![エクスプローラーの不調を招いていた更新プログラム「KB3033889」の修正版が公開](https://cdn-ak-scissors.b.st-hatena.com/image/square/43ef2656324f46d60d0d89af8ad933b86b9d5752/height=288;version=1;width=512/http%3A%2F%2Fforest.watch.impress.co.jp%2Fimg%2Fwf%2Flist%2F693%2F380%2Fimportant_image.png)
IPA(独立行政法人情報処理推進機構、理事長:藤江一正)は、ウェブサイトの開発者や運営者向けの「安全なウェブサイトの作り方」にパスワードリスト攻撃への悪用防止対策等を新たに追加した改訂第7版を2015年3月12日(木)からIPAのウェブサイトで公開しました。 URL:https://www.ipa.go.jp/security/vuln/websecurity.html IPAでは、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意図しない被害を防ぐため「安全なウェブサイトの作り方」を2006年から発行しており、これまでに6版を数えています。その内容には、IPAへの届出件数が多く攻撃による影響度が大きいソフトウェア製品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウェブサイト作成のためのポイントをまとめています。 7版
セキュリティ対策ソフト大手のKaspersky(カスペルスキー)が「主要メーカー製のHDDの基本ソフト(ファームウェア)に感染するタイプのマルウェア(スパイウェア)が見つかった」と発表しました。システムの仕組み上、このマルウェアをセキュリティソフトで駆除することは極めて困難とのことです。 Equation_group_questions_and_answers.0.pdf (PDFファイル)https://cdn1.vox-cdn.com/uploads/chorus_asset/file/3415904/Equation_group_questions_and_answers.0.pdf Russian researchers expose breakthrough U.S. spying program | Reuters http://www.reuters.com/article/
2014年の後半あたりからDocker,Docker Inc.への批判を多く見かけるようになった(もちろんもともと懸念や嫌悪を表明するひとはいた).それを象徴する出来事としてCoreOSチームによる新しいコンテナのRuntimeであるRocketのリリースと,オープンなアプリケーションコンテナの仕様の策定を目指したApp Containerプロジェクトの開始があった. CoreOS is building a container runtime, Rocket 批判は,セキュリティであったり,ドキュメントされていない謎の仕様やバグだったり,コミュニティの運営だったり,と多方面にわたる.これらは具体的にどういうことなのか?なぜRocketが必要なのか?は具体的に整理されていないと思う.これらは,今後コンテナ技術を使っていく上で,オーケストレーションとかと同じくらい重要な部分だと思うので,ここ
パスワードの最適変更間隔とその定量的効果の評価 twitter:@pseudoidentifie CC0 簡単のために、ユーザが候補とするパスワード選択空間と攻撃者が想定する攻撃パスワード空間は同一とし、個のパスワード候補が含まれるとする。また、攻撃者は、パスワード空間中から、ランダムに攻撃パスワードを順次選択し、攻撃を行うものとする(本攻撃方法は決して典型的な攻撃方法とは限りません)。また攻撃は、秒間隔で実施されるものとする。 ユーザがパスワードの変更を行わない場合、秒で、全パスワードの攻撃が可能であり、ユーザのパスワードを攻撃者は知ることができる。攻撃者がパスワードを知るのにかかる平均時間は以下となる。 次に、ユーザは、をより小さい自然数として、秒間隔でパスワードの定期変更を行う場合を考える(ユーザは個のパスワード候補からランダムにパスワードを選択するものとする)。また、簡単のために、
強制アップデートとは? 多くのアプリを利用されている方でしたら、何度か下記の画像のようなアラートでアップデートを促されたことがあるかと思います。このアラートは閉じるボタンが存在せず、「AppStoreへ」のボタンしか存在しないため、ユーザーにはアプリを操作するためにはアプリをアップデートする以外に選択肢がありません。この記事では、この様なアラートをアプリ起動時に表示する機能を強制アップデート機能と呼び、なぜそれが必要なのかと、たった3行でこの機能を導入できるライブラリについて記述します。 なぜ強制アップデートが必要なのか? iOS7以降、自動アップデート機能は追加されたもののもちろん全てのユーザーがそれを利用しているわけではありません。中には、リリースから半年以上経過しても初期バージョンを利用し続けるユーザーの方もいます。では、この様に古いバージョンを利用しているユーザーも多くいる状態で、
2015年10月、いよいよ日本で「マイナンバー制度」が始動する。同制度により、行政機関のみならず、全ての民間事業者に一層厳格な個人情報管理が要求されることをご存じだろうか? どのような理由で、何が求められ、どういった対応が必要になるのか──日本オラクルのスペシャリストが解説する。[セキュリティ対策][Database Security] 2015年10月、全ての日本国民に対する「マイナンバー(社会保障/税番号)」の通知が始まり、翌(2016)年1月から実運用が開始される。「社会保障と税の一体改革」を目的とする「社会保障・税番号制度(通称:マイナンバー制度)※1」が、いよいよスタートを切るわけだ。 ご存じの通り、この制度では日本国民全てに「唯一無二」の番号(12桁の番号)が割り当てられ、その番号に基づいて全国自治体/中央行政機関が個別に管理する個人情報の相互連携が実現される(ただし、連携はさ
概要 社内プロキシに様々なサイトへのアクセスをブロックされたり、社外サーバにsshできなかったりする人向けに社外プロキシを立ててあらゆるサイトにアクセスする方法のまとめです。(後述しますが半分くらいネタポストです。) 他にも以下のような効果がありますので、プロキシフリーな会社にお勤めもし良かったら参考にして頂ければと思います。 なぜか2015年になっても存在するカフェとかホテルとかでの保護されていなかったりする無線wifiを使っても盗聴されない。 日本からアクセスできないサイトにアクセスできる。(海外のデータセンタ上のVMを使った場合) なお、非認証プロキシを例にしてます。認証プロキシでもあまり変わらないとは思いますが、環境が無いため未確認です。また、プロキシの挙動や設定方法はプロキシサーバの種類や設定によって多岐に渡るため、全てのプロキシで同じ方法が使えるとは限らないとは思います。 最後
当社が運営するウェブサービス「BOOTH」および「APOLLO」にて当該サービスをご利用いただいているユーザー様のうち、最大で125名の個人情報が漏洩する問題が発生いたしました件につきまして、皆さまに多大なご迷惑をおかけしましたことを、心よりお詫び申し上げます。 この度、BOOTH並びにAPOLLOで、11月29日17時09分から18時12分の間、一部のユーザー様においてログイン中に他のユーザー様のアカウントに切り替わる問題が発生しました。 発生原因は、サーバ負荷を削減するために行った設定(キャッシュの設定)に誤りがあったためです。障害内容の詳細については下部の「APOLLO・BOOTH障害詳細」に記載しております。 現時点で問題は解決しており、現在影響を受けた可能性のある方への対応を進めております。 APOLLOの続行に対して、ご不安を感じているユーザー様および出展サークル様がいらっしゃ
Basic認証の危険性とLDAP化の概要 多くの読者の皆さんがご存じのように、パスワード認証を要求するWebページをApache上で作成するためには、通常は.htaccessと.htpasswdなどを用いたBasic認証を使用します。 たとえば、http://www.example.com/secret/以下にてパスワード認証を実現するには次のような設定を行うのが一般的でしょう。 リスト1 .htaccessやhttpd.confの設定(部分) AuthUserFile /home/passwd/.htpasswd AuthGroupFile /dev/null AuthName "Secret Area" AuthType Basic require valid-user リスト2 /home/passwd/.htpasswdの例 tanaka:vDVcobip.AMqE suzuki:
VAWTRAKの攻撃スクリプトは「きれいなコード」 「VAWTRAK観察日誌」と題するセッションでは、セキュアブレインのニシダマサタ氏が、2014年5月以降に国内で猛威を振るったオンラインバンキングマルウェア「VAWTRAK」の挙動を解析した結果を紹介した。 VAWTRAKは、いわゆるMan in the Browserの手法を使って不正送金を行うマルウェアだ。国内の大手銀行のオンラインバンキングサービスに始まり、地方銀行やクレジットカード会社、さらにはオンラインショッピングサイトへとターゲットを広げてきた。既に2万台以上のPCが感染したとも言われている。 ニシダ氏によるとVAWTRAKはやや複雑なアーキテクチャを取っており、基本的な設定情報を与えるC&Cサーバーとは別に、マニピュレーションサーバーと呼ばれる攻撃用JavaScriptを配信するサーバーも用いる。マニピュレーションサーバーは
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く