タグ

ブックマーク / gigazine.net (13)

  • 「0.0.0.0」へのアクセスを悪用してローカル環境に侵入できる脆弱性「0.0.0.0 Day」が発見される

    Chrome、FireFox、Safariといった主要ブラウザにおけるIPアドレス「0.0.0.0」の扱い方に問題があり、問題を悪用することで攻撃者が攻撃対象のローカル環境にアクセスできることが明らかになりました。問題を発見したセキュリティ企業のOligo Securityは、この脆弱(ぜいじゃく)性を「0.0.0.0 Day」と名付けて注意喚起しています。 0.0.0.0 Day: Exploiting Localhost APIs From the Browser | Oligo Security https://www.oligo.security/blog/0-0-0-0-day-exploiting-localhost-apis-from-the-browser Oligo Securityによると、主要なブラウザでは「『0.0.0.0』へのアクセスを『localhost (12

    「0.0.0.0」へのアクセスを悪用してローカル環境に侵入できる脆弱性「0.0.0.0 Day」が発見される
    k-holy
    k-holy 2024/08/09
    "0.0.0.0 とモード「no-cors」を併用することで、攻撃者がパブリック ドメインを使用してlocalhost で実行されているサービスを攻撃し、さらには任意のコード実行 (RCE) を単一の HTTP リクエストで実行できる"とのこと
  • OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を

    OpenSSLに重大度「CRITICAL(致命的)」の脆弱(ぜいじゃく)性が発見されました。脆弱性への対応は迅速に行われており、日時間の2022年11月1日22時~2022年11月2日4時の間に修正版の「OpenSSL 3.0.7」が公開予定です。OpenSSLに重大度「CRITICAL」の脆弱性が発見されたのは、2014年に報告されて世界中を騒がせた「Heartbleed」に続いて史上2回目。修正版のリリース後には、速やかにアップデートを適用する必要があります。【2022年11月2日追記】その後の分析の結果、OpenSSL 3.0.7で修正された脆弱性の重大度は「HIGH(CRITICALの1段階下)」に修正されました。 Forthcoming OpenSSL Releases https://mta.openssl.org/pipermail/openssl-announce/202

    OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を
    k-holy
    k-holy 2022/11/02
    自分が触っている環境では、最近構築したばかりのRHEL 9 ベースのAlmaLinux 9が該当。(OpenSSH_8.7p1, OpenSSL 3.0.1)まあ影響ある人は少なそうだけど、「テスト版」ではないのでは?
  • Googleが開発中の「FLoC」はなぜ「有害」なのか、ユーザーとウェブサイトに発生する損害とは?

    プライバシー保護の観点からサードパーティーCookieが規制される中で、GoogleChromeでサードパーティーCookieを廃止して新しい広告の仕組みを構築しようとしています。しかし、新しい仕組みとしてテスト中の「FLoC」は「最悪なもの」と酷評されるだけではなく、すでに独占禁止法違反の疑いで調査されています。FLoCがなぜユーザーやウェブサイトやブラウザにとって有害なのか、ブラウザ開発企業のBraveが解説しています。 Why Brave Disables FLoC | Brave Browser https://brave.com/why-brave-disables-floc/ GoogleCookieにかわるターゲティング広告の仕組みを「プライバシーサンドボックス」という提案の中で議論しており、この提案の1つがFLoCと呼ばれるAPIです。FLoCは「Federated L

    Googleが開発中の「FLoC」はなぜ「有害」なのか、ユーザーとウェブサイトに発生する損害とは?
    k-holy
    k-holy 2021/04/14
    "何がデリケートかどうかは個々人によって異なりますが、Googleがその単一の決定者となるような「プライバシー保護システム」は、基本的にプライバシーを保護しない"
  • 人気チャットアプリが実は政府の監視ツールだったことが判明、スパイツールとしては「天才的」と専門家

    by stokkete Google PlayやApp Storeから配信されていた世界的チャットアプリ「ToTok」が、実はアラブ首長国連邦(UAE)の政府によるスパイツールだったとニューヨーク・タイムズが報じています。ToTokは現地の駐在員が母国の家族と連絡を取るのに利用していたとのことですが、アプリをインストールすると、政府がユーザーの位置情報を認識できるようになるほか、アドレス帳や写真データを自由に閲覧できるようになっていました。 It Seemed Like a Popular Chat App. It’s Secretly a Spy Tool. - The New York Times https://www.nytimes.com/2019/12/22/us/politics/totok-app-uae.html Objective-See's Blog https://

    人気チャットアプリが実は政府の監視ツールだったことが判明、スパイツールとしては「天才的」と専門家
    k-holy
    k-holy 2019/12/25
    トークアプリどころかスマートフォン自体持ってない自分、ガラケー男などと蔑まれようとも、常に勝ち組だ。
  • AmazonのCEOジェフ・ベゾスも愛する「静かな会議」はなぜ効率的なのか?

    by rawpixel.com 多くの人は会議の場において沈黙が流れることをよしとせず、実際に対面した場で活発に話し合う会議を理想と考えています。ところが、Amazonのような有名企業の中には「静かな会議」を採用し、現実世界で集まろうとバーチャルの場で会議を開こうと、言葉を発さずに会議を進行しているところもあるそうです。 Why silent meetings at work are effective and inclusive — Quartz at Work https://qz.com/work/1422191/why-silent-meetings-at-work-are-effective-and-inclusive/ AmazonCEOであるジェフ・ベゾス氏は、無言の会議を採用し始めた人物の一人です。ベゾス氏がAmazonの上級役員を集めて開いた会議では、話し始める前に誰も

    AmazonのCEOジェフ・ベゾスも愛する「静かな会議」はなぜ効率的なのか?
    k-holy
    k-holy 2018/10/26
    個々人が携わっている業務の時間を削ってまで事前準備をするのは無駄だし、資料読めば分かるレベルの質疑応答のために参加者全員の時間を使うのも無駄って話では。あと、当事者意識を高める効果もありそう。
  • Togetterでまとめられた人を一括でブロックできる 「ブロッカー軍団マシーンブラスター」

    Twitterをやっていると時に攻撃的な発言をする人に傷つけられることがありますが、あらかじめ関わりあいたくない人を先読みしてブラックリストに登録していくという、佐藤広央さんが開発したネットサービスが「ブロッカー軍団マシーンブラスター」です。目的とするTogetterまとめのURLを入力するだけでURLページにまとめられている人・コメントしている人をリスト化でき、一括でブロックしたり、選択してブロックすることが可能になっています。 ブロッカー軍団マシーンブラスター http://block.lab.lowreal.net/ サービスを利用するにはまず、トップページにある「Twitterでサインインして始める」をクリック。 Twitter IDとパスワードを入力して、「連携アプリを認証」をクリックします。 以下のようなページが現れるので、テキスト欄に目的のTogetterのURLを入力して「

    Togetterでまとめられた人を一括でブロックできる 「ブロッカー軍団マシーンブラスター」
    k-holy
    k-holy 2016/04/27
    ネーミング
  • Gmail・Facebook・Dropboxなどに不正アクセスされそうになったら通知してくれる無料アプリ「LogDog」

    Gmailには普段アクセスしない海外からのアクセスなど、不正アクセスが疑われる場合に警告メールを送ってくれる機能があります。このような不正なアクセスが疑われる場合に通知してくれる機能を、Gmail(Googleアカウント)だけでなく、FacebookやDropboxやEvernoteのアカウントでも実現して不正アクセスがないかを監視できるアプリが「LogDog」です。 LogDog - Anti Hacking Protection https://getlogdog.com/ Google Playからアプリ「LogDog」を検索して、「インストール」をタップ。 「同意する」をタップ。 「開く」をタップしてLogDogを起動させます。 これがLogDogのトップ画面。まずは不正アクセスされていないか監視するアカウントを追加します。右上の「+」をタップ。 記事作成時点で監視できるのはGoo

    Gmail・Facebook・Dropboxなどに不正アクセスされそうになったら通知してくれる無料アプリ「LogDog」
    k-holy
    k-holy 2014/12/08
    よくこんなの使う気になるな。素直に固いパスワード設定しとくのが一番でしょ
  • 開発者が女性差別的なプレゼンを行いTwitterで炎上し会社が謝罪

    By Tom Magliery テクノロジー産業の中にはまだまだ男女格差が存在するようで、Atlassian(アトラシアン)のソフトウェアデベロッパーであるJonathan Doklovic氏は、同社がドイツのベルリンで開催した開発者会議内でプレゼンを行った際に、女性差別的な発言を行いこれがTwitter上で大炎上、最終的にはAtlassianが謝罪するにまで至りました。 Gender Gap In Tech Horror - Business Insider http://www.businessinsider.com/atlassian-atlas-conference-gender-gap-tech-horror-2014-6 Women 'Complain A Lot, Interrupt,' Developer Says At Conference : All Tech Cons

    開発者が女性差別的なプレゼンを行いTwitterで炎上し会社が謝罪
    k-holy
    k-holy 2014/06/06
    貴方のガールフレンドに失礼じゃないかって怒るのならともかく、なんでこれが女性差別になるのやら
  • タブブラウザ「Sleipnir」の「フェンリル」の知られざるオフィス写真集&1人の個人から100人を超える企業に成長するまでの物語

    よくあるような「スタートアップ」や「起業」が最初はみんなに注目されるもののそのあとは鳴かず飛ばずの状態が続き、いつの間にか消えてしまうのが大半なのに対して、たったひとりの個人で開発を始め、さらに法人化、ほとんどの会社が10年以内につぶれてしまう中で少しずつ着実に成長を続け、ついに10周年を迎えようとしているのが、国産のブラウザとしては最も大きいシェアを誇っている「Sleipnir」の開発元である「フェンリル」です。成長する中でぶつかっていくさまざま艱難辛苦を乗り越えてきたからこそ、ここまでの年月を持ちこたえ、さらに成長し続けているからには、今に至るまでにはきっといろいろなものがあるに違いないはず!ということで、秘密のベールに包まれていた「フェンリル」の社内を撮影することに成功、それだけでなくいろいろなこれまで知られることのなかった話を関係者にインタビューすることにも成功しました。 デザイン

    タブブラウザ「Sleipnir」の「フェンリル」の知られざるオフィス写真集&1人の個人から100人を超える企業に成長するまでの物語
    k-holy
    k-holy 2014/03/25
  • 超危険なパスワードをセキュリティ的に安全なパスワードに変える作成方法

    By Ron Bennetts ウェブメールサービスやSNS、ネットバンキングなどの増加により、パスワードを設定する機会が多くなっていますが、同じパスワードを複数のサイトに登録する人は多いようで、マカフィーの発表によると、全ネットーユーザーのうち74%が同じパスワードを複数のウェブサイトで使用しており、また、よく使われているパスワードは「password」「123456」「12345678」でハッカーにとってかなりクラックしやすくなっているとのこと。マカフィーはインターネットユーザーに対し注意喚起の意味をこめて、クラックされにくいパスワードの設定方法を公開しました。 Are you Hackable or Uncrackable? “Password Day” is Today! | Blog Central http://blogs.mcafee.com/consumer/passwor

    超危険なパスワードをセキュリティ的に安全なパスワードに変える作成方法
    k-holy
    k-holy 2013/05/09
    2は明らかにミスリードでしょこれ。パスワードはマルチバイト255文字まで許容するくらいが標準になればいいなあ。長ければ長いほど自分だけが覚えやすく機械的に破れにくいものにできるんだし。
  • 高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに

    「高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」」というエントリーによってTポイントツールバーは「騙す気満々の誘導」であると指摘、その2日後にTポイントツールバーのダウンロードが一旦停止されたり、ほかにも「ダウンロード刑罰化で夢の選り取り見取り検挙が可能に」「ローソンと付き合うには友達を捨てる覚悟が必要」「武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て」「やはり欠陥だった武雄市の個人情報保護条例」というように、次々とセキュリティに関して絶大な影響を与え続けてきた独立行政法人産業技術総合研究所の高木浩光(通称:ひろみちゅ)氏によるCEDEC2012の講演が、非常に秀逸な内容となっており、ゲームに限らず、スマートフォンまでも含めてそもそも「個人情報」とは一体何か?ということから、個人情報の現在の扱い、プライバシーに関して今後あるべき方向に至るまで、縦横

    高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに
  • 若い人の方が恐ろしく簡単なパスワードを使う傾向がある

    By binaryCoco 若い人の方がITリテラシーが高くてパスワード管理もしっかりしていそうなイメージがありますが、実際は年長者の方が難しいパスワードを設定しており、若い人は驚くほど簡単なパスワードを使っているという傾向があることが、Yahoo!で使用されている7000万件のパスワード調査からわかりました。 Young people pick terrible passwords compared to their elders - Neowin ネット上に置いている重要情報を攻撃者から守ってくれるほぼ唯一のものが「パスワード」です。しかし、Eメールや銀行口座のパスワードであっても、多くの人が単純なパスワードを使用しています。よく使われるパスワードトップ500によると1位が「123456」、2位が「password」、3位が「12345678」、4位が「1234」で、そのほかにもほとん

    若い人の方が恐ろしく簡単なパスワードを使う傾向がある
  • これが5年間の技術的失敗と成功の歴史、GREEの成功を支えた技術者たちの闘いが今明かされる

    「2007年からソーシャルゲームを提供してきたGREEにおける、技術的な側面での失敗と成功の実例を通じて、そのノウハウや必要な技術について解説します。合わせて、それらの経験に基づくGREEから提供していくフレームワークであるGREE Technology Stackについてもご紹介します」ということで、CEDEC2011にて講演された「GREEソーシャルゲーム5年間の技術的失敗と成功の歴史 ~GREE Technology Stackのご紹介~」はかなり濃い内容となっており、グリーの開発部 取締役 執行役員CTO 開発部長である藤真樹氏と、同じくグリーの開発部 インフラ統括部 アプリ基盤チーム リーダーの梶原大輔氏による話が次々と展開されていきました。 注目度も非常に高く、人だらけ。 今回はこの講演を発表の場にいる感覚で読んでもらえるように、当日の発表資料と合わせてまとめてみました

    これが5年間の技術的失敗と成功の歴史、GREEの成功を支えた技術者たちの闘いが今明かされる
  • 1