Slackに不正アクセス、2段階認証適用を呼び掛け
米Slack Technologiesは3月27日(現地時間)、チーム向けコラボレーションツール「Slack」のユーザー情報データベースに不正アクセスがあったと発表し、謝罪した。 不正アクセスは2月の4日間に行われ、すでに遮断済みという。データベースには、ユーザー名、メールアドレス、ハッシュ化されたパスワードと、オプションで入力された電話番号とSkype IDが含まれている。決済情報などは流出していないという。 影響を受けた可能性のあるユーザーおよびチームはごくわずかで、そうしたチームには既に個別に連絡しており、同社から連絡を受けていないユーザーやチームのデータは流出していないとしている。(この発表と同時に全ユーザーにメールでの告知も行っている。) 同社はまた、新たに2段階認証機能を追加したことを発表し、全チームに適用を強く呼び掛けた。適用方法についてはヘルプページを参照のこと。iOSおよ
クラウドを支えるこれからの暗号技術 - Cybozu Inside Out | サイボウズエンジニアのブログ
サイボウズ・ラボの光成です。 私は先月のDevelopers Summit 2015で、「クラウドを支えるこれからの暗号技術」という講演をいたしました。そのとき、近いうちに詳細なテキストを公開する予定と申し上げました。その準備ができましたので報告いたします。 講演と同じタイトル『クラウドを支えるこれからの暗号技術』のpdfはgithubから取得できます。 2015/6/21追記。このテキストが秀和システムから出版されました。 表題の講演は、主に2000年に入ってから登場した新しい暗号技術の紹介がメインです。そのときのプレゼン資料は3月の時点で4万5千ビューを超えていて、デブサミ資料の中でもかなり上位に入る閲覧数のようです。技術者の暗号に関する関心が高いことを伺わせます。 しかし一般向けの暗号のテキストは、公開鍵暗号の一つであるRSA暗号やElGamal暗号ぐらいしか詳しい原理が記されていな
NginxでHTTPS : ゼロから始めてSSLの評価をA+にするまで Part 1 | POSTD
数年前、Webは全体的に暗号化されていませんでした。HTTPSはWebページの最も重要な部分だけのために確保されていました。暗号化が必要なのは大切なユーザデータだけで、Webページの公開される部分は暗号化せずに送ってもいいということで意見が一致していました。 しかし、 今は 状況 が 違います 。現在では、どんなWebトラフィックでも暗号化されていないのは良くないということが分かっているので、Webサイトを運営する誰もがコンテンツに関係なく強固なHTTPSを設定しなければなりません。 お恥ずかしい話ですが、私自身のWebサイトは2年近くも全くHTTPSをサポートしていませんでした ^(1) 。 Eric Mill の 今すぐ無料でHTTPSに切り替えよう という素晴らしい記事が最終的に私に喝を入れてくれました。私は休暇中、HTTPSをセットアップして Qualys SSL Report で
FREAK についてまとめてみた - piyolog
輸出グレードのRSA暗号をサポートしていたことに起因する脆弱性FREAKに関する情報について関連情報をまとめます。 脆弱性概要 脆弱性の概要情報は次の通り。 愛称 FREAK (Factoring attack on RSA-EXPORT Keysの略) 輸出グレード暗号の強制使用に関する呼称 アイコン 無し CVE OpenSSL:CVE-2015-0204 Apple:CVE-2015-1067 Microsoft:CVE-2015-1637 発見者名 miTLS Inria(フランス国立情報学自動制御研究所)とMicrosoft Researchの合同チーム FREAK Attackの概要 中間者攻撃が行われるまでのFREAK Attackの流れは次の通り。(3月6日更新) MITMの攻撃成立条件 以下の条件が成立する場合、通信内容の盗聴や改ざんの影響を受ける可能性がある。 接続元・
Dockerの諸問題とRocket登場の経緯
2014年の後半あたりからDocker,Docker Inc.への批判を多く見かけるようになった(もちろんもともと懸念や嫌悪を表明するひとはいた).それを象徴する出来事としてCoreOSチームによる新しいコンテナのRuntimeであるRocketのリリースと,オープンなアプリケーションコンテナの仕様の策定を目指したApp Containerプロジェクトの開始があった. CoreOS is building a container runtime, Rocket 批判は,セキュリティであったり,ドキュメントされていない謎の仕様やバグだったり,コミュニティの運営だったり,と多方面にわたる.これらは具体的にどういうことなのか?なぜRocketが必要なのか?は具体的に整理されていないと思う.これらは,今後コンテナ技術を使っていく上で,オーケストレーションとかと同じくらい重要な部分だと思うので,ここ
パスワードの最適変更間隔とその定量的効果の評価
パスワードの最適変更間隔とその定量的効果の評価 twitter:@pseudoidentifie CC0 簡単のために、ユーザが候補とするパスワード選択空間と攻撃者が想定する攻撃パスワード空間は同一とし、個のパスワード候補が含まれるとする。また、攻撃者は、パスワード空間中から、ランダムに攻撃パスワードを順次選択し、攻撃を行うものとする(本攻撃方法は決して典型的な攻撃方法とは限りません)。また攻撃は、秒間隔で実施されるものとする。 ユーザがパスワードの変更を行わない場合、秒で、全パスワードの攻撃が可能であり、ユーザのパスワードを攻撃者は知ることができる。攻撃者がパスワードを知るのにかかる平均時間は以下となる。 次に、ユーザは、をより小さい自然数として、秒間隔でパスワードの定期変更を行う場合を考える(ユーザは個のパスワード候補からランダムにパスワードを選択するものとする)。また、簡単のために、
glibcのgethostbyname関数に存在するCVE-2015-0235(GHOST)脆弱性について - ブログ - ワルブリックス株式会社
glibcのgethostbyname系関数に脆弱性の原因となるバグが発見されCVE-2015-0235(GHOST)と命名されたようです。放置した場合は相当多くのアプリケーションがこの脆弱性の影響を受けることが予想されます。 glibcは libcのGNUバージョンです。libcはアプリケーションではなく、事実上全てのアプリケーションが利用しているライブラリです。OSの中ではカーネルに次いで重要な部分と言えます。Linuxシステムでは(ことサーバー用途においては)例外なく glibcが使われています。 この glibcに含まれる gethostbyname系関数の実装に 2000年頃から存在したバグが今になって発見され、CVE-2015-0235 通称 GHOSTと命名されました。ネットワークで何らかの通信を行うアプリケーションは必ず※この関数を使用します。 ※追記: 名前解決をサポート
Qiita Markdownのコードハイライト部分にXSS脆弱性 - Qiita
はじめてQiitaに日記を投稿します。よろしくお願いします。 先日友人から「レポートを生成するためにQiita Markdownを使っているが、どこかにXSSがある気がする」という話を聞き、これは面白そうだとQiitaを覗きに来てみると、投稿画面にはプレビュー機能が付いているようです。Qiita Markdownをインストールする手間が省けたぞと喜んだあと、Qiita Markdownには一体どんな追加機能があるのだろうかとGoogleというサイトで検索して調べました。 技術系の記事を投稿するためのサービスなだけあって、真っ先にコードハイライトするための記法が見つかったので、それをQiitaの投稿ページに入力してみました。
みずほ銀行のセキュリティ対策が酷すぎるのでまとめてみた - Windows 2000 Blog
目的のページにアクセスするには、アドレスバーの「https://www.mizuhobank.co.jp/〜」を「http://www.mizuhobank.co.jp/〜」に修正し(httpsの”s”を削除)、エンターキーを押してください。 https://www.mizuhobank.co.jp/〜は2014年11月27日よりご利用いただけなくなりました。 https://www.mizuhobank.co.jp/〜でブックマーク(お気に入り)に登録されているお客さまは、http://www.mizuhobank.co.jp/〜に登録先の変更をお願いします(httpsの”s”を削除してください)。 Firefox 18 で、SSL (https) ページ上で非 SSL (http) サイトのコンテンツ読み込みをブロックする設定が追加されました。ユーザのセキュリティを高めるため、これらの
みずほ銀行
みずほには、 渋沢栄一が生きていた。 有働由美子アナウンサーと〈みずほ〉社員の対談動画を みずほジャーナル特設サイトで公開中!
2段階認証はAuthyが便利 | DevelopersIO
アプリのインストール 電話番号とEmailを登録 電話番号とEmailを登録します。 認証 続いて認証 今回はSMSを選択しました。 登録した電話番号宛にpinコードが送られるので認証します。 プラスボタンを押して次へ進みます。 バックアップ設定 Authyは2段階認証のデータを暗号化してコピーしておいてくれるので携帯電話をなくしたり、壊したりしてもバックアップパスワードさえ覚えておけば復元がきるようですのでバックアップパスワードの設定をします。 バックアップパスワードを入力します。 再度入力します。 Scan QR Code あとはGoogle Authenticatorなどと同じようにQRコードを読み込んで使用します。 QRコードを読み込むとアカウントネームの編集やロゴの選択ができます。 ロゴはこんなにたくさん用意されています。 今回はAWSのロゴを選択してみました。 MFAコードが表
開発者向けサービスのビジネスが成功する時代に - cakephperの日記(CakePHP, Laravel, PHP)
CircleCIのブログに、「Developers Matter: New Relic IPOs」という記事がありました。 2011年当時、投資家から開発者向けのサービスで稼ぐのは難しいと言われたが、最近はNewRelicのIPOもあって、開発者向けのツールやサービスが注目されるようになった。これはまだ始まりであって、CircleCIのようなサービスがどんどん出てきてビジネスとして成功していくだろう、とのこと。 必要なものは自分たちで買って構築して運用してというスタイルから、良いツールをうまく運用してくれるサービスを使って組み合わせる時代になってきました。やはり、メインビジネス以外のところを自前主義でがんばったとしても効果は限定的ですし、運用コストもかかるし、時代の流れについて行くのが難しくなってきているからでしょう。 私が関わっている継続的セキュリティテストサービスVAddyも同じ開発者
技術評論社のWebサイトが改ざんされた件をまとめてみた - piyolog
2014年12月5日11時頃から、技術評論社のWebサイトを閲覧すると別のサイトに転送される事象が発生しました。ここではその関連情報をまとめます。 公式発表 12/6 サーバ障害のお詫び 12/8 弊社ホームページ改ざんに関するお詫びとご報告 技術評論社Twitterアカウントのアナウンス(一部) 【本日11時ころより発生してる状況について】本日11時ころ,サーバ管理ツールに侵入されサーバそのものを入れ替えることにより,外部サイトにリダイレクトされるように設定されました。危険なサイトである可能性があるため,現状アクセスしないでください。— gihyo.jp (@gihyojp) 2014, 12月 6 サーバOSそのものへの侵入ではなく,OSの入れ替えが行われたため,情報漏洩等は確認されておりません。詳細は後日改めてご報告いたします。 ご報告が遅れておりますことをお詫びいたします。— gi
ログインアラートはパスワード定期的変更の代替となるか
パスワードの定期的的変更には実質的にはあまり意味がないのではないかという議論(疑問)から出発した議論を続けておりますが、こちらなどで表明しているように、パスワードの定期的変更が効果をもつ場合もあります。 そこで、本稿ではパスワードの定期的変更の代替手段としてログインアラートの運用に着目し、ログインアラートの運用がパスワードの定期的変更の代替となるのか、残る課題は何かについて検討します。 パスワード定期的変更の効果まとめ まず前提条件について説明します。ウェブサイトAの利用者xが自身のパスワード voc3at を定期的変更として変更する(voc3atはあくまで例です)場合、これが効果を発揮する条件と効果は、以下と考えられます。条件1と条件2はAND条件です。 条件1: パスワード voc3at が既に漏洩していて、今後悪用される可能性がある 条件2: パスワード漏洩に利用者 x は気づいてお
stringsコマンドに脆弱性 | スラド セキュリティ
ストーリー by hylom 2014年10月31日 6時00分 libbfdを使っているほかのプログラムでも問題が生じる可能性 部門より binutilsに含まれるstringsコマンドに脆弱性が発見された(CVE-2014-8485、lcamtuf's blog)。 stringsは引数で指定したファイル内にある文字列を標準出力に出力するというコマンド。発見された脆弱性は細工されたファイルに対しstringsコマンドを実行してしまうと、任意のコードが実行される可能性があるというもの。stringsコマンドが内部で利用しているlibbfd(Binary File Descriptor library)での処理に問題があり、細工されたファイル内のコードが実行される可能性もあるようだ。 とりあえず、stringsコマンドを「-a」オプション付きで実行することでこの問題は回避できるとのこと。
名前を付けること、生命を吹き込むこと - cakephperの日記(CakePHP, Laravel, PHP)
最近リリースした継続的セキュリティスキャンサービスVAddy(バディ)の話です。 http://vaddy.net VAddyのプロモーション動画はこちら。 1年前ぐらいにVAddyのざっくりしたコンセプトはあって、 どの方向で行くべきか、どのような世界を目指すべきかという議論を散々やってました。 まだその頃には名前がなくて、security, scan, test, Continuousなどの文字から何かサービス名を考えていました。 でも全然しっくりくる名前が出なくて2ヶ月ぐらいしたころには、とりあえず住んでる地名(Chihaya)でも良いんじゃない?とか冗談がでる始末。 2ヶ月ずっと考えていた末に出たのが、VAddyでした。 Vulnerability Assessment is your Buddy(脆弱性診断はあなたの相棒)の省略形です。 VAddyの言葉が浮かんだ時はすごく興奮し
WordPressに仕込まれたマルウェアのコードが恐ろしすぎた
『Googleから「マルウェアに感染している」という警告が届いたので、調査して欲しい』という依頼を受けて、とあるサイトの調査をしたところ、どうやらWordPressにマルウェアが仕込まれている模様。 かなり時間を掛けて広範囲にヤラれていたので、マルウェアをすべて取り除くのに苦労したのですが、その際に見付けたマルウェアが中々恐しいものだったので、ここに書き残しておきたいと思います。 なお、真似してマルウェアを作られても困るので、ソースの一部を画像で載せることにします。 ## マルウェアのソースを人間に読めるようにしてみる では、早速マルウェアの中身を見てみましょう。 まず、いきなり始まるコメント行。そして、長くて一見ランダムに見える文字列。 そして2行目でランダムに見える文字列を base64_decode() し、eval() しています。base64_encode()しているのは、ソース
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
添付ファイルにパスワードをかけ、別メールで送る無意味な行為について - Windows 2000 Blog
GoogleがWebでのSHA-1の利用停止を急ぐ理由 | POSTD
パスワード管理アプリ『1Password』Mac版,iOS版,Windows版一斉セール!買うなら今だ! | IT大好き!
