opensslのバージョン確認とアップデート(Heartbleed対応) - Qiita
OpenSSLの重大バグが発覚。インターネットの大部分に影響の可能性 バグの詳細は細かく見てないけど、アップデートしといたほうがよさそうなので手順をまとめてみる Macとyumが使えるLinux系だけです。 概要 1.0.1以降にバグがある 1.0.1以降(1.0.1fと1.0.2-beta1も含む)に影響がある。 推奨される対処方法は、1.0.1gへアップグレードすること、もしくは-DOPENSSL_NO_HEARTBEATSオプションをつけて再コンパイルすること。 ただし、Linuxの場合はOSごとに対応済みバージョンが異なる場合があるので注意。多分開発元を見れば書いてあるはず。 例 AmazonLinux:openssl-1.0.1e-37.66.amzn1 CentOS:openssl-1.0.1e-16.el6_5.7 Mac Mac標準のopenssl(10.9.2) 何もして
共通鍵暗号と公開鍵暗号の解説とSSHでの認証手順 - VPSサービスの使い方
SSHではパスワード認証ではなくより安全な公開鍵認証を使う仕組みが用意されています。具体的な手順は次のページで解説しますが、ここでは公開鍵暗号や共通鍵暗号とはどういったものか、そしてSSHで公開鍵認証を行う時にどのようなことを具体的に行っているのかを解説します。 ※ 仕組み自体をご存知の方や仕組みは知らなくてもいいという方は次のページへ進んで下さい。 1.暗号化の必要性 2.共通鍵暗号 3.共通鍵暗号方式の問題点 4.公開鍵暗号方式 5.公開鍵暗号方式のデジタル署名への適用 6.SSHで公開鍵認証を使った認証手順 暗号化の必要性 そもそも暗号化は何故必要なのでしょうか。それはインターネットを経由して情報のやり取りを行う場合、悪意のある第三者に情報を盗み見される危険性があるためです。 そこで重要なデータについては送信する前に暗号化を行います。もし途中で悪意のある第三者にデータを盗み見されたと
CentOS で行なっておきたいセキュリティ設定: ある SE のつぶやき
はじめに Linux のセキュリティ設定ってなかなかまとまったものがないので、いろんなサイトを参考にしながら設定をまとめてみました。想定はWeb サーバーで、使用している Linux は CentOS 6.2 です。 設定内容は以下のようになります。 全パッケージのアップデート リモートからの root ログインを無効にする 公開鍵暗号方式を使用した SSH ログイン設定 iptables 設定 SSH ポート番号の変更 不要なサービスを停止 ログ監視設定 ファイル改ざん検知ツール設定 ウィルス対策ソフト設定 Apache の設定 全パッケージのアップデート 最初に以下のコマンドを実行して、全パッケージを最新の状態にする。 # yum –y update 後は脆弱性が発見された時、または定期的にパッケージのアップデートを行う。 リモートからの root ログインを無効にする リモートからメ
CMSが狙われる3つの理由
攻撃者の狙いはシステムへの侵入です。システムに保存されている重要な情報を盗み出したり、前回紹介したような悪意ある攻撃コードをWebサーバに埋め込み、二次攻撃、三次攻撃につなげる足がかりとして、CMSが狙われているのです。 CMSが狙われる3つの「ワケ」 ではなぜ、数あるアプリケーションの中でCMSが攻撃の被害を受けているのでしょうか。それにはいくつかの理由があります。 オープンソースソフトウェアであり、ソースコードの参照が可能である ホスティングサービスの環境では容易にアップデートできない 攻撃の検知、防御が難しい 1つ目の理由は、攻撃対象となっているCMSの多くはオープンソースソフトウェアであるという点です。 一般的にオープンソースのソフトウェアは「多くの目にさらされているから問題も発見しやすい」と認識されています。ApacheやBINDのように多くのユーザーがいるソフトウェアならば、こ
Evernote、再発防止に向け二要素認証導入へ
米Evernoteは同社ネットワークへの不正アクセスが発覚したことを受け、二要素認証を導入する計画を明らかにしたと米メディアが伝えている。 米Evernoteは同社ネットワークへの不正アクセスが発覚したことを受け、再発防止のために二要素認証を導入する計画を明らかにした。米メディアが3月5日に伝えた。 米InformationWeekによると、Evernoteの広報は「以前から全ユーザー向けのオプションとして年内に二要素認証を導入する計画があった。今回、この計画の実施を早めることにした」と電子メールで説明している。 不正アクセスを受けていたことはEvernoteが3月2日のブログで明らかにした。何者かがEvernoteのアカウントに関連付けられたユーザー名、メールアドレス、暗号化されたパスワードなどの情報にアクセスしたという。一方で、ユーザーが保存したコンテンツがアクセスされたり、有料サービ
Apple「iOS 6」のiCloud強化に頭を抱える企業ユーザー
米Appleが2012年秋にリリース予定の最新モバイルOS「iOS 6」には約200種類の新機能が搭載されるが、その大半はコンシューマー向けのものだ。特にそのうちの1つは、既にBYOD(私物端末の業務利用)の問題に頭を悩ませているIT管理者にさらに大きな頭痛の種を与えることになりそうだ。 先日のAppleの開発者向けカンファレンス「WWDC 2012」で発表された「Software Developers Kit(SDK)for iCloud」は、iCloudとiOSと各種アプリケーション間のより緊密な統合を可能にするものとなるはずだ。 関連記事 IT部門が押さえておきたいiCloudのセキュリティリスク トラブル続きのAppleクラウド「MobileMe」「iCloud」はなぜ信頼される? それは、エンドユーザーにとっては素晴らしいことだ。だが、メールやストレージ、データ同期といったiCl
「LINE」など人気アプリから考える、スマホセキュリティ最新事情
「LINE」など人気アプリから考える、スマホセキュリティ最新事情:「iPhoneやめました」のその後(1/4 ページ) 先日、美容院で髪を切っていたときの話。手に二つ折りケータイを持って操作していた筆者に、シャンプー係のお兄さんはこう話しかけた。「最近、ガラケーの人って珍しくありません? 吉岡さんはスマホにしないんですか?」 “ガラケー”という俗称もすっかり一般化したな、と内心苦笑しながら「スマートフォンも持ってますよ。私、このケータイがメインですけど、もう1台、Wi-FiルーターにもなるAndroid端末も使ってるんです。小さくて軽いし、片手で使えるしいいですよ」と答えると、彼はかなり興味を引かれたようだった。「へぇ! そんなのがあるんですね。僕、前はガラケーとスマホと2台持ちだったんですけど、もったいないかなと思って今は1台にしてるんですよ。重いし。でもよく考えると、1台にしてもあまり
日本の超SFなサイバー攻撃警告システムに世界のネットユーザー大興奮! 海外の声「攻殻機動隊キター!」
» 日本の超SFなサイバー攻撃警告システムに世界のネットユーザー大興奮! 海外の声「攻殻機動隊キター!」 特集 日本の研究者たちが開発したサイバー攻撃アラートシステムに、現在世界のネットユーザーが大興奮している。 このシステムの名前は「DAEDALUS(ダイダロス)」といい、これを使えばネットワークが攻撃されている様子をリアルタイムで見られるようになる。詳細は以下の通り。 中心にある球がインターネットを表しており、その周りを回っているサークルの1つ1つが現在観測中のネットワークを表しています。これら、攻撃の様子は、3Dグラフィックで表示され、任意の視点から眺めることが可能です。(DigInfo TVより引用) ここで着目すべき点は、3Dグラフィック! 「サイバー攻撃をリアルタイムに可視化、警告を発する『DAEDALUS』」という動画にも映し出されているように、このシステムの凄いところはその
なぜb-casは失敗してインターネットはうまくいくのか? - アンカテ
前のエントリで書いたように、b-casは用途を広げた時に前提条件が変わってしまったために、小さな「あってはならないこと」が起きただけで、手当ての方法が無くなってしまいました。 では、これと同じような見方で、インターネットそのものに「あってはならないこと」が起きた時どうなるか、について書いてみたいと思います。「インターネットそのもの」と言っても、一般の人が目にする「インターネット」の中でセキュリティをしっかり守らなければいけないのは、オンラインショッピングの時に使われる「SSL」という通信方式です。 アドレスが「https://」で始まるサイトにアクセスすると、そのアドレスの横に鍵の形の「安心マーク」が表示されます。オンラインショッピングで決済の画面やクレジットカード番号を入れる画面では必ずそうなっていると思いますが、これが今「SSL」を使っているよ、「SSL」がうまく動いているよというお知
クレジットカード情報の流出は150万件、Global Paymentsの不正アクセス事件
Global Paymentsによると、不正アクセスによって流出した可能性があるカード番号は150万件以下で、影響は北米に限られるという。 クレジットカード決済処理大手の米Global Paymentsからカード情報が流出した事件で、同社は4月1日、不正アクセスによって流出した可能性があるカード番号は150万件以下で、影響は北米に限られると発表した。 これまでの調査の結果、「第2トラック」のクレジットカード情報が盗まれた可能性があることが判明したという。第2トラックはクレジットカードの記録方法の1つで、カード番号と有効年月、暗証番号が記録されている。一方、持ち主の氏名、住所、社会保障番号といった情報は流出しなかったとGlobal Paymentsは強調している。 同社は事件の発覚を受け、複数のセキュリティ企業などと契約して調査および対応に当たっている。ネットワークを監視してセキュリティ対策
WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
“Macは感染しない”はホント?知っておきたいMacのウイルス対策 - はてなニュース
一般的に、Windowsに比べるとコンピュータウイルスには縁がないと言われている「Mac」。Windowsの場合は常識のウイルス対策も「Macなら大丈夫」と思ってしまいがちですが、本当にそうなのでしょうか?今回は、「Macのウイルス対策」についてご紹介します。 ■Macでもウイルス対策は必要? 「ウイルス対策は特にしていない」というMacユーザーも多いはず。Macの場合、本当に対策をする必要はないのでしょうか? ▽http://www.yomiuri.co.jp/net/qanda/20090907-OYT8T00712.htm ▽マックはほんとにウイルス感染はないの? - マッキントッシュのCMで「うち(マッ... - Yahoo!知恵袋 ▽アップル、Macの利用者にウイルス対策ソフトウェアの利用を示唆 - CNET Japan ▽崩れゆく「Mac OS X安全神話」 (1/2) - I
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
iphonewalker.net
サイフにやさしいSSL証明書 by エスロジカル