簡単かつ高セキュリティなパスワードを設定するなら、特殊文字がオススメ | ライフハッカー・ジャパン
これまで複雑なiPhoneパスワードを作る必要性について記事をお届けしてきましたが、もっとも簡単なのはiPhoneの特殊文字を使う方法です。iPhoneのパスワードに絵文字を使うことはできませんが、iOSは「E」、「Y」、「U」、「I」、「O」、「A」、「S」、「L」、「Z」、「C」、「N」の上にあるアクセント記号付き文字に対応しています。これらの特殊文字を使うことで、余分な文字を打ち込むことなく、iPhoneのパスワードを複雑にすることができます。特殊なアクセント記号を表示するには、指でキーを数秒間押し続けてください。 「I」や「O」など、たった1つの文字を使うだけで、5文字のパスワードを作ることもできます。特殊文字を使えば、パスワードが5文字でも特定されにくく、憶えるのは簡単です。 一部のパスワードだけ特殊文字に変えるだけでもセキュリティ強化になるはずです。セキュリティが心配だけど、複
Internet Explorerは世界一安全なブラウザらしい
グローバル ナレッジ ネットワーク株式会社で、Windows ServerなどのIT技術者向けトレーニングを担当。Windows Serverのすべてのバージョンを経験。趣味は写真(猫とライブ)。 ●マイクロソフトのセキュリティに対する取り組み姿勢 連休中のIT業界トップニュースは、Intenet Explorer(IE)のぜい弱性についてだろう。 2003年以前のマイクロソフト製品は、正直言ってセキュリティに問題が見られるケースが多々あった。そのため、特に2001年から2003年頃は大規模な攻撃を受けた。主なセキュリティ攻撃だけでも以下のようなものがある。 2001年7月「CODE RED」...Webサーバー機能「IIS(Internet Information Services)」に含まれるインデックスサーバーのぜい弱性を利用した攻撃。攻撃の1ヶ月前に修正プログラムが配布されているが
「アンチウイルスソフトは死んだ」とノートンで有名なシマンテック幹部が告白、半分以上の攻撃を検知できず - GIGAZINE
By FutUndBeidl PCを危険な攻撃や不正な侵入から保護することを目的とした「ノートンセキュリティソフト」などのセキュリティソフトを販売するSymantecの幹部が「アンチウイルスソフトはもう死んだ」と語り、今後のセキュリティのあり方について語りました。 Symantec Develops New Attack on Cyberhacking - WSJ.com http://online.wsj.com/news/articles/SB10001424052702303417104579542140235850578 Antivirus software is dead, says security expert at Symantec | Technology | theguardian.com http://www.theguardian.com/technology/20
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
例えば、Strutsを避ける
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
JavaのJDK/JRE/Server JREの使い分け - ろば電子が詰まつてゐる
先日、OracleのWebページからJDKとJREをダウンロードしようとしたら、「Server JRE」というのが用意されていることに気がついた。 このServer JREとは、いったい何じゃらほい? というのが今回のテーマ。なお基本的にLinuxサーバ環境で考えます(Windows, Solarisは無視)。 JDKとJRE はじめに、複雑怪奇なJavaパッケージについて少し解説しておく。「Javaをインストール」という場合には、開発キットであるJDKとランタイムであるJRE、どちらをインストールするかが問題になる。しかしこの日記を読んでいるような人ならばJava開発者であろうから、JDKを入れてしまえばほぼ間違いなく問題は解決する。 なぜなら、JDKはJREを内包しているので、JDKをインストールすれば自動的にJREも入るからである。というわけで開発者なら、何も考えずにJDKを入れてし
WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について
■Heartbleedのリスクと善後策 Heartbleedは、攻撃者が一定の条件を満たすOpenSSLが動作しているサーバの、任意位置のメモリを外部から読み出すことができてしまうという脆弱性です。具体的には、以下のようなリスクが想定されています。 秘密鍵の漏洩による、偽サイトの出現(あるいは中間者攻撃) 秘密鍵の漏洩により、(過去のものを含む)パケットキャプチャの解読 サーバの同一プロセスが行った処理に関連する(他のユーザーのパスワードやセッションキーを含む)データの漏洩 漏洩した秘密鍵を用いた攻撃には、ユーザーを偽サイトへ誘導できたり、パケットの経由点を管理しているなどの、経路上の要件が必要になります。他のユーザーのデータの漏洩については、経路上の要件は不要な一方、攻撃の実施に近いタイミングでサーバにアクセスしたユーザーのデータしか漏れない、という違いがあります。 どこまで対策を施すべ
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
dependency-check – About
OWASP dependency-check is an open source solution to the OWASP Top 10 2021 entry: A06:2021 – Vulnerable and Outdated Components. Dependency-check can currently be used to scan software to identify the use of known vulnerable components. For a full list of supported languages/technologies please see the File Type Analyzer page). Note that some of the analyzers are experimental and may produce more
CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
GitHub に登録した SSH 公開鍵は全世界に公開されている | 774::Blog
意外と知らない人がいるようなのでブログに書いておきます。 GitHub のアドレスのあとに .keys を付けるとその人の SSH 公開鍵が表示される。 たとえば id774 さんの公開鍵であれば https://github.com/id774.keys を参照すれば良い。 ぜひ自分のアカウントで試してみて欲しい。 新規に用意するサーバーの ~/.ssh/authorized_keys に上記アドレスを wget したものを置いて適切なパーミッションを設定しておけばすぐに公開鍵認証ができるというわけである。 もうそろそろ公開鍵をメールで送ってくれとかいう文化が滅亡して GitHub から勝手に公開鍵を持っていくのが常識な世界になってほしい。
スノーデン事件の裏で起きていたSSL秘密鍵を巡る戦い:Geekなぺーじ
今月7日から9日にアリゾナ州で開催されたNANOG 59で、Ladar Levison氏がFBIにサービス全体のSSL秘密鍵を要求された話が公開されていました。 Ladar Levison氏が運営していた、Lavabitという電子メールサービスはスノーデン事件に関連して突如8月8日に閉鎖されています。 閉鎖時には詳細が書かれておらず、様々な憶測が語られていましたが、世界中から多数のネットワークエンジニアが集まるNANOGで、その一部始終が語られました。 この発表は、NANOG 59が開始される前の週に、裁判所が調査対象の氏名以外を機密解除したことによって実現しています。 インターネット上で提供されているサービス事業者にSSL秘密鍵を提出させ、かつ、その事実の公表が違法行為となるようにされてしまっている一方で、こういった内容を公的に語れるように裁判所で戦って、実際にそれを勝ち取るというのは凄
文字コードに起因する脆弱性とその対策(増補版)
2. Copyright © 2010 HASH Consulting Corp. 2 本日お話しする内容 • 文字コード超入門 • 文字コードの扱いに起因する脆弱性デモ6+1連発 • 文字コードの扱いに関する原則 • 現実的な設計・開発指針 • まとめ 3. 前提とする内容 • 文字コードに起因する脆弱性とは – 正しいセキュリティ対策をしているかに見えるコードにおいて、 文字コードの取り扱いが原因で生じる脆弱性 • 以下の脆弱性に関する一般的な知識は既知のものとします – SQLインジェクション脆弱性 – クロスサイト・スクリプティング(XSS)脆弱性 – パストラバーサル脆弱性 Copyright © 2010 HASH Consulting Corp. 3 4. Copyright © 2010 HASH Consulting Corp. 4 徳丸浩の自己紹介 • 経歴 – 198
文字コードに起因する脆弱性とその対策
4. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • その他 – 1990年にPascalコンパイラをCabezonを開発、オープンソースで公開 「大学時代のPascal演習がCabezonでした」という方にお目にかかること
AVG、Mac用ウイルス対策ソフトβテスト版を無償配布開始 | パソコン | マイコミジャーナル
「AVG LinkScanner for Mac」(ベータ版/英語版) AVG Technologiesは、同社初となるMac OS X用ウイルス対策ソフト「AVG LinkScanner for Mac」ベータ版(英語版のみ)の無償配布を一般ユーザーに向け開始した。βテスト用サイトにて配布している。なお、正式版の日本国内の提供はコージェンメディアの予定。 ベータ版ダウンロードに際してはアカウント登録が必要。β版のインストールおよび利用方法、日本語環境対応に関するユーザーサポートは行っていない点に注意してほしい。 AVG LinkScanner for Mac は、Mac OS X用ブラウザ(Safari 3.x 以上、Firefox 3.x)にて、インターネット閲覧時における感染の危険からコンピュータを保護する機能を提供するセキュリティ対策ソフト。閲覧しようとするWebサイトの安全性をク
無名でも知っておくべきアンチウイルスツール10選--LinuxやMac用のツールもご紹介
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ウイルスは消えては現れる。その一部は単にイライラさせられるだけだが、一部は悪意をもって作られたコードで、マシンの乗っ取りや、データを盗むことを目的としている。幸運なことに、この問題に対処するのを助けてくれるツールは数多く出回っている。それらのツールのいくつかは、Symantec、McAfee、Nortonなどのよく知られているものだ。しかし、その何分の1かの費用、何分の1かのCPU使用量で役に立ってくれるツールも存在する。 この記事では、それらの知名度が低いアンチウイルスツールをいくつか紹介する。読み終わった頃には、マシンを潰そうとするコードから身を守るための、より多くのツールを道具箱に備えられるようになるだろう。 1.BitDefen
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews
暗号化した通信はtcpdumpでどう見えるか
IDEA * IDEA