「私は既に萎縮している」 セキュリティエンジニア、兵庫県警に情報公開請求 「いたずらURLで摘発」問題で JavaScriptを使った無限ループプログラムのURLを掲示板に書き込んだ3人が摘発された事件。「何がセーフで何がアウトか分からない」とエンジニアの間で困惑が広がる中、あるセキュリティエンジニアが兵庫県警に対して、どういった内容が摘発対象になるか説明を求める情報公開請求を行った。 JavaScriptを使った無限ループプログラムのURLを掲示板に書き込んだ男性2人が、不正指令電磁的記録(ウイルス)供用未遂の疑いで兵庫県警に書類送検され、13歳の女子中学生が補導された事件。いたずらURLを貼っただけで摘発という事態に、「何がセーフで何がアウトか分からない」とエンジニアの間で困惑が広がっている。 セキュリティエンジニアのozumaさんは3月13日、どういった内容が犯罪行為になるか説明した
「Nemucodダウンローダ、Facebookで拡散中」 https://bartblaze.blogspot.jp/2016/11/nemucod-downloader-spreading-via.html Facebook上でSVGファイルが拡張子フィルタの適用外になっていて、クラッカーたちが特殊なものを送り、うっかりクリックした人をマルウェアの餌食にしていたようです。 SVGはベクタ画像フォーマットですが、JavaScriptを入れることができ、しかもブラウザはそれを実行してしまいます。その結果、例えば偽Youtubeサイトにジャンプして、あとはいつもの「この動画を再生するにはプラグインが必要です」が出てきてマルウェアをインストールさせるコースです。 個人レベルでは「プラグインがいる動画は見ない」「ネットで突然出てくる診断ツールは無視」だけで、かなりマルウェア感染率を下げられることで
WebAuthnでパスワードレスなサイトを作る。安全なオンライン認証を導入するFIDOの基本 FIDO(Fast IDentity Online)とは、公開鍵認証方式を応用し、オンライン経由で認証を行う仕組みです。パスワード認証の安全性は限界が指摘されるなか、Webサイトにおいても生体認証などパスワードレスな仕組みを導入する企業が増えており、このFIDOやWebAuthnに注目が集まっています。Capy株式会社で情報セキュリティに関する研究開発や分析などに携わる、松本悦宜さんの解説です。 こんにちは、松本悦宜(@ym405nm)です。 FIDO(ふぁいど)に関しては、昨年(2018年)から多くのメディアや技術ブログで取り上げられ、導入するWebサイトも増えています。 FIDO2プロジェクトにおいて話題になったWebAuthn(Web Authentication API)についても、主なW
どうも、まさとらん(@0310lan)です! 今回は、難しいイメージのあるブロックチェーンについてゼロから実践的なプログラミングまでを無料で学べる学習リソースをまとめてみました。 良質な記事や動画などをまとめたサービスや、インタラクティブな操作に対応したWebアプリまで幅広い学習ができるものを中心に厳選しています。 これからブロックチェーンを勉強する人や、DApp(分散型アプリケーション)開発に挑戦したい人なども含めてぜひ参考にしてみてください! 仮想通貨取引所が提供するブロックチェーン動画講座! 【 Binance Academy 】 日本語で学べるブロックチェーンのオンライン講座! 【 PoL(ポル) 】 ブロックチェーンの最新技術をまとめて学習できるサイト! 【 Blockchain Learning Center 】 世界のあらゆるブロックチェーン関連情報を集約するサービス! 【
In Chrome 70, we've added support for: Desktop Progressive Web Apps on Windows & Linux. The credential management API adds support for Public Key Credentials. And you can now name workers! And there's plenty more! I'm Pete LePage. Let's dive in and see what's new for developers in Chrome 70! Want the full list of changes? Check out the Chromium source repository change list. Desktop Progressive We
1. はじめに 最近わけあってNodeのセキュリティ調査をしているのですが、今年の5月に開催された North Sec 2018 でセキュリティ研究者の Olivier Arteau 氏による 「Prototype pollution attacks in NodeJS applications」という面白い発表を見つけました。 この発表の論文や発表資料、デモ動画などもgithubで公開されていますし、ちょうどタイミングよくセッション動画も最近公開されました。 github.com Olivier Arteau -- Prototype pollution attacks in NodeJS applications この発表で解説されているのは、悪意のある攻撃者が、JavaScript言語固有のプロトタイプチェーンの挙動を利用して、Webサーバを攻撃する方法です。 発表者は、npmからダ
どうも報道規制があるようでよく分からないのだが、少なくとも現行のIntel製CPUに脆弱性があり、カーネルメモリをユーザプロセスやWebページに組み込まれたJavaScriptなど様々なユーザ空間プロセスから読み出せる可能性があるようだ(4chan.org、TechCrunch)。対策としてLinuxカーネルやWindows NT系OSにおいてカーネルメモリ空間へASLRの導入がひっそりと進んでおり、Amazon、Google、Microsoftなどクラウドサービス事業各社は大規模なアップグレードを早いところでは来週にも計画している。 影響される利用形態はVPSにとどまらずデスクトップも含まれるが、対象のハードウェアがIntel Coreシリーズプロセッサやその一部で収まるのか、Core 2 Duoやそれ以前、またVIA Technologiesなど他社へ拡張されるかは不明だ。AMDは自社
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く