7Payの失態で露呈した本当は怖いIDの話|楠 正憲(デジタル庁統括官)
セブンイレブンのQR決済「7Pay」がリリース翌日から大規模な不正アクセスの被害を受け、少なくとも約900人が、計約5500万円の被害を受けた。原因は杜撰なIDの設計にあり、被害者はいずれもIDを乗っ取られて、クレジットカードから不正にチャージされた。 自分の設定したIDとパスワードを入力して、どちらも正しい場合にログインできる仕組みは1960年代前半に発明されて以来、今もインターネット上で最も広く利用されている。GAFAはじめYahoo!や楽天といった大手企業が今も使っていることから、十分に安全と思われがちだ。 ところが実際のところ特にここ数年は非常に激しい攻撃に晒されており、血の滲むような努力と不断の改善によって維持されている。利用者は自分が入力したIDとパスワードしか意識しないけれども、その裏では端末環境の特徴やアクセス元のIPアドレスや位置情報、同時に利用している他の端末など、実に
ダークウェブの片隅で現在起こっていること ――児童ポルノサイト摘発事件とその周辺|kzwmn|note
■"Childs play"とは ダークウェブ上に存在した巨大児童ポルノサイト"Childs Play"が、11ヶ月間に渡ってオーストラリア警察(Task Force Argos)によって運営されていた、という事実がノルウェーのタブロイド紙"Verdens Gang"(以下VG)によって公表されたのは記憶に新しいと思います(記事)。 警察機関が児童ポルノサイトをおとり捜査の名目でハッキングした上で運営を継続させるケースは、例えば2015年にもFBIが児童ポルノサイト"Playpen"を2週間に渡って運営していた等前例があるのですが、今回は運営が11ヶ月間という長期に渡っていたこと、さらにサイトの運営者なき後も警察自らが運営者を装いサイトの維持に努めていたこと、さらにそのために児童ポルノの投稿さえしていたこと、等の事実から火種を撒く要素を大いに含んでいると思われます。 ところで、そもそも今回
HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog
疑惑どころか 99.99% くらい黒な話。 (後記:セッション盗まれたと思ってたけど、よくよく考え直してみると生パスワードごと盗まれてる可能性もあるしやばい) 追記:続報 11月3日 今回指摘した HTTP Headers 以外にも、「Tab Manager」「Give Me CRX」「Live HTTP Headers」等で同様(?)の問題が報告されています。第三者が元の作者からソフトウェア権利を買い取って悪用する、というケースが割とある模様(?)。皆さま情報ありがとうございます。 11月4日 Zaif については、「不正な Chrome 拡張」と「スクリプトから保護されていなかったクッキー」のコンボによりセッションが盗まれていた可能性あり。 Zaif のセッション情報が盗まれた原因のひとつについて。JavaScript からクッキー値を取得させない方法。 - clock-up-blog
プロフェッショナルSSL/TLS
こちらは改訂前の旧版のページです。改題第2版の商品ページをご覧ください Webセキュリティ解説の決定版 "Bulletproof SSL and TLS" の全訳(原書2017年版へのアップグレード済み) Ivan Ristić 著、齋藤孝道 監訳 520ページ B5判 ISBN:978-4-908686-00-9 電子書籍の形式:PDF 2020年7月4日 第1版第5刷 発行(原書2017年版アップグレード対応済み) 本サイトにてユーザ登録のうえ購入いただくと、原著改訂第2版に収録されるTLS 1.3の解説章を付録として含んだ特別版PDFがお読みいただけます 現代生活を支えるネットワークにとって、通信の暗号化は不可欠の機能です。しかし、実際のインターネットで暗号化通信を利用できるようにするには、暗号化アルゴリズムの知識だけでなく、セキュリティプロトコルとその実装技術、さらに、基盤となる信
何でもSSHでやってしまいませんか? | POSTD
私はかつて、 ssh-chat というプログラムを書きました。 ssh http://t.co/E7Ilc0B0BC pic.twitter.com/CqYBR1WYO4 — Andrey ???? Petrov (@shazow) December 13, 2014 アイデアは単純なもので、ターミナルを開いてこのようにタイプするだけのことです。 $ ssh chat.shazow.net たいていの人はこの後に続けてlsコマンドをタイプするのでしょうが、ちょっと待って。よく見てください。そこにあるのはシェルではなく、なんとチャットルームですよ! 詳しいことはわからないけど、何かすごいことが起こっているようですね。 SSHはユーザー名を認識する sshでサーバーに接続するときに、sshクライアントはいくつかの環境変数をサーバーへの入力として渡します。その中のひとつが環境変数$USERです。
暗号通貨ファンド「The DAO」から数十億円分が流出
2016年5月末に、パブリックブロックチェーン「Ethereum(イーサリアム)」上で流通する暗号通貨Ether(イーサ、通貨単位:ETH)を通じて100億円以上の資金を集めた事業投資ファンド「The DAO」が、同年6月17日にコードの脆弱性を突かれ、資金の約3分の1を流出させる騒ぎがあった。 The DAOは、ドイツのスタートアップSlock.itがDAOのコンセプトを実証するために組成した事業ファンドだ。5月28日までにEthereum上で1207万ETH(5月28日時点の相場で約156億円)を調達したが、6月17日から18日にかけて約3分の1に当たる364万ETHが流出した。流出したEtherはThe DAOの子DAO上にプールされて(リンク:流出先の口座)おり、仕様により27日間は動かすことができない。 DAOとは分散型自動化組織(Distributed Autonomous O
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
これまでに書かれた最も洗練されたソフトウェア/コードは何ですか?
危険な国への送信をブロックできるルーター「SAKOKU」が発売