ゲーム屋のAiming「従業員がお客様のアカウントを売りとばした容疑で逮捕されたました」 : 市況かぶ全力2階建決算発表が出ないことを怪しんでストップ高まで買われたエックスネット、TOBされるどころか逆に資本提携解消で切られて過剰にお金が流出するお笑い劇場に
MySQLに重大な脆弱性見つかる、パッチ存在せずデフォルトで影響
攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。 米Oracle傘下のオープンソースデータベース「MySQL」に未解決の脆弱性が見つかったとして、セキュリティ研究者が9月12日に概略やコンセプト実証コードを公開した。サイバー攻撃に利用された場合、root権限で任意のコードを実行され、サーバを制御される可能性が指摘されている。 研究者のDawid Golunski氏が公開した情報によれば、MySQLの脆弱性は複数発見され、、中でも特に深刻な1件については、リモートの攻撃者がMySQLの設定ファイルに不正な内容を仕込むSQLインジェクション攻撃に利用される恐れがある。 この脆弱性は、MySQLの最新版を含む5.7系、5.6系、5.5系の全バージョンに、デフォルトの状態で存在する。現時点でOracle MySQLサーバの脆弱性修正パッチは存在
SYN Flood Mitigation with synsanity
EngineeringSYN Flood Mitigation with synsanityGitHub hosts a wide range of user content, and like all large websites this often causes us to become a target of denial of service attacks. Around a year ago,… GitHub hosts a wide range of user content, and like all large websites this often causes us to become a target of denial of service attacks. Around a year ago, GitHub was on the receiving end o
Google Public DNS over HTTPS を試す | IIJ Engineers Blog
【2018/11/16 追記】 本記事は、2016 年 4 月に Google Public DNS サーバに実装された、実験的な DNS over HTTPS プロトコルについて紹介しています。DNS over HTTPS プロトコルはその後 IETF の doh ワーキンググループにて標準化が進められ、2年半後の 2018 年 10 月に RFC8484 として出版されました。本記事で紹介したプロトコルは RFC8484 に規定されたプロトコルとはいくつもの点で異なっていることにご注意ください。 Google Inc. が公開 DNS サーバを運営していることはご存知でしょうか? Google Public DNS と呼ばれるこの公開 DNS サーバは、”8.8.8.8″ という特徴的な IP アドレスで全世界のインターネットユーザに対して無料の DNS サーバ(フルレゾルバ)を提供し
【Apple WWDC 2016】iOS 10のApp Transport Securityと2016年末からのATS必須化についてAppleのエンジニアに聞いてきた - Hatena Developer Blog
Apple WWDC 2016に参加するためにサンフランシスコへ来ているid:niwatakoです。 WWDC 2016のセッション にて、App Storeに公開するアプリは今年中にATS(App Transport Security)が要求されるようになるという発表がありました。 アプリからの通信をhttps接続のみに制限するATSの有効化がApp Storeへのアプリ提出には必須になるとのことですが、はてなブックマークのようにhttpのウェブページを含む不特定多数のコンテンツの表示が必要なアプリはどこまで制限されるのでしょうか。 WWDC期間中はAppleのエンジニアに質問が出来るLabが設けられているので、ATSとiOS 10でのATS周りの仕様について質問してきました。 2016/12/22 追記 2016年末とされていたApp Transport Security必須化の延期が
HTTPSにまつわる怪しい伝説を検証する - Google I/O 2016のセッションから - Qiita
今年はGoogle I/Oに初めて社員ではない立場で参加しました。全体の感想は Google I/O 2016まとめ(Web的視点) で公開していますが、今回はその中で、気に入ったセッションの1つである"Mythbusting HTTPS: Squashing security’s urban legends"について書いてみたいと思います。 セッションは大変良くまとまっていますので、YouTubeにあがっている動画を見れる人は動画を見て貰えれば良いのですが、時間が無いという人のために、その内容をまとめました。基本的には文字起こしに近いものです。 重要だとわかっているけど、なかなか導入に踏み切れない人も多いHTTPS。これについて、最新の状況が理解できるコンテンツとしてお役に立てるならば嬉しいです。 TL;DR HTTPSはPWAppなどWebにとって必須。 しかし、パフォーマンス悪化する
ダイヤルQ2風の電話番号でInstagramやGoogleやMicrosoftから金をむしりとれる脆弱性
セキュリティ研究者が、とても興味深い脆弱性を報告して報奨金をもらった記事が上がっている。 How I Could Steal Money from Instagram, Google and Microsoft – Arne Swinnen's Security Blog プレミアムナンバーという電話上のサービスがある。これは一時期日本で行われていたダイヤルQ2と同等の仕組みを持つサービスで、プレミアムナンバーという電話番号にかけた電話の通話料は、通常より高い。通話料の差分は、電話サービスの提供元に支払われる。 ダイヤルQ2は電話越しに何らかのサービスを提供して、電話料金で利用料を徴収できる、手軽な仕組みだった。その利用例は、投資顧問、アダルト、占い、人生相談、義援金、ダイヤルアップISPなどに利用されていた。ダイヤルQ2自体は2014年に終わったが、海外ではまだ同等の仕組みをもつサービス
HTTPで動いてるウェブサービスをHTTPS化するときのメモ - hitode909の日記
HTTPで動いてるウェブサービスをHTTPS化したいことがある Google Chromeでは,HTTPのページでは現在位置やカメラの入力など取れなかったりする HTTPSにまつわる怪しい伝説を検証する - Google I/O 2016のセッションから - Qiita 今日の重ね着では現在位置の重ね着情報を出してるけど,HTTPなのでChromeで動かなくなっている HTTPのリソースを読んでるところがあればHTTPSにする 外部のリソースは最初から//やHTTPSで読んでおくと楽だった けどHTTPS版は無い場合もある コンテンツ書き換えなくてもContent-Security-Policy-Report-Only でも済む? 調べたい Content Security Policy の利用方法 - Web セキュリティ | MDN できたらHTTPからHTTPSに301リダイレクト
マイナンバーカードでSSHする - AAA Blog
みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJava Appletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!
Firefox セキュリティアドバイザリ
重要度の区分け: 最高: 任意のコードを実行したり、ソフトウェアをインストールすることが可能な脆弱性で、通常のブラウジングの範囲を超えるユーザの操作を必要としないもの 高: ユーザが訪れた他のサイトから機密データを集めたり、それらのサイトにデータやコードを注入することが可能な脆弱性で、通常のブラウジングの範囲を超えるユーザの操作を必要としないもの 中: デフォルトではない特殊な設定を行った場合のみ攻撃可能であったり、複雑な操作や思いも寄らない手順を必要とする点を除けば、「高」または「最高」に分類されるであろう脆弱性 低: サービス妨害 (DoS) 攻撃、少量のデータの漏えい、なりすましなど、比較的重要でないセキュリティ脆弱性 (SSL 利用サイトの検知不可能な偽装は、たいていの場合、他のサイトで入力されるはずの機密データを盗み取るために利用されるため、「高」に分類されます) Firefox
『Androidアプリのセキュア設計・セキュアコーディングガイド』【2016年2月1日版】を公開しました。 | JSSEC
2015年10月にGoogleがAndroid最新バージョン Android 6.0 を公開しました。Android 6.0ではセキュリティ関連機能の利用についてユーザーの許諾を得るPermission機構が大幅に変更され、指紋認証の機能がAndroid OS自体に組み込まれる等、セキュリティ面ではこれまで以上に大きな変更がありました。 この状況を踏まえ、今回、本セキュアコーディングガイドに記載されている内容を、発行時点で一般公開されている最新バージョン Android 6.0 (Marshmallow)までの変更に対応いたしました。また、Android 6.0での変更に限らず、前バージョンのAndroid 5.0での変更についても、これまで公開していた内容に含められていなかった内容について、本版で内容追加しております。 ■本ガイド概要 本ガイドはAndroidアプリケーションのセキュリテ
まだまだ使える? Windows XP SP4が非正規にアップデート提供 | ギズモード・ジャパン
まだまだ使える? Windows XP SP4が非正規にアップデート提供2016.02.17 14:0041,929 湯木進悟 マイクロソフトは一切サポートしてませんが…。 Windows XPは、2014年4月に正式サポートが打ち切られました。その後もWindows XPを使い続けているユーザーは、セキュリティ上の重大な危険にさらされていることを意味しているでしょう。でも、いまだに世界ではWindows XPユーザーが増え続けていたりもするみたいなんですよね。 このサービスパックは、マイクロソフトによって提供されたものではないことを、初めにお伝えしておきたいと思います。もし現在もWindows XPを使い続けておられるなら、最新のオペレーティングシステム(OS)へのアップグレードを、絶対に検討すべきです。 こんな但し書きまでありますが、実は有志による「Windows XP Service
「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響
ほとんどのLinuxアプリケーションに使われているGNU Cライブラリの「glibc」に深刻な脆弱性が見つかり、米GoogleとRed Hatの研究者が開発したパッチが2月16日に公開された。 脆弱性は2008年5月にリリースされたglibc 2.9以降のバージョンに存在する。Googleによると、glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフローの脆弱性が誘発されることが判明。この機能を使っているソフトウェアは、攻撃者が制御するドメイン名やDNSサーバ、あるいは中間者攻撃を通じて脆弱性を悪用される恐れがあるという。 Googleの研究者は、先にこの問題を発見していたRed Hatの研究者と共同で調査を進め、脆弱性を突くコードの開発に成功したとしている。パッチの公開に合わせて、攻撃には利用できないコンセプト実証コードも公開した。こ
暗号化技術を支えているのは「信頼」だった
情報セキュリティを支える「暗号化技術」の背景にはどのような理論があり、その安全性はどのようにして検証されているのでしょうか。@IT連載「クラウド時代の暗号化技術論」筆者であるサイボウズ・ラボ 光成滋生氏に聞きました。 連載目次 情報セキュリティの根幹をなす技術の一つである「暗号化技術」。システム利用者がその詳細にまで立ち入ることはあまりないこの技術ですが、その背景には一体どのような理論があるのでしょうか。また、暗号化技術の安全性はどのようにして検証されているのでしょうか。 2000年ごろから数学の応用分野としての暗号化技術に関心を持ち始め、2004年には放送型暗号の実装で情報処理推進機構(IPA)の「未踏スーパークリエータ」認定を獲得。2015年以降は書籍や@ITでの連載執筆なども行ってきたサイボウズ・ラボ 光成滋生氏に、暗号化技術を支える理論やその安全性、暗号研究をめぐる最新動向、今後の
iframe sandbox は万能ではない - 葉っぱ日記
HTML5で導入されたiframe要素のsandbox属性は、そのiframe内のコンテンツに対しJavaScriptの実行を始め様々な制約を課すことでセキュリティの向上に役立つ機能である。例えば、以下のように指定されたiframeでは、iframe内からformのsubmitなどはできるが、iframe内でのJavaScriptの実行やtarget=_blankなどによってウィンドウを開くことなどは禁止される。 <iframe sandbox="allow-forms" src="..."></iframe> sandbox属性に明示的に allow-scripts という値を指定しない限りはiframe内では直接的にはJavaScriptは実行できないが、かといってiframe内から間接的にJavaScriptを必ずしも実行させることが不可能かというとそうでもない。 sandbox属性
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティの都市伝説を暴く
次世代プラットフォームのセキュリティモデル考察(前編)
インジェクション系攻撃防止ライブラリの評価
Beyond Zero-day Attacks
Androidアプリの脆弱性の学習・点検ツール AnCoLe:IPA 独立行政法人 情報処理推進機構
