タグ

Securityとsecurityに関するmanatenのブックマーク (47)

  • httpsだからというだけで安全?調べたら怖くなってきたSSLの話!? - Qiita

    課題 サイトをを立ち上げるときに当然のごとくSSL証明書をベンダーから購入して設置していたが、いざセキュリティ診断等でチェックしてもらうとSSLについての指摘を何件か受けてみた。なんでだろうと思いながらも、さらに最適なSSL設定は?と聞かれてそういえばあまり昔から手を入れたことなかったなと思い調べてみた SSL通信が確立するまでの概要フロー SSL通信について再度おさらい Nginxを元にしたSSLの設定 nginxのHTTPS サーバの設定を参考に、たった2行だけどSSLを考えてみる。書き方は違えどもapacheも概念は一緒のはず。

    httpsだからというだけで安全?調べたら怖くなってきたSSLの話!? - Qiita
  • Googleグループがあまりにも情報ダダ漏れ状態で失神した - Hagex-day info

    ゲスッ子Hagexも今回は「ためいきロ・カ・ビ・リー」を思わず熱唱しました。 ためいき♪ ロカビリー♪ 心を乱す南風♪♪ よくわからない導入になってしまいましたが、みなさんは、Googleグループというサービスをご存じでしょうか? その名の通り、Googleが運営しているサービスで、メーリングリスト的なサービスを簡単に始めることができます。手軽に利用できる反面大きな問題もあり、なんと初期設定では「投稿されたメールがすべて第三者でも見られてしまう」のです。 先日、官公庁や病院がGoogleグループを利用し、情報がダダ漏れ状態なのを読売新聞にスッパ抜かれ、ニュースになりました。 ・内部メール誰でも閲覧「グーグルグループ」利用(読売新聞) そして、昨日はECサイトがGoogleグループを利用し、顧客情報が漏れているという指摘のエントリーが注目されました ・EC サイトの使用を即刻辞めろ!!!(s

    Googleグループがあまりにも情報ダダ漏れ状態で失神した - Hagex-day info
  • 不正アクセス(JINS オンラインショップ)に関する調査報告(中間報告) (PDF)

    平成 25 年3月 15 日 各 位 上 場 会 社 名 株式会社ジェイアイエヌ (コード番号:3046 JASDAQ スタンダード) 代 表 者 代表取締役社長 田 中 仁 問合せ先専 務 取 締 役 中 村 豊 管 理 部 長 電 話 番 号 TEL(03)6406-0120(代表) U R L http://www.jin-co.com 不正アクセスによるお客様情報流出の可能性に関するお知らせとお詫び このたび、当社が運営する「JINS ONLINE SHOP(http://www.jins-jp.com/)(以下、 」 「サイ ト」といいます。 )のウェブサーバに対して、外部からの不正アクセスがあった事が判明いたし ました。 件に関して、現時点で判明している不正アクセスの概要と対応について、下記のとおりご報 告いたしますとともに、お客様をはじめとする皆様に対し、

    manaten
    manaten 2013/03/15
    クレカ情報全漏れ12000件の可能性とかヤバス
  • Refused to execute a JavaScript script. Source code of script found within request

    manaten
    manaten 2013/02/15
    webkitでは、POSTに含まれるscriptタグ(iframeも?)をそのままresponse bodyに含めようとすると、XSSとみなして表示してくれない。これを回避するには、httpヘッダに X-XSS-Protection:0 を含める。
  • QA@IT サービス終了のお知らせ - @IT

    平素よりQA@ITをご利用いただき、誠にありがとうございます。 QA@ITは「質問や回答を『共有』し『編集』していくことでベストなQAを蓄積できる、ITエンジニアのための問題解決コミュニティー」として約7年間運営をしてきました。これまでサービスを続けることができたのは、QA@ITのコンセプトに共感をいただき、適切な質問や回答をお寄せいただいた皆さまのご支援があったからこそと考えております。重ねて御礼申し上げます。 しかしながら、エンジニアの情報入手方法の多様化やQAサービス市場の状況、@ITの今後のメディア運営方針などを検討した結果、2020年2月28日(金)15:00をもちましてQA@ITのサービスを終了することにしました。 これまでご利用をいただきました皆さまには残念なお知らせとなり、誠に心苦しく思っております。何とぞ、ご理解をいただけますと幸いです。 QA@ITの7年間で皆さまの知識

    QA@IT サービス終了のお知らせ - @IT
    manaten
    manaten 2012/12/21
    "・入力しようとするページが正規のものであることの保証・入力画面が改ざんされていないという保証"
  • ステップ2 [セキュリティ対策] セッションIDを暗号化,URL埋め込みは危険

    セッション・ハイジャック,セッション・フィクゼーション,クロスサイト・リクエスト・フォージェリの三つがある。せっかく認証を受けたセッションであっても,他人に悪用されてしまうことがある。 セッション・ハイジャックは,セッション管理におけるセキュリティ上の最大の脅威だ(図2-1の1)。クラッカが盗聴や推測などでユーザーのセッションIDを入手し,そのセッションIDを使ってWebサイトにアクセスする。いわゆる「成りすまし」である。クラッカからのWebアクセスを受け付けたWebサイトは,セッションIDから正規のユーザーだと誤認識してしまうわけだ。 2番目のセッション・フィクゼーションは,セッション・ハイジャックと同じ成りすましに使われるものだが,攻撃方法が複雑だ(同2)。 セッション・フィクゼーションを試みるクラッカは,WebサイトにアクセスしてセッションIDを取得する。ただしクラッカは,ログインま

    ステップ2 [セキュリティ対策] セッションIDを暗号化,URL埋め込みは危険
  • Secure Hash Algorithm - Wikipedia

    Secure Hash Algorithm(セキュアハッシュアルゴリズム)、略称SHAは、一群の関連した暗号学的ハッシュ関数であり、アメリカ国立標準技術研究所(NIST)によって標準のハッシュ関数Secure Hash Standardに指定されている。 概要[編集] (2017年現在)SHA-0、SHA-1、SHA-2、SHA-3の4種類(ないし、SHA-0はSHA-1に含めて3種類)に大別される。SHA-2まではMD5などと同じ Merkle–Damgård construction(en:Merkle–Damgård construction)のバリエーションと言える構造だが、SHA-3 は全く別の構造となっている。SHA-2 以降はハッシュサイズを大きくしたバリエーションが用意されており、SHA-2には、SHA-224、SHA-256、SHA-384、SHA-512、SHA-512

  • github の mass assignment 脆弱性が突かれた件

    Github に脆弱性。やった人は Rails に有りがちな脆弱性を issue に挙げていたが相手にされず、実際にそれを突いてきた。一見 childish だが、それだけ簡単に脆弱な実装がなされてしまうということだ。週明けの今日、Rubyist はまず関連情報に一読を。 — Yuki Nishijima (@yuki24) March 4, 2012 気になって調べたのでメモ。自分も気をつけないとなー。 Public Key Security Vulnerability and Mitigation - github.com/blog/ github に脆弱性があってそれが突かれたらしい。 Rails アプリにありがちな脆弱性の一つ、Mass assignment とかいうタイプの脆弱性である。 mass assignment 脆弱性とは mass assignment 脆弱性とは何か、

  • 高木浩光@自宅の日記 - 話題の「カレログ」、しかしてその実態は。

    ■ 話題の「カレログ」、しかしてその実態は。 ここ数日、テレビのワイドショーで連日取り上げられている「カレログ」だが、以下の話はまだマスメディアでは取り上げられていないようだ。 カレログのサービスが開始されたのは8月29日だったが、9月1日にリイド社から「GALAXY S2 裏活用バイブル」というエロ*1が出版されていた。このの企画・編集を担当したのは、有限会社マニュスクリプトであり、カレログのサービス提供者と同一であることが判明している。 このの表紙には以下のように、「スクープ!! (秘)アプリで彼女の動きをGPSでリアルにチェック!」と書かれている。 何のことかというと、まさに「カレログ」の紹介記事である。 「禁断! ギリギリ裏アプリ徹底研究」という最終章に掲載されており、以下のように、「大事な彼女の行動を追跡チェック!」、「悪用厳禁! 究極のストーキングアプリ!」、「パートナー

    manaten
    manaten 2011/09/11
    これはひどい
  • webアプリケーションの脆弱性とは? - OKWAVE

    こんにちは! 「フォームを勝手にサブミットしてしまう」 その認識でだいたいあってます!たぶん! そのmixiの例だと、 入力画面 → (送信1) → 確認画面 → (送信2) → 完了 ってなるわけですが、 いくら確認画面が間にあったところで、 (送信2)の部分を「勝手にサブミット」しちゃえばいいわけです。 ※ただし今のmixiや、ちゃんとしたwebサービスは送信時にトークンをつけるとかCSRF対策してるのでできません 実際の攻撃の例としては、mixiやtwitterなどの多くの人が繋がっている投稿型サイトで、 「こんにちはこんにちは!! このリンク先すごいよ! http://~」 のような書き込みをしておき、 そのリンク先でformJavaScript等で「自動的に勝手にサブミット」してしまいます。 画面には何も表示されなくてもかまいません。 そしてさらに勝手に書き込む内容を 「こんに

    webアプリケーションの脆弱性とは? - OKWAVE
  • 間違いだらけの「かんたんログイン」実装法

    今回は、そのかんたんログインの問題点について説明します。 「契約者固有ID」を用いるかんたんログイン かんたんログインとは、携帯電話の「契約者固有ID」を用いたログイン手法です。 第1回で説明したように、携帯電話のブラウザのリクエストヘッダには契約者固有IDと呼ばれるIDを付けることができます。契約者固有IDは、携帯電話事業者によって詳細は異なりますが、すべての携帯電話事業者が対応しています。 図1は、NTTドコモの携帯電話がサポートしている契約者固有IDである「iモードID」がサーバに送信される様子です。この情報は、ユーザーがそれと意識することなく送信されます。携帯電話のかんたんログインとは、契約者固有IDのみを用いて認証を行い、ログイン機能を実現することです。 かんたんログインは、ベーシック認証のようにIDとパスワードを管理する必要もなく、Cookieのように対応する端末を考慮する手間

    間違いだらけの「かんたんログイン」実装法
  • 11/30『岡崎市立中央図書館事件』に関する三菱電機インフォメーションシステムズ記者会見:津田大介さんによるtsudaりまとめ #librahack '

    三菱電機の子会社が全国の公立図書館に納入している図書館システムで不具合が起こり、個人情報が流出。 また、蔵書を検索しただけで「サイバー攻撃」と誤解された男性が偽計業務妨害容疑で逮捕された事件に関する三菱電機インフォメーションシステムズの記者会見。 津田さんによる実況ツイート 図書館システム不具合…三菱電機系|YOMIURI ONLINE 続きを読む

    11/30『岡崎市立中央図書館事件』に関する三菱電機インフォメーションシステムズ記者会見:津田大介さんによるtsudaりまとめ #librahack '
  • 世界的猛威を奮ったTwitterマウスオーバー・バグはどう広まった?

    世界的猛威を奮ったTwitterマウスオーバー・バグはどう広まった?2010.09.22 10:305,218 satomi これは今朝世界中を席巻したTwitterバグにやられたブラウン元英首相夫人のTwitter公式サイト。巨大な英文字「h」が出て、日のポルノサイトに自動リンクしてます...なんとまあ...。 ツイッター公式Webでリンクをマウスオーバーすると、フォロワーにスパムやポルノがリツイート(RT)されちゃう、この「マウスオーバーバグ」。いやあ、ひどかったひどかった。世界中にみるみる野火のように広まって一時はどうなることかと思いましたよ。 サードパーティーのアプリ使ってる人は大丈夫です(バグったRTもそっちで削除できます)が、twitter.com開いてこんな状態なっててビックリこいた人も多いんじゃ? これはTwitterのサイトにあるクロス・サイト・スクリプティング(XSS

    世界的猛威を奮ったTwitterマウスオーバー・バグはどう広まった?
    manaten
    manaten 2010/09/23
    Twitterマウスオーバー・バグってタイトルから既にこの方面の知識が足りない匂いが・・・
  • iPhoneユーザーは絶対逃げられない! つなぐと削除した全データ&利用履歴まで丸裸に一発流出させるUSBスティック発売中

    iPhoneユーザーは絶対逃げられない! つなぐと削除した全データ&利用履歴まで丸裸に一発流出させるUSBスティック発売中2010.08.19 23:006,306 どこへ行ってたかまで丸わかりに... iPhoneに専用ケーブルで接続すると、遠い昔に削除したメールからマップで訪れた履歴の一覧に至るまで、ほぼあらゆるデータをPC上で一発表示可能にしてしまう恐るべき「iPhone Spy Stick」が発売中ですよ! メールやSMS、アドレス帳、予定表などの全テキスト情報、通話履歴、インターネットの閲覧履歴、写真、音声メモ、マップの検索およびGPS情報履歴、iPhoneの設定に至るまで、もう消し去ったと思っていたものも含めて、ありとあらゆる中身を丸裸に洗い出されちゃいます。恐ろしいですね。 BrickHouse Securityが、バックアップされていなかったiPhoneでも安心してデータ復

    iPhoneユーザーは絶対逃げられない! つなぐと削除した全データ&利用履歴まで丸裸に一発流出させるUSBスティック発売中
  • not found

    manaten
    manaten 2010/08/16
    この感じ・・・ウィルスか / 91にあったか / 趣味で製作したウィルスがP2Pで流出しちゃったんです><って言えばいいのにね
  • 【2ch】ニュー速VIPブログ(`・ω・´)

  • 続・日大人事がつこうて個人情報流出、W不倫SEX、裏口、痴漢、医療ミス、大麻、政党絡み文書:ハムスター速報

    続・日大人事がつこうて個人情報流出、W不倫SEX、裏口、痴漢、医療ミス、大麻、政党絡み文書 カテゴリニュース 1 : ギンユゴイ(神奈川県):2010/04/27(火) 02:32:40.00 ID:dyJxPb7J [写真集][IV] karasawa(20100425-004951)のアルバム.zip 147,350,569    a662xxxxxxc91e6bfc8e906f1f22846ff35062ce (S) (S) [Share]  直接のハメは無いが、そこそこ可愛い彼女のヌード数十枚。 別の女性の下着姿もあるし、こりゃ不倫だな。 [殺人] karasawa(20100425-004951)のメール.zip 607,827,993   8bfcaxxxxxx2e9c36e663ebf4d8c69829967e117 (S) (S) [Share]  [殺人] karasaw

    manaten
    manaten 2010/04/27
    P2Pによる情報漏えいの一番怖いところはν速民におもちゃにされることだな
  • 高木浩光@自宅の日記 - ここまで破綻しているケータイID認証(簡単ログイン)

    ■ ここまで破綻しているケータイID認証(簡単ログイン) 2009年夏、はてなブックマーク界隈では「かんたんログイン」が危ういという話題で持ち切りだった。IPアドレス制限をしていても突破できてしまうのではないかという話だった。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフトバンクの携帯用GatewayPCで通る方法があるようです, ke-tai.org, 2009年8月4日 これは要するに次のような話だった。 まず、SoftBankの携帯電話で特定のAPN mailwebservice.softbank.ne.jp でネット接続して、所定のProxyサーバ sbwap

  • 日大医学部人事のファイル流出!医療ミス、大麻もみ消し、セクハラ、政治がらみの危険文書も:ハムスター速報

    日大医学部人事のファイル流出!医療ミス、大麻もみ消し、セクハラ、政治がらみの危険文書も カテゴリニュース 1 : 土鍋(長野県):2010/04/25(日) 23:40:43.15 ID:G2Aa5iYf [写真集][IV] karasawa(20100425-004951)のアルバム.zip 147,350,569   a662867xxxxxe6bfc8e906f1f22846ff35062ce [Share]  直接のハメは無いが、そこそこ可愛い彼女のヌード数十枚。 別の女性の下着姿もあるし、こりゃ不倫だな。 [殺人] karasawa(20100425-004951)のメール.zip 607,827,993  8bfcadaxxxxxe663ebf4d8c69829967e117 [Share]  [殺人] karasawa(20100425-004951)のキンタマ.zip 19

    manaten
    manaten 2010/04/26
    だからどうしてもP2Pやるのなら専用のPCでも買えと・・・と書き込もうと思ったけど、購入することをやめたのが割れ厨だった
  • 高木浩光@自宅の日記 - ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を

    ■ ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を 昨年示していた、 やはり退化していた日のWeb開発者「ニコニコ動画×iPhone OS」の場合, 2009年8月2日の日記 日の携帯電話事業者の一部は、「フルブラウザ」にさえ契約者固有ID送信機能を持たせて、蛸壺の維持を謀ろうとしているが、iPhoneのような国際的デファクト標準には通用しないのであって、今後も、他のスマートフォンの普及とともに、蛸壺的手法は通用しなくなっていくであろう。 そのときに、蛸壺の中の開発者らが、このニコニコ動画の事例と同様のミスをする可能性が高い。「IPアドレス帯域」による制限が通用しない機器では、アプリケーションの内容によっては特に危険な脆弱性となるので、関係者はこのことに注意が必要である。 の懸念が、今や、さらに拡大し、ケータイ業者のみならず、一般のシステムインテグレータの思考