三井住友銀のソースコード流出、埼玉県は関係なし 県庁所在地が含まれていただけ 県が調査【追記あり】
ソースコード共有サービス「GitHub」で三井住友銀行(SMBC)などに関連するソースコードが無断公開されていた問題で、SMBCのソースコードの中に埼玉県庁の所在地が含まれていたが、県が運用するシステムには関係ないことが2月2日に分かった。 埼玉県は取材に対し「流出したソースコードに、県庁の所在地が含まれていることを確認しており、県庁の住所が入力された形跡がある」と回答。しかし、埼玉県が関連するプログラムなどには一切関係が無く、住民の個人情報保護や、システムのセキュリティへの影響はないという。 埼玉県によると、1日までに埼玉県警から「流出したSMBCのソースコードの中に埼玉県の文言が入っているとの指摘がある」と情報提供があり、調査を進めていた。 【訂正とおわび:2021年2月2日午後9時45分 記事初出時、タイトルを「埼玉県庁のソースコードも流出 三井住友銀、NTTデータ、NECらに続き」
__proto__の除去でNode.jsのプロトタイプ汚染を防げないケース - knqyf263's blog
前提 Node.jsのプロトタイプ汚染について書いているのですが、プロトタイプの説明(prototype と __proto__ の関係とか)を定期的に見直さないと綺麗サッパリ忘れる程度にはNode.js触っていないので、何かおかしいところあればご指摘お願いします。 概要 Node.jsではここ数年プロトタイプ汚染攻撃が流行っています。概要は以下を見れば分かると思います。 jovi0608.hatenablog.com そもそもプロトタイプって何?という人は以下の記事が分かりやすいです。自分はお守りのように定期的に読んでます。 qiita.com 外部から送られてきたJSONなどをパースして変換し、そのオブジェクトをmergeやcloneする際に __proto__ を上書きすることで Object.prototype を汚染するというものです。このオブジェクトが書き換えられると、新しく作
【セキュリティ ニュース】サイトの「問い合わせフォーム」を悪用する攻撃に警戒を(1ページ目 / 全3ページ):Security NEXT
ウェブサイトの閲覧者と円滑にコミュニケーションを取るために設置された「問い合わせフォーム」。こうした便利な機能を逆手にとってスパムを配信する攻撃が確認された。正規メールの配信に支障きたすおそれもあり、類似した攻撃に警戒が必要だ。 既報のとおり、千葉県船橋市の公式サイトで、フィッシングサイトと見られるURLを含んだメールを配信するため、問い合わせフォームの機能が悪用される被害が発生した。サーバ内部への侵入や改ざんなど許したわけではなく、正規に用意された機能の隙を突かれたかたちだ。 ウェブサイトにフォームを設置している場合、投稿後に正しくデータが送信されたか確認できるよう、入力内容の控えをメールで自動的に送信するしくみを導入しているケースがあるが、こうした「自動返信機能」が悪用されたものだ。
【書評】ゼロトラストネットワーク | DevelopersIO
オペレーション部 江口です。 以前から気になっていた「ゼロトラストネットワーク」の翻訳版がオライリーから発売されました。 https://www.oreilly.co.jp/books/9784873118888/ 早速読んでみたのでレビューしてみたいと思います。 書籍の概要 最近新しいセキュリティの考え方として注目されている「ゼロトラストネットワーク」について取りあげた書籍です。 ゼロトラストネットワークの概念、どのように構成するか、認証をどうするべきかなどを解説し、またGoogleやPagerDutyでの実際のシステムの事例などを紹介しています。 目次 1章 ゼロトラストの基礎 2章 信頼と信用の管理 3章 ネットワークエージェント 4章 認可の判断 5章 デバイスの信頼と信用 6章 ユーザーの信頼と信用 7章 アプリケーションの信頼と信用 8章 トラフィックの信頼と信用 9章 ゼロト
趣味で作ったソフトウェアが海外企業に買われるまでの話 - knqyf263's blog
今回はソフトウェアエンジニアじゃない人や学生にも、ソフトウェアエンジニアという職業には夢があるかもしれないと思ってもらうために書いています。そのため既に詳しい方からすると回りくどい説明も多いと思いますがご容赦下さい。 基本的に記事とかには技術的なことしか書かないスタンスでやってきましたが、今回の件はさすがに誰かに伝えておくべきだろうということで長々と垂れ流しました。 概要 GW中に趣味で開発したソフトウェアを無料で公開したところAqua Securityという海外企業(アメリカとイスラエルが本社)から買収の申し出を受け、最終的に譲渡したという話です。さらに譲渡するだけでなく、Aqua Securityの社員として雇われて自分のソフトウェア開発を続けることになっています。つまり趣味でやっていたことを仕事として続けるということになります。 少なくとも自分の知る限り一個人で開発していたソフトウェ
安全な文字列であると型で検証する Trusted Types について | blog.jxck.io
Intro 脆弱性の原因となる DOM 操作の代表例として elem.innerHTML や location.href などが既に知られている。 こうした操作対象(sink) に対して、文字列ベースの代入処理を行う際に、一律して検証をかけることができれば、脆弱性の発見や防止に役立つだろう。 そこで処理前の文字列に対し、処理後の文字列を安全であるとして明示的に型付ける TrustedTypes という提案がされている。 まだ未解決の部分が多い提案だが、現時点での仕様と実装を元に、このアイデアについて解説する。 WICG/trusted-types Intent to Experiment: Trusted Types Sink XSS などの原因となる DOM 操作として、 DOM に直接文字列を展開する処理がある。 element.innerHTML location.href scri
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Naked Security – Sophos News
Angular
今さら聞けないSPAのCORS対策の話