ユーザー アカウント、認証、パスワード管理に関する 13 のベスト プラクティス2021 年版 | Google Cloud 公式ブログ
※この投稿は米国時間 2021 年 5 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。 2021 年用に更新: この投稿には、Google のホワイトペーパー「パスワード管理のベスト プラクティス」のユーザー向けとシステム設計者向けの両方の最新情報を含む、更新されたベスト プラクティスが含まれています。 アカウント管理、認証、パスワード管理には十分な注意を払う必要があります。多くの場合、アカウント管理は開発者や製品マネージャーにとって最優先事項ではなく、盲点になりがちです。そのため、ユーザーが期待するデータ セキュリティやユーザー エクスペリエンスを提供できていないケースがよくあります。 幸い、Google Cloud には、ユーザー アカウント(ここでは、システムに対して認証を受けるすべてのユーザー、つまりお客様または内部ユーザー)の作成、安全な取り扱い、
約2億人分にのぼる米有権者の個人情報漏えいが発覚
UPDATE 米国の大量の有権者データが、保護されていない公開サーバ上で見つかっていたことが判明した。10年以上前に遡る米国の全登録済み有権者のものと思われる個人情報や有権者のプロファイリングデータが含まれていたという。 これだけ大量の有権者情報が公開されたことは、知り得る限りでこれまでになかったとされている。 1億9800万人分の米国有権者情報を含む全政党からの複数のデータベースが、共和党のデータ分析を行う企業Deep Root Analyticsが所有する「Amazon S3」の公開ストレージサーバ上で見つかった。 UpGuardのサイバーリスクアナリストであるChris Vickery氏がこの公開サーバを発見し、データを確認した。同氏の責任ある情報開示に基づき、このサーバは14日、報道される前に保護されたという。 今回の情報流出は、より適切に有望な有権者に的を絞るためにビッグデータを
WordPress 4.7.1 の権限昇格脆弱性について検証した
エグゼクティブサマリ WordPress 4.7と4.7.1のREST APIに、認証を回避してコンテンツを書き換えられる脆弱性が存在する。攻撃は極めて容易で、その影響は任意コンテンツの書き換えであるため、重大な結果を及ぼす。対策はWordPressの最新版にバージョンアップすることである。 本稿では、脆弱性混入の原因について報告する。 はじめに WordPress本体に久しぶりに重大な脆弱性が見つかったと発表されました。 こんな風に書くと、WordPressの脆弱性なんてしょっちゅう見つかっているという意見もありそうですが、能動的かつ認証なしに、侵入できる脆弱性はここ数年出ていないように思います。そういうクラスのものが久しぶりに見つかったということですね。 WordPress、更新版で深刻な脆弱性を修正 安全確保のため情報公開を先送り Make WordPress Core Conten
Google infrastructure security design overview | Documentation | Google Cloud
Send feedback Google infrastructure security design overview Stay organized with collections Save and categorize content based on your preferences. This content was last updated in June 2023, and represents the status quo as of the time it was written. Google's security policies and systems may change going forward, as we continually improve protection for our customers. Download pdf version Intro
HTTPレスポンスのgzip圧縮による日時リーク : Torの秘匿ネットワークの秘匿性を脅かす仕様・実装について | POSTD
よって、このヘッダがgzip圧縮データに付いていれば、適当なWebサーバにgzip圧縮リクエストを出し、gzip圧縮レスポンスを待って、バイト数が0x1f 0x8bで始まっているかどうかということと、正確な圧縮日を確認できるのです。 一般的なWebサーバでは、これは非常に限定的なシナリオにおいてのみ有用です。なぜなら、サーバの地理的な位置はいずれにしても隠されず、これもまた隠されていないサーバIPアドレスが分かればすぐに特定されるからです。しかし、 秘匿サービス では、サーバの時間帯に関する情報は、サーバが稼働している可能性のある国を特定するのに非常に役立ちます。 gzipの仕様を見れば、ファイル更新時間のヘッダフィールドには、ローカル時刻ではなく、世界時を使用すべきことは明確です。しかし、多くのサイトが世界時の代わりにローカル時刻を送信しています。どうもMicrosoft Windows
SSL暗号を無効化する仕組み – BREACH, CRIME, etc
(Last Updated On: 2018年8月4日)CRIMEやBREACHといったSSL暗号を無効化する攻撃を知っている方は多いと思います。しかし、その仕組みや攻撃方法は広くは理解されていないようです。Webシステムに関わる方であれば、BREACH攻撃の原理と対策を理解しておいて損はありません。BREACHや類似の攻撃は全く難しくありません。直ぐに理解できると思います。原理は簡単です! CRIMEとBREACH攻撃 CRIMEもBREACHも暗号を解読せずに暗号コンテンツを解読する攻撃です。暗号を直接解読するのではなく、圧縮後のサイズ変化を利用したサイドチャネル攻撃を行います。サイドチャネル攻撃とは攻撃対象のセキュリティ対策(CRIME、BREACHの場合は暗号)などを直接攻撃するのではなく、動作を観察して攻撃する手法です。前回のエントリで紹介したタイミング攻撃では、コンピューターの
横柄なパスワード – パスワード認証に関する改善策 | POSTD
パスワードにはうんざり。改善しましょう。 誰もが経験するあの瞬間。新しいサービスに登録し、パスワードを選んで入力する。でも、入れません。選んだパスワードは十分安全なはずなのに、使いたいサービスが独善的にそれを拒むのです。 記号、数字、大文字、小文字を少なくとも1つずつ使用しなければなりません。 小文字の長いパスワードの方がドルマークだらけの短いパスワードより安全だということを証明する、 XKCDの有名なコミック のことは忘れましょう。まず、あなたの主力パスワードが $$ICECREAM$$ だとします。アイスクリームは、恐ろしい人生の希望の灯火とも呼べるほどの大好物なので簡単に思い出せます。そして、このパスワードにはブートのための特殊文字が入っています。 残念なことに、 $$ICECREAM$$ には小文字と数字がないので、客観的に見れば安全ではありません。そこで、このサービスのためのパス
HMAC: Keyed-Hashing for Message Authentication
H. Krawczyk IBM M. Bellare UCSD R. Canetti IBM 1997年 2月 HMAC: メッセージ認証のための鍵付ハッシング (HMAC: Keyed-Hashing for Message Authentication) このメモの位置付け このメモは、インターネット・コミュニティに対して情報を提供するものである。このメモは、何らインターネットの標準を規定するものではない。このメモの配布に制限はない。 要旨 この文書では、暗号ハッシュ関数を使用してメッセージ認証を行なう仕組みである HMAC について記述する。HMAC は、MD5 や SHA-1 などの反復暗号ハッシュ関数を秘密の共有鍵と組み合わせて使用する。HMAC の暗号としての強度は、使用しているハッシュ関数のプロパティに依存する。 1.はじめに 信頼できないメディア上を伝送し、蓄積される情報の
「Googleが脆弱性を放置」と、セキュリティ企業が批判
他社に即時対応を要求しながら自社の対応に甘いと、Security Explorationsが指摘する。 米Googleの「Google App Engine(GAE)for Java」に見つかった複数の脆弱性が未解決のままになっているとして、ポーランドのセキュリティ企業Security Explorationsが5月15日、詳しい情報とコンセプト実証コードを公開した。Googleは他社に対しては即座に対応を要求しておきながら、自分たちの製品に報告された脆弱性は放置したり黙って修正したりしていると批判している。 Security Explorationsによると、同社は2014年12月以来、GAEに多数の脆弱性を発見してGoogleに報告し、Googleも修正などの対応を講じてきた。しかしまだ未解決の脆弱性が複数残っていて、悪用された場合、攻撃者がサンドボックスを抜け出して任意のコードを実行
ビッグデータツールチェインのセキュリティはビッグリスク、あるいは、誰もHadoopをスクラッチからビルドする方法を知らない件について
ビッグデータツールチェインのセキュリティはビッグリスク、あるいは、誰もHadoopをスクラッチからビルドする方法を知らない件について The sad state of sysadmin in the age of containers コンテナー時代のシステム管理者の惨状 システム管理は惨劇に見舞われている。現状は悲惨だ。 筆者は昔気質のシステム管理者に不満はない。システムの稼働を維持し、アップデートし、アップグレードする方法を知っている者達だ。 この憤りは、コンテナーと構築済みVMと、それらがもたらす、「信頼」や「アップグレード」の欠如による悲惨な惨劇に対するものだ。 例えば、Hadoopを見てみろ。誰もHadoopをスクラッチからビルドする方法を知っているようには見えないぞ。依存性とバージョンとビルドツールが悲惨なほどに絡まりあっている。 この手のイケてるツールの中で、古典的なmake
【日本の議論】東電無謀「サポート切れOS更新しない」節約、無駄遣い監視の会計検査院が異例の「お金使え」 (1/3ページ)
【日本の議論】東電無謀「サポート切れOS更新しない」節約、無駄遣い監視の会計検査院が異例の「お金使え」 「そんなことはするべきではない」-。省庁や国の補助金を受ける団体に対して、ムダ遣いを厳しく指摘する会計検査院。しかし、逆に検査院が疑問視したのは、東京電力がやろうとしたコストカット策だった。ほめられるはずの節約なのに、なぜ…。それは、東電が当初、サポートの終了したコンピューターの基本ソフト(OS、オペレーションシステム)を使い続けようというプランを立てていたからだった。検査院はテロの脅威なども挙げながら、苦言を呈した。 「XP」のままでもいける 会計検査院は国会や内閣、裁判所から独立し、税金などが正しく使われているかどうかをチェックする機関。検査対象は各省庁や国が出資する政府関係機関、独立行政法人などの法人、国が補助金や貸付金など、財政援助を与えている都道府県、市町村、各種団体。検査院の
ラックの扱われ方に見る脆弱性調査のあり方 | クロスジール
SQLインジェクション判決が広まりを見せています 先日、以下の記事を書きました。 ・SQLインジェクション脆弱性の有無が重過失の判断に影響を与えた判決 http://www.crosszeal.co.jp/blog/20150209_sqlインジェクション脆弱性の有無が重過失の判断に影響を与えた判決.html この記事にも書いたとおり、北海道大学の町村先生、HASHコンサルティングの徳丸先生のエントリでこの件を知りブログを書いたわけですが、同じ方々も多いようで、この判決に関する情報や意見が検索で多くヒットするようになりました。 中には「脆弱性が一つでもあったら損害賠償が認められる」といった誤っている認識であったり、「SQLインジェクション対策をしたら費用が多くかかってしまう」といった首をかしげる意見もありますが、こういった情報が広まるのは良いことだと思います。今後広まっていく中で、正しい認
ひろみちゅ先生曰く「それはもはやパスワードではない」「いっそトークン方式に切り替えてはどうか」
Hiromitsu Takagi @HiromitsuTakagi そもそも「パスワード」とは何か。パスワードとは人が覚えて使うものである。必然的に複数のログインサービスで同じものが使われ得るのが前提となる。故に、管理者さえ利用者パスワードを知り得ないよう技術的対策し、利用者には自由にパスワード設定できるようにするのが当然であった。それが今日、… Hiromitsu Takagi @HiromitsuTakagi …今日、幾つもの管理者からパスワード(又はその弱いハッシュ値)が流出する事故が相次ぎ、リスト攻撃が横行したことから、ログインサービス毎に異なるパスワードを付けよとする意見が強まった。管理者が利用者に対して「当サービス専用のパスワードを設定してください」と指示する例も出てきた。… Hiromitsu Takagi @HiromitsuTakagi …出てきた。しかしそれはもはや「パ
高木浩光@自宅の日記 - 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12)
■ 情報経済課は恥を知って解散せよ(パーソナルデータ保護法制の行方 その12) また同じ過ちが繰り返された。いったい何度繰り返せば学習するのか。 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始! http://t.co/JRFplpoiWP #プレスリリース — (株)共同通信社 (@Kyodonews_KK) 2014, 12月 2 このプレスリリースは誰が流したものか。以下の画面のように冒頭に「経済産業省」と記載があり、これを見た人は�経済産業省が流したものだと思うだろう。*1 経済産業省委託事業 「経済産業分野における個人情報保護ガイドライン」 説明会 参加者募集開始!, 株式会社共同通信社 申込先のリンクが http://kojinjohohogo-guideline.jp と書かれている。 やるのはいいけど、.go .jpじゃないわ、
Content-Security-Policy と nonce の話 - tokuhirom's blog
Content-Security-Policy の nonce を利用すると、XSS の脅威をかなり軽減できます。 そこで、Web Application Framework ではデフォルトで対応したほうがよいのではないか、という旨を @hasegawayosuke さんから教えて頂いたので、実装について考えてみました。 とりあえず CSP の nonce はどういうものなのかを考慮するために、コード例を探していたのですが、実際に動くサンプルというものが nonce 関連のもので見当たりませんでした。 そこで、実際に動くサンプルを用意しました。 https://github.com/tokuhirom/csp-nonce-sample 以下は Sinatra で書かれたサンプルコードです。 require 'sinatra' require 'securerandom' get '/' d
iOS 8、アップルから警察にデータ提供できない仕様と判明
iOS 8、アップルから警察にデータ提供できない仕様と判明2014.09.19 01:399,884 福田ミホ 令状があってもムリで、プライヴァシーが強固に。 iOS 8の予想外の機能が発覚しました。アップルから「iOS 8を搭載したiPhoneやiPadのデータの警察組織への引き渡しを技術的に不可能にした」と発表されたのです。技術的にムリということは、捜査令状があっても、iPhoneやiPadのデータが読み取られることはなくなったんです。 iOS 8へのアップデートで、アップルは暗号化の仕組みを変更しました。アップルはユーザのパスコードをバイパスできなくなったのです。つまり警察がアップルに捜査令状を示しても、パスコードで保護されたデータにはアップル自身もアクセスできないのです。 とはいえ、アップルはiCloudに保存されたデータには引き続きすべてアクセス可能なので、令状があればiClou
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
死にゆくアンチウイルスへの祈り
超絶技巧CSRF / Shibuya.XSS techtalk #7
TechCrunch | Startup and Technology News
TechCrunch | Startup and Technology News