日本スマートフォンセキュリティ協会(JSSEC)の技術部会の一つであるセキュアコーディンググループは2016年9月12日、セキュリティを考慮してAndroidアプリを開発するノウハウを集めたガイド文書『Androidアプリのセキュア設計・セキュアコーディングガイド』の改訂版に当たる2016年9月1日版を公開した。ダウンロードして閲覧できる。 今回の改定では、HTTPS通信を実装する際の注意点や、暗号技術の脆弱性対策に有効と考えられる内容を追加した。改訂版は、全465ページで構成する。
![JSSEC、セキュアなAndroidアプリを開発するガイド文書の改訂版を公開](https://cdn-ak-scissors.b.st-hatena.com/image/square/b22bab36bb236161493a201abe05f071dedaaf01/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fnews%2F16%2F091202653%2Fph1.jpg%3F20220512)
プログラム情報 1. プログラムの目的 本プログラムは、コミュニケーションアプリ「LINE」及びWEBサイトに存在する脆弱性を早期に発見し、ユーザーに、より安全なサービスを提供することが目的です。 2. プログラムの詳細について 2019年10月より、LY CorporationはHackeroneというプラットフォーム上でLINE Security Bug Bounty Program(以下「本プログラム」という)を運営しております。つきましては、脆弱性の報告はこちらのフォームをご利用ください。 また、Hackeroneをご利用になれない場合や、本プログラムとは関係のないバグの報告等は dl_bugreport@linecorp.com へのメールにて受け付けております。 ただし、脆弱性報告フォーム以外からの報告は、原則として報奨金の対象外となりますのでご注意ください。 3. 利用規約
伊藤ロマ@金魚 @kingyo_roma 私は元ストーカーでございます。ストーキングしたいわけじゃないんだけどストーキング以外に愛情表現わかんない☆っていうたちの悪いストーカーでした。過去ね、過去。 住所とか職場とか電話番号とか家族構成寝る時間好きなもの、全部調べるの得意です。 で、昨日の夜ふと思い立った。 2015-06-20 12:51:56 伊藤ロマ@金魚 @kingyo_roma 絡みがあるわけではないけど、TLでたまに見かける人で、子供の写真を思いっきり晒してる人がいて… この人のこと、インターネットだけを使って、どれだけ調べられるかなぁ?と、試してみました。 結果… 2015-06-20 12:53:54 伊藤ロマ@金魚 @kingyo_roma 以下のことを、インターネットのみで特定することに成功しました。 ・本人と子供の本名 ・住所 ・電話番号 ・子供が取り組んでいるスポー
Identity-based securityVault brokers and deeply integrates with trusted identities to automate access to secrets, data, and systems. Application and machine identitySecure applications and systems with machine identity and automate credential issuance, rotation, and more. Enable attestation of application and workload identity, using Vault as the trusted authority. User identity with VaultLeverage
おはようございます、せーのです。 先日のイベントでは久しぶりに新たなガジェット「Apple Watch」が発表され、最近では近々新型のiPadが出るとか、攻めの姿勢で突っ走るAppleですが人生山あり谷あり、いいことばかりではありません。 先日よりmacが対象となっている新しいマルウェア、その名も「iWorm」が猛威を振るっております。 私の部屋もmacだらけですのできちんとチェックすると共に、エンジニアとしてそもそもiWormって何なのよ、というところを押さえておきたいと思います。 経緯 最初にこのマルウェアを発見したのはロシアのセキュリティ企業Dr. Webでした。Dr. Webはサイトにて声明を発表しましたがこの時点で既に17,000台ものmacが感染された後でした。マルウェアの正式名称は「Mac.BackDoor.iWorm」、C++とLUAを使って書かれており、感染源は不明(後述
※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Paul Ducklin on September 1, 2014 この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。 ~深刻なプライバシー侵害が発生する恐れあり、対策方法~ 独立系セキュリティ研究者の Rafay Baloch 氏が Android のブラウザアプリに存在するセキュリティバグについての報告しました。このバグによって、他の Web サイトのデータを盗み出すことが可能になります。 同氏は、Metasploit でこのバグを「深刻なプライバシー侵害を引き起こすもの」と評しており、極めてショッキングなバグであることを説明するためのビデオを今後作成することになっています。 では、一体どのようなバグであり、私たちはどのように問題を回避すればよいのでしょ
iptablesでサーバを守るときに知っておくと良いことを3つ紹介します 1. 接続回数を制限する(IPアドレスごと) hash_limitを使います これにより特定ホストからの大量アクセス、DoS攻撃を緩和することが可能です 例 2. 接続回数を制限する(サービスごと) limitを使って制限します これにより多数のホストからの攻撃、DDoS攻撃を緩和します limitを使った制限は全ホストが等しく制限を受けるため、ssh等に設定すべきではありません。 (攻撃を受けている間は自分たちも制限されるため) Webサーバが大量アクセスで落ちそうな場合は使えるんじゃないでしょうか? 例 3. 接続IPアドレスを限定する IPアドレスの国別割り当てをAPNIC等から取得してコマンドを作ります この手のルールは長くなるので、ユーザー定義チェインにしたほうが見やすくなります 例 あとはこんな感じのスク
11月17日付けで、FreeBSD.orgをのクラスタを構成する機器が侵入されたことが公表されています。 発見は、11月11日で、9月19日から侵入されていた可能性があるようです。 FreeBSD.org: FreeBSD.org intrusion announced November 17th 2012 侵入経路は、機器にアカウントを持つユーザのSSH鍵がリークしてしまったことと書かれています。 現時点では、侵入の痕跡はFreeBSD本体ではなく、サードパーティのパッケージシステムを扱うサーバのみで発見されているようです。 そのため、本体は影響を受けていないと推測されるものの、パッケージシステムの一部が変更されてしまった可能性を考慮して調査が続けられているとあります。 ユーザへの影響という項目では、9月19日から11月11日の間にインストールされたパッケージの信頼性は保証できないことが
Websecurifyは主立ったWebサーバにおけるセキュリティチェックを自動化してくれるソフトウェアです。 Webサイトを巡るセキュリティ問題は多々あります。自動化されている攻撃ソフトウェアもあり、ちょっとした油断で一気に重要データが引き抜かれたり、逆に破壊されてしまう可能性があります。それを事前に確認すべく使っておきたいソフトウェアがWebsecurifyです。 メイン画面です。 テストを行うURLを入力します。実行前に確認が出ます。 テストの実行中です。 完了しました。 レポート画面でインシデントの詳細が確認できます。 Websecurifyは代表的と言えるセキュリティチェックについて自動で行ってくれます。SQLインジェクション、ローカルファイルの読み込み、クロスサイトスクリプティング、CSRFなど多岐にわたります。サーバの種別を判断した上でやり方を変えるので、より確度が高くなります
Flex SDKの脆弱性が原因となって、Flexアプリケーションにクロスサイトスクリプティング(XSS)問題が発生する恐れがある。 米Adobe Systemsは、Webアプリケーション開発ツール「Flex SDK」に関するセキュリティ情報を11月30日付で公開し、4.5.1までのバージョンに存在する1件の脆弱性に対処したことを明らかにした。 同社によると、脆弱性が存在するのはFlex SDK 4.5.1までのバージョンと4.x、および3.6までのバージョンと3.xで、それぞれWindows、Mac、Linux版が影響を受ける。この脆弱性が原因となって、Flexアプリケーションにクロスサイトスクリプティング(XSS)問題が発生する恐れがあるという。 問題を解決するためには、Flex SDKのソフトウェアを更新するとともに、アプリケーションのSWFファイルに脆弱性がないかどうかをチェックし、
女性声優 @ssig33 @mittsmame メールアドレスパスワード云々の件は完全にデマだけど、ここから平然と火に油を注ぐのが Pixiv という感じがしますね、、、 2011-08-08 18:33:58 女性声優 @ssig33 パスワードブルートフォースすればアプライアンスのファイアーウォールで止まるし、そういうのいれてなければふつうログインまわりに一定回数以上試行で止まるし、それで止まらなくても高速にブルートフォースすればアプリケーション落ちて止まる 2011-08-08 18:35:43 女性声優 @ssig33 今のは一般論で Pixiv は同一 IP から一定速度以上でアクセスくると 500 だか 502 だか返すようになるのでブルートフォースむり。 mx レコード見えてたらメールアドレス漏れるとか言ってるやつは、論外すぎる、、、 2011-08-08 18:36:30
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く