認証エンドポイントを秘匿する HTTP Unprompted Authentication の仕様 - ASnoKaze blog
2024/03/03 追記 現在は「The Signature HTTP Authentication Scheme」という仕様名になっています。 == 『HTTP Unprompted Authentication』という提案仕様がGoogleのDavid Schinazi氏らによって提出されている。 この仕様は、WebサーバにおいてHTTP認証を行っている事を秘匿するための仕様です。これによりWebサーバ上に管理者向けエンドポイントや、VPNサービスなどが動いてることを隠すことができます。 そのために必要なこととして、もちろん通信の暗号化も必要ですが、さらに正規ユーザでない第三者が認証用エンドポイントにリクエストしても「401 Authorization Required」で応答しないという要件があります。「401 Authorization Required」を返さないため、認証に使
GitHub、プライベート脆弱性レポート機能を一般提供
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます GitHubは米国時間4月19日、「Private vulnerability reporting」機能の一般提供を発表した。Private vulnerability reportingは、セキュリティ研究者とオープンソースメンテナーがオープンソースリポジトリーの脆弱(ぜいじゃく)性を報告・修正することを容易にするプライベート(非公開)なコラボレーションチャネル。 GitHub Star、GitHub Security Ambassador、Open Source Security Foundation(OpenSSF)Project Alpha-OmegaのシニアオープンソースセキュリティリサーチャーであるJonathan Leit
初級者でも分かる「情報セキュリティチェックリスト」を経済産業省が公開
「経営者は守るべき情報を把握している?」から始まるチェックリスト 経済産業省の調査によると、技術が流出したと考えられる事例の流出経路として「取引先による流出」が過半数を占めているという。技術情報は事業者にとって競争力の源泉であり、技術情報の流出は共同研究などオープンイノベーションに取り組む際の課題になる。こうした背景もあり、同省は2018年に技術情報管理認証制度を創設した。 関連記事 システム運用は「全自動化」への過渡期 「設計」ができる人材が不可欠だ 2023年1月に開催された@IT主催オンラインイベント「『予算や人が足りない』からこそ『データ』に頼れ デジタルシフト時代、エンドユーザーの期待に応える運用変革」において、千葉工業大学教授の角田仁氏が基調講演「オペレーションからエンジニアリングへ~運用管理の誤解を解き、仕組みと人材を革新して『過渡期の時代』を乗り切ろう~」と題して講演した。
漏えいデータから分析、業界別“ガバガバパスワード”集 海外セキュリティ企業が公開
リトアニアのセキュリティ企業Nord Securityは3月30日、情報漏えいしたことがある企業のデータを基に、世界31カ国の大企業で働くビジネスマンが、仕事でよく使うパスワードのランキングを発表した。米国や日本、中国、インド、英国などからデータを集めたという。 「テクノロジー・IT」「航空・宇宙」など20業界でランキングを公開。例えばテクノロジー・IT業界の1位は「123456」だった。2位は「password」で、3位は「aaron431」。TOP10には「research」(4位)、「linkedin」(7位)、「社名や部署名(もしくはそれを一部変更したもの)」(12位)などもあった。 航空・宇宙業界も1位は「password」。2位は「社用メールアドレスのドメイン」、3位は「社名や部署名(もしくはそれを一部変更したもの)」だったという。TOP20には「opnesesame」(6位)
メッセージを送ると「受信側の現在地」を特定できるサイバー攻撃 「届きました」通知を受け取るまでの時間を測定
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 ドイツのResearch Center Trustworthy Data Science and Securityとルール大学ボーフム、オランダのラドバウド大学、米ノースイースタン大学、米ニューヨーク大学に所属する研究者らが発表した論文「Hope of Delivery: Extracting User Locations From Mobile Instant Messengers」は、WhatsAppなどのメッセンジャーアプリにおいて、メッセージを送信することで受信者の位置を特定できる攻撃を提案した研究報告である。 メッセンジャーアプリでは、送信し
Windows 11 22H2で巨大ファイルのコピーが遅くなる問題が解決/TPM 2.0に脆弱性 数十億台に影響がある可能性も
TPM 2.0に脆弱性 数十億台に影響がある可能性も 米CERT Coordination Center(CERT/CC)は2月28日(現地時間)、Windows 11の必要要件にもなっているTPM 2.0に2つのバッファオーバーフロー脆弱性(CVE-2023-1017、CVE-2023-1018)を発見したと発表した。この脆弱(ぜいじゃく)性を利用すると、攻撃者は機密データの読み取りや、TPMで保護されている暗号化キーなどの上書きが可能になるとのことだ。 この脆弱性は、セキュリティ関連企業「Quarkslab」の研究者らがTPM 2.0の参照ライブラリー仕様で見つけたもの。TPMコマンドの一部であるパラメーターの一部を処理する方法に2つの脆弱性があり、現在のセッションに含まれていないデータへの2バイトの読み取りアクセスが可能だった。また、現在のコマンドバッファの終端を越えて2バイトを書き
みんなベストプラクティスできてる?「AWSセキュリティのベストプラクティスに関する利用実態調査レポート」まとめ | DevelopersIO
みんなベストプラクティスできてる?「AWSセキュリティのベストプラクティスに関する利用実態調査レポート」まとめ 「Security-JAWS Insights AWSセキュリティのベストプラクティスに関する利用実態調査レポート」の解説です。みんなベストプラクティスを実践できているのか、知ることができます。 こんにちは、臼田です。 みなさん、AWSのセキュリティベストプラクティス実践できてますか?(挨拶 今回は、Security-JAWS運営メンバーが調査を実施し、レポートとしてまとめた「Security-JAWS Insights AWSセキュリティのベストプラクティスに関する利用実態調査レポート」の内容を解説するとともに、僕自身の提言をまとめます。 これを読んで頂くと、「周りのみんなはAWSのベストプラクティスどれくらいできているの?」「自分たちは十分にベストプラクティスに沿えているのか
AWS Security Reference Architecture (AWS SRA) を利用したマルチアカウントのセキュリティ対策 - Qiita
AWS Security Reference Architecture (AWS SRA) を利用したマルチアカウントのセキュリティ対策AWSSecurityIAMOrganizations はじめに AWSによって 「AWS Security Reference Architecture (AWS SRA)」 と呼ばれるセキュリティリファレンスアーキテクチャが公開されています。 SRAは、AWSのセキュリティ対策をどう実装すべきかを指し示すガイドとしての位置付けであり、SRAを参考にすることで、AWSの数多くのセキュリティサービスをマルチアカウントの環境に最適化する形でデプロイする方法が分かります。 本記事では、このSRAの中身を紐解き、SRAを活用してAWSアカウントのセキュリティ対策がどう実装できるのかを記します。 企業の課題 オンプレミスからAWSにサーバ環境を移行し始めたばかりか
AWS Security and Risk Management Forum ~Security JAM ハンズオン~ - 申し込み | ITmediaセミナー事務局
2023/03/10 13:00 - 2023/03/10 17:30 AWS Security and Risk Management Forum ~Security JAM ハンズオン~ AWS Security JAMは、権限管理、自動化、インシデントレスポンスなどに関連するサービスを利用して、参加者が各課題ごとにAWS環境を適切に修正するゲーミング形式のイベントです。 参加者はオンライン上で提示されたセキュリティ上の課題に対して、実際のAWSマネジメントコンソールを利用し、知識と経験を活用し、必要に応じて学習をしながら課題解決に取り組みます。 ※提示される課題は過去にAWS Professional Servicesが実施したSecurity Jam、またはAWS Skill Builder Subscriptionで出題された内容を含みます。 インターネットにアクセス可能なご自身
Webアプリへの攻撃「XSS」とは?フロントエンドと関連の強い「DOM-based XSS」を解説
Webアプリケーションのセキュリティを考えるとき、フロントエンドエンジニアにも攻撃への対策が求められます。脆弱性を狙う受動的攻撃の1つ「XSS(クロスサイトスクリプティング))」の中でも「DOM-based XSS」は特にフロントエンドとの関連が強く、情報漏洩やWebページ改竄などの脅威について知っておく必要があります。今回は『フロントエンド開発のためのセキュリティ入門』(翔泳社)から、XSSとDOM-based XSSの仕組みを解説します。実際の対策方法については本書を参考にしてください。 本記事は『フロントエンド開発のためのセキュリティ入門 知らなかったでは済まされない脆弱性対策の必須知識』(著者:平野昌士、監修:はせがわようすけ)の「第5章 XSS」から一部を抜粋したものです。掲載にあたって一部を編集しています。 能動的攻撃と受動的攻撃 Webアプリケーションへの攻撃には2つのパター
【注意】通信事業者から届くSMSに悪意あるメッセージを挿入するスミッシング詐欺 - iPhone Mania
通信事業者からのショートメッセージ(SMS)に、詐欺目的のメッセージを紛れ込ませてURLをクリックさせるスミッシング詐欺が確認されました。ご注意ください。 通信事業者のメッセージに第三者がメッセージを挿入する手口 一般財団法人日本サイバー犯罪対策センター(JC3)と内閣サイバーセキュリティセンター(NISC)は、通信事業者から届くSMSと同じスレッドに、他の者がメッセージを挿入できる手法を用いたスミッシング詐欺が確認された、として注意を呼びかけています。 「スミッシング(Smishing)」は、SMSを悪用したフィッシング詐欺を指す言葉で、スマートフォンの普及とともに増加傾向にあります。 通信事業者からのお知らせと識別困難 これまでは、通信事業者を装ったメッセージが届いても、メッセージが他のスレッドに表示されていれば、受信者が怪しいと気付いて被害を防ぐことができました。 しかし、正規の通信
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
“隠れサーバー”に要注意! 末端のウイルス感染が全社に影響を及ぼしかねない今、Windows Server 2012のサポート終了を前にしておくべきこと[Sponsored]![“隠れサーバー”に要注意! 末端のウイルス感染が全社に影響を及ぼしかねない今、Windows Server 2012のサポート終了を前にしておくべきこと[Sponsored]](https://cdn-ak-scissors.b.st-hatena.com/image/square/4a4b8468798d7c37da96c068e98a28f9acb6fedd/height=288;version=1;width=512/https%3A%2F%2Fcloud.watch.impress.co.jp%2Fimg%2Fclw%2Flist%2F1487%2F629%2F_I2A8843.jpg)
「curl」がv8.0.0に ~開発開始から25年の節目を迎えたメジャーアップデート/比較的軽微な脆弱性6件も修正
「Apache HTTP Server」にセキュリティアップデート ~2件の脆弱性を修正/「Apache 2.4.56」への更新を
マルウェア「Emotet」感染再拡大か? 感染確認ツール「EmoCheck」で検知できないケースも/新たな配布手法に警戒を! JPCERT/CCが注意喚起
sudo に環境変数の検証不備に起因する権限昇格が可能となる脆弱性(Scan Tech Report) | ScanNetSecurity
Titan Security Key - FIDO2 USB-A/USB-C + NFC
サイバーじゃなくても、個人情報漏えいって起きるんだね
「Node.js」にセキュリティ更新 ~最大深刻度は「High」/v14.21.3、v16.19.1、v18.14.1、v19.6.1への更新を