3分で分かるAngularJSセキュリティ - teppeis blog
先日のng-mtg#4 AngularJS 勉強会でLTしようと思ったけど申し込みが間に合わなかったのでブログに書きます。 先月リリースされたAngularJS 1.2はセキュリティがんばってる的なことを聞いたので、セキュリティ周りの仕組みを調べてみました。 お題は以下です。 CSRF JSON CSP (Content Security Policy) Escaping CSRF ユニークなトークンをHTTPリクエストに載せてサーバーでチェックする対応が世の中では主流(最近はカスタムヘッダのチェックによる対策も) AngularJSでは、XSRF-TOKEN Cookieにトークンが載っていると、$httpを使ったHTTPリクエストのヘッダに自動的にX-XSRF-TOKENヘッダーが付く。 XSRF-TOKEN CookieはもちろんNot HttpOnlyで。 Angular界ではCS
Apple、Apple IDのセキュリティオプションとして、2段階認証プロセスの提供を開始 | サポート | Mac OTAKARA
※本サイトは、アフィリエイト広告および広告による収益を得て運営しています。購入により売上の一部が本サイトに還元されることがあります。 Appleが、サポート情報「Apple ID: Frequently asked questions about two-step verification for Apple ID」を公開しています。 Apple IDのセキュリティオプション機能として、2段階認証プロセス「Two-step verification for Apple ID.」が利用可能になっています。 現在、利用出来るのは、アメリカ、イギリス、オーストラリア、アイルランド、ニュージーランドで、それ以外の国へも順次追加されるそうです。 設定すると、新しいiOSデバイスで、iTunes、App Store、iBookstoreからコンテンツ購入する場合、Apple IDに設定したパスワードと
TechCrunch | Startup and Technology News
When Alex Ewing was a kid growing up in Purcell, Oklahoma, he knew how close he was to home based on which billboards he could see out the car window.…
私物スマホBYODで企業が経費削減「75%削減も可能」〈AERA〉 (dot.) - Yahoo!ニュース
NTTコミュニケーションズ営業担当課長の倉益洋一さん(44)は毎朝、起きると枕元のスマートフォン(スマホ)を手にとり、会社からのメールやその日のスケジュールをチェックする。通勤や営業訪問先へ向かう途中の電車内でも頻繁に操作し、業務の確認をする。 実はこのスマホ、会社から貸与されたものではなく、1年半前に買った私物だ。通信会社なのにケータイが自腹なんて……と思えば、さにあらず。 「以前使っていた会社支給の携帯電話は、小さな画面でテキストを見るしかなかった。自前のものを仕事に使えるようになる日を待っていました」 倉益さんがそう言って歓迎する新制度は「BYOD」と呼ばれる。“Bring Your Own Device”の略で、私物のスマホやタブレット端末などを仕事にも使う、という意味だ。このBYOD、IT関係者の間で注目の的である。本誌は1月、「スマホ活用で社員を生かす全社員支給時代」とい
Facebookのメッセージは送信者を自由に偽装して送れることが判明
これちょっとマズいんじゃないかなあ。 Kampa! の人である佐田さんが見つけて教えてくれたんだけど、 Facebook のメッセージは割と簡単に他人になりすまして送れるみたい。 以下、すべて送信者と受信者の自発的な協力を得て試してみた結果です。 起きること Facebook ではユーザーに @facebook.com のメールアドレスが与えられています。 個人ページが www.facebook.com/namaewo の人なら namaewo@facebook.com という具合に。 そのアドレス宛にメールを送ると、 アドレスの所有者に Facebook 上のメッセージとして届きますね。 この時、そのメールの送信元メールアドレスが 別の Facebook ユーザーによって登録されているアドレスであった場合 Facebook では、そのユーザーから送られたメッセージとして扱われます。 電子
なぜJSONPだとクロスドメイン制約を超えられるのか? - 射撃しつつ前転 改
なぜ通常のXMLHttpRequestにはクロスドメイン制約があるのに、JSONPではクロスドメインでリクエストを送信できるのか?不思議に感じたので、ちょっと調べてみた。 クロスドメイン制約は「ブラウザ上で実行されるJavaScriptは同じドメインにしかリクエストの送信やクッキーの編集を行えない」という制限である。 なぜこのような制限が必要になるのか。クロスドメイン制約がなかったらどうなるかを思考実験してみよう。ブラウザ上では、いくつものサイトからダウンロードしてきたJavaScriptが同時に実行されることは珍しくない。また、悪意のあるページにアクセスしてしまい、悪意あるJavaScriptを実行してしまうことも、十分に起こり得る話である。間違えて変なページにアクセスしたら致命的な問題が起きました、ではまずいので、ブラウザではJavaScriptができる事にかなりの制限を与えている。X
Anonymousの攻撃? 裁判所サイトが一時ダウン 霞ヶ浦河川事務所サイトには“犯行声明”
Anonymousが日本政府に“宣戦布告”した問題で、26日夜には裁判所サイトが一時ダウンし、国交省・霞ヶ浦河川事務所のサイトにはAnonymousによる“犯行声明”が掲載された。 ハッカー集団「Anonymous」が違法ダウンロードに刑事罰を科す改正著作権法に抗議して日本政府に“宣戦布告”した問題で、裁判所サイト(www.courts.go.jp)が6月26日夜、一時ダウンした。また国土交通省・霞ヶ浦河川事務所のサイト(www.kasumi.ktr.mlit.go.jp)にはAnonymousの主張による“犯行声明”が掲載されたが、現在はアクセスできない。また自民党サイト(www.jimin.jp)も一時アクセスしにくい状態になった。 裁判所サイトのダウンとAnonymousの関連は不明だが、“公式”Twitterアカウント「@op_japan」は裁判所サイトのダウンと同事務所サイトのク
/ WSJ日本版 - jp.WSJ.com - Wsj.com
サイデルが手がけるNYやロンドンの個性派ホテル 新世代の個性派ホテルとして注目されているサイデル・グループ。同グループが運営する都市型のホテルはビジネス客のすべてのニーズに応じることがコンセプト。その充実度は自給自足の島に例えられるほどだ。ニューヨーク、ワシントン、ロンドンにある各ホテルを紹介。
JSOCに飛び込んできた不審なメール――これが標的型攻撃の実態だ
川口、官房長官就任 皆さんこんにちは、川口です。先月からセキュリティ監視センターJSOC(Japan Security Operation Center)のセキュリティアナリストのリーダーの座を後進に譲り、JSOCの官房長官として、JSOCセンター長を補佐するお仕事に就くことになりました。 今回は、そんな私が対応することになった標的型メール攻撃の顛末(てんまつ)を取り上げます。厳密にいうと今回届いたメールは、JSOCにとっては、脅威となり得る「標的型」ではありません。しかし受け取る組織によっては十分標的型メール攻撃となり得る内容ですので、紹介したいと思います。 ある日JSOCに届いた1通の標的型メール 5月のある日、JSOCで仕事をしていたところ、1人のセキュリティアナリストが話しかけてきました。 「サポート窓口に変なメールが来ているぞ。ヤバイと思うので見てほしい」 すぐに確認したところ、
【Twitter実験】つぶやきだけで個人を特定できるのか? | オモコロ
こんにちは、セブ山です。 みなさんはTwitterでどんなつぶやきをしていますか? おそらく、今日の予定をつぶやいたり、ランチの写真をアップしたり、あなたの「今」を仲の良い友達に向けてつぶやいていることでしょう。 しかし、本当にそのツイートはあなたの友達だけが見ているのでしょうか? もし、知らない誰かにあなたのつぶやきを覗かれていたとしたら…? つぶやいた内容を手掛かりに個人を特定されてしまうかもしれませんよ!? 今回は、そんな個人情報垂れ流し社会に警鐘を鳴らす実験をおこないます!! ■ルール説明 1.Twitterの検索機能を使って「渋谷なう」とつぶやいているアカウントを探します。 2.「渋谷なう」の検索結果をもとに、さらに詳細な個人情報を垂れ流しているアカウントを割り出します。 3.そのアカウントのつぶやきをこっそり監視して、個人を特定し、実際に捕まえるためにハンター(セブ山)が渋谷の
Siriが、iPhoneの持ち主の個人情報を教えてくれる件
今朝から日本語対応した素敵なSiriですが、素の状態で、こんな罠があるようです。 Siriを立ち上げて「私は誰?」「自分の家」などと聞くと、 と、apple idに登録されている、「名前」「住所」「電話番号」「メールアドレス」と、「Mac登録時に撮影した自分の顔写真」が表示されてしまう素敵仕様がデフォルト状態のようです。 「自分の電話番号」と聞くと電話番号が出るのですが、律儀にiPhoneの番号ではなくau携帯の方の電話番号が出ました。親切です・・・って携帯番号登録してたんだ。。。 多分、一番の問題はiPhoneがロック状態でも、ホームボタン長押しでSiriは起動しますので、落とした時にロックしてるつもりでも一番大事な情報は筒抜けです。 これの対処法は「設定→一般→パスコードロックで、SiriをOFF」だそうです。 そんなの知るかって感じですね。 また、ロックされてなくても、本来アップルI
グーグルのオープンソース責任者、モバイル用ウイルス対策ソフト業者を非難
UPDATE Googleでオープンソースソフトウェアの取り組みの責任者を務める人物が、Googleの「Android」OSなどを対象とした携帯端末用アンチウイルスソフトウェアの販売企業を「いかさまなペテン師」と呼び、激しく非難した。 GoogleのオープンソースプログラムマネージャーChris DiBona氏は、オープンソースソフトウェアのセキュリティに関する報道を手厳しく批判している。オープンソースソフトウェアは、Androidだけでなく、 Appleの「iOS」にも使用されている。同氏は、Android、iOS、およびResearch in Motionの「BlackBerry」OSにはアンチウイルスソフトウェアは必要ないと主張した。 DiBona氏はGoogle+で、「ウイルス企業はユーザーの不安をかき立てて、Android、RIM、iOS用のくだらない保護ソフトウェアを売ろうとし
メールアドレスしか分からない相手のPCを遠隔支配できる「FinFly WEB」
by dustywrath 相手のPCのことがメールアドレスぐらいしかわからないという状態なのにリモート監視したいという時に威力を発揮するのが「FinFly WEB」です。このソフトはウェブベースで幅広く待ち構えることで、ありとあらゆる隙から侵入するチャンスを探し、機会があればリモート監視ソフトを送り込んできます。 これは政府・警察・軍隊・情報機関向けにいろいろな人々を監視・盗聴するシステムを販売している企業を検索できるWikileaksの新プロジェクト「The Spy Files」にて列挙されている企業の一つである「Gamma」社の製品で、実際のプレゼンテーション用のPDFファイルとムービーが公開されています。 The Spy Files - Remote Monitoring & Infection Solutions: FINFLY WEB http://wikileaks.org/
「カレログ」をMcAfeeがスパイウェア認定 「信頼できない人とデバイスを共有しないで」
スマートフォンにインストールすることで「カレシの行動まるわかり」をうたったAndroidアプリ「カレログ」について、McAfeeがスパイウェアと認定し、同社のウイルス対策ソフトに対応させた。 McAfeeは同アプリを「Android/Logkare.A」という名前で識別。「ターゲットのデバイスの通話記録、インストールされているアプリケーションのリスト、GPS位置情報、バッテリー残量を監視するスパイウェア」と認定し、「Android/Logkare.Aは正規のソフトウェアですが、ユーザーが知らぬ間に、明確な合意を得ないまま、個人情報を第三者に転送できる機能が組み込まれています」と説明している。 「故意に携帯電話にインストールしない限り、Android/Logkare.Aに感染することはない」ため、「いつも言われていることですが、絶対に見知らぬ/信頼できない人とデバイスを共有しないでください」
個人持ちスマホの業務利用はもはや避けられない?
今、企業のIT部門を悩ませている大きな問題がある。スマートフォンなどの社員の個人持ちデバイスの業務利用を認めるかどうかという問題だ。コンプライアンスを重視するこれまでのIT部門の常識からすると“禁じ手”とも言える手段だが、ここに来て無視できないほどの動きになろうとしている。 一つのきっかけは東日本大震災だ。震災直後に在宅勤務を余儀なくされた企業は多いが、事業を継続するために個人持ちのデバイスからの業務の解禁に踏み切った企業もある。例えばSAPジャパンは、自社の端末管理ツール(MDM)「Afaria」を用いて、個人持ちのスマートフォンやタブレットから業務を進められる環境を整えた。 社員が、個人持ちの携帯電話をスマートフォンに切り替えるケースが増えている点もその背景にある。そうなると多くの場合で会社支給のケータイよりも個人持ちの端末のほうが高機能になる。だったら、高機能な個人持ちの端末で業務を
ソニーに何が起きたのか――ハッカーとの暗闘の末に史上最大規模の個人情報流出
シリコンバレー在住。著書に『行動主義: レム・コールハース ドキュメント』『にほんの建築家: 伊東豊雄観察記』(共にTOTO出版)。7月に『なぜシリコンバレーではゴミを分別しないのか?世界一IQが高い町の「壁なし」思考習慣』(プレジデント)を刊行。 ビジネスモデルの破壊者たち シュンペーターの創造的破壊を地で行く世界の革新企業の最新動向と未来戦略を、シリコンバレー在住のジャーナリストがつぶさに分析します。 バックナンバー一覧 ソニーが、ネットワークビジネス史上最大最悪規模に発展する恐れがある個人情報流出事件で窮地に立たされている。 同社の人気ゲーム機「プレイステーション3(PS3)」向けのオンライン・サービス(PSN)と、動画・楽曲配信サービスの「キュリオシティ」のシステムにハッカーの不正侵入による重大なセキュリティ侵害があったと判明したのは、4月後半。ソニーは5月1日になって記者会見を開
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google、「Gmailが届くまで」の図解と動画を公開
Modern Syntax
Welcome to nginx!
TechCrunch | Startup and Technology News