Shibuya.XSS techtalk #11 の発表資料です。
JSでDoSる/ Shibuya.XSS techtalk #11
Shibuya.XSS techtalk #11 の発表資料です。
HashDoS脆弱性との戦い! Rubyコミッター・卜部昌平が明かすプログラム堅牢化のノウハウ - エンジニアHub|若手Webエンジニアのキャリアを考える!
HashDoS脆弱性との戦い! Rubyコミッター・卜部昌平が明かすプログラム堅牢化のノウハウ 過去、HashDosの影響を受けたRuby。言語開発者はいかにしてこうした問題に対応してきたのでしょうか。コミッターである卜部氏の貴重な記録を公開します。 2011年の末頃、HashDoSという脆弱性が公表され、Rubyもこの影響を受けた。本稿の筆者である卜部昌平(うらべ・しょうへい/@shyouhei/以下、卜部)は、報告当初からRuby側のチームメンバーとしてプログラム本体の修正を担当した。以下はその記録である。言語開発者たちが普段どのようなことを考え、どういった技術を用いて開発やバグフィックスを行っているのか。その概要を知ってもらえれば幸いだ。 オブジェクト指向スクリプト言語 Ruby HashDoSの概要 なぜ約6年後の今、修正内容を公開するに至ったか? 前史:すでに内包されていたリスク
モジラ、「Firefox」に通知なく拡張機能をインストール--非難殺到で中止
Mozillaが米国で実施した、テレビドラマ「MR. ROBOT」のハッカーが登場するオンラインゲームとのタイアップ計画は、ほぼ開始直後に逆効果になった。 「Firefox」のユーザーから、米国時間12月13日より、明確な許可の確認や機能の説明もなしに、「MY REALITY IS DIFFERENT THAN YOURS」(私の現実はあなたのものと違う)と書かれているだけの謎めいた拡張機能が同ブラウザにインストールされたと苦情が出るようになった。あるFirefoxユーザーがRedditに、「私にはそれ(拡張機能)が何か、どこから来たものかまったく分からない。怖くなって、すぐにアンインストールした」と書き込んだところ、Mozillaに非難が殺到した。 MozillaはMR. ROBOTとの提携を通じて、先週「Looking Glass」という拡張機能をリモートで米国のユーザーのマシンにイン
Compromise On Checkout - Vulnerabilities in SCM Tools · The Recurity Lablog
The Recurity Lablog Posts computer security, research, reverse engineering and high level considerations First Round: Git LFS In mid May 2017, I was about to go on my two month parental leave, when I stumbled across a nifty vulnerability in Git LFS, which is developed by the fine people at GitHub. The actual vulnerability was shockingly simple: Git LFS can be configured (partially) by a .lfsconfig
CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog
本日コーポレートサイトでお知らせした通り、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明して修正が完了しております。また、個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡させていただきました。 お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。 本エントリでは技術的観点から詳細をお伝えさせていただきます。 2017年6月27日 CDNのキャッシュの動作について、CDNプロバイダと仕様について確認し検証を行いました。その結果一部記述に実際と異なる箇所があり、加筆修正いたしました。 概要 メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行いました。 その際本来キャッシュされるべきでない
Let's Encrypt
A nonprofit Certificate Authority providing TLS certificates to 363 million websites. Read all about our nonprofit work this year in our 2023 Annual Report. From our blog Jun 24, 2024 More Memory Safety for Let’s Encrypt: Deploying ntpd-rs NTP is critical to how TLS works, and now it’s memory safe at Let’s Encrypt. Read more May 30, 2024 Let’s Encrypt Continues Partnership with Princeton to Bolste
第422号コラム「法人番号の検査用符号の設計ミスと、公共で使われるチェックデジット」 | デジタル・フォレンジック研究会
HOME » 一覧 » コラム » 第422号コラム「法人番号の検査用符号の設計ミスと、公共で使われるチェックデジット」 第422号コラム:上原 哲太郎 理事(立命館大学 情報理工学部 情報システム学科 教授) 題:「法人番号の検査用符号の設計ミスと、公共で使われるチェックデジット」 前回、第404号コラムでマイナンバーの個人番号のチェックデジットについて取り上げました。 第404号コラム「マイナンバーのチェックデジットについて」 今回はその続編です。もう一つのマイナンバー、法人番号について、前回は書く余裕がなかったので今回追記しておきます。 マイナンバー法で定められる法人番号は、その名の通り法人などに付番される13桁の番号で、国の機関、地方公共団体、会社法に基づく法人などほとんどの法人と、法人格を持たなくても納税義務を有する主体(いわゆる権利なき社団や財団)に与えられています(一方、有限
RubyGems.orgの脆弱性について - Money Forward Developers Blog
こんにちは、金子です。 普段はRailsを書いたりしています。 今回は2016/4/6に発表された、RubyGems.orgの脆弱性についてまとめました。 脆弱性について RubyGems.org gem replacement vulnerability and mitigation をざっと読んでみると、 特定の状況で、RubyGems.orgにupdateされているファイルの内容が不正に書き換えられる可能性があった 特定の状況とは、2014-6-11から2016-4-2までの間に登録されたgemのうち、'blank-blank'のように名前に'-' (dash)が入っているもの ただし2015-2-8以降に登録されたgemはRubyGems.orgがsha256 checksumを計算しており、それと実際のファイルの突合をして、書き換えられていないことを確認ずみ つまり、2014-6
nearlock.me
A new way to lock your Mac. Just walk away. Use your iPhone to lock and unlock your Mac automatically. When you walk away from your Mac, it will be automatically locked. Once you approach your workplace, Near Lock will unlock your Mac. You can easily set the distance on which your Mac should automatically be locked or unlocked. For additional security use Touch ID or Apple Watch to confirm each Ma
Node.jsのセキュリティ・チェックリスト | POSTD
(訳注:2016/1/5、いただいた翻訳フィードバックを元に記事を修正いたしました。) セキュリティ – 誰もが見て見ぬふりをする問題 。セキュリティが重要だということは、誰もが認識していると思いますが、真剣にとらえている人は少数だと思います。我々、RisingStackは、皆さんに正しいセキュリティチェックを行っていただきたいと考え、チェックリストを用意しました。皆さんのアプリケーションが何千人というユーザやお客様に使用される前にセキュリティチェックを行ってください。 ここに挙げたリストのほとんどは概略的なもので、Node.jsに限らず、全ての言語やフレームワークに適用することができます。ただし、いくつのツールは、Node.js固有のものとなりますので、ご了承ください。 Node.jsセキュリティ に関するブログ記事も投稿してありますので、こちらも是非読んでみてください。 構成管理 HT
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第5章 暴露対策:プロキシキャッシュ対策
第5章 暴露対策 プロキシキャッシュ対策 プロキシキャッシュへのコンテンツ残留 ブラウザとWebサーバの間には、いくつかのキャッシュメカニズムが働いていることが多い。 プロキシサーバのキャッシュ──企業等LANを運用している多くの組織体ではLANからインターネットアクセスを行う際プロキシサーバを経由して行うことが多い キャッシュサーバ─インターネットプロバイダの中には、会員のWebアクセスを円滑にする目的でキャッシュサーバを運用しているところがある これらのキャッシュメカニズムは、ブラウザからのリクエストによって得られたコンテンツをキャッシュに保持しておき、同じURLのリクエストが生じたとき、本来のWebサーバにコンテンツを取りに行かず、キャッシュの内容をブラウザに渡すものである。 このようにキャッシュは、円滑なインターネットの利用に寄与してくれる。 しかし、コンテンツによっては、ただひと
無料のSSL証明書StartSSLを活用する - Qiita
背景 自前のサービスでhttps通信をサポートするには、SSL証明書が必要になります。 自分で使用するだけなら、SSL証明書も自前で作成するいわゆるオレオレ証明書を用いても良いのですが、外部に公開するサービスの場合そうとも行きません。 SSL証明書というと値段が高い印象がありましたが、StartSSLというサービスで無料でSSL証明書の発行を受けられると言うことで試してみました。 StartSSLにユーザー登録する 証明書の発行を行う前に、StartSSLにユーザー登録する必要があります。 StartSSLから、"StartSSL Free (Class1)"を選択します。 Certificate Control Panelを選択。 Sign-upに進みます。 名前、住所、メールアドレスなど 個人情報の登録を行います。 登録したメールアドレスに本人確認のメールが届くので、受信したメールのa
踏み台にされたくないのでXML-RPCを無効にした
こちらのサイトのおかげでWordPressのPingback機能が危ないことを知った。 DoSの踏み台にされているJPドメインのWordPressをまとめてみた http://d.hatena.ne.jp/Kango/20140313/1394673178 とりあえずSucuriのチェックサイトでは検出されていないようだが念の為に無効にすべきだろうか、そして無効にしてその弊害になるのは何だろうか。 今度はWordPressが踏み台に、Pingback機能を悪用しDDoS攻撃 http://www.atmarkit.co.jp/ait/articles/1403/13/news133.html この問題は、自分の投稿に対してリンクが張られたことを知らせるPingback機能を悪用したものだ。WordPressのPingback機能はXML-RPC APIを用いて実装されている。このAPI(x
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch | Startup and Technology News
macOS「High Sierra」に、パスワードのヒントボタンを押すと、パスワードを表示する脆弱性 ~Appleは対応パッチ提供
https://services.google.com/fh/files/misc/security-week-manga-2.pdf
サイバーセキュリティのひみつ : IPA情報処理推進機構
httpsだからというだけで安全?調べたら怖くなってきたSSLの話!? - Qiita
OAuth Security
「個人を特定する情報が個人情報である」と信じているすべての方へ―第1回プライバシーフリーク・カフェ(前編)
