「柔軟性」と「中立性」を核とするCustomer Identity CloudとWorkforce Identity Cloudにより、顧客、従業員、パートナーのシームレスで安全なアクセスを実現します。
オープンソースの暗号通信ライブラリである OpenSSL に、情報漏えいの脆弱性が発見されました。 この脆弱性を悪用された場合、本来秘匿すべき情報(暗号通信の内容や、暗号に使う秘密鍵など)が漏えいする可能性があります。 一般利用者が知らないうちに、攻撃者はこの脆弱性を悪用してサーバのデータを窃取できます。その結果、たとえば以下のことが起こり得ます: 利用者が攻撃者になりすまされる可能性があります(攻撃者が利用者の ID やパスワードを窃取した場合) 攻撃者に暗号通信を解読される恐れがあります(攻撃者が秘密鍵を窃取した場合) 既に、当該脆弱性を悪用できる攻撃コードが公開されており、その攻撃コードを用いたと思われる通信も観測されているとの情報があるため、至急、対策を実施して下さい。 脆弱性の解消 The OpenSSL Project または OS ベンダ等から提供されているアップデート、修正
こんにちは KOBA789 です。前回に引き続き Capy のパズルタイプを突破するお話です。 Capy がより堅牢な CAPTCHA ソリューションにためには突破するためのアルゴリズムを公開することが重要だと考え、解説をするに至りました。 ちなみに今回紹介するアルゴリズムは前回の記事とはまったく別物です。今日の夕方頃、Capy に仕様変更があり、背景画像のバリエーションが増えたようです。前回紹介したアルゴリズムはそのような仕様変更でほぼ無効化されると思われます。しかし、今回紹介するアルゴリズムはそのような変更の影響を原理的に受けません。影響を受けない理由も考えて解説をお読みいただければと思います。 Capy とは 前回の記事では執筆時間の関係で端折ったのですが、今回は少しまともに解説をしておきましょう。 公式サイトより引用します。 Capyが提供する国際特許出願済のソリューションは、“セ
2013年11月07日掲載 お詫び 本学学生による本学学務情報システムへの不正アクセスについて 本学国際社会学部学生が、本学学務情報システムに不正にアクセスしたことが去る10月29日に判明しました。 これは、当該学生が、本学学務情報システムに偽装したフィッシングサイトを作成のうえ、本学教務課を名乗り偽装サイトへの誘導メールを、10月24日から26日までの間に、主に国際社会学部を中心とする多数の学生に送信したものです。この誘導メールを受信した学生のうち、一部学生が偽装サイトにアクセスし、ユーザIDとパスワードを入力しました。当該学生はこの情報を使って本学の学務情報システムに不正にアクセスしたとみられています。 本学は、事件の発覚後、直ちに不正アクセスの特定に努め、疑わしいネットワーク通信を遮断するとともに、学生にパスワードの変更を要請するなどして被害の拡大防止に努めて参りました。 現在、
2. 自己紹介 大学時代 京都大学数理解析研究所では代数幾何 コンピュータとは縁のない世界 暗号にも興味を持つ mp3エンコーダ「午後のこ~だ」の開発(LGPL2) 就職後 IPAからの依頼で暗号解読プログラムの作成(2004年) 『機械学習の学習』(CCA-BY3) 2012年ジュンク堂のコンピュータ書籍売り上げ3位 http://compbook.g.hatena.ne.jp/compbook/20130110 暗号の高速な実装(2013/8の時点で世界最速) The Realm of the Pairings(SAC2013) http://sac2013.irmacs.sfu.ca/sched.html 2013/11 2 /58 3. 目次 暗号 mod pの世界 巾乗の計算 離散対数問題 ElGamal暗号
[キーボードから1行入力]←このソース→[書式付き入力と書式指定子] /* 今日は、標準ライブラリ関数gets( )の問題点と、fgets( )による問題解決の話です。 #include <stdio.h> char *gets(char *s); 使用例:gets(s); 実行結 戻り値 成功 s 失敗 NULL gets( )は、標準入力(stdin:キーボード)から1行を読み込みsにしまいます。改行コード(\n)または EOF に出会うと、s に ヌル文字(\0)を追加して戻ります。次のプログラムを検討して見て下さい。重大な問題点があります。 #include <stdio.h> void main(void); void main(void) { char name[21]; printf("お名前を入力して下さい\t"); gets(name); printf("\nあなたのお名
Account Suspended This Account Has Been Suspended
/etc/ssh/sshd_configを編集して、RSA公開鍵認証の有効化と各種の制限を行い、セキュリティを強化する。順番は前後するが、目的別に見ていく。 まず、RSA公開鍵認証の有効化。sshd_configの#RSAAuthentication yes #PubkeyAuthentication yes #AuthorizedKeyFile .ssh/authorized_keysをRSAAuthentication yes PubkeyAuthentication yes AuthorizedKeyFile .ssh/authorized_keysに修正(「#」を削除)。これで、公開鍵と秘密鍵、パスフレーズによる認証が可能になる。 次に、#PermitRootLogin yesをPermitRootLogin noにして、rootで直接ログインできないようにする。これにより
nmapはすでに紹介されたが(参照:ポートスキャナを使ってPCの存在を確認する)、外部ネットワークから自分のネットワーク(もしくはPC)がどのように見えているかを検査するには、インターネット経由で別のネットワークに接続されたコンピュータなどからのポートスキャンを実行する必要がある。 大規模な企業ネットワークならばともかく、小規模な企業ネットワークでインターネットの接続口が1つしか準備されていないような場合には、このような準備ができていないところがある。 そのような場合に役に立つのが外部からのポートスキャンサービスである。例えばShields UP!!(https://www.grc.com/x/ne.dll?bh0bkyd2)では、外部からのポートスキャンサービスを提供している。 上記のURLにアクセスし、画面中のProceedボタンをクリック(2つあるが、どちらでもよい)することで、図1
かつてはWindowsユーザーやMacintoshユーザーをターゲットにしていた偽アンチウイルスソフト詐欺が、今はターゲットをAndroidユーザーにシフトしてきています。カスペルスキー研究所では、2012年により多くのサイバー犯罪者がAndroidを狙ってくると警鐘を鳴らしています。 Android malware: new traps for users - Securelist スマートフォンがあればわざわざノートPCを取り出さなくてもほぼ同じ作業ができますが、それゆえにPCと同じ弱点を持ち合わせています。 偽アンチウイルス詐欺の場合、Android端末にアプリケーションをダウンロードしたり、マルウェアに感染したウェブサイトを訪れると、システムをスキャンするかのような動作をして「陽性」反応を示し、マルウェアを削除できるアンチウイルスソフトを購入できる選択肢を表示します。 アンチウイル
無駄にかっこいい動画ですね...デザイナー必見。 米国防省は正式に認めちゃいないけど、Stuxnetはイランの原子炉をオフラインにするためアメリカが(イスラエルの助けを借りて)作ったワームってことでほぼ全会一致オッケーなムードですよね? でもあれが最初見つかった時には余りにも高度で、とても地球人がこしらえたものには思えなかったといいます。 野に放たれたStuxnetを世界で初めて発見したドイツのセキュリティの専門家Ralph Langner氏がNPRに26日(米時間)語っていたのですけど、Stuxnetは氏がこれまで見た中で最も想像を絶するデジタル兵器で、見た「次の瞬間」にはこんなパワフルなもの作れる出どころはひとつしかない、と直感判断で思ったそうです。「宇宙人じゃないなら、もうアメリカしか考えられない」 確かに今はオフラインに実害を及ぼすオンライン攻撃の開発・実装能力に関しては米国が世界
【攻性防壁】防衛省が対サイバー兵器を開発、攻撃を逆探知しウィルスを送り込み対象を無力化 m9( ゚д゚) Tweet 1:名無しさん@涙目です。(アイティガル・モスク):2012/01/01(日) 03:23:54.25 ID:hMeKQXBu0 http://www.yomiuri.co.jp/national/news/20111231-OYT1T00519.htm 防衛省が対サイバー兵器、攻撃を逆探知し無力化 防衛省が、サイバー攻撃を受けた際に攻撃経路を逆探知して攻撃元を突き止め、プログラムを無力化するウイルスを 開発していることがわかった。 事実上のサイバー兵器で、2008年から開発に着手し、現在は閉鎖されたネットワーク環境の下で試験的に運用して いる。サイバー兵器は既に米国や中国などが実用化しているとされるが、日本では有事法制でサイバー攻撃を想定して おらず、対外的な運用には新た
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 昨年末、ZDNet Japan編集部の田中好伸が2010年のセキュリティ動向をまとめた。冒頭、田中はこう書いている。「セキュリティという視点で数年後に振り返った時、2010年は重要な年になるのかもしれない」 2011年も半ばを過ぎた今、この指摘の正当性がより深まってきた。その背景には「Stuxnet」の存在がある。 最も重要なセキュリティの出来事--Stuxnet Symantecがシンガポールで開催したカンファレンス「Next@Norton」では、Stuxnetのデモンストレーションが披露された。 Stuxnetは、Siemensの産業用制御システムを攻撃するマルウェアだ。Stuxnetの攻撃により、イランのウラン濃縮施設で使われてい
遂にキタ - .∵・(゚∀゚)・∵. - ッ!!大事なGoogleアカウントを堅牢に守りきる2段階認証プロセス日本語版がとうとう有効になりました! Googleアカウントは、Googleのサービスを使う上でとても重要です。各種のサービスの利用設定はもとより、そこで蓄積したデータの管理はアカウントに紐づけられています。これは裏を返せば、アカウントの認証情報を取られてしまうと被害が甚大となります。Google側としてもこれを認識してユーザに認証情報を保護するよう啓蒙してきました。 でも、それには限界があって詐取に対する有効な手段として、今年2月に2段階認証プロセスが採用されました。日本語版も7月末に公開されたものの携帯電話でのコード受信が利用出来ず形だけのものとなっていました。恐らくは12月上旬ひっそりですが、とうとうこの機能が利用可能になりましたので導入プロセスを以下に紹介します。 【重要】
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く