Expired:掲載期限切れです この記事は,産経デジタル との契約の掲載期限(6ヶ月間)を過ぎましたので本サーバから削除しました。 このページは20秒後にITmedia ニュース トップページに自動的に切り替わります。
オープンソースソフトウェア(OSS)/Linux技術者認定機関のNPO法人、エルピーアイジャパン(LPI-Japan)は10月1日、技術者育成および教育のための教材「Linuxセキュリティ標準教科書(Ver1.0.0)」を公開した。PDF版、EPUB版はWebサイトから無料でダウンロードできる。 Linuxセキュリティ標準教科書は、Linuxにおけるセキュリティを学習/再認識するために最低限必要となる知識が体系的にまとめられたテキスト。PDF版は179ページあり、CentOSをベースとして、Linuxサーバーのセキュリティ基本チェックからiptables、SELinux、ACL、OpenSSHなどのツールの利用法、改ざん/侵入検知、脆弱性チェックなどのノウハウを解説している。セキュアなシステム設計やサーバー構築のスキルを認定する「LPICレベル3 303試験(LPI - 303 Secur
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
8月21~23日にパシフィコ横浜で開催された「CEDEC 2013」では、Webの世界に関するセッションも数多く行われた。本記事ではその中から、サイボウズ・ラボの竹迫良範氏による「HTML5のこれまでとこれから、最新技術の未来予測」と、セキュリティコミュニティでは大変著名なネットエージェント、長谷川陽介氏による「HTML5時代におけるセキュリティを意識した開発」の2つのセッションの様子をお送りしよう。 竹迫氏が「HTML」の周りの最新技術と、3つの未来予測を語る 未来予測その1:通信は暗号化が標準に――「スタバでドヤリング」から考える最新技術 竹迫氏はまず、スターバックスでスタイリッシュなMacBook Airをこれ見よがしに使う、「ドヤリング」という技術(?)について写真を出すところから講演を始めた。 実は、この「ドヤリング」、公衆無線LANを利用すると盗聴のリスクがあることが指摘されて
昨日は疲れました。死んだといっても過言では無い。このサーバもほとんど落ちた。1日のアクセス数60000人。ただしアドセンスはたいしたことない。だってみんな必死で検索してるんだもの・・・。 ここいうツイートで癒やされました・・・涙 ロリポップと契約していた顧客がロリポップのサーバ改ざん発表のあとで直撃弾くらいました。ショップでなくてブログだったので引っ越しを先に考えていたのが甘かったです。それもパスワードを複雑にして2段階認証を設定して、wp-config.phpも推奨通り404にしていてやられました。のちにロリポップ側で400に強制変更したようだが、404だってそうそう入れるものじゃ無い。侵入されたサイトのバックアップを直前に取ってあったので、時限爆弾の可能性もあるなとエンジニアが半日かけて精査したけどないようでした。ログイン画面からプルートフォースアタックで入って来たわけではないのは確か
パスワードの使いまわしを狙った不正アクセスについて最近見かける機会が増えたこともあり、自分の中で整理したくまとめました。対策については既に多くの記事で述べられているためここではとりあげません。 (8/20更新) @games(ジークレスト)へのパスワードリスト攻撃を追加しました。 まずは読んでおきたいBlog、記事 このテーマ、また関連するパスワードについて先行研究・調査されている方の記事が既に沢山あるのでまずはこちらをメモ。 辻さんによるリスト型攻撃に関する考察 セキュリティ・ダークナイト(12):大切なパスワードをつなぐ ひみつマネージャ - @IT セキュリティ・ダークナイト(13):もしかしたらって距離は平行線 一番大事な不正ログイン対策 - @IT セキュリティのトビラ パスワードのトビラ(3) パスワードの使い回しが非常に危険なことを認識する ブルートフォース攻撃について考えて
※徳丸浩氏が「city.machida.kanagawa.jp」に関するエントリを公開されたので、エントリ内に追記しました。 掲題の通りなのだが、でたらめな解説を人気サイトが記事にしていると、中には信用してしまう人もいるので本ブログで間違いについて言及したい。 件の記事はこちら。 町田市を神奈川県だと主張する “個人のサイト” からドメインについて考える ? ガジェット通信 co.jp、ne.jp、or.jp、ac.jpなどは書類の審査などで国が一応の保証をしています。 なお、同記事の最終確認は「2013年8月15日17時35分」時点で行ったがその時点でまだ間違ったままだ。今後、更新されるかもしれないので、本記事内容がわかるよう魚拓のリンクも掲載しておく。 そもそも「ガジェット通信」の該当記事は以下のサイトが話題になったことを伝えるために書かれたようだ。 町田市は神奈川県固有の領土であるこ
「HTML5は優先順位を間違った。もういちどセキュリティの設計からやり直すべきだ」と語るJavaScript大家のDouglas Crockford氏 「HTML5の最大の問題は、優先順位を間違ったことだ。機能について議論する前に、セキュリティの扱いについて検討すべきだった」こう語るのは、JSONの発明者として知られ、Yahoo!のシニアJavaScriptアーキテクトでもあるDouglas Crockford氏。5月4日に行われたオライリーのWeb2.0 Expo 2010でのインタビューでのことです。 「もうそれを議論するには遅すぎるという人もいるが、そうは思わない。正しいことをするのに遅すぎることはないのだから」(Crockford氏) Crockford氏はHTML5は機能が重複しすぎていることも指摘しています。「Local StorageとLocal Databaseの両方が本当
前回は、スマートフォンを狙うモバイルマルウェアの現状として、Symbian端末とiPhoneを狙う脅威の現状を紹介した。続いては、シェアを伸ばしつつあるAndroid端末を狙うマルウェアを見ていこう。 続々と登場し始めたAndroidの脅威 通常では審査済みのアプリケーションしか導入できないiPhoneと異なり、Androidは比較的アプリケーションの自由度が高い。アプリケーションの配布方法も自由度が高く、 審査なしのAndroidマーケットでの入手 インターネットからのダウンロード SDカードからのファイルコピー など、複数の方法でアプリケーションが入手できるのだ。 自由度の高さは利便性の高さでもあるが、危険度も高くなってしまう。Android向けのマルウェアは、まだ多くはない。しかし、マーケットは急速に広がっており、これを狙うマルウェアは必ず増えてくる。すでに、日本語マルウェアも登場し
JR東日本のICカード乗車券Suicaで得られた駅の利用情報などを分析し、企業などに販売するサービスが今月から始まりました。 いわゆるビッグデータの新たな利用法として注目を集める一方で、Suica利用者への十分な説明がないままでのサービス開始に、戸惑いの声も広がっています。 JR東日本のICカード乗車券Suicaは現在、およそ4300万枚が発行され、このうち、定期券などで使われているものは、利用者の年齢や性別などの情報も分かっています。 このSuicaで得られた情報について大手メーカーの日立製作所は、JR東日本から有償で提供を受けて分析を行い、駅周辺への出店や広告掲載を検討している企業などに販売するサービスを今月から新たに始めました。 分析するデータは、名前や連絡先などといった個人情報を除いた利用者の年齢、性別、乗り降りする駅などで、これにより、首都圏のおよそ1800の駅がどのように利用さ
インターネット上でメールを共有できる米グーグルの無料サービス「グーグルグループ」で、個人情報や中央官庁の内部情報など少なくとも6000件以上が、誰でも閲覧できる状態になっていることが分かった。 確認できただけで4省庁の職員が業務に関するメールを公開しており、このうち環境省の幹部らは、今年1月に合意された国際条約の交渉過程を流出させていた。他国との会談内容も明かしており、同省は「セキュリティー意識が甘かった」としている。 グーグルグループは、登録者の間で同時にメールを配信できるサービス。ただ、初期設定のままだと閲覧制限がかからないため、気づかないまま情報を誰でも見られる状態にしているケースが多いとみられる。 読売新聞が調べたところ、全国の七つの医療機関や介護施設のメールで300人以上の病状が掲載されたカルテなどが公開状態になっていた。このほか、高校生の健康診断や中学生の家庭環境、政党の
(ネットセキュリティサービスプロバイダ「CyberDefender」研究員が語るネットの危険な行動パターン10と、どうしてもあきらめ切れない場合の留意点です) 1. 公用PCで「次回から自動的にサインインする」をチェックする他人にログイン情報筒抜けだよ! [自衛策] 自分のラップトップや自宅のデスクトップ以外の場所でPC使ってるときは「次回から自動的にサイインする」というボックスは絶対チェックしないこと。 職場のPCは要注意。社用PCは、自分用みたいな気になっちゃうけど、デスクから離れると他人が簡単に覗き見できますよ? 自分のメッセージを全部、彼らの個人用アドレスに転送する...なんてこともできちゃいますからね! 学校・図書館などの公用PCからGoogle、eBay、Amazonなんかのサイトにサインインした人は、終了後サインオフを絶対忘れず行います。 プライバシー保護のため、ブラウザ使用
2013/11/15追記: Twitterアカウントで認証することで Twitterアカウント作成日 アカウント作成日からの経過日数 片思い人数 片思われ人数 ブロック済みアカウント数 お気に入りに登録しているツイート数 などを表示するウェブサービス「まいあかうんったー」を公開しました。 ぱ、ぱくりとかいわないで! Twitter歴診断というTwitter連携サービスが「危険」だと話題になっているようです。 Twitter歴診断というサービスの安全性云々という話についてはあまり興味が無い事、安全性について言及するにはまだ情報が不足しているのでそれについては触れません。 そもそも、それは各々が判断するべき事だと思うので…。 ですが、それを「危険」だと騒いでいらっしゃる方々が、それを「危険」だと主張するその「理由」についてどうにも納得する事が出来ないのでそれについて書いてみます。 そもそも何故
MobsterWorldは、ユーザーはマフィアの1人となってお金を増やすゲーム。ほかのユーザーを敵として戦いを挑み、勝利すれば資金や経験値が得られる。ためた資金を使って武器を買い、攻撃力を高めたりできる。ゲームはTwitterのアカウントと連携しており、ゲーム上での行動がTwitter上でつぶやきとして発言される。 OAuthとは アカウントへのアクセス権を安全に渡せる仕組み Twitterはこの3月からOAuthを導入。ユーザーのアカウントのほぼすべての機能を、ID・パスワードを渡さずに、第三者のサービスから利用できるようにした。 アカウントへのアクセスを提供するだけなら、IDとパスワードを渡すだけでもいい。実際、TwitterのAPIを使ったサービスで、IDとパスワードを入力して利用するものは多い。 ただ、外部サービスにIDとパスワードを渡すとセキュリティ面で不安がある上、パスワードを
日々のメールやり取りにおいて、これあまり気がつかれてないのかな? という経験をちょいちょいしているのでご参考までエントリー。 これまでGmailで設定したアイコンは誰でも表示するか、チャットを許可した相手、つまりある程度クローズドな相手にのみ表示するかを選択できていたのですが、Google+のサービス展開に伴い、Googleプロフィールに設定した画像は常に相手へ表示されるようになってしまいました。 Google プロフィールというのは要はGoogle+なわけで、普段使っているメールアドレスでGoogle+を設定すると、そのアドレスでやり取りした際にプロフィール画像やGoogleプロフィールのリンクは全部相手に表示されてしまうってことですね。 こちらが実際に全然関係ないアドレスへメールしてみた模様。右上に大きくGoogle+のリンクが表示されており、これをクリックすると自分のGoogle+ア
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く