DMARC をなめるな - 弁護士ドットコム株式会社 Creators’ blog
Gmailが「メール送信者のガイドライン」を改訂し、なりすましメールへの対策を強化する旨を発表しています。今までは原則、なりすましメール対策の有無にかかわらず、メールはいちおうは届いていました。しかし今後は、なりすましとみなされたメールは届かなくなる方向に向かいつつあります。 なりすましメールとみなされないようにするために、メール送信者には、「メール送信ドメイン認証」への対応が求められます。メール送信ドメイン認証の技術には、主に以下の3つがあります。 SPF: Sender Policy Framework (RFC 7208) DKIM: DomainKeys Identified Mail (RFC 6376) DMARC: Domain-based Message Authentication, Reporting, and Conformance (RFC 7489) SPFは従来
「辞書に載っている単語を含めてはいけない」「120日ごとに新しくパスワードを設定すること」などバカげたパスワードのルールを持つサイトを集めた「Dumb Password Rules」
デバイスやウェブサービスのアカウントにパスワードを設定する際は、不正アクセスなどを防ぐために「文字数を長くする」「単純な数字や単語を使わない」といった対策を取るのが一般的です。しかしパスワードを設定する際に「大文字を1字以上追加してください」などのエラーメッセージが表示された経験がある人も多いはず。エンジニアのduffn氏が複雑なパスワードのルールを設定しているさまざまなウェブサイトについて「Dumb Password Rules」でまとめています。 Dumb Password Rules https://dumbpasswordrules.com/ duffn氏はDumb Password Rulesを作成した理由について「複雑なパスワードのルールに遭遇すると私は非常にイライラします。私はこれらのパスワードのルールがどれほどバカげているかを皆さんに知らせたいと思いました」と述べています。
アカウントが乗っ取られたら・・・ | Recruit Tech Blog
こんにちは。リクルートCSIRTのきっかわです。 リクルートCSIRTでは、定期的にアカウントが乗っ取られた!という相談をよく受けます。では、どのように乗っ取られるのでしょうか?ヒアリングをしてみると多くが以下のケースでした。 ・別のWebサービスがログイン情報を漏えいしていた。 ・その別のWebサービスとログイン名とパスワードが同じだった。 いわゆるリスト型攻撃で乗っ取られているケースです。ログイン情報を多くのサービスで使い回しているとこうした乗っ取りが行われる可能性があります。みなさん、ログイン情報を使い回していませんか? 乗っ取られるとどのようなことが起こるでしょうか。相談を受けたケースの被害は、怪しいリンクのメッセージを送るケースが大半でした。リンクが無意味なものなら良いですが、ウイルスなどをインストールさせるものだったら大変です。 また、Google Driveのようなクラウドス
IIJ SmartKey|スライド認証・ワンタイムパスワード管理
IDとパスワードによる認証だけではなく、IIJ SmartKeyで認証することで、両方の認証が成功した場合にログインできます。 万が一、パスワードが流出してしまっても、あなたのスマートフォンを持っていない限り、第三者はログインすることができません。 利用するWebサイトごとにワンタイムパスワードトークンを持つ必要はありません。あなたのスマートフォンがすべてのWebサイトのたった1つの “鍵” になります。 第三者があなたのスマートフォンを操作しようとしても、Touch IDやパスコードによるアプリロックを設定しておけば、IIJ SmartKeyを起動できません。 意図しない誤操作や不正操作を防ぐ、安心機能です。 スマートフォンを機種変更するときに、サービスの登録をやりなおす作業は面倒です。 IIJ SmartKeyなら、設定をQRコードでエクスポートできるので、それを新機種からスキャンする
ウィルス感染でWebサービスが20日間ダウン。本当にごめんなさい - Qiita
障害が起きたWebサービスは個人で運営しているサービスです。 2016年2月、障害から20日後にサービス再開しましたがアクティブユーザは以前の18%です。未だ回復の目処は立っていません。冗長化していないサーバがウイルス感染し、その後の対応も後手後手に回ってしまいました。 2016年1月末に起こるべくして起こった障害について記事にしてみました。ご迷惑をお掛けしてしまい本当に申し訳ありません。 ■ ユーザは、もう戻ってこない どんなウイルスに感染したのか SYNフラッド攻撃(SYN Flood Attack)を他のWebサイトに行うウイルスに感染して、確認していませんが他のサービスをSYNフラッド攻撃していたと思います。またウイルス感染時にサーバのsshdを書き換えられsshで接続できなくなりました。感染後にコンソールログインして書き換えられた醜い authorized_keys を見た時ゾッ
グーグル サイバー攻撃マップを公開 NHKニュース
世界各国で脅威が増しているサイバー攻撃が、実際に今、どの国からどの国に対してどれだけ行われているかを一目で分かるようにしたホームページの公開を、アメリカのIT企業、グーグルが始めました。 「デジタル・アタック・マップ」と名付けられたこのホームページは、サイバー攻撃に対する意識を高めてもらおうと、グーグルが21日から公開を始めました。 このホームページでは、インターネットのセキュリティー会社から提供されたデータを基に、政府機関などのコンピューターのサーバーに大量のデータを送りつけて、つながりにくくする「DDoS攻撃」と呼ばれるサイバー攻撃を実況で表示しています。 地図上では攻撃に使われたデータの量が線の太さで示され、攻撃の発信元の国と攻撃対象の国を線で結んでいるほか、発信元などが分からない攻撃の場合は上下に伸びた線で示しています。 また、発信元も攻撃対象も国内の場合は円で示しています。 グー
Facebook、偽名を使うユーザーの調査を打ち切る
※この記事は本社サイト「Naked Security」掲載の記事を翻訳したものです※ by Lisa Vaas on September 26, 2012 Facebook は、サイト内で別名を使う友人を報告するようにユーザーに求める調査を打ち切りました。 実名のプライバシーをめぐる騒動は、あるユーザーが Facebook によるこの調査のスクリーンショットをツイートしたことをきっかけに始まりました。Facebook はユーザーに対して友人のアカウント名、プロファイルの写真、および地域を提示し、その友人のユーザー名が実名であるかどうかを質問していました。 Facebook に友人が実名を使っているかどうかを聞かれたら、あなたならどう答えますか? Facebook が TPM に認めたのは、数か月間にわたって友人のユーザー名に関する調査の実験を行っていたという内容でした。しかし調査の規模、期
Gmailの成りすまし事件、傾向と対策
池田信夫氏のGmailアカウントがハックされて、寸借詐欺メールが送信されたようです。 Gmailの振り込め詐欺にご注意池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す私の周囲でも、知人が同種の被害にあっていますので、他人事ではない気がします。池田氏が被害にあった原因は不明のようですが、このエントリではその原因を予想(妄想)し、対策について検討します。 池田氏の主張:twitter連携アプリからの漏洩池田氏は自らのブログエントリで以下のように主張しています。 Gmailのパスワードを知らせたことはないのですが、ツイッターと共通にしていたため、「連携アプリ」を認証するときパスワードを入力します。これはシステム側に通知されないことになっていますが、悪意をもって偽装することは容易です。かなりあやしげなアプリも含めて20ぐらい使っていたので、そこから推測してGmailにログインされ
無料でDropbox・SkyDriveなどを国家レベルの暗号化で自動的に保護する「Cloudfogger」
アメリカ国防総省の諜報機関であるNSA(アメリカ国家安全保障局)も使っている「AES」方式によっていちいちパスワードを入力する必要の無いシンプルな透過型の暗号を自動的に施してくれるソフトが「Cloudfogger」です。Dropbox・Box.net・SkyDriveなどと組み合わせて利用でき、暗号化したファイルを特定の相手だけに閲覧させることもできます。インストール・操作方法は以下から。 Cloudfogger - Free File Encryption for Dropbox and the Cloud http://www.cloudfogger.com/en/home/index.aspx ◆インストール 上記サイトの「Cloudfogger Download」をクリック。 「Cloudfogger_Setup.exe」をクリック。 「Next」をクリック。 「I accept
ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech Blog)
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリストの戸田 薫です。 今回は、私たちが普段からヤフーのシステムに対する入力にどのような注意を払っているのか、そのいくつかをご紹介致します。 入力とは? Webサイトを運営している場合、どのような入力があるでしょうか? たとえば、Webサービスには、以下の入力があります。 Cookie URL GET/POSTのデータ ファイルのアップロード その他リクエストヘッダ そのほかにもいくつもあります。 環境変数 設定ファイル クローラが取得したデータ パートナー企業のAPIから取得したデータ(XMLやJSONなど) パートナー企業の入稿用 F
飛ぶ前にbit.lyやTinyURL等の短縮URLの飛び先を調べられるjQueryプラグイン「longshore」:phpspot開発日誌
飛ぶ前にbit.lyやTinyURL等の短縮URLの飛び先を調べられるjQueryプラグイン「longshore」 2010年08月04日- longSHORE - The missing URL service 飛ぶ前にbit.lyやTinyURL等の短縮URLの飛び先を調べられるjQueryプラグイン「longshore」。 bit.ly なんかで短縮されたURLの上にカーソルを合わせると次のようにポップアップが表示され、リンク先に関する情報が分かります。 なんと、驚くことに545のURL短縮サービスに対応しています。 →対応サービスはこちら 実装は、単にプラグインを読み込むだけで超簡単ですね。 英語部分は直接日本語化しちゃえばすぐ使えそうです。 関連エントリ PHP25行で書くURL短縮プログラム PHPからbit.lyやtr.im等のURL短縮サービスをまとめて扱える「PEAR::
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Amazon Alexa」対応のスマートスピーカーによる残高照会・入出金明細照会の提供開始について(1/2) : 三井住友銀行
Google、「Gmailが届くまで」の図解と動画を公開
Loading...
http://cloud-girl.com/
はてなブログ | 無料ブログを作成しよう