エクスプローラーの不調を招いていた更新プログラム「KB3033889」の修正版が公開
プレス発表 「安全なウェブサイトの作り方 改訂第7版」を公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江一正)は、ウェブサイトの開発者や運営者向けの「安全なウェブサイトの作り方」にパスワードリスト攻撃への悪用防止対策等を新たに追加した改訂第7版を2015年3月12日(木)からIPAのウェブサイトで公開しました。 URL:https://www.ipa.go.jp/security/vuln/websecurity.html IPAでは、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意図しない被害を防ぐため「安全なウェブサイトの作り方」を2006年から発行しており、これまでに6版を数えています。その内容には、IPAへの届出件数が多く攻撃による影響度が大きいソフトウェア製品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウェブサイト作成のためのポイントをまとめています。 7版
Wireshark入門(4)
SSH(Secure SHell)の勉強資料です。 SSHのパケットを復号することになり、その過程で調べたり作ったりしたものをサマった資料です。 SSH Server/Clientにlibssh 0.8.6を使用。復号にはopenssl 1.0.2qを使用しました。 コンテンツ内容は下記です。 1. SSHのRFCの内容をサマライズ:RFC 4251、RFC 4253、RFC 4344 2. libsshでServer/Clientを作成。 3. libsshを改造し、復号に必要な情報を取得。 4. libsslでSSHパケットを復号。
HDDのファームウェアに感染するマルウェアが登場、逃れる術はないことが判明
セキュリティ対策ソフト大手のKaspersky(カスペルスキー)が「主要メーカー製のHDDの基本ソフト(ファームウェア)に感染するタイプのマルウェア(スパイウェア)が見つかった」と発表しました。システムの仕組み上、このマルウェアをセキュリティソフトで駆除することは極めて困難とのことです。 Equation_group_questions_and_answers.0.pdf (PDFファイル)https://cdn1.vox-cdn.com/uploads/chorus_asset/file/3415904/Equation_group_questions_and_answers.0.pdf Russian researchers expose breakthrough U.S. spying program | Reuters http://www.reuters.com/article/
Dockerの諸問題とRocket登場の経緯
2014年の後半あたりからDocker,Docker Inc.への批判を多く見かけるようになった(もちろんもともと懸念や嫌悪を表明するひとはいた).それを象徴する出来事としてCoreOSチームによる新しいコンテナのRuntimeであるRocketのリリースと,オープンなアプリケーションコンテナの仕様の策定を目指したApp Containerプロジェクトの開始があった. CoreOS is building a container runtime, Rocket 批判は,セキュリティであったり,ドキュメントされていない謎の仕様やバグだったり,コミュニティの運営だったり,と多方面にわたる.これらは具体的にどういうことなのか?なぜRocketが必要なのか?は具体的に整理されていないと思う.これらは,今後コンテナ技術を使っていく上で,オーケストレーションとかと同じくらい重要な部分だと思うので,ここ
パスワードの最適変更間隔とその定量的効果の評価
パスワードの最適変更間隔とその定量的効果の評価 twitter:@pseudoidentifie CC0 簡単のために、ユーザが候補とするパスワード選択空間と攻撃者が想定する攻撃パスワード空間は同一とし、個のパスワード候補が含まれるとする。また、攻撃者は、パスワード空間中から、ランダムに攻撃パスワードを順次選択し、攻撃を行うものとする(本攻撃方法は決して典型的な攻撃方法とは限りません)。また攻撃は、秒間隔で実施されるものとする。 ユーザがパスワードの変更を行わない場合、秒で、全パスワードの攻撃が可能であり、ユーザのパスワードを攻撃者は知ることができる。攻撃者がパスワードを知るのにかかる平均時間は以下となる。 次に、ユーザは、をより小さい自然数として、秒間隔でパスワードの定期変更を行う場合を考える(ユーザは個のパスワード候補からランダムにパスワードを選択するものとする)。また、簡単のために、
[iOS]アプリに強制アップデート機能を導入すべき理由と、簡単に実装する方法 - Qiita
強制アップデートとは? 多くのアプリを利用されている方でしたら、何度か下記の画像のようなアラートでアップデートを促されたことがあるかと思います。このアラートは閉じるボタンが存在せず、「AppStoreへ」のボタンしか存在しないため、ユーザーにはアプリを操作するためにはアプリをアップデートする以外に選択肢がありません。この記事では、この様なアラートをアプリ起動時に表示する機能を強制アップデート機能と呼び、なぜそれが必要なのかと、たった3行でこの機能を導入できるライブラリについて記述します。 なぜ強制アップデートが必要なのか? iOS7以降、自動アップデート機能は追加されたもののもちろん全てのユーザーがそれを利用しているわけではありません。中には、リリースから半年以上経過しても初期バージョンを利用し続けるユーザーの方もいます。では、この様に古いバージョンを利用しているユーザーも多くいる状態で、
![[iOS]アプリに強制アップデート機能を導入すべき理由と、簡単に実装する方法 - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/5159b91764b2498b61048fc3120b30061ff3b732/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQwa2F6dTA2MjAmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTBkZDdjNTU5ZjhlMDRmMGQwMGQ5ZWJhOWM1YzJhOGQ2%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3D29f37959ababd0713cb24c2d9df93c60)
セキュリティセンター
若い世代を中心に人気のティックトック(Tik Tok)について、そこに潜んでいる危険性と、その危険性に適切に対処する方法を解説します。
DBセキュリティ見直しにも影響するマイナンバー安全管理の“要件”と“盲点”
2015年10月、いよいよ日本で「マイナンバー制度」が始動する。同制度により、行政機関のみならず、全ての民間事業者に一層厳格な個人情報管理が要求されることをご存じだろうか? どのような理由で、何が求められ、どういった対応が必要になるのか──日本オラクルのスペシャリストが解説する。[セキュリティ対策][Database Security] 2015年10月、全ての日本国民に対する「マイナンバー(社会保障/税番号)」の通知が始まり、翌(2016)年1月から実運用が開始される。「社会保障と税の一体改革」を目的とする「社会保障・税番号制度(通称:マイナンバー制度)※1」が、いよいよスタートを切るわけだ。 ご存じの通り、この制度では日本国民全てに「唯一無二」の番号(12桁の番号)が割り当てられ、その番号に基づいて全国自治体/中央行政機関が個別に管理する個人情報の相互連携が実現される(ただし、連携はさ
社内プロキシに虐げられてる人たちはVPSとか借りて社外にプロキシ立ててsshトンネルで繋ぐとウハウハですよってお話 - Qiita
概要 社内プロキシに様々なサイトへのアクセスをブロックされたり、社外サーバにsshできなかったりする人向けに社外プロキシを立ててあらゆるサイトにアクセスする方法のまとめです。(後述しますが半分くらいネタポストです。) 他にも以下のような効果がありますので、プロキシフリーな会社にお勤めもし良かったら参考にして頂ければと思います。 なぜか2015年になっても存在するカフェとかホテルとかでの保護されていなかったりする無線wifiを使っても盗聴されない。 日本からアクセスできないサイトにアクセスできる。(海外のデータセンタ上のVMを使った場合) なお、非認証プロキシを例にしてます。認証プロキシでもあまり変わらないとは思いますが、環境が無いため未確認です。また、プロキシの挙動や設定方法はプロキシサーバの種類や設定によって多岐に渡るため、全てのプロキシで同じ方法が使えるとは限らないとは思います。 最後
BOOTH並びにAPOLLOご利用ユーザー様へ
当社が運営するウェブサービス「BOOTH」および「APOLLO」にて当該サービスをご利用いただいているユーザー様のうち、最大で125名の個人情報が漏洩する問題が発生いたしました件につきまして、皆さまに多大なご迷惑をおかけしましたことを、心よりお詫び申し上げます。 この度、BOOTH並びにAPOLLOで、11月29日17時09分から18時12分の間、一部のユーザー様においてログイン中に他のユーザー様のアカウントに切り替わる問題が発生しました。 発生原因は、サーバ負荷を削減するために行った設定(キャッシュの設定)に誤りがあったためです。障害内容の詳細については下部の「APOLLO・BOOTH障害詳細」に記載しております。 現時点で問題は解決しており、現在影響を受けた可能性のある方への対応を進めております。 APOLLOの続行に対して、ご不安を感じているユーザー様および出展サークル様がいらっしゃ
そろそろLDAPにしてみないか?:第7回 ApacheのBasic認証をLDAPで|gihyo.jp … 技術評論社
Basic認証の危険性とLDAP化の概要 多くの読者の皆さんがご存じのように、パスワード認証を要求するWebページをApache上で作成するためには、通常は.htaccessと.htpasswdなどを用いたBasic認証を使用します。 たとえば、http://www.example.com/secret/以下にてパスワード認証を実現するには次のような設定を行うのが一般的でしょう。 リスト1 .htaccessやhttpd.confの設定(部分) AuthUserFile /home/passwd/.htpasswd AuthGroupFile /dev/null AuthName "Secret Area" AuthType Basic require valid-user リスト2 /home/passwd/.htpasswdの例 tanaka:vDVcobip.AMqE suzuki:
知ってましたか? セキュリティ業界が歴史に学べること
VAWTRAKの攻撃スクリプトは「きれいなコード」 「VAWTRAK観察日誌」と題するセッションでは、セキュアブレインのニシダマサタ氏が、2014年5月以降に国内で猛威を振るったオンラインバンキングマルウェア「VAWTRAK」の挙動を解析した結果を紹介した。 VAWTRAKは、いわゆるMan in the Browserの手法を使って不正送金を行うマルウェアだ。国内の大手銀行のオンラインバンキングサービスに始まり、地方銀行やクレジットカード会社、さらにはオンラインショッピングサイトへとターゲットを広げてきた。既に2万台以上のPCが感染したとも言われている。 ニシダ氏によるとVAWTRAKはやや複雑なアーキテクチャを取っており、基本的な設定情報を与えるC&Cサーバーとは別に、マニピュレーションサーバーと呼ばれる攻撃用JavaScriptを配信するサーバーも用いる。マニピュレーションサーバーは
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OpenSSLにまた重度の欠陥、修正アップデートは3月19日にリリース
自動運転車の実用化がますます現実に近づきつつあるようですが気になることも増えてきそうです(山本一郎) - 個人 - Yahoo!ニュース
米企業「脱パスワード」急ぐ サイバー防衛で対策強化 - 日本経済新聞
ネットバンクに新手被害 ログイン→自動で不正送金 14年初確認 - 日本経済新聞
Engadget | Technology News & Reviews
Microsoft、「Windows 7」のメインストリームサポートを終了
世界が頼る「白ハッカー」 ネット防衛 知られざる最前線 トレンドマイクロ、フィリピンに司令塔 - 日本経済新聞
