タグ

関連タグで絞り込む (14)

タグの絞り込みを解除

securityに関するnakaha-tのブックマーク (19)

  • ‎Google Authenticator

    What a lifesaver! Everyone needs this! Boy was I stunned when I learned that not everyone in the world uses an authenticator app. I use three! But my favorite by far has got to be Google Authenticator! This app has it all… Simply tap on the number that changes every 60 seconds for your particular site or service (that supports using this form of two factor authentication) and it copies it for you

    ‎Google Authenticator

  • AWS MFAデバイス購入ガイド

    How are wearables going to shape digital marketing strategy in the future?Dean Demellweek, MFA

    AWS MFAデバイス購入ガイド

  • AWS Multi-Factor Authenticationでvirtual MFA devicesとしてGoogle Authenticatorを利用 | DevelopersIO

    AWSで多要素認証を行う AWSでは、パスワードによる認証の他に、多要素認証用デバイスを使った認証も提供しています。最近のエンタープライズシステムでは、多要素認証によるログインが求められていますので、エンタープライズ対応のAWSならではの機能です。しかし、この多要素認証はハードウェアによるトークンが必要で多少使いにくい点がありました。米国から調達する必要もあり日では試しにくい点もありました。先日、AWSの発表により、ハードウェアによる多要素認証の他に、ソフトウェアによる多要素認証も追加されました。使いやすさの点から、今後導入が急激に進むのではと思っています。 ソフトウェアによる多要素認証 AWS Multi-Factor Authenticationのvirtual MFA devicesとして利用できるソフトウェア例は以下です。 AWS Virtual MFA Google Authe

  • AWS News Blog

    AWS Week in Review – AWS Documentation Updates, Amazon EventBridge is Faster, and More – May 22, 2023 Here are your AWS updates from the previous 7 days. Last week I was in Turin, Italy for CloudConf, a conference I’ve had the pleasure to participate in for the last 10 years. AWS Hero Anahit Pogosova was also there sharing a few serverless tips in front of a full house. Here’s a picture I […] Amaz

  • PHPカンファレンス2011で安全なPHPアプリ開発の10の鉄則を聞いてきた。 - piyolog

    PHPカンファレンス2011に朝から参加してきました。昨年に続き2回目の参加です。次期バージョンであるPHP5.4のお話やフレームワークまわりのお話を聞きました。知らないことが多くてドキドキしますね。 各セッションはUSTで閲覧可能(メイントラック、ギークトラック、テックトラック)になっているようです。タイムテーブルを見て興味がある方はぜひご覧になってください。 ここでは徳丸さんのセッション「徳丸に学ぶ安全なPHPアプリ開発の鉄則2011」についてのメモ書きを載せてみます。 USTも貼り付けておきます。 鉄則10 安全なPHP入門書で学習する 逆引き、パーフェクトとかがよさそう。(だけど初心者向けともいえない。) ※それぞれ徳丸さんがレビューされています。問題のない安全なPHP入門書は意外とないみたいです。 PHP逆引きレシピPHP逆引きレシピは概ね良いが、SQLインジェクションに関し

    PHPカンファレンス2011で安全なPHPアプリ開発の10の鉄則を聞いてきた。 - piyolog

  • 紙だけでサイトごとに異なるパスワードを生成する暗号、米研究者が考案 

  • もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog

    たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ

    もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog

  • レインボーテーブル - Wikipedia

    レインボーテーブル (rainbow table) は、ハッシュから平文を得るために使われるテクニックの一つである。特殊なテーブルを使用して表引きを行うことで、時間と空間のトレードオフを実現している。 以降では、このテクニックの元となっているアイディアについて説明する。 3 種類の還元関数を使った簡単なレインボーテーブルの例 レインボーテーブルは「あるハッシュ値に対して総当たり攻撃を行った際の計算結果を、別のハッシュ値を攻撃する際に使用する」というアイデアに端を発する。例えば、平文 Pi (i = 1, 2, ...) と、それらをハッシュ化した値 Ci をテーブルに格納しておき、このテーブルを逆引きすればハッシュ値から対応する平文が得られる。 ただし、この方法では、得られた平文とハッシュ値とのペアを全て記録しておく必要があり、実現には莫大な記憶領域を必要とする。 使用する記憶域の量を削減

    レインボーテーブル - Wikipedia

  • 改訂版 iptablesテンプレート集 第1回 スタティックなパケット・フィルタリング(1/4) − @IT

    この連載では、初心者にとってハードルの高いiptablesの設定を、テンプレートを用いながら紹介していきます。「習うより慣れよ!」の精神でまず試してみてはいかがでしょう。(編集部) はじめに インターネットにつながったサーバやPCの安全性を確保するのにファイアウォールは必須です。専用のアプライアンスやソフトウェア以外に、OSの機能の一部として提供されるものを利用することもできます。 Linuxならば、「iptables」でファイアウォールを実現することができます。iptablesのパケットフィルタリングはLinuxカーネルが提供する機能です。CentOSでもUbuntuでも、どんなLinuxディストリビューションでも利用することができます。 また、単純なパケットフィルタリング以外に、NAT、帯域制御、負荷分散、DoS対策といった高度な機能を利用できます。連載ではそうしたiptables

    改訂版 iptablesテンプレート集 第1回 スタティックなパケット・フィルタリング(1/4) − @IT

  • Google ToolbarやGoogle Chromeで秘密のURLが漏れるといった話 - 最速転職研究会

    http://d.hatena.ne.jp/m-bird/20100402/1270190863 とか http://anond.hatelabo.jp/20100403084111 とか ずいぶん適当なこと書いてあるなと思ったので調べた。 見ているページのURLが送られるかという話 ツールバーは使ってないのでChromeについてだけ軽く検証したので書いておく。検証したバージョンはGoogle Chrome 5.0.366.2 devでモニタに使ったのはFiddler。 見ているページのURLを自動で送信する機能はChrome自体には無い。アドレスバーにURLを貼りつければ検索語句の補完機能が動いて送られることがある。 ただしhttpsの場合はホスト名まで、httpの場合はクエリストリング(URLの?以降)は含まれない。 フォームの自動入力を有効にしたらなんかXMLが送られるけど、これは見

    Google ToolbarやGoogle Chromeで秘密のURLが漏れるといった話 - 最速転職研究会

  • OpenSSH 情報 - [Security][OpenSSH] SSHプロトコルに平文を回復できる脆弱性

    http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txtやCPNI-957037: SSH 通信において一部データが漏えいする可能性, Plaintext Recovery Attack Against SSH - SSH - Company - News, CPNI-957037: SSH 通信において一部データが漏えいする可能性 - セキュリティホール memoによると, SSHプロトコルに設計のエラーがあり, OpenSSHの標準の設定だと, 2の-14〜-18乗の確率で14〜32bitの平文を回復できる可能性があるとのことです(当初32バイトと書きましたが間違いでした, また手法によって確率と回復できる平文のbit数に違いがありました). 攻撃の詳細はわかりませんが, 対策として暗号モードにCTRモードを利用することが挙げ

  • Wizard Bible

    Wizard Bibleは2018年4月22日24時に閉鎖しました。 投稿者や読者の皆様、これまでの間当にありがとうございました。 【2021年6月27日更新】 Wizard Bibleの設立から閉鎖までに至る過程を詳細に述べたが出ることになりました。 『Wizard Bible事件から考えるサイバーセキュリティ』執筆プロジェクト 興味のある方は是非読んでみてください。 Security Akademeiaに戻る

  • 第11回 スクリプトインジェクションを防ぐ10のTips | gihyo.jp

    前回はスクリプトインジェクションがなくならない理由を紹介しました。それをふまえて今回はスクリプトインジェクションを防ぐ10のTipsを紹介します。 デフォルト文字エンコーディングを指定 php.iniには、PHPが生成した出力の文字エンコーディングをHTTPヘッダで指定するdefault_charsetオプションがあります。文字エンコーディングは必ずHTTPヘッダレベルで指定しなければなりません。しかし、デフォルト設定ではdefault_charsetが空の状態で、アプリケーションで設定しなければ、HTTPヘッダでは文字エンコーディングが指定されない状態になります。 HTTPヘッダで文字エンコーディングを指定しない場合、スクリプトインジェクションに脆弱になる場合あるので、default_charsetには“⁠UTF-8⁠”を指定することをお勧めします。サイトによってはSJIS、EUC-JP

    第11回 スクリプトインジェクションを防ぐ10のTips | gihyo.jp

  • IPsecらくらくマスター

    IPsecは,インターネットを介して安全にパケットをやりとりする「インターネットVPN」の定番技術である。その一方で,“最大の難関プロトコル”としても知られている。そのため苦手意識を持っている人も多いのではないだろうか。特集では,ルーター間のトンネル通信という定番のケースに絞り,ここでやりとりされる10個のパケットの理解に全力を傾ける。“日経NETWORK流”の理解法でIPsecをらくらく攻略しよう。 作戦編:難しい理由を探ったら攻略法が見えてきた 実践編:IPsecの利用を実感,設定項目はたったの五つ 攻略編:全体をつかんで逆から見る,日経NETWORK流で理解しよう これで完璧! IPsecのやりとり完全版

    IPsecらくらくマスター

  • ホワイトハッカー道場:ITpro

    組織化された犯罪者たちは,日々,ソフトウエアやシステムのぜい弱性を探し, あの手この手でユーザーやシステムを狙ってくる。ユーザーは犯罪者の手口を見破 り,対策を打つ自己防衛の力を養わなければならない。コンピュータやネットワー クの奥を知り尽くした正義のハッカー「ホワイトハッカー」が,コンピュータ・セ キュリティの深層を解説する。 【ハッカー】 一般に,コンピュータやネットワークに対して深い技術知識 を持ち,技術的な探究心が旺盛な人を指す。 OSの挙動を調べるために,何時間 もかけてソース・コードを読破してプログラミング技術などを磨く。 ボット,スパイウエア,標的型攻撃--。攻撃者の目的が自己顕示欲から金銭を得ることに変わる過程で,ユーザーやウイルス対策ソフトから発見されないようにするテクニックがマルウエアに追加されるようになった。それがルートキットだ。目に見えぬルートキットの恐怖を第一線で

    ホワイトハッカー道場:ITpro

  • プルーフポイント公式サイト | Proofpoint JP

    [脅威プロテクション プラットフォーム] ビジネスメール詐欺(BEC)、フィッシング、ランサムウェア、サプライチェーンなどの脅威を撃退する

  • MDACを新バージョンにアップグレードする方法 - @IT

    MDAC(Microsoft Data Access Components)は、Windowsアプリケーションからデータベースにアクセスするために用意された、汎用的で標準的なインターフェイスの総称である。MDACに含まれるODBC(Open Database Connectivity)やADO(ActiveX Data Object)、OLE DBといったインターフェイスを利用することで、アプリケーションはデータベースの種類やアクセスするテクノロジに依存することなく、汎用的な手順でデータベースにアクセスすることができる。 MDACの歴史は古く、Windows NTの時代からからバージョンアップが重ねられ、その機能は次々と拡張されてきた。Ver. 2.0以降に限っても、Ver. 2.0/2.1/2.5/2.6/2.7/2.8と多くのバージョンが存在する(実際には各バージョンに複数のServi

  • PHP と Web アプリケーションのセキュリティについてのメモ

    このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH

  • SMTP - SPF導入のすすめ : 404 Blog Not Found

    2007年04月15日12:00 カテゴリiTech SMTP - SPF導入のすすめ NNIPFの話題も出たので、SPFについても書く事にします。 SPFって何? Weblioはこう答えてくれました。 SPF とは (Sender Policy Framework) エスピーエフ, えすぴーえふ SPFとは、電子メールの送信元ドメインを認証する方式のひとつである。SMTPの拡張仕様であり、RFC 4408として定義されている。 ここまでの説明は合ってます。が、以下の下りは完璧に間違っています。 SPFでは、あるドメインに対して電子メールを送ることのできるアドレスを、メールサーバーの側であらかじめ送信者のIPアドレスとして管理している。管理よって認証されたアドレスがメールサーバーの保有している情報と整合した場合に限り、そのメールが正当なものとして送信される。 詳しくはRFC 4408または

    SMTP - SPF導入のすすめ : 404 Blog Not Found
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.