「クレカを止めても不正利用が止まらない」のメカニズム【鈴木淳也のPay Attention】
Gmailが2024年2月から(大量)送信者に求めてることが分からない闇への防衛術(前編) - Qiita
メールの世界にGmailさんが新たな闇を投入 (インターネットの)メール受信・送信は闇あふれる世界だと思うのですが(*1)、そこに 2023年10月7日、新たな闇要素をGmailさんが投げ込んでくれました。(正しくは2023/12月頭現在、闇がモリモリ増えてる。補足①②参照) (*2 最下部キャプチャあり) えーと、「1日あたり 5,000 件を超えるメールを送信する送信者」はこの事項を守ってね……とあります。要件と書いてあり、2024/2/1から実施と急なうえに、項目が SPFとDKIMの設定 逆引き 迷惑メール率 メール形式 Gmail の From: ヘッダーのなりすまし ARC DMARC ダイレクトメールの場合(……なんとかかんとか) 登録解除 と9個もある。 何これ……?と様々な人を戸惑わせています。 インターネットにつながっているそこそこの規模の組織は、1日あたり 5,000
プログラミングの原則:構造化テキストを文字列結合で作らない、置換でいじらない - Uzabase for Engineers
こんにちは、ソーシャル経済メディア「NewsPicks」のむとうです。 先日から『Ghost of Tsushima』の開発者が書いた『ルールズ・オブ・プログラミング』という本をちょっとずつ読み進めていて、プログラミング熱が高まっています。この本は大きな指針を示すだけで具体の話をするものではないのですが、読み物として面白いので私も似たようなことをやってみたくなりました。 何年もこういう仕事をしているとバグが入るパターンというのが見えてきます。そしてだいたいどこに行っても何の仕事でも似たようなことをすることになるのですが、今回の話もその一つです。 構造化テキストを文字列結合で作らない、置換でいじらないというのはこれだけみると何のことか分かりづらいかも知れませんがSaaS Product Team セキュアコーディングの啓蒙 第2回 (SQL インジェクション編)の内容とある面では同じ話です。
大量メール送信のための予備知識 - エムスリーテックブログ
【SREチーム ブログリレー1回目】 お疲れ様です。エンジニアリンググループ、コアSREの山本です。 他の情報伝達手段が現れた今は「メール」は以前よりも比重は落ちたかもしれませんが、まだまだ多くの人に情報を一気に伝えるための重要なツールです。 エムスリーでは自社サーバを利用してメールの大量送信を実施していますが、メール送信を実施するにあたって気にすべき基本的な事項についてシェアさせてください。 大量メール送信に関連する基本的な設定 基本的な設定(SPFと逆引き) DKIM IPの追加削除 バウンスメール処理 金で解決 まとめ We are Hiring! 大量メール送信に関連する基本的な設定 メール送信自体はそれほど難しいものではありません。 エムスリーではpostfixを利用していますが、設定はほとんどオリジナルでもメール送信自体は可能です。せいぜいドメイン名を登録するくらいでもいけます
高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱
(語り手)JILIS副理事長 高木 浩光 (聞き手)JILIS出版部 編集長 小泉 真由子 (撮影)宇壽山 貴久子 この1年、過去の海外文献を調査していたという高木浩光さん。これまでの研究の一部は情報法制レポート創刊号の特集として掲載されましたが、高木さんに言わせると「あれはまだ序の口」とのこと。本日お伺いする内容は近々高木さん自身が論文にされる予定とのことですが、まだ時間がかかりそうということで、急ぎ、インタビューとしてお話しいただくことになりました。なお、このインタビューは大変長くなっております。ぜひ、最後までお付き合いいただければと思いますが、時間のない方は、目次を参照していただき、気になるトピックからお読みください。 —— 今日は、高木さんがどうしても今すぐみなさんに伝えたいことがあるとのことで、インタビューでお話を聞くことになりました。 高木: はい、よろしくお願いします。話はと
20分で分かるDirty Pipe(CVE-2022-0847) - knqyf263's blog
極限まで詳細を省けば何とか20分で雰囲気だけでも伝えられるんじゃないかと思って書きました。書き終えてから見返したら多分無理なので誇大広告となったことを深くお詫び申し上げます。 背景 概要 脆弱性の影響 ページキャッシュやsplice パイプ マージの可否 下準備 攻撃手順 まとめ 背景 先日Dirty PipeというLinuxカーネルの脆弱性が公表されました。 dirtypipe.cm4all.com Linuxのパイプに関する脆弱性なのですが、仕組みは意外とシンプルでぎりぎりブログでも伝わるかもしれないと思ったので自分の理解を書きました。あといつも細かく書きすぎて長くなるので、今回は雰囲気だけでも伝わるようにとにかく説明を簡略化し、ふわっとした概要だけでも理解してもらえるように頑張りました。その結果、若干正確性に欠ける部分があるかもしれませんがお許しください。細かい部分はまた別の記事でま
Linuxカーネルに特権昇格可能な重大な脆弱性が発見される、Android端末にも影響あり
Android端末にも搭載されているLinuxのカーネルに任意のファイルを上書きできる脆弱(ぜいじゃく)性が発見されました。ルート権限が必要なファイルについても上書き可能で特権昇格を行うことができるため、非常に影響の大きいものとなっています。 The Dirty Pipe Vulnerability — The Dirty Pipe Vulnerability documentation https://dirtypipe.cm4all.com/ この脆弱性は「Dirty Pipe(CVE-2022-0847)」と名付けられている通りLinuxで複数のプログラムの通信を担うパイプに起因するものとのこと。Linuxには一度読み込んだファイルをメモリ上にキャッシュとして置いておくことで再度アクセスする際の読み込み速度を高速化する「ページキャッシュ」という仕組みが存在していますが、Dirty P
メタップス、テクノロジーで世界を解き放つはずがクレカ情報最大46万件を世界に解き放ってしまいお詫び : 市況かぶ全力2階建
自社株を担保に借金しているENECHANGE(エネチェンジ)筆頭株主兼社長の城口洋平さん、粉飾決算疑惑による株価下落で追証を喰らい保有株の一部が強制決済される
Public な Git リポジトリでシークレット管理をしつつ GitHub Actions で CI/CD も回す
つくったアプリケーションのソースコードは公開したい、でもシークレットはどうにかして秘匿しないといけない。継続的な運用を目指すならシークレットのデータ自体もなんとかしてリポジトリに(Repository secrets などではなくコミット対象として)含める必要がある。 …という状況を解決するために、gpg だけを使って継続的な運用を図る手段をまとめてみます。フロントエンド/バックエンドなど問わずどこでも使用できます。 Web フロントエンドなどから各種 API キーを利用する場合、リクエスト時の挙動はデベロッパーツールで全て確認できてしまう点には留意してください。 これらは API サーバー側でオリジンの制限をかけるなどの検討が必要です。 やること主な作業内容の要約は gpg を使ってプッシュする前にローカル側で暗号化をする暗号化するときに復号化のための(最強の)パスフレーズを登録するその
パスワードの1文字目に「~(チルダ)」を使って痛い目にあった - Qiita
何を言っているんだと思われるかもしれないですが、気軽にパスワードの1文字目に「~」を使わないほうがいいというお話です。 起こった問題 踏み台サーバー経由でサーバーAに接続して作業をしていた時の話です。 いわゆる多段 ssh 接続というもので、リモートワークになってからは結構使われる方も多いかと思います。 サーバーA上で root 権限になろうと sudo su - してパスワードを入力したら Connection to xxx.xxx.yyy.zzz closed. の文字とともにサーバーAから追い出されてしまいました。 なにかの間違いだろうと何度か挑戦していたのですが、結果はサーバーAから切断され踏み台サーバーに戻る羽目に。。。 そのときに入力していたパスワードが ~.xxxxxxxxxx のような ~ から始まるものでした。 調査 ~ って何か意味があったよなーと思ってどう調べようかと
北朝鮮にハックされて頭にきたセキュリティ研究員がしかえし→北朝鮮全土ネット遮断
北朝鮮にハックされて頭にきたセキュリティ研究員がしかえし→北朝鮮全土ネット遮断2022.02.09 23:00104,443 satomi パジャマでサイバー攻撃。 「国家の主な財源がハッキング」と言われる国なんて、世界広しといえども(経済制裁でまともに貿易できない)北朝鮮ぐらいなわけですが、ここのスパイに猛攻をかけられてウンザリした米国のセキュリティ研究員が、米政府が何もしないことにしびれを切らせて先月ひとりオペレーションで報復、北朝鮮がまるまるインターネットから消え去る変事となりました。 消えていたのは長いときで6時間ほどです。攻撃がミサイル発射テストの前後に集中していたことから、最初はどこかの政府軍のサイバー攻撃かと思われていたのですが、Wiredに名乗りをあげたのは意外にも匿名希望のP4xさん個人。主要なサーバーとルーターに狙いを定めて全自動のDOS攻撃をプログラムし、パジャマのズ
Linuxでルート権限を自由に取得できる脆弱性が発覚、「悪用されるのは時間の問題」と専門家
Linuxに12年前から存在する脆弱性「PwnKit」が新たに明らかになり、主要なLinuxディストリビューションのほとんどに影響が及ぶことがわかりました。エクスプロイトは概念実証の段階ですが、「悪用されるのは時間の問題」とみられています。 PwnKit: Local Privilege Escalation Vulnerability Discovered in polkit’s pkexec (CVE-2021-4034) | Qualys Security Blog https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034 A b
AmazonのAlexaが10歳の女の子に「半差しの電源プラグに硬貨で触れろ」という危険極まりないお題のチャレンジを与えたと発覚
Amazonのスマートスピーカーなどに搭載されているAIのAlexaが、10歳の子どもに死亡事故につながりかねない危険な遊びを提案してしまった事例が報告されています。 Girl, 10, asks Alexa for a challenge and is told to poke metal into power outlet | indy100 https://www.indy100.com/viral/alexa-echo-outlet-challenge-reactions-twitter-b1982848 Amazon Alexa slammed for giving lethal challenge to 10-year-old girl https://www.bleepingcomputer.com/news/technology/amazon-alexa-slammed-f
StackOverflowからのコピペをやめろ。今すぐにだ。 - Qiita
Original article:https://dev.to/dotnetsafer/rip-copy-and-paste-from-stackoverflow-trojan-source-solution-4p8f その昔コピペできない文章というものがありました。 実際は単にフォントを変えているだけというものですが、人間の目に見える文字と実際の文字が異なることを利用した攻撃の一種と見ることもできます。 さて、最近になって似たような攻撃に関する論文が公開されました。 人間には見えない文字を織り交ぜることによって、一見問題ないコードが実は脆弱になってしまうというものです。 ただ論文は堅苦しいうえに長くて読むのがつらいので、具体的に何がどうなのかよくわかりません。 平易に解説している記事があったので紹介してみます。 以下はDotnetsafer( Twitter / GitHub / Web
指紋認証は500円あれば作れる「偽指紋」で簡単に突破できることを示すムービー
PCやスマートフォンの認証方法として指紋認証を利用している人も多いはず。しかし、実は指紋認証は本人不要・指紋で汚れた端末の写真さえあれば、5ドル(約550円)程度で作成した「偽指紋」で簡単に突破できてしまうことが、ムービーで示されています。 Your Fingerprint Can Be Hacked For $5. Here’s How. - Kraken Blog https://blog.kraken.com/post/11905/your-fingerprint-can-be-hacked-for-5-heres-how/ 指紋がいかに簡単に偽造できてしまうのかは、以下のムービーを見るとよくわかります。 Kraken Security Labs Bypasses Biometric Security With $5 In Materials - YouTube PCやスマートフォン
うっかりテスト用のスクリプトで現実に存在する1万台の携帯電話をロックしてしまったエンジニアの経験談
作成したソフトウェアのテストを行うためのコードは、ソフトウェアの動作には関係ないということで品質が軽視されがちなもの。そんなテストのためのコードが原因でとんでもないトラブルを引き起こしてしまったという経験を、エンジニアのシャントヌ・ティワリさんがブログに書いています。 The Day My Script Killed 10,000 Phones in South America https://new.pythonforengineers.com/blog/the-day-i/ ティワリさんが開発していたのは携帯電話会社向けの、盗まれたり支払いが滞ったりしたスマートフォンを遠隔でロックするアプリ。Androidの一部としてインストールされているため、ユーザーが勝手にアンインストールすることはできず、電話機能やWi-Fi機能など低レベルな機能を制御することも可能な権限がありました。 ティワリ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「えきねっと」をかたるフィッシングメールが増加! 件名「【重要】えきねっとアカウントの自動退会処理について」などに注意 自動退会の連絡を装って個人情報やカード情報を詐取
Discordでexeファイルによる乗っ取りが問題になっており「exeファイルを開かない」という人もいるが、拡張子を偽造する手口もあるので注意してほしい
量子計算機でも解読困難の新暗号 東大・NTTが開発 - 日本経済新聞
静かなるハッキング手法「水飲み場型攻撃」が、あなたを狙っている