タグ

関連タグで絞り込む (286)

タグの絞り込みを解除

securityに関するkenjiro_nのブックマーク (471)

  • これは分かりやすい!強力で忘れにくいパスワードの作り方4つの方法

    Facebookや、Instagram など、日頃使っていたサービスがバグの影響を受けていた場合には、パスワードを変えたほうが良さそうです。Credit.comの創設者であり、会長のアダム・レビンさんが、強力で忘れにくいパスワードの作り方をコラムの中で紹介しています。 【どこでも使える・無料だからこそヤバイ?海外でのネット対策3つ】 1 自分が思い出せる文字や数字を、ランダムに組み合わせる お母さんの旧姓、子供やペットの名前は使わないほうが賢明ですが、親等が離れた従兄弟の名前、子供の頃好きだった歌の名前、親友が通った幼稚園の名前などが使えるでしょう。 2 文字を一箇所、数字や記号に変える 例えば、「s」の代わりに、「5」や「$」を使ったり、「e」の代わりに「3」を使います。 3 パスワードの中に句読点や記号を含める 4 あなたが選んだ言葉を、パスワードを使うサイトの名前で囲むことで覚えやす

    これは分かりやすい!強力で忘れにくいパスワードの作り方4つの方法
  • YDN「広告配信先レポート」が「firestorage.jp」のダウンロードリンク晒して炎上案件か?

    これらの「配信先URL」にアクセスしてみると。 ああこれはダメなやつだ。 firestorageユーザーがアップロードしたファイルの「ダウンロードリンク」が、YDNの「広告配信先レポート」でモロバレです。 ダウンロードURLは40桁の英数字にて暗号化されていますので、アップロードされた方が他の方にお知らせしない限り、URLが知られることはありません。 いや漏れてるから。 ダウンロードページにリスティング広告を掲載するfirestorage側の注意不足でもあり、情報漏洩に直結しそうなURL情報をレポートで公開するヤフー側の不手際でもあり、さらにはオンラインストレージをパスワード設定無しで利用するユーザー側のセキュリティ意識の欠如でもあり。 ダウンロードファイル名から判断する限りではありますが、明らかに社外秘だろ的なものがいくつも含まれており、関係各位の今後の身の処し方が他人事ながら大変心配で

    YDN「広告配信先レポート」が「firestorage.jp」のダウンロードリンク晒して炎上案件か?
  • ハードディスク消去ツール「wipe-out」

    Network Users' Group ``wheel'' / Dai ISHIJIMA's Page / ハードディスク消去ツール / ダウンロード / Q&A (最終更新: 2023-09-10) ご利用マニュアル / マニュアル 2004年版 / 2011年版 / 2016年版 #はじめに | #こんなことできます | #カンタン操作 | #ダウンロード | #おことわり | #関連リンク 初版: 2002-03-13 改訂その2: 2004-06-23 最終更新日: 2021-08-08 ChatGPTによる紹介 | Q&A | バグ情報 | ダウンロード | New! ★名前入れサービス★ CD-ROMやUSBメモリ、ネットワークやフロッピーからブートすれば、 カンタン操作できれいにデータを消去。 ハードディスク消去ツール「wipe-out」 − 超消わいぷたん →ダウンロー

  • 艦隊これくしょんの通信がとてもじゃないけど見てられない

    その文字列検索、std::string::findだけで大丈夫ですか?【Sapporo.cpp 第8回勉強会(2014.12.27)】Hiro H.

    艦隊これくしょんの通信がとてもじゃないけど見てられない
  • SQL識別子は結局どうすればよいか

    今まで2回にわたって、SQL識別子のエスケープの問題を取り上げました。 間違いだらけのSQL識別子エスケープ SQL識別子エスケープのバグの事例 3回目となる稿では、SQL識別子の取り扱いに関する問題を整理して、一般的な原則を導きたいと思います。 SQL文が動的に変化する場合のSQLインジェクション対策 「間違いだらけの…」で示したように、識別子エスケープが必要な局面でそれが洩れていると脆弱性の要因になることがありますが、それは外部から指定したデータにより、SQL文の構造が変化してしまい、アプリケーションの要件にないSQL呼び出しがなされてしまうからでした。 しかし、「間違いだらけ…」の後半で示したように、識別子のエスケープだけではセキュリティ問題を防ぐことはできず、情報漏洩を招いてしまいました。外部から任意のSQL識別子を指定できることが問題という結論でした。 上記のように、アプリケー

  • 間違いだらけのSQL識別子エスケープ

    これから3回連載の予定で、SQL識別子のエスケープの問題について記事を書きます。SQL識別子のエスケープについてはあまり解説記事などがなく、エンジニア間で十分な合意がないような気がしますので、これらの記事が議論のきっかけになれば幸いです。 3回の予定は以下のとおりです。 間違いだらけのSQL識別子エスケープ(稿) SQL識別子エスケープのバグの事例 SQL識別子は結局どうすればよいか ということで、まずはSQL識別子のエスケープの失敗例について説明します。この失敗例はあくまで説明のために作ったもので、実際のものではありません。また、想定が「ありえない」と思われるかもしれませんが、意図的なものですのでご容赦いただければと思います。また、「間違いだらけの」というタイトルは、今回の題材が間違いだらけという意味であり、巷のSQL呼び出しがそうであるという意味ではありません。稿に登場する人物と団

  • 標準書に見る「パスワードの定期的変更」の歴史(書きかけ放置) - nilnil専用チラシの裏

    時折セキュリティクラスタを賑わす「パスワードの定期的変更」ネタ。きっかけは2008年頃の高木先生のはてブだったと記憶。その頃わしはISMSなんぞに手を染めてた頃だったので、セキュリティ標準書とかどうなってるんだと思って、BS (British Standard), DoD, NIST関連文書を2008年3月に少々調べて某SNSに書いて放置していた。 その後こんなしょーもないものを書いたものの、もっと調べてまとめて一般公開したいなぁと思ってきたままずるずると今に至っている訳だが、いつまでも抱えてるのもあれなので、2008年に書いたものをベースに公開することにした。 ツッコミどころは多いだろうが、気になる人は自分で調べて発表してちょ。てゆうかそろそろ技術史研究者が乗り出してほしいとも思う。 ISO/IEC27000シリーズと英BS7799 ISMSの認証基準であるISO/IEC27001"In

    標準書に見る「パスワードの定期的変更」の歴史(書きかけ放置) - nilnil専用チラシの裏
  • SQLインジェクション対策について

    You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

    SQLインジェクション対策について
  • ネットバンキング不正 被害額過去最悪に NHKニュース

    インターネットバンキングの不正送金事件は、ことしの被害額が11億円を超えて被害の拡大に歯止めがかからず、過去最悪だったおととしの4倍近くに上っていることが分かりました。 インターネットバンキングを巡っては、預金者のパソコンをウイルスに感染させるなどしてIDやパスワードを盗み取り、不正に送金させる被害が相次ぎ、警察庁によりますと、ことしに入ってから先月・11月までの被害は25の銀行で、合わせて1125件、被害総額はおよそ11億8400万円で、すでに過去最悪だったおととしの4倍近くに上っています。 なかでも、金融機関のホームページのにせのサイトを使ってパスワードなどを盗み取る「フィッシング」と呼ばれる手口が再び増加し、先月だけで28件、被害が確認されました。 その多くは、金融機関をかたり「IDやパスワードが使用できるか調査したい」などというメールを送りつけたうえで、にせのサイトに接続させた末に

  • バリデーション、エスケープ、フィルタリング、サニタイズのイメージ

    バリデーション、エスケープ、フィルタリング、サニタイズの用語は分かりにくいので、イメージで説明します。 “><script>alert(‘xss’);</script> という入力文字列が、それぞれどうなるかを示します。 ※1 厳密な定義ではありません(要件や文脈により変化します) ※2 バリデーションという用語は非常に幅があります(ここの「名称補足」参照)。 ※3 サニタイズという用語は非常に幅があるで、使う場合は事前に語義を定義しましょう(参照)。

    バリデーション、エスケープ、フィルタリング、サニタイズのイメージ
  • IPAの「安全なSQLの呼び出し方」が安全になっていた

    (Last Updated On: 2018年8月4日)IPAは「安全なSQLの呼び出し方」(PDF)を以下のURLから公開しています。 http://www.ipa.go.jp/security/vuln/websecurity.html 「安全なSQLの呼び出し方」は危険である、とするエントリを書こうかと思い、内容を確認するとそうでもありませんでした。 訂正:ツイッターで徳丸氏に確認したところ、徳丸氏もエスケープを含めたSQLインジェクション対策が必要であると考えられていた、ことを確認しました。徳丸氏にはセキュリティ専門家として大変不名誉な記述であった事を訂正し、深くお詫びいたします。内容についての修正は、識別子エスケープについてブログに書くとの事でしたのでブログの内容を確認してから修正します。 別冊の「安全なSQLの呼び出し方」は基中の基である「正確なテキストの組み立て」によるセ

    IPAの「安全なSQLの呼び出し方」が安全になっていた
  • パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと

    ■■序論 徳丸さんのスライド「いまさら聞けないパスワードの取り扱い方」に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました。 上掲のスライドでは、その手法としてソルトつきハッシュ化を勧めています。しかしながらスライドに書かれているとおり、ソルトつきハッシュには、複雑なパスワードの解読は困難になるものの、単純なパスワードを設定してしまっているユーザーのパスワードについては十分な保護を提供できないという問題があります。そして、多くのユーザーは適切なパスワード運用ができない、というのが悲しい現実です。 ソルトつきハッシュを使った手法でこのような問題が残るのは、ウェブアプリケーションサーバに侵入した攻撃者がユーザーの認証情報をダウンロードして、認証情報をオフライン攻撃するこ

  • 西工大生ら違法サイト監視、福岡県警がモニター委嘱 : 福岡のニュース : 地域版 : 九州発 : YOMIURI ONLINE(読売新聞)

  • こんなパスワードは危ない?iPhoneの4桁パスコードに使われがちな数字(昼刊) | AppBank

    ロック解除がめんどいからって設定していない方はもちろん危険なのですが、設定しているからって油断してませんか? もし、今から発表するパスコードTOP10にアナタの設定した数字があれば…。 4桁を0〜9の数字で組み合わせると10の4乗=1万通りの組み合わせがあります。つまり、iPhoneを不正にロック解除しようとしたら、1万回試せばロック解除できちゃいます。 でも、1万回も順番に試さず解除できるとしたら…。そんな危険な「使われがち」なパスコードTOP10の情報をみつけたのでご紹介します。 TOP10の数字を見てドキッとしたら、パスコードの変更をオススメします。

    こんなパスワードは危ない?iPhoneの4桁パスコードに使われがちな数字(昼刊) | AppBank
    kenjiro_n
    kenjiro_n 2013/11/11
    iPhone固有の話ではないので該当タグは付けず。
  • ホワイトハッカーになりたくて | WhiteHackerzBlog ハッカー養成学院 公式ブログ

    錦秋の候皆様方におかれましては益々のご健勝の事とお慶び申し上げます。 さて早速ですがこの度WhitehackerZ養成学院は事実上解散をする運びとなりました。誠に残念ではありますが約2年という歳月にわたり国防の為、情報セキュリティ業界発展の為及ばずながら奮闘して参りました。短い時間ではありましたが、様々なドラマがございました。 様々な企画を打ち出して何とか人材育成の一翼を担えればと思って動いて参りましたが、解散の決め手となったのは、セキュコン2013スポンサーのお断り事件であります。 この事件をきっかけに、我々が情報セキュリティ業界で未だ異端児扱いをされ認められた組織では無いという事を思い知らされました。これがトリガーをなり、何とか日の目を見るまでは辛抱して一致団結しよう!という社内の雰囲気がいとも簡単に足元から音を立てて崩れ去っていく様を一同はただ黙って見ているしかすべがありませんでした

  • 米政府が暗号を解読、崩れるネットの安全性

    米政府などによるインターネット上の諜報活動が、当初報じられていたよりも深刻であることが明らかになった。米国のインターネット通信の大半を傍受したり、暗号通信を解読するためにソフトウエアに情報収集用の裏口(バックドア)を仕掛けたりするなどしていた。政府主導のこうした諜報活動によって、通信の秘密だけでなく、インターネットの安全性さえも脅かされようとしている。 暗号通信も解読 一連の諜報活動は、米国家安全保障局(NSA)や米中央情報局(CIA)の職員だったエドワード・スノーデン氏が、英ガーディアン紙や米ニューヨーク・タイムズ紙などに提供した秘密資料によって明るみに出た。 口火を切ったのは、2013年6月に報道された「PRISM」問題だ。NSAは、米マイクロソフトや米グーグルといった大手ネット事業者のサーバーから、電子メールなどの個人情報を入手する「PRISM」というプログラムを実施していた。だが、

    米政府が暗号を解読、崩れるネットの安全性
  • 「社長が覚えられないので管理者のパスワードは4桁の数字でお願いします」 - 情報の海の漂流者

    新規で立ち上げる某中小企業サイトのネットショップ機能について、タイトル通りのセリフを言われて、ここ最近気が重かった。 そういう感覚で自前のネットショップをやるのはセキュリティ上明らかにまずい。 この件のことを考えていると、顧客情報流出したらどうしようとか、管理者アカウントを乗っ取られたらどうしようとか、そもそもそんな危険なサイトを作るのはインターネット全体に対する裏切りなんじゃないのかとか、いろいろ悩んでしまい、胃が痛くて仕方がなかった。 そんなタイミングで、yahooショッピング出店料無料化のニュースが流れたのはすごいラッキーだった。 先方はどうやら、出店料や維持費が払えないため、自前でネットショップをやろうと思ったらしくて、ヤフーの変更について話したら「その条件ならばヤフーでやりたい」と即座に方向転換することが決定した。 yahooでやってくれるならば、パスワードは最低6桁必要になる。

    「社長が覚えられないので管理者のパスワードは4桁の数字でお願いします」 - 情報の海の漂流者
  • エフセキュアブログ : いかにWindows XPが攻撃しやすいか

    いかにWindows XPが攻撃しやすいか 2013年10月08日07:39 ツイート daiki_fukumori オフィシャルコメント  by:福森 大喜 先日よりInternet Explorerのゼロデイ攻撃(CVE-2013-3893)がアジア各地で確認されており、Metasploitにも攻撃モジュールが組み込まれたことで危険性が高まっています。現在のところMetasploitで対象となっているのは、Office 2007/2010がインストールされているWindows 7のIE8/IE9だけですが、Windows XPを攻撃するのは簡単でOfficeなんかインストールされていなくても攻撃が可能ですので、XPを使っている方も油断してはいけません。 [Windows XPでIE8の脆弱性を悪用し電卓を起動したところ] 攻撃が簡単な理由は、Windows 7ではASLRといってメモリ

    エフセキュアブログ : いかにWindows XPが攻撃しやすいか
  • 読売新聞のXP関連記事はちょっと微妙なベクトルじゃないですかね(山本一郎) - 個人 - Yahoo!ニュース

    kenjiro_n
    kenjiro_n 2013/10/08
    そういえば俺は普段犯行を教唆するような報道を非難していたけど、今回の件に関してはその視点がなかったのを忘れていた。
  • 期限切れXP、自治体54%に20万台 : ニュース : ネット&デジタル : YOMIURI ONLINE(読売新聞)

    国内のパソコンの3分の1に搭載されている米マイクロソフト社の基ソフト(OS)「ウィンドウズXP」のサポート期間が来年4月に終了するが、その後も全国の半数以上の966自治体が20万台以上を使い続けることが読売新聞の調査でわかった。 サポート終了後はウイルス感染の危険が高まるなどサイバー攻撃に無防備になるが、「危険とは思わなかった」とする自治体もあり、専門家は「セキュリティー意識が甘すぎる」と危惧している。 アンケート調査は、47都道府県、20政令市、1722市区町村の全1789自治体を対象に実施。全自治体の保有パソコン計約176万台の更新状況を尋ねた。 その結果、来年4月までに「ビスタ」「7」「8」などの後継OSへの更新が完了しないのは17府県、10政令市、939市区町村で、全自治体の54%に上った。香川県や東京都港区など203自治体では保有台数の半分以上が更新されない。更新が完了しないパ