章では「基本のセキュリティ」と題して、「システムを最新にする」「複雑なパスワードと多要素認証を使う」「攻撃されにく
2017年版CSIRT/情報セキュリティ担当者が読んでおいたほうがいい資料・スライド - Qiita
2017年に公開された資料・スライドで、CSIRT/情報セキュリティ担当者が読んでおいたほうがいいのでは?というものを独断と偏見でまとめてみました。 これが足りないじゃないか!という意見がある方はPRください。🙏🙏🙏 Note: この投稿は個人ブログ上の記事のQiitaへのクロスポストです。 技術関連資料 JPCERT/CC: インシデント調査のための攻撃ツール等の実行痕跡調査に関する報告書 (2017/12/05) JPCERT/CC: ログを活用したActive Directoryに対する攻撃の検知と対策 (2017/07/28) FIRST: FIRST Publications 2017 人材・組織関連資料 NCA: CSIRT人材の定義と確保(Ver.1.5) (2017/03/13) CSIRT に求められる役割と実現に必要な人材のスキル、育成についてまとめた資料 補足文
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
仮想通貨を扱うサービスが最低限するべきなセキュリティ対策 - Qiita
TechCrunch
【パソナキャリア】転職エージェントが支援する求人・転職サイト
