高度なボットトラフィックの検出とブロック | Amazon Web Services
Amazon Web Services ブログ 高度なボットトラフィックの検出とブロック 本稿は Etienne Munnich によるブログ Detect and block advanced bot traffic を翻訳したものです。翻訳はソリューションアーキテクト 森が担当しました。 ボットと呼ばれる自動化されたスクリプトは、モバイルアプリケーション、Web サイトや API に大量のトラフィックを発生させる可能性があります。商品の在庫状況や価格など、ウェブサイトのコンテンツをターゲットにしたボットも存在します。 標的型ボットのトラフィックは、需要の高い在庫へのウェブサイトアクセスをめぐって、正規のユーザートラフィックと競合することでユーザー体験を低下させ、不正取引によるチャージバックでビジネスリスクを高め、インフラコストを増大させる可能性があります。 2021年に AWS は A
「マイナビ転職」への不正ログイン発生に関するお詫びとお願い|株式会社マイナビ
この度、当社が運営する総合転職情報サイト「マイナビ転職」を管理するWEBサーバーに対し、外部からの不正ログイン発生があったことが判明しました。 本件に関して、現時点で判明している概要と対応について、下記の通りご報告いたしますとともに、ユーザー様および関係各位の皆様にご心配、ご迷惑をおかけすることになり、ここに深くお詫び申し上げます。なお、現時点におきまして個人情報の不正流用等の報告は確認されておりません。 被害拡大防止策として、「マイナビ転職」全ユーザー様のパスワードのリセットを行ってまいります。リセットのタイミングに関しましては、以下の詳細をご確認ください。ユーザー様におかれましては、速やかに「マイナビ転職」のパスワードの変更・再設定をお願い申し上げるとともに、当サイトに限らず、他のWEBサービスで「マイナビ転職」のアカウントと同じメールアドレス・ID・パスワードをご使用の場合も、大変お
Microsoft、TLS 1.0/1.1のデフォルト無効化を延期 | スラド セキュリティ
Microsoftは3月31日、同社製WebブラウザーのTLS 1.0/1.1デフォルト無効化を延期すると発表した(Microsoft Edge Blogの記事、 Ghacksの記事、 Neowinの記事、 On MSFTの記事)。 Apple/Google/Microsoft/Mozillaのメジャーブラウザー4社はTLS 1.0/1.1無効化計画を2018年10月に発表しており、Microsoftは2020年上半期にその時点でサポートされているバージョンのMicrosoft EdgeとInternet Explorer 11のデフォルトで無効化する計画を示していた。 しかし、現在の世界を取り巻く状況(COVID-19パンデミック)を考慮して、上半期中にはデフォルト無効にしないことを決めたそうだ。そのため、Chromiumベースの新Microsoft Edgeでは7月にリリース予定のバー
リクナビ 企業に学生へのアンケートを指南 識別情報を入手 | NHKニュース
有力な就職情報サイト「リクナビ」の運営会社が、いわゆる学生の内定辞退率を企業に販売していた問題で、リクナビ側は、学生を個別に識別できる電子情報を入手するため、利用企業に対し、応募した学生にウェブ上の簡単なアンケートに答えてもらうよう指南していたことが新たに分かりました。 学生にアンケートの目的は十分説明されておらず、不適切なサービスの実態が一段と浮き彫りになりました。 関係者によりますと、リクナビ側は個別の学生ごとの閲覧記録を把握するのに必要な情報を得るため、サービスの利用企業に対して、学生がウェブ上で簡単に答えられるアンケートを実施するよう指南していたことが新たに分かりました。 このアンケートで得ようとしたのは、どのページを閲覧したか把握するために欠かせない「クッキー」と呼ばれる電子的な識別情報でしたが、その目的についてリクナビ側や利用企業から学生に対して十分な説明はなかったということで
ドメイン殺しにやられた話。SNS時代の外部URL遷移は超キケン - Crieit
先日、長いこと閉鎖していたサービスを復活させました。 OGP changer https://ogpc.ga/ これは、SNS共有用のURLを発行するサービスです。閉鎖に至ったのには大きな理由がありました。 短縮URLサービスのドメインを殺された きっかけは弊サイトが管理する別の短縮URLサービス「URL Shortener」(lmp.tw)の悪用でした。 URL Shortenerは純粋な短縮URLサービスです。ユーザー数が少ないため、他よりも短いURLを取得できるのがウリでした。 ところが。 短縮URLサービスでテロられたこんなことあるんか — ウラル (@barley_ural) April 12, 2019 まさかの事態に。 何が起きたのか? lmp.twドメインが全てTwitterに弾かれ、一切ツイートできないようになっていました。既にツイートされたリンクを踏むと、全てのページで
ポイント還元をむしり取る「羊毛党」は、IT企業をも倒産させる - 中華IT最新事情
大量のスマートフォンを用意して、大量のポイント還元をむしり取るグレービジネス「羊毛党」が下火にならない。それどころか、IT企業は新規顧客獲得のために、ポイント優遇を大型化しているため、ますます羊毛党が暗躍することになっていると電商馬小雲が報じた。 組織立って行われる「ポイント還元」のむしり取り ネットサービスが始まる時やキャンペーン期間などに、大型のポイント還元が行なわれることはもはや珍しくない。この還元ポイントを一生懸命集める人が出てくるのもごく普通のことになっている。 しかし、中国のポイントを集める人たちはレベルが違う。数千台のスマートフォンを用意して、RPA(ロボティック・プロセス・オートメーション)のようなスクリプトを書き、一晩で数万元から数十万元の利益を上げる。組織立って行われているグレービジネスなのだ。 ▲ある羊毛党のアジト。大量の中古携帯を並べて、PCからスクリプトで自動操作
GPKIとは 社会の人気・最新記事を集めました - はてな
GPKIの提供するルート証明書のうち、Japanese Goverment発行のApplicationCAのルート証明書については既にMozillaのNSS証明書ストアに取り込まれているが、ApplicationCA2のルート証明書に関しては2017年までNSS証明書ストアに取り込まれる見込みが無く*1 *2 *3、Firefox等のMozilla製ブラウザにおいて、またLinuxや各種BSDその他のOSにおいては他ブラウザでもデフォルトの状態では証明書エラーが発生する状態になっている*4。 これについて2015年6月現在、ApplicationCA2のルート証明書をブラウザに取り込むにはhttp://www.gpki.go.jp/apca2/index.htmlの「アプリケーション認証局2(Root)の自己署名証明書」から手動で取り込む必要がある状況になっている*5。
GlobalSign 失効騒ぎ - どさにっき
■ GlobalSign 失効騒ぎ _ 先週 GlobalSign がやらかした障害について 詳細な報告書が出てた。一読してだいたい理解できたけど、字ばっかで図がないのでやっぱりわかりづらい。わかりやすくしてみる。 _ 障害発生前の状態。 +----------+ +--------+ +----------+ | Root(R1) |-----| 中間CA |------| EE証明書 | +----------+ +--------+ +----------+ | +----------+ +---------+ | Root(R2) |-----|crossroot| +----------+ +---------+ EE(エンドエンティティ)証明書ってのはサーバ証明書とかクライアント証明書とかコード署名証明書とか、要するに一般ユーザが買う証明書のこと。通常は EE - 中間 CA
SSL and TLS Deployment Best Practices
Version 1.6-draft (15 January 2020) SSL/TLS is a deceptively simple technology. It is easy to deploy, and it just works--except when it does not. The main problem is that encryption is not often easy to deploy correctly. To ensure that TLS provides the necessary security, system administrators and developers must put extra effort into properly configuring their servers and developing their applica
TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
高木浩光さんへ、しっかりしてください - 最速転職研究会
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
GoogleがSafariの設定を迂回してトラッキングしていたとされる件について(2) - 最速転職研究会
http://d.hatena.ne.jp/mala/20120220/1329751480 の続き。書くべきことは大体既に書いてあったので、補足だけ書く。 Googleは制裁金2250万ドルを支払うことでFTCと和解した http://jp.techcrunch.com/archives/20120809google-settles-with-ftc-agrees-to-pay-22-5m-penalty-for-bypassing-safari-privacy-settings/ まさか(まともに調査されれば)こんなことになるとは思わなかったので驚いた。異常な事態である。そしてGoogle側の主張を掲載しているメディアが殆ど無いのも異常な事態である。 2250万ドルもの制裁金(和解金)が課せられるのは、2009年に書かれたヘルプの記述が原因だという。 問題の記述 http://obam
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
英BBCがTorサイト公開、中国など検閲回避目的で 