「whndows. com」ドメインを取得して「windows. com」へのトラフィックを盗み見る手法
Chrome向け拡張機能「The Great Suspender」がマルウェア化しているという指摘
非アクティブ状態のタブを一時停止してくれる拡張機能「The Great Suspender」が、新たな所有者のもとで不審な更新が行われたということが指摘されており、ソフトウェア開発者のデビッド・フォスター氏が対策を示しています。 I no longer trust The Great Suspender | DaFoster https://dafoster.net/articles/2021/01/20/i-no-longer-trust-the-great-suspender/ I no longer trust The Great Suspender | Hacker News https://news.ycombinator.com/item?id=25846504 [Open Source Development] The Great Suspender Saga, or, “I
日立がPPAP全面禁止へ、「秘文」の添付ファイル自動暗号化ツールも既に販売終了
日立製作所が2021年度から電子メールへの暗号化ファイルの添付を社内で禁止することが明らかになった。子会社の日立ソリューションズが「秘文」ブランドで販売していたメールの添付ファイルを自動で暗号化するツールも、2017年に販売を終了していた。同様の動きは他の大手ITベンダーでも進んでいる。 暗号化ファイルをメールに添付して送付した後に、別のメールでパスワードを送付する手順、いわゆる「PPAP」については、平井卓也デジタル改革担当大臣が2020年11月に、内閣府と内閣官房でこれを廃止すると発表したことから、脱PPAPがここに来て盛り上がっている。 社内ルールを改定しPPAPを禁止 日本のITベンダーは自らが社内でPPAPを行うだけでなく、PPAPの手順を自動化するツールを顧客に販売するなど、これまでは強力な「PPAP推進派」だった。しかしPPAPがメール誤送信対策として不十分であるだけでなく、
Let's Encrypt に重大なバグが発覚。該当サイトは2020/3/4 までに対応が必須 - Qiita
Let's Encrypt にバグが発見されました。利用ドメイン全体の 2.6% のサイトに影響があるとの事です 有効な証明書の 2.6% に影響があるとの事です。影響があるサイトは 2020/3/4 までに対応が必要です。すでに期限は過ぎています。該当サイトには個別にメールが届きますが、メールが届かない場合もあるとの事なので注意して下さい。 この記事では問題の概要と該当するかどうかの確認方法、および対応方法について記載しています。 記事の修正を行いました(2020/3/6 追記) この記事は筆者の予想をはるかに超えて多くの方に読んで頂きました。ありがとうございます。改めて読み返してみると不完全な部分も多かったため、以下の修正を行いました。 2.6% の意味が不正確だったので修正 バグの概要と、その影響について以下の項に追記 問題の概要 どんな影響があるのか? 確認方法の詳細、補足説明、注
nanacoカードを落としてセンターに連絡したら「すぐには止められない」と回答→オートチャージが悪用されるも補償なし
Miyahan @miyahancom nanacoカードを落とした…。 慌ててコールセンターにかけたけど「すぐには止められないよ。完全に止まるのは明日になるよ」とのこと。 まじかよ… さすがにクレカからのオートチャージはオンライン処理だし即時停止だと思いたい。チャージ分は最悪やむ無しか。
「世界最悪のログイン処理コード」を解説してみた
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 概要 ところでこのツイートを見てほしい。このソースコードをどう思う? 世界最悪のログイン処理コード。 実際のサービスで可動していたものだとか……https://t.co/C2bG93ZCkj pic.twitter.com/EfVNAEslrn — はっしー@海外プログラマ🇳🇿元社畜 (@hassy_nz) 2018年8月10日 すごく……セキュリティーホールです…… 一応は動いていますが、あまりに問題がありすぎるため、Twitterでも話題になっていました。 問題点は片手に入り切らないぐらいある気がしますが、一つづつ解説していきま
常時SSL化のする為の資料 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? Googleの「常時SSL」の推奨とか、Let'sEncryptの発足とか、 常時httpsページ化に対する波が来ているので、 提案する為の材料とか、メリットデメリットとか、対応方法とかまとめてみた。 常時SSLとは 常時SSLとはウェブサイトの全てのページをHTTPS化するセキュリティ手法。多くの大手サイトの対応が増えている(FacebookやTwitter、YouTube、Netflix等)。 httpsに対応していれば、そのサイトが偽物の場合は警告がでるし、通信が暗号化される。 参考サイト 常時SSL 「HTTP」前提が崩れる――
メモリのビット反転エラーとセキュリティの話|Rui Ueyama
ハードウェアのエラーでメモリの内容が化けてしまうことが稀にある。大抵のDRAMエラーはせいぜいプログラムがクラッシュする結果になるだけだが、データ破壊になることもありえるし、悪意のある使い方をすればセキュリティ破りに使うこともできてしまう。ここではメモリエラーとセキュリティの話をしようと思う。 メモリのエラー率は意外なほど高い。データセンターで大規模なマシン群を対象に実際に観測したところ、1年間に1回以上のエラーが発生したDIMMモジュールは全体の8%にのぼったそうだ。DIMM 1枚に数百億個のメモリセルが実装されているといっても、このエラー率はちょっとびっくりするくらい大きな数字ではないだろうか? サーバでは普通はエラー訂正付きのDIMMを使うので1ビットのエラーは問題にならないが、エラー訂正のないコンシューマ機器ではこれは実際的な問題になりえる。 メモリエラーを利用したセキュリティ破り
Grant🛩🇺🇦プロペラおじさん(最終回の人 on Twitter: "心せよ、諸君 航空機マニアにかかれば、機番が無くとも行き先の特定はできるのだ。 特定が怖い稼業の人は機内から外を撮らぬ事。 載せるにしても着陸降機の後、写真加工アプリ等で日付時刻を偽装する事。 或いは人の多い羽田行きの便に限定す… https://t.co/2bGY8nAzZW"
心せよ、諸君 航空機マニアにかかれば、機番が無くとも行き先の特定はできるのだ。 特定が怖い稼業の人は機内から外を撮らぬ事。 載せるにしても着陸降機の後、写真加工アプリ等で日付時刻を偽装する事。 或いは人の多い羽田行きの便に限定す… https://t.co/2bGY8nAzZW
test.comやaaa.comをテストデータに使うのはやめましょうという話 – 打つか投げるか
2018/02/13追記:「サンプル用のドメインを使おう」の説明に “.example” と “.test” の使い分けについて追記しました。 Web システム開発時のテストデータを作成する時、また各種ドキュメントを書いている時など、サンプルの URL を使う場面は多いと思いますが、その時に適当なドメイン名を使うのはやめましょう、という話です。 知っている方には当たり前レベルの話ですが、意外と IT 企業のシステム開発現場等でも普通に見かけることがまだまだありますので・・・。 よく見かける例 例えば、こんなドメインの URL で開発中システムのテストデータを作っていたり、仕様書に説明が書かれていたりする場面をよく見かけませんか? test.com aaa.com abc.com sample.com dummy.com hoge.com でも、これらのドメインって存在していて、また実際に利
偽名で運用 !? Azureデータセンターの「トリビア」を集めてみた
世界140カ国以上の地域に100以上配置されているマイクロソフトのデータセンター(DC)。ここで、Microsoft Azureのほか、Office 365、OneDrive、Bingなど同社のクラウドサービスが運用されている。今回は、思わず誰かに話したくなる「Azureデータセンターのトリビア」を集めてみた。教えてくれるのは、マイクロソフトテクノロジーセンター センター長の澤円さんだ(聞き手、アスキー羽野三千世)。 AzureのDCは・・・「知られざる謎の組織」が運用している 澤さん:AzureのDCは“知られざる謎の組織”によって構築、運用されています。この組織は「MCIO(Microsoft Cloud Infrastructure and Operations)」という名称で確かにマイクロソフト社内に存在しているのですが、MCIOに誰が所属しているのかは、社員にも知らされていません
弊社役員のGyazoアカウントおよびTwitterアカウントへの不正アクセスに関するお詫びとご報告 - Gyazo Blog
平素よりGyazoならびにScrapboxをご利用いただきありがとうございます。この度、弊社CTO増井俊之(以下当人)のTwitterアカウントとGyazoアカウントが不正利用されているとのご指摘をユーザーのみなさまよりいただき、事実関係を調査いたしましたところ、不正利用の事実が判明いたしました。 アクセスログ等の確認ならびに当人への聞き取り調査により、当人がGyazoアカウントに他のWebサービスと同じパスワードを設定しており、このパスワードが漏れたために第三者に不正利用されたものと確認しております(いわゆるパスワードの使い回し)。また、当人がGyazoアカウントにTwitterアカウントのIDとパスワードを含むスクリーンショットを保存しており、その画像を元にTwitterアカウントも不正利用されたことが、アクセスログ等の確認ならびに当人への聞き取り調査により判明しました。現在、当人にパ
【暫定対応済み】日産レンタカー、メールアドレスと氏名と電話番号があれば全個人情報にアクセスできる事が発覚! - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 レンタカーの予約ならいつも笑顔の日産レンタカー 何の変哲もない日産のレンタカーのページ ところが、パスワードを忘れたときのページにアクセスすると…。 ログインID(メアド) と 氏名(カナ)と電話番号を聞いてくるのです これを入れると、メールアドレスにパスワード送ってくれるんだとふつう思うじゃないですか? パスワード生で表示!! なんと、メアドと電話番号と名前の読み方だけわかっていたらパスワードがゲットできてしまうのです。 そして、このパスワードでアクセスすると? ▂▅▇█▓▒
大規模災害時における公衆無線LANの無料開放について | 無線LANビジネス推進連絡会【WiBiz(ワイビズ)】無線LANビジネス推進連絡会【WiBiz(ワイビズ)】
「00000JAPAN」ガイドラインの最新情報はこちらをご覧下さい。
IIJ SmartKey|スライド認証・ワンタイムパスワード管理
IDとパスワードによる認証だけではなく、IIJ SmartKeyで認証することで、両方の認証が成功した場合にログインできます。 万が一、パスワードが流出してしまっても、あなたのスマートフォンを持っていない限り、第三者はログインすることができません。 利用するWebサイトごとにワンタイムパスワードトークンを持つ必要はありません。あなたのスマートフォンがすべてのWebサイトのたった1つの “鍵” になります。 第三者があなたのスマートフォンを操作しようとしても、Touch IDやパスコードによるアプリロックを設定しておけば、IIJ SmartKeyを起動できません。 意図しない誤操作や不正操作を防ぐ、安心機能です。 スマートフォンを機種変更するときに、サービスの登録をやりなおす作業は面倒です。 IIJ SmartKeyなら、設定をQRコードでエクスポートできるので、それを新機種からスキャンする
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
三井住友カード、最大5%還元・裏にも番号がない「ナンバーレスカード」
Japan's cyber-security minister has 'never used a computer'
破った紙の画像、割り符に データ共有を想定 連絡先の交換要らず - 日本経済新聞
https://jp.techcrunch.com/2016/07/26/20160725nist-declares-the-age-of-sms-based-2-factor-authentication-over/
Twitter、つぶやける文字数が1文字減る仕様変更、t.coリンク全HTTPS化による「s」のため 
