AWSでのセキュリティ対策全部盛り[初級から中級まで]弊社クラスメソッド株式会社主催のイベント「Developers.IO 2019 TOKYO」での登壇資料です。 セキュリティ対策メガ盛りマックス ブログ: https://dev.classmethod.jp/cloud/aws/developers-io-2019-tokyo-all-security-in-aws/ ハッシュタグ: #cmdevio ブログの方に喋った内容の補足など入れてあります ちなみにブログをシェアしてくれると喜びマックス
![AWSでのセキュリティ対策全部盛り[初級から中級まで]](https://cdn-ak-scissors.b.st-hatena.com/image/square/b014e56d2eedba5a43b5c5f7524c22b8b030d6e1/height=288;version=1;width=512/https%3A%2F%2Ffiles.speakerdeck.com%2Fpresentations%2Faba22209644646ee9ff21ef72d5a439d%2Fslide_0.jpg%3F14040252)
安全なKubernetesクラスタのつくりかた 〜ポリシー編〜 - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、Necoプロジェクトの池添(@zoetro)です。 今回は、安全なKubernetesクラスタを構築するために、我々がどのようなポリシーを適用しているのかを紹介したいと思います。 Kubernetesクラスタのセキュリティ対策 安全なKubernetesクラスタを構築するためには、非常にたくさんの項目について検討しなければなりません。 ざっと挙げてみただけでも以下のような項目があります。(詳細は Kubernetesの公式ガイド を参照) Role-Based Access Control (RBAC) ネットワークアクセスの制御(Network Policy) コンテナの権限(Pod Security Policy) 通信の暗号化 Secretの暗号化 信頼できるコンテナイメージの利用 安全なコンテナランタイムの利用 ユーザー/グループの管理 API ServerのAudit
【極秘入手】7pay開発の内部資料。「セキュリティー不備」は急な開発と“度重なる仕様変更”が一因か
Business Insider Japan編集部「7pay」取材班は、7payの開発スケジュールを取りまとめた内部資料を入手した。 開発現場の関係者の間でやりとりされた資料の最終版に近いもので、2018年末からサービスイン直前までの間が、どのようなスケジュールで動いたのかを示す資料だ。現場をよく知る複数の関係者の証言からは、記者会見で注目が集まった「セキュリティー不備」につながる慌ただしい開発現場の姿が浮かび上がる。 7payの不正利用に関しては、7月3日にアカウント乗っ取りと不正利用が発覚し、続く4日セブン&アイHDが記者会見で被害推定額を「約5500万円」と発表。同日夜に中国籍の男2人が不正利用に関して詐欺未遂の容疑で逮捕された。 セブン&アイHDはセキュリティー対策の甘さへの指摘を受ける形で、5日にはセキュリティー対策強化を目的とした新組織発足と二段階認証導入、1回あたりのチャージ
CORSまとめ - Qiita
今更ですが、CORS (Cross-Origin Resource Sharing)を色々試していたら、思っていた以上に色々パターンがあることに気づいたので、改めてその扱い方についてまとめてみました。 そもそも 現在のWebブラウザでは、あるWebサイトが持つ情報が別の悪意あるWebサイトに悪用されるのを防ぐために、Same-Origin Policy(日本語では同一生成元ポリシー)が適用されます。 例えば、あるWebサイト https://guiltysite.com をブラウザで表示している時に、このWebページからXMLHttpRequest(以下、XHR)やFetch APIで別のWebサイト https://innocentsite.net からHTTP(S)でデータを読み込もうとすると、エラーになる、というわけです。 しかし、アクセス元が悪意あるWebサイトならともかく、データ
「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開
脆弱性は多くの一般的な設定でネットワークを介して悪用できるとされ、特にbashがシステムシェルとして設定されている場合は危険が大きい。 LinuxなどのUNIX系OSで標準的に使われているシェル「bash」に極めて重大な脆弱性が見つかり、9月24日に修正パッチが公開された。攻撃者がbashにコマンドを送って任意のコードを実行できる可能性が指摘されており、米セキュリティ機関のSANS Internet Storm Centerなどはパッチ適用を急ぐよう呼び掛けている。 関係各社のアドバイザリーによると、bashで特定の細工を施した環境変数を処理する方法に脆弱性が存在する。悪用された場合、攻撃者が環境制限をかわしてシェルコマンドを実行できてしまう恐れがあり、特定のサービスやアプリケーションでは、リモートの攻撃者が認証を経ることなく環境変数を提供することも可能になる。 この脆弱性は、多くの一般的
「スペースギャラガ」のパスワードの扱いが残念すぎる - じゅにゃくんのはてブロ。
アーケードゲームの名作「ギャラガ」と絶賛放映中のアニメ「スペースダンディ」のコラボゲーム「スペースギャラガ」がリリースされたそうなのでさっそく試した。 ソーシャル要素があるようなのでゲームを開始する前にアカウント登録をしなきゃならんらしい。 ということでこのように入力。"パスワードを表示"というチェックボックスがあるのでそこをチェックすると、 このように入力したパスワードが見えるようになりました(画像はモザイクかけてるけど実際はパスワード文字列がちゃんと見えてます)。どんなパスワードを入力したのか確認できていい感じ。このあたりは残念さはあまり感じないです。パスワードはちゃんとマスクしているし、入力したパスワードを確認する術も用意されているし。 登録内容を確認できたのでこの情報で登録を進めるます。 「これでよいか?」の画面でアカウント名とパスワードが表示されて、その後の画面でこれらの入力情報
JavaScript ユーザエージェント条件分岐便利スニペット|Web制作 W3G
Updated 2014.04.07 / Published 2011.04.28 下記に記載の内容では、2015年現在新たに登場してきているOSまで対象にするには限界がありますので、Mobileの判定をMobileとTabletにだけフィーチャーさせた2015年版JavaScriptユーザエージェント判別もあわせてご参照ください。 jQuery.supportだけで代表的なブラウザの判別を行うことができなくなってしまったので、UA情報には依存しないブラウザがサポートしている機能でブラウザ判別を行う試みです。ただし、モバイルかどうかの判別をするためにWindows Phoneに限ってはUA情報に依存する必要があります。 判別用コード var _ua = (function(){ return { ltIE6:typeof window.addEventListener == "undefi
SoftEther VPN のソースコードを GPLv2 オープンソース・ライセンスで公開 - SoftEther VPN プロジェクト
2014 年 1 月 4 日 (土) SoftEther VPN プロジェクト 登 大遊 (筑波大学大学院システム情報工学研究科 博士後期課程) SoftEther VPN プロジェクトは、本日、SoftEther VPN のソースコードをオープンソース・ソフトウェア (GPLv2 ライセンス) として公開いたしました。ソースコードは、.tar.gz 形式または.zip 形式でダウンロードできるほか、GitHub のリポジトリ上でも公開されています。ソースコードは Windows、Linux、Mac OS X、FreeBSD および Solaris 上でビルドでき、再配布のためのインストーラも自動生成可能です。 ソースコードのダウンロード SoftEther VPN はオンプレミスまたはクラウドベースの VPN を構築するためのツールとして人気がある、製品レベルの VPN ソフトウェア・ス
管理を無茶振りされたサーバを守り抜け! Hardening One Remix開催
管理を無茶振りされたサーバを守り抜け! Hardening One Remix開催:優勝は会津若松市のITエンジニア集団(1/2 ページ) 2013年7月6日と13日に分け、「守る技術」「運用する技術」を競うセキュリティイベント「Hardening One Remix」が開催された。 「え、これ、めっちゃ古いバージョン入ってない?」「SSHの設定は変えておかないとまずいよねぇ」「さっきやられたから、修正して再起動して、もし次来たときには自動的に再起動するようにしておいたよ」……2013年7月6日と13日に開催されたセキュリティイベント「Hardening One Remix」。6日の競技会場では、参加各チームでこんな緊迫したせりふが飛び交った。 Hardening One Remixは、「守る技術」「運用する技術」を競うセキュリティイベントだ。Web Application Securit
http://blog.iaspectrum.net/2013/06/25/ux_honeycomb/
See related links to what you are looking for.
LinkedInでDNSハイジャックの可能性
昨日LinkedInでアクセス障害があり、DNSハイジャックの可能性を指摘されています。 app.netの共同創設者、Bryan Berg氏はその原因を「DNSハイジャック」によるものではないかと指摘している。Berg氏は、「その間LinkedInにアクセスしたユーザーのトラフィックは、Confluence-Networksがホスティングしていたネットワークに送信されていた」と述べ、しかもサイトではSSLを利用していなかったことから、長い有効期限が設定されていたCookieが平文のまま送信された可能性があるとしている。 LinkedInでアクセス障害、原因はDNSハイジャックとの指摘 - @IT より引用 DNSハイジャックとは DNSハイジャックとは、ドメイン名を管理するネームサーバーを乗っ取られることですが、具体的には以下のような状況が考えられます。以下の例では、モデルとしてドメイン名
【続報あり】NTTドコモがハッキングされ契約者のクレジットカードの情報が漏えい中
とりあえず緊急性が高そうなので、速報です。もし、該当のリストに名前があるようでしたらご注意を。 【15:37追加】 寄せられた情報から、漏えいした情報は実在する顧客に関する情報だと思われます。末尾に情報を追加しているのでご確認ください。 【21:50】 ついにNTTドコモが認めました。 「CYBER WAR NEWS」が日本のNTTドコモがハッキングされ、クレジットカードを含む個人情報が漏洩していることを報じています。 Japanese Mobile Operator NTT DoCoMo Hacked, Credit Card Information Leaked for #StopCISPA 同記事内には、ハッキングを行ったとみられるLulzSecによるツイートが示されており、そのリンク先にはハッキングされたサーバの管理者アカウント、パスワードとともに、名前、クレジットカード等を含む4
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
(緊急)BIND 9.xの致命的な脆弱性(過度のメモリ消費)について(2013年3月27日公開)
--------------------------------------------------------------------- ■(緊急)BIND 9.xの致命的な脆弱性(過度のメモリ消費)について(2013年3月27日公開) - キャッシュ/権威DNSサーバーの双方が対象、即時の対応を強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2013/03/27(Wed) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の問題により、namedに対する外部からの攻撃が可 能となる脆弱性が、開発元のISCから発表されました。本脆弱性により namedが過度のメモリ消費を引き起こし、その結果としてnamedを含む当該サー バーで動作しているプ
【事例】DeNAがBYODをやめた理由
私物のiPhoneやAndroid端末などを業務利用させる「BYOD(Bring Your Own Devices)」。国内企業の一部でもBYOD採用の動きが広がりつつある中、BYOD解禁から一転、原則中止してスマートフォンの会社支給へとかじを切ったのが、ソーシャルゲーム国内大手のディー・エヌ・エー(以下、DeNA)である。 DeNAは、なぜBYODの原則中止に踏み切ったのか。会社支給のスマートフォンには、どういったセキュリティ対策を施しているのか。スマートフォン導入を担当した、同社システム統括本部本部長の茂岩祐樹氏と、経営企画本部の玉木伯岳氏に話を聞いた。 関連記事 【事例】コニカミノルタの私物iPhone/iPad解禁を促したセキュリティ対策 Ford担当者に聞く、私物スマートフォン持ち込み許可時のセキュリティ対策 私物iPhone/Androidの普及が企業にもたらす課題 私物スマー
俺史上最強のiptablesをさらす - Qiita
#!/bin/bash ########################################################### # このスクリプトの特徴 # # 受信・通過については基本的に破棄し、ホワイトリストで許可するものを指定する。 # 送信については基本的に許可する。ただし、サーバが踏み台になり外部のサーバに迷惑をかける可能性があるので、 # 心配な場合は、送信も受信同様に基本破棄・ホワイトリストで許可するように書き換えると良い。 ########################################################### ########################################################### # 用語の統一 # わかりやすさのためルールとコメントの用語を以下に統一する # ACCEPT :
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
カスペルスキー、無償アンチウイルスソフトを全世界リリース - 窓の杜
セキュリティの都市伝説を暴く
Serious NTP security holes have appeared and are being exploited
総務省、スマートフォンの情報取扱指針を公表