ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
改正電気通信事業法が施行だけど、またしても何も知らなかったWebサイトやアプリ運用者のために書いておくぜ - フジイユウジ::ドットネット
2023年6月16日 から改正電気通信事業法が施行なんですけど知ってました? これ、収益目的なら企業運営でも個人運営でもほとんどのWebサービス・スマホアプリが対象という、めちゃめちゃ広範囲にみんなが対応が必要なやつなんですけど、ヤバくない? 何もしてなくない? やっべえなというWEBサイト担当者/アプリ開発者が結構いそうな雰囲気がいんたーねっつから漂ってまいりました。 企業のオウンドメディアや、個人運営のアフィリエイト目的サイトなんかも対象になる場合があって、メディア系サイトはもちろんアプリ開発者にも影響ある感じですので、やるべき内容をブログにしたためておきます。 ※ぼくは法律の専門家ではないので、ちゃんと総務省の公式ドキュメントなどにも当たってくださいね。 ググると「外部送信規律」とか「電気通信事業者又は第三号事業を営む者」とか専門用語の記事ばっかり出てきて自分が何をしたらいいのかの情
パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ
Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。 多くのWebアプリケーションは、ユーザーの認証にユーザー名とパスワードの組み合わせを用いています。 しかしユーザー名とパスワードの組合わせを用いる方法にはさまざまな問題が指摘されています。身近なところでは、安全なパスワードを生成することの手間や、安全性を高めるためにパスワードの使い回しを避けようとした結果発生する多数のパスワードを管理することの手間などがあげられます。 そしてこうしたパスワードの不便さが結果としてパスワードの使い回しを引き起こし、いずれかのサイトで万が一パスワードが流出した場合にはそれを基にしたリスト型攻撃が有効になってしまう、などの状況
三菱UFJダイレクト | 三菱UFJ銀行
住所や電話番号の変更、キャッシュカード暗証番号の再登録もインターネットバンキングからお手続きできます。
Webアプリにおける11の脆弱性の常識と対策
Webアプリにおける11の脆弱性の常識と対策:Webアプリの常識をJSPとStrutsで身につける(11)(1/4 ページ) 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です 【2013年2月25日】編集部より、おわびと訂正のお知らせ 本稿において読者の皆さまより多数のご指摘をいただきまして、誠にありがとうございます。編集部であらためて調べた結果、間違いを把握し、あらためて修正版を掲載させていただきます。この度は、長期にわたり誤った内容を掲載したので、読者の皆さまに多大なご迷惑をお掛けしたした点をおわび申し上げます。 通常、記事に間違いがあった場合には、筆者確認後に修正版を掲載するのですが、今回の場
2021年2月28日、みずほ銀行でシステム障害が発生し、全国で同行のATMが利用できなくなる、キャッシュカードが取り込まれたまま戻ってこないなどのトラブルが発生しました。ここでは関連する情報をまとめます。 取り込まれ戻ってこないキャッシュカード みずほ銀行サイト上に掲載されたシステム障害発生の案内障害が発生したのは2021年2月28日11時頃。障害により各地で生じた影響は以下が報じられるなどしている。なお、法人向けに提供されるサービスでは今回のシステム障害による不具合は確認されていない。*1 障害発生から30時間後に全面復旧をした。 みずほ銀行の自行ATM5,395台の内、54%にあたる2,956台が停止し(2月28日19時40分頃時点)、預金引き落とし等が出来なくなった。*2 台数はその後訂正され、最大4,318台が停止していたことが明らかにされた。 *3 障害発生中は、ATMよりキャッ
Webサイトのパスワード認証を狙った攻撃が大きな脅威になっています。 Tサイト(プレスリリース) goo(プレスリリース) フレッツ光メンバーズクラブ(プレスリリース) eBook Japan(プレスリリース) My JR-EAST(プレスリリース) これらの事例のうちいくつか(あるいは全て)は、別のサイトで漏洩したIDとパスワードの一覧表を用いた「パスワードリスト攻撃(後述)」であると考えられています。パスワードリスト攻撃を含めて、パスワードを狙った攻撃が成立してしまう原因は、利用者のパスワード管理に問題がある場合が多く、攻撃を受けたWebサイト側には、直接の責任はないケースが多いと考えられます。 しかしながら、 大半の利用者はパスワード管理に興味がない パスワード認証を採用している理由は、コスト上の理由、すなわちサイト側の経済的な事情 インターネットが「とても危険なもの」となるとネット
100個のパスワードを覚える必要はない。100個のパスワードを生み出す1個のルールがあればいい。(Lifehacker) 【この記事は、2006年7月5日付で米ブログメディア「Lifehacker」に掲載された記事を翻訳したものです。】 安全で記憶しやすいパスワードを設定すれば、自分は簡単に思い出せて、他人には推測されにくい。 →ほかのLifeHack(ライフハック)関連の記事はこちら 最近は、至るところでパスワードの登録を求められる。何十ものサイトでログインの際に入力を求められるパスワード。ATMで必要なキャッシュカード暗証番号。ワイヤレスネットワークにログインするためのパスワード。皆さんは、どのように新しいパスワードを設定しているのだろう? いや、もっと重要なこととして、どのように記憶しているだろうか。 「すべてに同じパスワード」はダメ すべてに同じ1つのパスワードを使うやり方の問題点
SBI証券|株・FX・投資信託・確定拠出年金・NISA
お問い合わせ | 投資情報の免責事項 | 決算公告 | 金融商品取引法等に係る表示 | システム障害の備え 金融商品取引業者 株式会社SBI証券 関東財務局長(金商)第44号、商品先物取引業者 加入協会/日本証券業協会、一般社団法人 金融先物取引業協会、一般社団法人 第二種金融商品取引業協会、一般社団法人 日本STO協会、日本商品先物取引協会 SBI証券(オンライン総合証券最大手)-オンライントレードで株式・投資信託・債券を- © SBI SECURITIES Co., Ltd. ALL Rights Reserved.
by Vernon Swanepoel ウェブサイトのユーザーがどれぐらいページを見てくれているのか、訪問頻度はどれぐらいなのかといった情報を追跡するのにはクッキー(Cookie)やJavaScriptなどが使用されますが、そうやって追跡されるのがイヤだということでCookieを受け入れないように設定したり、JavaScriptをオフにしているという人もいるはず。しかし、それでもユーザーを個別に追跡する方法があります。 Lucb1e.com :: Cookieless Cookies http://lucb1e.com/rp/cookielesscookies/ これはオランダ在住でコード・セキュリティ・ネットワークを愛しているというlucb1eさんが明らかにしたもの。手法としては新しいものではなく、多数のサイトで使われているにもかかわらず、そのことを認識している人はほとんどいないというも
私はいかにしてソフトバンク端末60機種のJavaScriptを検証したか - ockeghem's blog
昨日のソフトバンクの非公式JavaScript対応の調査結果 | 徳丸浩の日記で報告したように、昨年5月に、ソフトバンク60機種の検証を行い、JavaScript対応の状況などを調査しました。当時はまだ公式なJavaScript対応機種はない状態でしたが、既にほとんどの端末が *非公式に* JavaScriptに対応していました。 このエントリでは、検証の様子を報告します。 なぜJavaScript対応状況を調査したか http://www.hash-c.co.jp/info/20091124.htmlを公表した前後に、とある方(この方)から、ソフトバンクのケータイでもJavaScriptが動作すると伺いました(参考のやりとり)。XMLHttpRequestも含めてJavaScrptが動くと教えていただいた932SHを私も購入して調べたところ、以下が判明しました。 確かにJavaScrip
購入品目のカテゴリ分けや月ごとの収支比較、過去の購買履歴のチェックなどがスマートフォンのカメラでレシートを撮影するだけで完成する無料の万能家計簿アプリが「Dr.Wallet(ドクターウォレット)」です。実際にドクターウォレットを使うとどれくらい簡単に家計簿がつけられるのかを実際にガッツリ使い倒して確かめてみました。 人気無料レシート家計簿アプリDr.Wallet|エクセルより簡単 https://www.drwallet.jp/ ◆いろんなレシートをデータ化してみた ドクターウォレットを使って家計簿をつける際に必要なのは、レシートとドクターウォレットをインストールしたスマートフォンの2つ。 レシートのデータ化にはまずアプリを起動して、ホーム画面の左下に表示されている「レシート撮影」をタップ。 スマートフォンのカメラでレシートを撮影する際は、明るい場所でスマートフォンとレシートを平行に保ち、
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、本当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁護する立場なんですね。面白そうです。よろしくお願いします。 高橋: まず問題の整理についてです。IPAより9月3日に『「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争 』の仕様書(PDF)が公開されました。その仕様書中の行動喚起を促す対策事例の一つに「ID・パスワードは定期的に変更する」 があったので、セキュリティクラスタが騒ぎ出し、その結果かどうかは分かりませんが、9月9日に同仕様書が改定され、パスワードの定期的変更は対策例から削除されました。一連の議
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
2009年も残すところあと1時間。(紅白見ながら書いて12/31 23:00にアップしました。) 2009年を振り返ってたくさん使った、2010年も使い続けたいアプリを厳選してみました。合わせて、他サイト様の2009年ベストアプリ的記事を集めてみました。アプリ探しの参考になれば幸いです。 来年もiPhone界隈、App Store界隈が盛り上がり続けますように... 目次 選考基準 実用部門 ゲーム部門 2009年ベストアプリ記事まとめ 選考基準?! 2009年は印象的なアプリが多数リリースされました。中でもiPhone 3GSやiPhone OS 3.xのリリースにより可能になったMAGASTORE(無料/iTunes Store)などのアプリ内課金を利用したアプリ、ReelDirector(900円/iTunes Store)などの動画編集系アプリ、そしてセカイカメラ(無料/iTune
ウェブサイトでよく目にするバナー広告が、オンラインバンキング詐欺ツールや、ファイルを勝手に暗号化するランサムウェア感染の原因になっている。バナー広告を表示しだけで感染するもので、対策には普段使っているソフトを最新化する必要がある。(ITジャーナリスト・三上洋) 50秒で感染→ランサムウェアで暗号化・脅迫 この連載・サイバー護身術でも、繰り返し取り上げているウェブサイトの不正広告問題について、セキュリティー大手・トレンドマイクロが3日に記者向けセミナーを開催した。 冒頭に衝撃的なデモンストレーションが行われた。トレンドマイクロが用意した環境で、実際に不正広告がどのように動くかを見せる動画デモだ。 ★不正広告のデモンストレーション 1:ニュースサイト(トレンドマイクロが用意した仮想のもの)をブラウザーで表示。上と右にバナー広告が出ている 2:何もしていないのに、わずか50秒後にウイルス感染 3
金融業界は過去最悪な時期がありましたが現在はどうなのですか
金融業界は以前最悪な経営状態の時がありましたが、現在の状況はどうなっているのでしょうか。 一時状況が良くなかった消費者金融会社も今は盛り返しています 貸金業法の改正の為利息などの規制も施行されその上総量規制で借入する人を逃してしまった為に消費者金融会社は窮地に立たされました。加えて利息制限法でグレーゾーンと言われる金利を支払った人から過払金返還請求が後を絶たず、かなりの赤字経営を余儀なくされたのです。2010年頃の経営不振のピークから徐々に盛り上げ、大手消費者金融会社は2013年度の業績が黒字に転じている所もあります。もちろん過払い金返還請求はまだ完全には払拭できていない状態ですが、各社共に明るさを取り戻しているようです。 各消費者金融は今後貸付金額が上昇する事を願い、良質な新規顧客の獲得に力を注いでいるとの事です。消費者金融会社の中には銀行と提携するところや、銀行の傘下に入るところが増え
まだ状況がはっきりしていない部分も多いのですが、韓国で大規模なサイバーテロが発生した模様ですね。現在明らかになっている情報を総合すると、犯人は不明ですがきわめて意図的な大規模攻撃のように見えます。Mandiant報告にあるような産業スパイ大作戦とはまた異なる様相のストレートなサイバー戦争が発生しているように思えるので、こちらで少し状況をまとめておきます。 1.被害状況 複数の放送局・金融機関で社内コンピュータネットワークが一時マヒ状態になる 新韓銀行ではATMやオンラインバンキングサービスまで一時的に利用不能 2.攻撃手法 良くありがちなDDOSなんぞではなく、malware配布によるもの。 感染経路としては韓国内で60%程度のシェアを誇るアンラボ社製品の各社に設置された資産管理サーバを乗っ取り、そこにmalwareを仕込んだと思われる。 アンラボ社の見解(韓国語) 資産管理サーバーを乗っ
By iKorp 「飛行機に爆発物を仕掛けた」としてオウム真理教の松本智津夫死刑囚の釈放を求める内容のメールが日本航空の顧客対応窓口に届いて米国行きの便が引き返す事件が発生したり、大阪市の市政への意見募集欄に「(大阪・日本橋の)オタロードで歩行者天国にトラックで突っ込み、無差別にひきまくります」と書き込んだ件で誤認逮捕されてしまった北村真咲さんのパソコンから発見された遠隔操作を行うウイルス(バックドア、要するに裏口を作る不正プログラム)は「iesys.exe」というファイル名であったことがわかったわけですが、一体コレはどういうものなのかというのをウィルスバスターで有名なトレンドマイクロが解説しています。 注意喚起:不正プログラムを使用した遠隔操作によるなりすまし犯行予告事件に関する注意喚起 http://www.trendmicro.co.jp/support/news.asp?id=18
[2018/07/07 追記] 本記事ではChrome拡張について説明していますが、Firefox1やEdgeの拡張機能もほぼ同じ仕組みで動いています。 [2023/11/06 追記] #参考 ページを追加しました。 Chrome拡張。便利な機能を簡単に追加できるので使っている人も多いと思います。 ただ、インストール時の権限の注意書きが分かり難いので無条件に承認(追加)していることもあるのではないかと思われます。 そこで、本記事ではChrome拡張の権限の種類・確認方法の他、拡張がどこまで(悪いことを)できるのかとその対策を3段階の権限(危険性)レベルごとに紹介していきたいと思います。 便利だが危険性もあるChrome拡張 Chrome拡張をインストールすると、Webページを読むというブラウザ本来の機能だけでなく様々なことができるようになります。 例えば、Webメールの新着通知や記事などの
EMOTETというマルウェアは2014年にはじめて確認されて以来、様々な変化を遂げてきました。当初はオンライン銀行の認証情報窃取を主な目的としたオンラインバンキングマルウェアとして認知されていましたが、その後、様々な変更が加えられ、現在においては2014年出現当時とは全く異なる挙動や目的を持ったマルウェアとなっています。 2018年末現在、EMOTETは世界中で積極的に拡散され被害拡大が懸念されており、日本国内も例外ではなく、様々な企業へEMOTETの感染を狙った不正メールが届いている状況にあります。 そうした状況にもかかわらず、少なくとも国内においては、今のところ現在のEMOTETに関する感染から挙動に至るまでのまとまった情報が見当たりません。 そのため、今年11月~12月に実際の国内企業への攻撃で使用されたEMOTETの不正メールを元に、我々が調査した結果と現在のEMOTETの全体像を
https://t.co/lELP7g9jZn イケハヤ結局銀行からローン降りなかったんだな。 — 広瀬隆雄 (@hirosetakao) 2018年4月11日 イケダハヤトさん、銀行が金貸してくれなかったから銀行の前まで行って潰れろって発信しているみたいですね 自分の言うことを聞かないやつらは全員悪っていうのがよくわかります — rcp193 (@rcp193) 2018年4月11日 イケハヤ氏が住宅ローンを断られてVoicyで高知銀行をdisっているというツイートを発見したので、該当部分だけ聞いてみたところ、こんな感じの内容で話をしていました。 高知銀行開店前の駐車場でVoicy収録 高知銀行のオンラインバンキングが月額2,000円かかるので使っていない だからわざわざ通帳記帳のために銀行まで来ている 最近は会社のイーサリアムウォレットで報酬の支払いをしている 会社で事務所を作ろうとし
Amazon S3は安いか高いかという議論を、この2日間で立て続けに3個所で耳(目)にした。 1人はネットサービスベンチャーのCTOで、クラウドへの移行を検討しているものの、Amazon S3やEC2の実際の価格や使い勝手がよく分からないという話だった。コスト的に見合うなら、もうサーバ運用に煩わされたくないと漏らしていた。 もう1つは、ベンチャーキャピタルとして知られるYコンビネーターの掲示板で見かけた「Does Amazon S3 really save money?」で始まる議論。1GB当たり1カ月で0.15ドルと聞くと安いようにも思えるが、1TBの月額は150ドル、2年にすると3600ドル(1ドル92円として約33万円)にもなる。しかも転送量に応じた課金もあるため、実際にはこれ以上になる。今や1TBのドライブ単価は1万円を割っていて、2年で3600ドルとは比較にもならない。「クラウド
「マイナンバー」って何のために始まるの? 担当補佐官の楠正憲氏にメリットを聞いてみた - リクナビNEXTジャーナル
「マイナンバー制度」と聞いて、どんなイメージを持っているだろうか。「国に監視されるような気がしてこわい」「セキュリティ上の不安がある」などネガティブな印象を持つひとも少なくないのではないだろうか。 内閣官房社会保障改革担当室で番号制度推進管理補佐官を務める楠正憲さん。2017年1月から順次運用開始される「情報提供ネットワークシステム(情報提供等記録開示システム)」というマイナンバーの基盤となる情報システム構築を担当し、現在開発に係るレビューなどを行っている。マイナンバー制度のシステムを知りつくす楠さんに、そもそもマイナンバー制度が導入される理由やそのメリット、セキュリティについての疑問点など、率直な質問をぶつけてみた。 公平・公正を期すためにマイナンバーを導入 ――やっと我が家にもマイナンバーのお知らせが届き、「いよいよ始まる」という段階になって、何も知らないことに焦っています。そもそも「
ネットデマと戦う:ギズモード湯木進悟編
この記事の位置付け: ネットにおけるデマ流通がなぜ増えているのか、どのように止められるのかを考察するとともに、デマ発信源の例として有名ブログ「ギズモード」ライターの湯木進悟氏を挙げ、その問題点を列挙することで、ネットにおけるデマ問題への関心を高める。 なぜネットでデマが生まれるか: ブログをはじめとするソーシャルメディアの普及により、今日では多くの人が簡単に情報を発信、流通できるようになった。おかげで個人の面白い話やタメになる情報を簡単に入手できるようになったし、コミュニケーションも容易になった。基本的には喜ばしいことだ。しかし良いことばかりではない。ソーシャルメディアには、多くの人が簡単にデマを発信できる、そして多くの人がその流通に加担できるという側面もある。実際、ネットで生まれ、ソーシャルメディアで拡散されるデマがこのところ相次いでいる。 デマの流通がさかんになったのは、ただネット人口
2014年11月19日、20都道府県警の合同捜査本部が国内で違法にプロキシサーバーを運営する全国8業者へ一斉捜索をかけました。ここではその関連情報をまとめます。 タイムライン 大光・SUNテクノ関連 日時 出来事 2013年4月〜8月 AmebaへSUNテクノのサーバーから不正ログインが行われた可能性。 2014年1月 愛知県警が偽サイトのIPアドレスからSUNテクノを割り出し。*1 2014年2月頃 SUNテクノのサーバーに大手銀行(MUFJ?)のフィッシングサイトが開設。*2 2014年3月頃 SUNテクノのサーバーに大手銀行(MUFJ?)のフィッシングサイトが設置され当月だけで約1万3千件のアクセス。*3 2014年8月 大光とSUNテクノが捜索を受ける。 その後 大光と他1社がISPから不正行為に関わったとして契約を解除。 その後 大光、SUNテクノが他人のIDを使ってインターネッ
三井住友銀行等で発生している自動送金するマルウェアを使った不正送金に関連する情報をまとめてみた - piyolog
三井住友銀行が注意喚起をした自動送金するマルウェアを使った不正送金の手口についてここではまとめます。 三井住友銀行で発生した自動送金マルウェアによる不正送金の概要 2014年5月12日、三井住友銀行が同社のオンラインバンキングの利用者を対象にした不正送金被害が発生していると注意喚起を発表しました。不正送金の被害を受けた原因は利用者の端末がマルウェアに感染していたためとみられています。 インターネットバンキングの情報を盗み取ろうとするコンピューターウィルスを使った新たな手口について インターネットバンキング(SMBCダイレクト)の情報を盗み取ろうとするコンピュータウィルスにご注意ください(平成26年5月12日更新) (1) 被害状況 被害対象サービス SMBCダイレクト 被害件数 数十件 発生時期 2014年3月下旬以降 被害が確認されているのは個人向けで、法人向け出の被害は確認されていない
ユーザーごとに異なるデータを提供するため、ログイン機能を搭載しているウェブサイトは多数存在します。しかし、ユーザー側はウェブサイトに搭載されたログイン機能の「認証方式」まで気にすることはあまりないはず。そんなウェブサイトの認証方式について、代表的な6つの方式をエンジニアのAmal Shaji氏が解説しています。 Web Authentication Methods Compared | TestDriven.io https://testdriven.io/blog/web-authentication-methods/ ◆ベーシック認証 HTTPの中に組み込まれているベーシック認証は、最も基本的な認証方式です。ベーシック認証に暗号化機能はなく、Base64でエンコードされたユーザーIDとパスワードをクライアントからサーバーに送信するとのこと。 認証フローはこんな感じ。まずクライアントはサ
銀行振込は相手先の銀行名、支店名、口座番号があれば振込できてしまいます。そのため、口座番号を間違えてしまえば、まったくの他人に振り込むことなります。 間違えないように確認画面などもあるわけですが、急いでいて見落としてしまったというケースも少なくないようです。 このような場合、どうしたらいいのでしょうか?振込間違いで行う手続きを「組み戻し手続き」と呼びます。ただ、この間違った振込で振り込んでしまったお金を取り戻すというのは結構大変だったりします。 相手が応じない可能性がありますし、また、高額な組み戻し手数料というコストもかかります。一番は振込間違いをしないということです。 間違い振込みの返金手続きの流れ まずは、銀行振り込み先を間違ってしまったときの返金(組み戻し)の手続きの流れを簡単に説明していきます。 振込依頼をした銀行(A銀行)に組み戻しの手続きの依頼をする。 A銀行は振込先銀行(B銀
初めてMacintoshを触ったくらいのころはデスクトップのカスタマイズとか楽しかったけど、最近は全く飾らず、機能性重視のデスクトップとなっている。壁紙も当然ない。スクリーンセーバーも一番簡単なものでデスクトップロックをしている。 ■ ゴミ箱意外は置かないシンプルなデスクトップ ゴミ箱以外はデスクトップに置かない。フォントやらウィンドウの表示関係は極限まで装飾を排除して、軽快に動くようにしている。その他システムのパラメータなどもかなりチューニングしている。が、やっぱりWindows XPは重い。Vista一瞬使ったけど最悪。もう二度と使わない。 Ubuntuなんか、かなり良くなっているみたいだしドライバも揃っている風。ただ、Webサイトの閲覧メインの私としては、やっぱりたまに表示が崩れたり、Internet Explorerに最適化されているWebサイトなんかが見られなくなったりするのが面
HTTP ページ上でのパスワード要求はやめましょう
[これは Mozilla のセキュリティエンジニア Tanvi Vyas 氏のブログ記事 No More Passwords over HTTP, Please! を同氏の許可を得て翻訳したものです] Firefox 46 Developer Edition は、HTTP ページ上でログイン情報の入力を求められた場合、開発者に警告を行います。 ユーザ名とパスワードの組み合わせは、ユーザの個人データへのアクセスを管理する手段です。Web サイトはこうした情報を注意深く扱い、パスワードは HTTPS のような安全な (認証、暗号化された) 接続を通じてのみ要求すべきです。しかし残念なことに、HTTP のような安全でない接続でユーザのパスワードが扱われている例が 非常に多く 見られます。このプライバシーとセキュリティの脆弱性を開発者の皆さんに知らせるため、最新の Firefox Develope
マルウェア感染経路で「Discord」「OneDrive」突出――セキュリティ会社が警鐘:“PPAP”廃止の余波か(1/2 ページ) セキュリティソフトなどを開発するデジタルアーツ(東京都千代田区)は1月17日、パスワード付きZIPファイルとパスワードを同じ経路で送信する方法(いわゆるPPAP)の代替手段として利用が進むファイル共有サービスが、マルウェアの感染経路になっているとするレポートを発表した。特にゲームプレイヤー向けのチャットサービス「Discord」と、米マイクロソフトのクラウドサービス「OneDrive」を使った手法が突出しているとして、警鐘を鳴らしている。 レポートによると、マルウェアを仕込んだファイルを2サービス上にアップロード。生成されたURLからファイルをユーザーにダウンロードさせ、感染させる手法だという。セキュリティ関係者による悪性URL共有プロジェクト「URLhau
まだiPadは失敗作だとつぶやいてるあなたへ... その予想は甘い!2010.01.29 17:00 結局はアップルに負かされますよ... 「iPad」はPCの存在意義を根底から覆す革命児だ! なんてたとえ地球が逆さにひっくり返ったとしても言えませんわがなって思っちゃってるあなた。その考えは甘いのかもしれませんよ。だって、これまでの歴史を振り返ると、アップルの発表製品って、いつも最初は度肝を抜いててウケが悪かったんですからね。 iPhoneが初めて登場した時のことを覚えてますか? あんなケータイは絶対に流行らん。あれが世界に普及していくとは思えん。そんな当初のネガティブな批評は、実はかなり当たってもいたんですけど、意外な方向性で崩れていきましたよね。 どうも似てるんです。iPadのコケ方とiPhoneのコケ方が...。だから、やっぱりiPadは2年後に爆発的ヒットを迎えるんじゃないでしょう
ヤフオク出品に際しての注意事項
ヤフオク出店料無料化記念に、出品時の留意点を自分用にまとめておく。 1. 商品タイトル SEO対策をする。商品の正式名称・型番・メーカー、送料無料・新品未開封・中古美品といったワードを入れる。 2. 商品説明 付属品などがある出品物は、出品するすべてのアイテム名を書き出す。 新品か中古か。中古なら状態を定量的に(1cmほどのキズあり。100時間ほど使用など)説明。 商品情報が多い場合(PC周辺機器など)は、トラブルを避けるため公式ページのリンクを貼る。商品説明を短くするのにも有効(説明が長いと被ウォッチリスト数が減る)。 3. 注意事項を書く このソフトはライセンス未登録なのでインストールできるとか、携帯のロッククリアが必要だとか、トラブルになりそうな注意点はあらかじめ書いておく。 似たような出品物の商品説明に目を通して、どんな留意点を書くべきか確認。 注意すべきことを説明しとくと、落札者
ここしばらく仕事にやる気が出ず、シロギス釣りばっかりやっていたら、ブログ更新もすっかり滞ってしまってました。 久しぶりの更新です。 いやー、家計簿アプリ業界、そのうち絶対にヒドい事件がおきると予想します - ツイナビ | ツイッター(Twitter)ガイド 個人で作っているサービスで仕方なくスクレイピングしているならともかく、法人として運営しているサービスなんだしきちんと金融機関に仁義通して金払って企業間連携用のapi利用すりゃいいのに。 2015/07/02 08:58 う~ん、家計簿アプリのチョンボなわけなんですけど、ブコメでは銀行側がミョーなとばっちりを受けておりますね。。。 なんていうか。。。微妙。 「金融機関側がAPIを用意」しても解決しない 金融機関がAPIを用意しないせいで家計簿アプリ側が「乱数表」情報を入力せざるを得ないって意見を結構な数見かけます。 でも、実際金融機関側で
攻撃から学ぶCSRF対策 - Qiita
はじめに WEBエンジニアとして成長するために、セキュリティ対策は避けては通れない道ですよね。 僕も含め 「なんとなく知ってる」 という方は多いのではないでしょうか。 大切なWEBサイトを守るためにも、WEBエンジニアとしての基礎を固める為にも、しっかりと学んで一緒にレベルアップしていきましょう。 また、本記事の内容は様々な文献をもとに自身で調べ、試したものをまとめています。 至らぬ点や、間違いがありましたら、コメントにてご指摘をお願いします。 他にも様々な攻撃手法についてまとめているので、興味のある方は読んでみてください。 攻撃から学ぶXSS対策 攻撃から学ぶSQLインジェクション対策 CSRFって何? CSRF(Cross-Site Request Forgery)とは、サービスの利用者に意図しないHTTPリクエストを送信させ、意図しない処理を実行させる攻撃手法です。 これだけでは分か
T.Teradaの日記 - ログイン直後のレスポンスの返し方
多くの会員制Webサイトでは、ID/PWによるログイン処理がある。ユーザにログイン画面を提示し、ユーザがフォームにID/PWを入力してsubmitする。ID/PWがOKであれば、ユーザのブラウザにはログイン後の画面が表示される。 以下に、これを実現するための2通りのシーケンス図を描く。セキュリティの観点で望ましいのはA、Bのどちらだろう?というのが今回のテーマ。 Aではログイン要求に対してHTTPステータス200応答とともにログイン後画面をブラウザに返している。Bではログイン要求に302応答を返して(HTTP1.1では303応答)、ログイン後画面にリダイレクトしている。 結論を言うと、セキュリティの観点では、私はBの方が望ましいと考えている。 逆に言うと、Aにはどうにも気に入らないところがある。それは、ID/PWを含むリクエストに対して200応答を返していることだ。200応答のページは、ブ
いつもネットトレンドはSEOから。 ◆一昨日までの状態まとめ 1.SSLを使うサイトは検索エンジンから評価されるとの噂があります。 また、そうでなくても会員情報を扱うサービスサイトのSSL化は必須でした。 何故かと言うとスマホ+無線LANで、比較的カジュアルに盗聴される可能性があるからです。 故に、特にサービス系サイトは入り口からSSLによる暗号化通信によってのみ接続可能なサイトが増えていました。 2.別の話で、かつて隆盛を誇ったIE6をいつまでサポートするか問題というのが懸念としてありました。 「まぁ正式対応してなくてもつながるならいいか、まだXPでバージョンアップできないユーザーもいらっしゃるし」 ぐらいの感覚で、何も真面目に正式対応はせずとも、つながる可能性を維持しておくのが大人の判断だったと思います。 シェアの話を出しても、もともと全体的にはレアな方々をどこまでサポートするかという
マルチスレッド・プログラミングの落とし穴、その2
ずいぶん前に、「マルチスレッド・プログラミングの落とし穴、その1(かもしれない)」というエントリーを書いたが、今回はPhotoShareサーバーを運営していて、まさにこのあたりの深い考察が必要になって来たので、良い機会なので続編エントリー。 PhotoShareのバックエンドのようにCRUD(Create/Read/Update/Delete)のAPIをサポートするバックエンドを作る場合、Create/Update/Deleteのリクエストに対してはクライアントからのAPIコール時にすぐに(HTTP Requestに返事をする前に)データベースに変更を加え、Readの際にも(キャッシュを使う・使わないを別にして)データベースの最新の状況を反映するデータを返すように設計するのが普通である。 このアーキテクチャの問題は、ユーザーのアクティビティが増えた時に、データベースやI/Oがボトルネックと
痛いニュース(ノ∀`):JASRAC、勝訴…ネット上に音楽データ保存できる「ストレージ」サービスに、「著作権侵害」判断
1 名前:☆ばぐた☆ ◆JSGFLSFOXQ @☆ばぐ太☆φ ★ 投稿日:2007/05/25(金) 22:04:10 ID:???0 ★<音楽保存サービス>ストレージ利用は著作権侵害 東京地裁 インターネット上にデータを保存する「ストレージ」を利用し、ユーザーが自分のCDなどの音楽データを保存、いつでも携帯電話にダウンロードして聴けるサービスの提供が著作権侵害に当たるかどうかが争われた訴訟の判決で、東京地裁(高部真規子裁判長)は25日、著作権侵害に当たるとの判断を示した。 問題のサービスは、情報通信会社「イメージシティ」(東京都台東区)が05年11月から 始めた「MYUTA」。ユーザーは音楽データをパソコンから同社のサーバーに保存し、 携帯電話へのダウンロードはユーザー本人しかできない。 このサービスに対し、日本音楽著作権協会(JASRAC)は著作権侵害だと指摘。 同社はサ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
データ移行で発生したみずほ銀行のシステム障害についてまとめてみた - piyolog
パスワード攻撃に対抗するWebサイト側セキュリティ強化策
ITmedia Biz.ID:優れたパスワードの選定と記憶法
IPアドレス・クッキー・JavaScript・UAなどを使わずユーザーを個別に追跡する方法
スマホでレシートを撮影するだけ、あとは全自動で家計簿が完成する「Dr.Wallet」の使い倒し方&活用法
パスワード定期的変更の効能について徳丸さんに聞いてみた
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
2010年も使いたい「2009年iPhoneアプリベスト10」(と2009年ベストアプリ記事21本)
広告表示したら感染…ソフト最新化を急げ : 科学 : 読売新聞(YOMIURI ONLINE)
韓国への大規模サイバーテロ事件について | snowwalker's blog
掲示板のスレッド経由の遠隔操作で犯罪予告を行う「iesys.exe」の正体まとめ
ブラウザ拡張の権限でどこまで悪いことをできるのか?とその対策【デモあり】 - Qiita
流行マルウェア「EMOTET」の内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
住宅ローンはどうなった?イケハヤ氏の家がいつまで経っても建たない理由。 - はらですぎ
クラウド型ストレージ「Amazon S3」は安いか?
プロキシ業者が一斉捜索を受けた件をまとめてみた - piyolog
ウェブサイトのさまざまな「認証方式」をまとめて比較した結果がコレ
銀行振込で振込先を間違えた時の返金手続き(組み戻し手続き)の流れ|Money Lifehack
デスクトップ百景 - 第百景:六本木で働いていた元社長の超軽量化シンプルデスクトップ 堀江貴文
マルウェア感染経路で「Discord」「OneDrive」突出――セキュリティ会社が警鐘
まだiPadは失敗作だとつぶやいてるあなたへ... その予想は甘い!
家計簿アプリ業界について思うこと - プロマネブログ
ついにIEの旧バージョン問題に引導渡る | F's Garage