GitHub - sekey/sekey: Use Touch ID / Secure Enclave for SSH Authentication!You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
ホンダの内部ネットワーク情報を格納したElasticsearchが公開されていた件についてまとめてみた - piyolog
2019年7月31日、本田技研工業の従業員のメールアドレスや内部ネットワーク、PCに関連するElasticsearchデータベースが露出していたとして、対応の顛末が発見者により公開されました。この問題は本田のセキュリティチームに伝えられ、問題は解消されているとのことです。ここでは関連する情報をまとめます。 問題の発見者 Justin氏の報告 Honda Motor Company leaks database with 134 million rows of employee computer data https://t.co/IN9IESN0Ae— Justin (@xxdesmus) 2019年7月31日 Justin氏はクラウドフレア社 Trust & Safety担当のディレクター。 何が問題であったか 本田技研工業の従業員の名前やメールアドレス、連絡先の情報、同社内部の端末やネ
Exchange Security Report | ICORating
Overview Today more than 200 crypto-exchanges offer their services and this number is constantly growing. The fall or hacking of the one exchange will not lead to a drop in the market. Still, nobody is fully protected from the loss of their crypto assets. This report covers most pressing issues of 100 selected crypto-exchanges. Report date
徳丸浩の日記: ECサイトからクレジットカード情報を盗み出す新たな手口
エグゼクティブサマリ 聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩した。リリースによると、漏洩に使われた手口は従来とは異なるもので、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであった。 はじめに 今年の9月4日に聖教新聞社の通販サイトSOKAオンラインストアからクレジットカード情報漏洩の可能性がリリースされました。以下は聖教新聞社から運営委託されているトランスコスモス株式会社のリリースです。 「SOKAオンラインストア」の件 このたび、弊社が聖教新聞社様より運営を委託されている「SOKAオンラインストア」において、クレジットカード情報を入力して商品をご注文いただいた一部のお客さまのクレジットカード情報が、第三者によって不正に取得された可能性があることが発覚い たしました。 http
仮想通貨交換所セキュリティの考え方-パブリックドラフト
暗号資産カストディアンのセキュリティ対策についての考え方(案) Cryptoassets Governance Task Force[1] 2019年1月15日 本ドキュメントはIETFにおいて、インターネットドラフトとして標準化提案されます。 本ドキュメントに対するすべてのコメントはIETF知的財産権ポリシー(NOTE WELL)に同意したものとみなされます。 Be aware that all contributions to our work fall under the "NOTE WELL" terms therein. 本書の目的 4 1. 本書のスコープ 5 2 参照規格 6 3 用語 6 4 略語集 8 5 暗号資産カストディシステムの基本事項 8 5.1 本章について 8 5
どうして JWT をセッションに使っちゃうわけ? - co3k.org
備考 2018/09/21 22:15 追記 2018/09/20 12:10 に公開した「どうして JWT をセッションに使っちゃうわけ?」というタイトルが不適切だとご指摘をいただいています。 その意見はもっともだと思いますので、現在、適切となるようにタイトルを調整しています。 ご迷惑およびお騒がせをして大変申し訳ございません。 本文の表現についても改善の余地は大いにありそうですが、こちらは (すでにご意見を頂戴している関係で、) 主張が変わってしまわないように配慮しつつ慎重に調整させていただくかもしれません。 はあああ〜〜〜〜頼むからこちらも忙しいのでこんなエントリを書かせないでほしい (挨拶)。もしくは僕を暇にしてこういうエントリを書かせるためのプログラマーを募集しています (挨拶)。 JWT (JSON Web Token; RFC 7519) を充分なリスクの見積もりをせずセッシ
ブロックチェーンサービスのセキュリティを考える
参考URL 2P 丸の内で働くブロックチェーンエンジニアのブログ http://www.blockchainengineer.tokyo/ 3P catabira https://catabira.co/ 5P 金融庁「仮想通貨交換業者等の検査・モニタリング 中間とりまとめ」 主なポイント https://www.fsa.go.jp/news/30/virtual_currency/20180810-1.pdf 16,17P ビットコインにおけるトランザクション、その展性と影響(斉藤 賢爾,2014) http://member.wide.ad.jp/tr/wide-tr-ideon-bitcoin-transaction2014-00.pdf 18P BIP141 https://github.com/bitcoin/bips/blob/master/bip-0141.mediawiki
CSS Injection ++ - 既存手法の概観と対策 - Speaker Deck
「第19回ゼロから始めるセキュリティ入門 勉強会」での, CSS Injection の脅威と対策に関する short talk 用に作成した資料です :-) 勉強会ページ: https://weeyble-security.connpass.com/event/98127/ I explain some techniques of CSS Injection by @masatokinugawa, @SecurityMB, and other websec researchers in Japanese. I highly recommend to check the following awesome work by @SecurityMB and @0x6D6172696F. - https://sekurak.pl/wykradanie-danych-w-swietnym-styl
Satoshiが注意深く設定した世界の境界線
2度のインシデントが示す安全なシステムへの理解不足勤勉な国民性を持ち、システムの運用を行わせれば確実に仕事をこなすことで世界的にも知られている日本において、Mt. Gox事件に続く、2回目の取引所における大きなインシデントが発生した。筆者は、以前より、日経IT Proの連載「ブロックチェーンは本当に世界を変えるのか」(大幅加筆をして書籍『ブロックチェーン技術の未解決問題』として出版)において、ブロックチェーンを用いたシステムにおけるセキュリティ確保の難しさを解説し、スタンフォード大学で行われたブロックチェーンのセキュリティに関するトップの会議であるBlockchain Protocol Analysis and Security Engineering 2017 (BPASE 2017)、IEEE Security & Pricvacy on the Blockhcain(IEEE S&B
LessPass
Stateless Password Manager Stop wasting your time synchronizing your encrypted vault. Remember one master password to access your passwords, anywhere, anytime, from any device. No sync needed. How does it work? Compute your password offline LessPass computes a unique password using a site, login, and a master password. You don't need to sync a password vault across every device or to the cloud, be
Haka | Software Defined Security
What is Haka Haka is an open source security oriented language which allows to describe protocols and apply security policies on (live) captured traffic. The scope of Haka language is twofold. First of all, it allows to write security rules in order to filter/alter/drop unwanted packets and log and report malicious activities. Second, Haka features a grammar enabling to specify network protocols a
TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
就職面接でプログラムの解読を求められた! | POSTD
長文ですが、よかったら読んでください。 就職面接でプログラムの解読を求められました。そして、就職が決まりました。 皆さん、こんにちは。新しいブログを開設したので、私は今とても張り切っています。週に何度か記事を投稿するつもりです。 タイトルを見れば大体の話の内容は分かると思いますが、これから書くのは、トルコのアンカラで受けた就職面接の話です。 私が応募した職は「ソフトウェアセキュリティエンジニア」でした。面接中、面接官たちは非常に専門性が低い質問をしてきましたが、分かることもあれば分からないこともありました。 その後、その企業からメールが届き、保護および暗号化されたバイナリファイルが添付されていました(「解読してみろ」ということでしょう)。 帰宅後にファイルをダウンロードすると、ファイルを開くために聞かれたのはパスワードだけでした。面接官が私に課した課題は、そのパスワードを探すことでした。
Rublon Multi-Factor Authentication (MFA) - Secure Remote Access
Secure access to networks, servers and applications Protecting your organization's data via easy-to-use multi-factor authentication. Deploy Rublon organization-wide, enabling MFA for all your cloud apps, VPNs, servers and on-premise apps. Start Free Trial Learn More Achieve ComplianceRublon helps meet regulatory requirements and standards for cybersecurity, such as GDPR, FTC Safeguards Rule, NIS
セキュリティテストプラットフォームMinion最速ガイド
こんにちは。こんばんは。CTOの馬場です。 今回は私が最近超注目している、 OSSのセキュリティテストプラットフォーム minion を紹介します。 たぶん日本最速級Installation Guideだとおもいます。 minionはMozillaで開発しています。 セキュリティツールではなくプラットフォーム だそうです。 Mozilla、セキュリティテスト自動化フレームワーク「Minion」を発表 | SourceForge.JP Magazine http://sourceforge.jp/magazine/13/07/31/145000 mozilla/minion - GitHub https://github.com/mozilla/minion Security/Projects/Minion - MozillaWiki https://wiki.mozilla.org/Sec
Wi-Fi SSID Sniffer in 10 Lines of Python
One of the things I left out when I put out the SecurityTube Wi-Fi Security Megaprimer was the programming aspects of Wi-Fi Security and Hacking. Around a decade back, when I used to work as a programmer and researcher, most of my code for Wi-Fi fuzzers / sniffers / injectors was in C. However, C requires you to do everything from scratch. I may take up an example of a Wi-Fi Sniffer in C as a sepa
高木浩光@自宅の日記 - 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
潜入ルポ:コインベースは仮想通貨を、金庫より強固な「テント」に保管する|WIRED.jp
IPA セキュア・プログラミング講座