CRYPTREC暗号リストの更新 署名DSA及び64ビットブロック暗号3-key Triple DESについて注を追加しました (2024/5/16付け更新)。
CRYPTREC | トップページ
CRYPTREC暗号リストの更新 署名DSA及び64ビットブロック暗号3-key Triple DESについて注を追加しました (2024/5/16付け更新)。
Canvas Fingerprintingはクッキーより怖いのか技術的に調べてみた|TechRacho by BPS株式会社
morimorihogeです。最近忙しくて遠征すらおぼつかない状態です。夏イベント資源足りるのかこれ。 なんかはてブ界隈などでCanvas Fingerprintingの話題が出ていて、Cookieより怖い!とか、Adblockみたいに無効にする方法がないのにユーザトラッキングできて怖い!!といったアオリの記事がぽこぽこ出てきているようです。 でも、ざっと調べた限りの日本語のどの記事を読んでも、具体的にどうやってユーザ個々のトラッキングができるようになるのか、技術的に解説されている記事が見つかりませんでした。 というわけで、エンジニアとしてはここは一つキッチリ理解しておきたいと思い、調べた結果をまとめます。 もし僕の読解がおかしくて変なことを言っている部分があれば、はてブやTwitter、コメント欄などで指摘して頂ければ更新していこうと思いますので、マサカリ上等です ;) Canvas F
本当は怖いChrome拡張機能(作ってみたら確かにヤバかった) - DRYな備忘録
otiai10です。最近はフロントエンドのTypeScriptを書くお仕事をしています。個人的に艦これウィジェットやtwickというChrome拡張を作ってたりもします。先に言っておきますが、これらはどちらもGithubでソースコードを公開しており、悪いことしようが無いです。 端的に言うと、Chrome拡張はヤバいです。何でもできちゃう。 どんくらいヤバいか知ってもらうためにどうしようか考えた結果、ヤバいChrome拡張を作りました。30分かかんなかったです。 https://github.com/otiai10/chrome-twitter-hijack-sample (「レポジトリをforkして悪用する人間が出てくるかもしれない」とのご指摘を頂いたので、これを削除します) git cloneしてchrome://extensionsからパッケージ化されていない拡張機能を読み込むでこのr
SecurIDの安全性は本当に大丈夫なのか? - セキュリティは楽しいかね? Part 1
(2011/06/07 更新) RSAが今回の件について公式に発表をしました。ロッキードへの不正侵入の原因になったことを認め、顧客に対して SecurIDの交換などに応じる提案をしています。 この週末、アメリカで起きたロッキード・マーチン(Lockheed Martin)のネットワークに対する不正侵入が話題になっている。ロッキード・マーチンといえば、アメリカを代表する企業の一つであり、F22や F35などの最新鋭機を開発していることでも有名である。 そのロッキードで先週末にネットワークに対するリモートからの不正侵入が起きた。この件を最初に伝えたのは Robert X. Cringely氏*1。5/25のブログで、ある国防関連企業の話として、ネットワークで問題が起きたこと、ユーザーによるリモートアクセスを停止したこと、全てのユーザーのパスワードをリセットしたこと、SecurIDを数週間のうち
パスワードの定期的変更について徳丸さんに聞いてみた(1)
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大きく分けて2つの理由が挙げられていると思います。一つは、パスワードを定期的に変更すると、パスワードを破って侵入する攻撃の予防になるというもの、すなわち事前の予防策です。もう一つは、パスワードが漏洩した際に、被害を軽減できるというもので、事後の緩和策ということですね。 高橋: もう少し詳しくお願いします。 徳丸: まず、「事前」の方ですが、オンライン攻撃とオフライン攻撃があります。 高橋: オンライン攻撃とはどのようなものでしょうか? 徳丸: オンライン攻撃は、ネット経由でパスワード
【Android】パスワード管理アプリKeePassDroidとPCのKeePassのデータベースを同期する方法 | ノート100YEN.com
先日の記事でパスワード管理ソフトをID ManagerからKeePassへの乗り換え方法について書きました。そもそもKeePassへと乗り換えた理由は、Androidタブレット端末とPCでパスワード管理ソフトのデータの同期をしたかったからです。 データを同期する事により、PCに保存しているIDやパスワードをタブレットでも同じように参照する事が出来るようになります。 password hell / Ron Bennetts という事でPC上のKeePassとAndroidタブレット上のKeePassDroidを同期する設定手順メモ。 方法としては、PC上にあるKeePassのデータベースファイルをDropboxやSugarsyncなどのクラウドサービスを利用してタブレット端末と共有し、Androidアプリで読み込むという形です。
高木浩光@自宅の日記 - 動機が善だからと説明なく埋め込まれていくスパイコード
■ 動機が善だからと説明なく埋め込まれていくスパイコード 5月にこのニュースを見たとき、嫌な予感がしていた。 父娘遭難、携帯の位置情報得られず 消防への提供ルール化 北海道地吹雪, 朝日新聞, 2013年5月22日 北海道湧別町を襲った3月の地吹雪の中で父親が娘を抱いたまま亡くなった事故で、消防が父親の携帯電話の位置情報を携帯電話会社から得ようとしたが得られず、父娘の捜索を中断していたことが分かった。総務省は情報提供のしくみが整っていなかったことが原因とみて、位置情報をすみやかに伝えるルールを作り、全国の消防本部と携帯各社に通知した。 ルールを整備するのはよいことだが、この記事は、基地局レベルの位置情報ではなく、GPSレベルの位置情報を用いて救助しようという話になっていて、そもそも、キャリア(携帯電話事業者)に頼んだところで、どうやって端末のGPS位置情報が得られるの?という疑問を持った。
IPAから「クリックジャッキング」に関するレポート出ました
Webアプリケーションのセキュリティの分野で「新しい攻撃手法」は実はそれほど多くないのですが、比較的新しく対応が求められているものとしてクリックジャッキングがあります。クリックジャッキングは、CSRFと同じように「Webアプリケーションのサーバー側機能」を利用者(被害者)に実行させる手法です。CSRFは、当該機能を実行するHTTPリクエストを送信させる罠を使いますが、クリックジャッキングの方は、iframe等に当該機能を呼び出す画面を表示しておき、利用者(被害者)に実行ボタンを押させる(=クリックジャック)手法です。クリックジャッキングに関しては従来詳しい解説がありませんでしたが、この3月26日にIPAから「クリックジャッキング」に関するレポートが公開されました。 このレポートから、クリックジャッキングのイメージを示す図4を引用します。 サイトAが攻撃対象のサイト、悪意のあるページは罠にな
Webカメラを使った盗撮に注意、「使わないならテープでふさぐ」
ロシアのセキュリティ研究者Egor Homakov氏が公開するデモページの画面例。表示される女性の写真をクリックすると、Webカメラを乗っ取られる フィンランドのセキュリティ企業であるエフセキュアは2013年6月20日、Webカメラを悪用した盗撮が話題になっているとして注意を呼びかけた。パソコンにインストールされているソフトウエアに脆弱性があると、細工が施されたWebサイトにアクセスするだけで、Webカメラを乗っ取られる恐れがあるという。 同社は同日付の英BBCの記事を引用し、英国の非営利団体「チャイルドネット・インターナショナル」が、Webカメラの悪用に関して注意を呼びかけていることを伝えた。自分のパソコンに接続されたWebカメラを知らないうちに乗っ取られ、盗撮される事件が相次いでいるという。 具体的には、攻撃者はWebカメラを使うソフトウエアの脆弱性を悪用して乗っ取り、遠隔からWebカ
多発するWeb改ざんに備えてinotifywaitによる改ざん検知を導入した
Webサイトの改ざん事件が多発しています。Webサイトに対する基本的なセキュリティ施策を実施していればまず被害にあうことはないとは思うものの、全ての手口が公開されているわけではないので、何となく「嫌な感じ」もします。 【参考】 Web サイト改ざんに関する注意喚起(JPCERT/CC) 2013年6月の呼びかけ 「 ウェブサイトが改ざんされないように対策を! 」(IPA) @Police ウェブサイト改ざん事案の多発に係る注意喚起について(pdf) 5月から多発しているHP改ざんインシデントをまとめてみた。 - piyolog 当方のサイト(会社、個人)は、一通りのセキュリティ施策は実施しているつもりですが、絶対に改ざんされないかというと、改ざんされることは想定しておかなければならないと考えています。 当方のセキュリティ施策の例 FTPをやめ、sshのみで管理運用 sshのパスワード認証を
Javascript で暗号化
2. 自己紹介自己紹介 情強そば屋の中の人こと砂原 昌史 そば屋五兵衛の店主 砂原 謙一(父) 現在⼆級在宅⼠とプログラミングの⽇々 ◦ そろそろ本気出したい ◦ 最近は C#(WPF) いじってます 言語 ◦ メイン:html, css, javascript, PHP, C#◦ メイン:html, css, javascript, PHP, C# ◦ サブ:perl, powershell ◦ たしなむ程度:ruby, python ◦ 忘れつつある:vbs ◦ ほぼ忘れた:C 松本経済新聞の記事は一部誤りが。 ◦ 過去にプログラマーはしたことありません。 Icons by http://dryicons.com
ますます巧妙になるFacebookアカウント乗っ取り。Facebookマーケティングのプロが教えるその傾向と対策。 @reosucker | TechWave(テックウェーブ)
[読了時間: 5分] スパムアカウント3人からの申請を受けてしまうと、アカウントが乗っ取られるという証明スクショがこれだ。 ダミーアカウント3人に申請を受けてしまっている状態だと、この画面の後1−2分で、アカウントの乗っ取りは終了してしまう。 乗っ取った後、悪意のあるユーザーは以下の事が出来る。 ・メッセージの盗み読み。 ・Facebookにクレジットカードやペイパルを紐付けている場合は、それを使った課金。 ・あなたの友人へのなりすましスパムメール。 ・アカウントの削除。 ・あなたの管理するFacebookページの乗っ取り。 等々 では、上記の被害に合わない為に何をするべきか、そして予防策として何をするべきかを説明して行こう。 スパムアカウントの特徴 まずスパムアカウントの傾向を説明したい。 敵をしれば〜って奴だ。 基本的に男性に送られてくる、スパムアカウントは現在下記の様な特徴を持ってい
「AWS Game Day Tokyo 2013」に行ってきたら、AWS界隈でMost EVILになってました。 - maroon1stの(昔は)技術日記(だった)?
先日「AWS Game Day Tokyo 2013」に行ってきました。 「AWS Game Day Tokyo 2013」とは? アメリカ大統領選挙のオバマ陣営「Obama for America」が堅牢なシステムを作り上げるために、「Game Day」という手法を用いました。「Game Day」とは、敵味方に分かれてシステムを攻撃、防御/修復を行い、脆弱性の発見とその修復方法を考えるものです。 これを、日本で初めて行おうというのが「AWS Game Day Tokyo 2013」です。世界でも、「Obama for America」、南アメリカに続きまだ3回目で、これまでで最大規模で開催されました。 Game Start ! 朝10時に、会場に着くとAWS界隈の濃いメンバーが集まっており、効果的な攻撃方法を話し合ってました。 Reserved Instanceを大量購入する破産攻撃 使
nmap - Wikipedia
nmapはGordon Lyonによって書かれたセキュリティスキャナである。ポートスキャン機能だけでなく、OSやバージョンの検出機能、サービスおよびそのバージョンの検出機能など、多くの機能を兼ね備えている。 nmapはGordon Lyonによって書かれた、非常によく知られたセキュリティスキャナである。名前は、ネットワーク上にどのような機器やサービスが動いているかという、ネットワークの地図を作成すること (Network Mapper) に由来する。ポートスキャン機能だけでなく、特定ポートで動作するサービスアプリケーション(daemon類)の種類とバージョンを検出する機能、TCP/IP stack fingerprintingを用いたOSおよびそのバージョンを検出する機能など、多数の機能を備えており、2010年現在のバージョンでは、指定可能な引数は100種類を越える。また、Luaスクリプト
ヤフー株式会社様に「秘密の質問と回答」に関して要望します
拝啓、貴社ますますご清栄のこととお慶び申し上げます。日頃は格別のご高配を賜り、あつくお礼申し上げます。さて、さっそくですが、表題の件についてお願いがあり、ご連絡差し上げました。 私は東京都品川区在住の貴社サービスの一ユーザーです。Yahoo! IDの登録が2001年3月、Yahoo!プレミアムは2003年 2月からですので、十年来のユーザーと言うことになり、現在はヤフオクやYahoo! Boxを利用しております。どうぞ、お見知りおきのほど、よろしくお願いいたします。 さて、ご連絡差し上げたのは、表題に述べたように「秘密の質問と回答」に関する要望です。と言いますのは、報道などで「秘密の質問と回答」が漏洩したことを知ったからです。 ヤフーは23日、今月16日に不正アクセスで流出した「ヤフージャパン」のID2200万件のうち、約149万件についてはパスワードと、パスワード変更のために使う「秘密の
Hackers turn a Canon EOS camera into a remote surveillance tool - Network World
Hackers turn a Canon EOS camera into a remote surveillance tool The Canon EOS 1D-X camera is not designed with security in mind, a researcher said IDG News Service - The high-end Canon EOS-1D X camera can be hacked for use as a remote surveillance tool, with images remotely downloaded, erased and uploaded, a researcher said during the Hack in the Box security conference in Amsterdam on Wednesday.
Inside Android Security - 内部構造から探る Android への脆弱性攻撃とマルウェアの脅威
Fourteenforty Research Institute, Inc. Fourteenforty Research Institute, Inc. 内部構造から探る Android への脆弱性攻撃とマルウェアの脅威 Inside Android Security Fourteenforty Research Institute, Inc. 株式会社 フォティーンフォティ技術研究所 http://www.fourteenforty.jp 新技術開発室 大居 司 1 Fourteenforty Research Institute, Inc. 背景 : Android とマルウェア • Android が国内のスマートフォン向け OS のシェアにおいて iOS を抑え首位を獲得したことが報道される (2011年5月, 7月) • 一方で、Android におけるマルウェアの問題は深刻
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
リモートアクセス環境におけるセキュリティ
http://www.bookwave.jp/archives/12184
[FFR]株式会社フォティーンフォティ技術研究所