はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
TrueCryptでDropboxのデータを暗号化して利用する
いくら Dropbox が好きでも、今回ばかりは擁護しようがありません。今朝早く、Dropbox 側のアップデートの不具合によって4時間ほどの間すべてのアカウントが任意のパスワードでアクセス可能になっていたそうです。 実際のところ、パスワードだけでなく標的としているユーザーのメールアドレスも知らなくてはログインすることはできません。そして私は Dropbox 用のメールアドレスに Gmail の「+」記号で作るエイリアスを利用していましたので、実際に不正アクセスをするにはもう少し手間が必要となって比較的安全だったのですが、それでも気持ちがざわつきました。 Dropbox のセキュリティが安心できるレベルまで強固になるまでは、Dropbox をそもそも使わないか、あるいは最も重要なファイルは暗号化しておくことが重要です。セキュリティに関するブログ Securosis で TrueCryptを
keychainでssh-agentと鍵を管理することにした
鍵を本体外に出したので、ssh 接続のたびに鍵ファイルを指定するのがだるくなってしまった。面倒なのはいけない。そこで ssh-agent を使うことにした。 ssh-agentをなんとなく避けていたssh-agent は今までなんとなく避けていた。というのも ssh-agentってメモリ内にパスフレーズそのまま保存してるんじゃないの? と思っていたから。ということはハイバネート状態のノートからは生のパスフレーズが抜き取れるよね、という話にたどり着いて、そんなあぶないもの使いたくないとか思っていたんだけど、そもそも PC本体内に秘密鍵があるので本体奪われたらagent使っていようがいまいが一緒 という状態に目をつぶって頑なにagentを拒否していても意味がない。 ということで颯爽とポリシーを変更した。 本当は秘密鍵を抜き取ったことだし、今まで通り ssh-agent を使わない運用ならだいぶ
秘密鍵を本体内からUSBメモリに移動した
職場の環境が変わったのでこれを機に以前から気になっていたことを試してみた。それは 秘密鍵を本体内に残さない こと。 Zebedeeはそのまま移動するだけでよかったトンネルを Zebedee で掘ってるんだけど、Zebedee に関しては 実行バイナリが本体内設定ファイル、鍵などは USB メモリという組み合わせで普通に動いた。起動して detach してしまえば鍵や設定を入れた USB メモリは抜いてしまってもまったく問題ない。 OpenSSHはpermissionがキモもともと USB メモリに ssh の秘密鍵は入れてあった。しかしそれは FAT でフォーマットしてある基本的に緊急時用のもので iniファイル版の putty と putty 用の鍵を用意OpenSSH 用のものも入ってたけど入ってるだけという状態だった。今回はここにすでにある OpenSSH の秘密鍵を普段から利用する
第1回 ログって、そもそも何?
あらゆるものがデジタル化されてきた今、ITを介したトランザクションのすべてが“ログ”として残るようになっています。とにかく溜まっていくログですが、視点さえ明確にもって解析すれば、自ずと色々と“語り出す”のです。本連載では、ログの本質をつかむと同時に、ログ活用の最新動向を解説します。第1回は、そもそも「ログって何」というところから始めましょう。 京大・入試事件を早期解決させた「ログ」 2011年2月末に京都大学などで起こった携帯電話を使ったカンニング事件は記憶に新しいところです。同事件において犯人を特定するうえで大きなカギとなったのがIPアドレスでした。デジタルネットワークの機器を利用するということが、どのようなことであり、その裏にどのような情報、すなわち「ログ」が蓄積されていくのかということが、一般の人々にも良く理解できる事例の一つになりました。 「ログ」を辞書で引くと、「航海日誌、コンピ
セキュリティポリシー改訂で露見したDropboxのウソ - YAMDAS現更新履歴
Dropbox Lack of Security - Miguel de Icaza ワタシはクラウドストレージサービス Dropbox のサービス利用者というだけでなく彼らのファンと言ってよい。 その彼らがセキュリティポリシーを改訂した。要点を一文で言うなら、「なにかあったらユーザーのデータを復号して当局に提出するのでよろしく!」ということになるのだが、Miguel de Icaza はそれは自分にとって問題ではないと言う。 それでは何が問題か? それは、Dropbox に預けられたファイルは、ファイル転送通信は SSL、サーバ上のファイルは256ビット AES で暗号化され、社員はそのメタデータにしかアクセスできないので、Dropbox の内部者にも見られないように暗号化されているという主張が、今回のポリシー改訂によりはじめからウソだったと露見したことだと言う。 結局、Dropbox
なにかあったらユーザーのデータを復号して当局に提出するのでよろしく! (Dropbox 談) - セキュリティは楽しいかね? Part 1
(2011/04/23 更新) 最近ユーザー数が 2,500万人を突破し、日本でも人気の高いクラウドストレージサービス Dropbox。実は先日、利用規約(Terms of Service)を変更したことをみなさんご存知だろうか。 Privacy, Security & Your Dropbox (The Dropbox Blog) Hi Dropboxers, Like many of you, we’ve been reading the reports about a change we made to our Terms of Service, and more generally about Dropbox’s approach to privacy and security. Everyone who works at Dropbox knows our most import
evernoteのテキストをevernote社の管理者にも見えないように暗号化する - ockeghem's blog
このエントリでは、evernoteクライアントを使って、evernote社にも復号できない状態でテキストを暗号化する方法について紹介します。 昨日、EvernoteのXSS問題に関連して、「Evernoteの開発者も徳丸本読んでいたらよかったのにね」などとつぶやいていたら、「EvernoteのCEOが徳丸さんに会いたがっている」という連絡をもらいました。こういうのは異例のことでちょっと悩みましたが、行くっきゃないだろうということで、Evernote社の日本法人でmalaさんと一緒にCEOにお会いしました。 XSSやポリシーについては非常に誠実な対応をお約束いただいたのでよいミーティングだったと思います。僕が指摘した脆弱性についても、当日の夜のうちに直っていたようです。米国時間では深夜から早朝という時間帯で、迅速な対応だったと思いますが、本題はこれからです。 その場で、malaさんが「Eve
Microsoft Safety Scanner ひっそりとリリース - セキュリティは楽しいかね? Part 1
今週、Microsoftは Safety Scannerという新しいツールをひっそりと(?)リリースしました。これは、ウィルス対策ソフトとしては、Microsoft Security Essentials (MSE)、Malicious Software Removal Tool (MSRT)に続く第3弾です。 Microsoft Safety Scanner Microsoft Safety Scanner は無償でダウンロードできるセキュリティ ツールで、必要に応じてスキャンを実行し、ウイルスやスパイウェアなどの悪意のあるソフトウェアを削除するのに役立ちます。 このツールは、既存のウイルス対策ソフトウェアと連携します。 メモ: Microsoft Safety Scanner は、ダウンロードしてから 10 日間ご利用いただけます。 最新のマルウェア対策定義を使用してスキャンを再実行す
Macで重要なファイルやフォルダを暗号化する方法 / Inforati
暗号化したディスクイメージを使用して、重要なファイルやフォルダを第三者が勝手に見ることを防ぐ方法を紹介します。 許可無しにMacを使用されても、パスワード無しには中身を閲覧できないため、セキュリティやプライバシーを確保できます。 Macで重要なファイルやフォルダを暗号化する方法は2つあります。 FileVault機能を使用して、ホームフォルダ全体を暗号化する方法 暗号化したディスクイメージを使用する方法 今回は暗号化したディスクイメージを新たに作成して、重要なファイルやフォルダの安全を守る方法を紹介します。 暗号化したディスクイメージを作成する方法 ディスクイメージを作成するには、ディスクユーティリティ.appを使用します。 「起動ディスク(Macintosh HDなど)」→「アプリケーション」→「ユーティリティ」と移動し「ディスクユーティリティ」を起動します。 そして、「新規イメージ」を
自宅作業時のセキュリティを考える
自宅作業時のセキュリティを考える:セキュリティ、そろそろ本音で語らないか(19)(1/2 ページ) 計画停電の影響で、多くの企業が出社制限や自宅待機を行っています。急な自宅作業を余儀なくされたこんなとき、セキュリティ対策はどのようにあるべきなのか、考えてみましょう(編集部) 計画停電で避けては通れない自宅作業 ご存じのように計画停電によって大きな社会的な影響が生じています。しかも、この計画停電はいつまで続くのか、先が見えない状況といえるでしょう。大急ぎで火力発電所などを復旧したとしても、今度は夏の大需要期がやってきます。そのときの供給計画は明らかにされていません。 まして、これから復旧フェイズに入っていくためには、現在以上の電力が必要になります。従って、計画停電や節電はこれからも長く続く、と覚悟した方がいいでしょう。数カ月、あるいは1年以上この状態が続くかもしれません。火力発電所も周波数変
国際通話45,000円分の発信をされてしまいました - VoIP-Info.jp BBS
Asteriskの外線用にウィルコム回線を接続しています。 昨日、ウィルコムから月額利用料の請求書が届いたのですが いつもは2千円程度なのに今月は4万円近い金額だったのでビックリ。 何か誤った運用により意図しない発信をしてしまったのかなと その時点では思っていたのですが、数日前に010の番号で始まる 外線発信を現場で数回見たことがあったのを思い出し、 SIPアカウントが乗っ取られて悪用されていたことを確信しました。 Asteriskを自宅兼事務所で運用を始めて3年余りになるのですが 電話運用がうまくいっていたので、セキュリティのことは あまり気にしていませんでした。まさか国際通話で被害に遭うとは思いませんでした。 皆さんも同様の被害に遭わないように気をつけてください。 /var/log/asteriskのログを分析して分かったことですが 本年1月から頻繁にSIPレジ
ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2010年7月1日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPのデータベース・アクセス・ライブラリPDOは、DB接続時の文字エンコーディング指定ができないため、文字エンコーディングの選択によっては、プレースホルダを使っていてもSQLインジェクション脆弱性が発生します。 追記(2011/06/19) ここに来て急にブクマが追加されはじめていますが、このエントリを書いてから状況が改善しています。PHP5.3.6(2011/03/17)にて、PDOでもデータベース接続の文字エンコーディングを指定できるようになりました。この版で、UNIX版のPHPでは解決しましたが、Win
クラウドベンダに質問すべき12の質問 - YAMDAS現更新履歴
Top Security Questions for Cloud Computing Vendors | SaaSChronicles クラウドコンピューティングもすっかり普及したけれど、安全なのかい? という話はここでも取り上げたし、最近もトレンドマイクロの CEO が「クラウドではセキュリティの考えを変える必要がある」とか言っている。 SaaSChronicles が挙げる、クラウドベンダに質問すべき12の質問とは何か。 私のデータはどこに格納される? 私の重要なデータに誰がアクセスする? 私のデータがお宅の環境に格納されるとして、安全を確保するためにどんな管理を行っている? 従業員/契約社員を雇う前にどんな審査を行っている? 私のデータは世界中の他のところにあるデータセンターにレプリケートされる?(されるなら、それはどこ?) 災害復旧やビジネス継続についてどんな戦略がある? お宅のク
SIerがコンサルにも利用可能、セキュリティ成熟度をベンチマークできる無料ツール。最新版をIPAが公開
独立行政法人情報処理推進機構(IPA)は、Web上の質問に答えるだけで自社のセキュリティ成熟度を計ることができる自己診断ツールの最新版「情報セキュリティ対策ベンチマークver3.3」を公開したと発表しました。 「情報セキュリティ対策ベンチマーク」は2005年8月から公開されているツール。セキュリティ対策についての40問の質問に答えると、組織の情報セキュリティ対策の整備・運用状況の自己評価ができるようになっています。評価はJISQ27001を参照して作成された25の項目に分かれて、グラフなど分かりやすい形式で表示。経営者、セキュリティ管理者が、自社のセキュリティ対策のレベルを項目ごとに確認できます。 このベンチマークを用いてSIerなどが手軽なコンサルティングサービスを提供することも想定し、質問の一覧や対策のポイント一覧などの資料がダウンロードできるように用意されてもいます。メールなどで顧客
「Webアプリの脆弱性対策は簡単です」
「Webアプリケーションの脆弱性対策は簡単です」。 セキュリティ関連の取材をするようになって10年以上になるが、セキュリティ対策が「簡単」だと聞いたのは恐らく初めてである。取材の相手は、TISの早矢仕善弘氏(技術本部 セキュアワン室 室長)。ソースコードを対象にした脆弱性チェックツールとして広く利用されている米Fortify Softwareに、同社ソフトの検証を依頼されたこともあるというセキュリティの専門家である。 早矢仕氏によるとWebアプリケーションの脆弱性は、たった四つの原則を守れば防げるという。SQLインジェクションやクロスサイトスクリプティング(XSS)など著名なものはもちろん、最近になって発見されている数多くの脆弱性が、いずれかの原則の対象になる。四つの原則を紹介しよう。 (1)ユーザー入力を精査する Webページのフォームなどに入力された文字列は、きちんとチェックしなければ
データ消去サービス | Logitec データ復旧技術センター
データの完全な消去 データ消去サービスとは 情報の漏洩事故を防止するために、 記録メディア上のデータを完全消去し 復元できない状態にするサービスです。 データ消去の必要性 記録メディアに記録されたデータは、フォーマットしたりOSのリカバリを行っても完全に消去は行えません。 企業の重要な情報が外部へ流出することを避けるために、データの完全な消去が重要です。 企業や公共性の高い仕事で使用したパソコンや磁気媒体等は、廃棄する前に、機密データ、プライバシー情報が第三者に漏洩しないよう、 自己責任で対処することが必要です。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
USBメモリやSDカードを介した情報漏えいを監視する「ミハリ・シューマッハ」NOT SUPPORTED
IDEA * IDEA
FreeBSDいちゃらぶ日記