入門OpenSSH 新山 祐介 著
「入門OpenSSH」 (新山 祐介 著) は、 2006年6月に秀和システムから刊行されました (2009年末に絶版)。 秀和システム 「入門OpenSSH」のページ ここで公開している原稿は、最終的な版下になる前のものです。 実際に出版された書籍とは異なっている部分があります。 重大な間違い等がありましたら、新山までお知らせください。 () 注意: 本書が刊行された時点での OpenSSH のバージョンは 4.3 でした。 現時点(2011年2月)における OpenSSH のバージョンは 5.8 です。 変更履歴 2010/09/12: 公開。 目次 はじめに 第1章. OpenSSH を導入するにあたって 1.1. OpenSSH とは 1.2. OpenSSH にはできないこと 1.3. OpenSSH ができること 第2章. OpenSSH をインストールする 2.1. 現在イン
『Androidアプリのセキュア設計・セキュアコーディングガイド』【2013年4月1日版】を公開しました。 - JSSEC | 一般社団法人日本スマートフォンセキュリティ協会
2022年8月29日 『Androidアプリのセキュア設計・セキュアコーディングガイド』【2022年8月29日版】を公開しました。 ・『Android アプリのセキュア設計・セキュアコーディングガイド』【2022年8月29日版】 ・「サンプルコード一式」 【2022年8月29日版】 報道関係各位 JSSEC、『Androidアプリのセキュア設計・セキュアコーディングガイド』2022年8月29日版を公開 一般社団法人日本スマートフォンセキュリティ協会 一般社団法人日本スマートフォンセキュリティ協会(JSSEC:会長 佐々木 良一)の技術部会 セキュアコーディングWG(リーダー 宮崎 力)は、2012年6月に公開した『Android アプリのセキュア設計・セキュアコーディングガイド』(以下 本ガイド)の14版目の改定版である2022年8月29日版を公開しました。 ■2022年8月29日版の改訂
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
The Metasploit Project by H.D. Moore
The world’s most used penetration testing framework Knowledge is power, especially when it’s shared. A collaboration between the open source community and Rapid7, Metasploit helps security teams do more than just verify vulnerabilities, manage security assessments, and improve security awareness; it empowers and arms defenders to always stay one step (or two) ahead of the game.
Comodo Firewall @ Wiki
アップデート情報 リリースノート ( excite翻訳 ) COMODO公式フォーラム ( excite翻訳 ) 2010-05-07 主要な総合セキュリティソフトを評価する Proactive Security Challenge が更新された。テスト項目が 更新され ランキングが混乱していたが、CISはなお100%のスコアを維持している。 2010-04-13 COMODO Internet Security 4.0.141842.828がリリースされた。アップデートはCIS4ユーザーに通知される。このリリースには不完全な翻訳と思われる言語が搭載されておらず、それにより日本語も搭載されていない。以前からのアップデートの場合はそのまま日本語表示が利用できる。( 以前の日本語言語ファイル ) 2010-03-25 COMODO Internet Security 4.0.138377.77
EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点 - ockeghem's blog
au/KDDIの技術情報サイトEZfactoryには、2011年秋冬モデル以降にEZwebの仕様変更がある旨表示されています。セキュリティ上の問題の可能性もあるため以下に報告します。 EZfactoryトップページでの告知内容 EZfactoryトップページには、2011年秋冬モデルでの変更を以下のように要約しています。 ※お知らせ※ EZブラウザは、2011年秋冬モデルにて、EZサーバを含め、「機能」及び「ネットワーク環境」の見直しを行ないます。 これによる主な変更点は以下のとおりです。 <主な変更点> ・EZサーバの言語変換機能が削除され、HDMLが非サポートとなる。 ・EZブラウザ、PCサイトビューアーのIPアドレス帯域が統一される。 今後EZブラウザ向けコンテンツを作成する場合は、XHTML Basicを推奨します。 http://www.au.kddi.com/ezfactory
高木浩光@自宅の日記
■ Claude 3による解説:「不適正利用禁止」規定は立案段階で内閣法制局にどう捻じ曲げられたか 昨日の日記「「不適正利用禁止」規定は立案段階で内閣法制局にどう捻じ曲げられたか」だが、おそらく「長すぎて読めない」という声が多そうなので、Claude 3に原稿を読ませて簡単に解説してもらった。これで興味が湧いたら原文を見てほしい。 Claude:はい、この文書の意味はよく理解できます。これは、個人情報保護法の2020年改正(令和2年改正)で新設された「不適正利用禁止」規定(第19条)がどのように立案されたかについて、情報公開請求で開示された内閣法制局審査資料を基に詳細に解説したブログ記事の原稿です。 主な内容は以下の通りです: 当初、個人情報保護委員会事務局は、プロファイリングなどの新技術に対応するため、「適正な利用」義務を新設しようとしていた。 しかし、内閣法制局との審査過程で、規範の明
LastPassがセキュリティ問題の恐れにより、ユーザーにマスターパスワードの変更を通達 | ライフハッカー・ジャパン
LastPassが、データベースの一部に不正なアクセスがあった恐れがあると発表しました。それに伴い、一部ユーザーにマスターパスワードを変更するよう通達しています。 LastPassは公式ブログにて、念には念を入れた対応として、マスターパスワードの変更をユーザーに求めています。ただし、辞書に載っていない単語で作られているような、強力なマスターパスワードを設定しているユーザーに関しては、それほど問題はないとのことです。なお、モバイルデバイスからのマスターパスワードの変更はできません。 現在アクセスの集中によりログインが困難となっていますが、オフラインモードで使用するか『LastPass Pocket』をダウンロードしてローカルファイルにログインすれば、データにはアクセスできます(新規パスワードの登録などは不可)。 これを機に使用しているパスワードの見直しをオススメします。「決定版! パスワード
Hideki SAKAMOTO の雑記 (2010-06-23)
◆ [Rails] 「Ruby on Rails 携帯サイト開発技法」第9章のサンプルコードに含まれる脆弱性について .tright small.(2010/6/25公開)^J2010/6/27: 「追記1」記載、微修正^J2010/6/28: 脚注*5 修正 まとめ ソフトバンククリエイティブ社から発行されている「Ruby on Rails 携帯サイト開発技法」の第9章に掲載されているサンプルコード(ファイル4/4)にはセッションIDの発行・管理に不備があるため、セッションハイジャックが可能です。 解説 この本の第9章には「携帯端末特化型セッション管理」と称していわゆる「かんたんログイン」の実装サンプルが掲載されています。第9章の冒頭部分から、その特長に関する記述を抜粋すると、 Cookieの代わりにリクエストヘッダからの情報を使ってセッション管理を行うという、携帯サイトならではのセッシ
情報セキュリティ入門
コンピュータやネットワークが一般社会に浸透し,情報を扱う利便性は向上してきました。しかし利便性の向上は,同時にセキュリティの低下も招きました。サービスの利便性を享受するには,自分の身は自分で守り,他人には迷惑をかけないようにしていかねばなりません。 この連載コラムでは, ●情報セキュリティに関する知識を増やしたい ●何をすればどうなるのかはわかっているけれど,その舞台裏を知りたい ●情報セキュリティ関連の資格試験を受験するための基礎知識を固めたい という方々を対象に,知っておきたい情報セキュリティの概念,技術,規約などを解説していきます。 忙しい方は,各回の冒頭にある「ポイント」だけを読んでいただければ話の大枠は理解できるようにしました。ポイント部分に目を通して興味がわいてきたり,自分の弱点だと感じたら,そのあとに続く本文もぜひ読んでみて下さい。 毎週水曜日に1本ずつ記事を掲載して行く予定
ssh アクセスの制限する
専用サーバを借りている当初からパラパラと brute force attack を受けていたので、気になっていたので対策を立ててみた。 iptables を使う場合、ipt_recent/ipt_hashlimitの2種類の方法があるらしい(他にもあるかも)。 ipt_recentは CentOS 4 のカーネルに標準に入っているので、こいつを使ってみる。 ただ巷では、ipt_recent はバグ#415(1,2)があったらしく、その不具合の修正が 2.6.18 取り込まれたそうである。 ただ、CAN-2005-2872,CAN-2005-2873 という名前が付いている結構深刻そうな不具合らしいので、現在のサーバ環境にも当てはまるか注意する必要がありそうだ。 で、CentOS 4は 2.6.9 のままでパッチがやたら当たっているので、問題ないのかなぁ? RHELの changelog を
セキュリティアカデメイア
4月の応募数は829件で、当選数は26件です。 当選したものは今月の抽選とは言い切れないので、単純に当選率を計れませんが、あえて計算すると3.1%になります。 3月に続けて高確率を維持しています。3%超ならかなり割がよ ...
己を知り、敵を知る――Nmapで見つめ直す自分の姿 ― @IT
この記事が公開されるころは、年始ということでバタバタとしていることだろう。「長期休暇後」「新年を迎えて」といったように節目となり、心機一転という心境にもなるのではないだろうか。 そんな気持ちもあって今回は、自身が管理しているネットワークに対してポートスキャンを行い、開放しているサービスの確認・把握をいま一度行ってみようと思う。 ※ご注意 オープンポートの確認とはいえ、自身の管理下にないネットワークに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的処置を取られる可能性もあります。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。 また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 敵は外部から――その「外部」って何を差してますか?
NHKとリニアと原発の関係。- セキュリティホール memo
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。 このページの情報を利用される前に、注意書きをお読みください。
不正アクセスを防止する通信技術(SSL)
「盗聴」「改ざん」「なりすまし」 インターネットが我々の生活基盤として浸透するにつれて、多くの人がその安全性を重要視するようになってきた。いわゆる電子商取引(EC)はもちろんのこと、個人間での私的な情報のやりとりにおいても、その重要性は日増しに高まっている。 インターネットの安全性とは何だろうか。それは大きく3つのポイントに絞られる。 通信相手は本人に間違いないか 通信内容が他人に盗み読まれないか 通信中に内容が改ざんされていないか である。これらのポイントが、インターネットの安全性を考える上で重要となる訳は、話を電話にたとえてみると分かりやすい。 次の図1では、左の女性が通信販売会社「AtMark通販」に電話をして、お気に入りの赤ワインを1本、クレジットカードで購入しようとしている。日常的にもよくあるシチュエーションだ。この図の中には、前出の3つの観点から安全性を損なう要素が盛り込んであ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Androidアプリの脆弱性の学習・点検ツール AnCoLe:IPA 独立行政法人 情報処理推進機構
Microsoft Corporation
お知らせ - IWSC 札幌
TIGER TEAM - blanket log
Bugtraq