技術部 SRE グループの id:itkq です。2019 夏アニメで一番好きな作品は Re:ステージ!ドリームデイズ♪ です。この記事では SRE が運用している退職処理の自動化について説明します。 退職処理とは 入社後に業務のための様々なアカウントを作成するのと反対に、退職時にはそれらのアカウントを無効化する必要があります。これを退職処理と呼んでいます。SRE が管轄している典型的な例では、SSO に対応していない SaaS のログインアカウント・AWS の IAM User・データベースの個人ログインユーザなどが該当します。これらのアカウントは社員によって要否が異なったり必要な権限が異なるため、入社時に一括で用意せず必要に応じて申請してもらう形をとっています。一方で退職時にはそれらのアカウントをすべて無効化する必要があります。 退職処理は繰り返され、自動化の余地のあるタスクです。また
もっと早く導入すべきだった……。お家の中の「Wi-Fiが届かない」問題が簡単に解決2021.03.31 17:00Sponsored by 株式会社バッファロー 小暮ひさのり こんなに簡単に解決できたのか…。 と、驚きが一番大きかったですね。突然ですが皆さん、Wi-Fiってお家の隅々まで届いていますか? 我が家では、部屋を模様替えしてルーターの位置を変え、リビングのテレビボードの中に隠したところ、リビングでは快適につながるも、2階の寝室や書斎、子供部屋に行くとつながりにくくなってしまいました。速度が落ちるとかいうレベルではなく、部屋によっては寸断されちゃうくらいまで不安定。 こちらは奥まった場所にある書斎。Wi-Fiはギリギリ届くか届かないかくらいなので頻繁に接続が切れます。リモート会議とかトンデモナイ状態なので、会議のたびにリビングに移動しなければなりません。これは 優先的に解消したいと
Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog
はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿では Firebase Authentication を利用するうえで、注意しなければ不具合や脆弱性に繋がりうる 7 個の「落とし穴」について解説します。 はじめに IDaaS の利点と欠点 落とし穴 1. 自己サインアップ リスク 対策 不十分な対策 落とし穴 2. ユーザーが自身を削除できる 対策 落とし穴 3. 他人のメールアドレスを用いたユーザー登録 リスク リスク 3-1. メールアドレス誤入力によるユーザー乗っ取り リスク 3-2
どういうハッキングをされるのか? さて、本題です。ここ10年ちょっとWordPress専門で仕事をしていますが、自分が遭遇したり知り合いが遭遇したケースは「サーバー内のファイルが書き換えられて、アクセスすると他のサイトにリダイレクトされる」というケースです。 サーバーのファイルを見てみると概ね以下の症状になります WordPressをインストールした各ディレクトリのindex.phpなど、phpファイルの文頭に怪しげなコードを書き込まれているwp-content/uploads/ の中には通常画像ファイルなどばかりのはずが、見に覚えのないファイルを大量に置かれる通常の投稿内にいろいろ投稿される(このケースは近年は自分や周りでは遭遇していない) これらのファイルは全部キレイに駆除しない限り、該当部分を削除したり、該当ファイルを削除しても残っているファイルから再度改竄してくるので面倒です。 復
絶対に画像をダウンロード&スクレイピングさせないWebページを本気で作ってみた - blog.potproject.net
巷で話題になっているこの話題、画像をスクレイピングやダウンロードされたくないということで騒がれています。その話に関しては色々な意見があると思ってますがここでは置いておくとして・・・ 技術的にやるとしたら実際どれくらい対策できるの?ということが気になったので、自分の知識で出来る限り対策したものを作ってみることにしました。 最初に 賢い方はわかると思いますが、タイトルは釣りです。 絶対に画像をダウンロード&スクレイピングさせないページは存在しません。ソフトウェアにおいて絶対と言う言葉はまず存在しないのです。ブラウザで表示している以上、仕組みさえわかれば技術的には可能です。 そのため、 「元画像のダウンロードとスクレイピングを非常に困難にしたWebページを本気で作ってみた」 が実際のタイトルかなとなります。 とはいえ、この仕組みであれば大多数の人は機械的にスクレイピングすることを諦めるレベルの作
Hiromitsu Takagi on Twitter: "識別符号(アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード)がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電… https://t.co/D7EJ5cCksU"
識別符号(アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード)がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電… https://t.co/D7EJ5cCksU
新年、明けましておめでとうございます! 年末年始の休みを有効活用して、パスワード管理を見直しましょう!(笑) 企業のデータ漏洩は基本的に悪いですが、2,500万人のパスワードも持つデータの場合は、最悪です。 この投稿をするまで、少し間を置きました。 ニュースが出る直後、みんなが騒いで矛盾な情報が流されたり、感情的に報じることが多かったりして、それを避けたかったです。 事実パスワード管理アプリ LastPass によると、 2022年8月に第三者によって同社のクラウドサービスが侵入されました当時、個人データは盗まれなかったそうですが、ソースコードは盗まれましたユーザのデータが漏洩していなかったにも関わらず、 LastPass 社は事件を一般公開しました。 顧客と企業の間でのそのような透明性は望ましいことで、功績を認めるべきです(多くの会社はそんなことしません) しかし、当時漏洩したものの中で
DB設計の共有で疲弊してない?dbdocsのすゝめ
DB設計の管理や作成に疲弊してません?こんにちは。ukmshiです。今日はDB設計の共有と管理に便利なツール、dbdocsについてお話しします。dbdocsを使えば、設計の可視化や共有がめちゃくちゃ簡単になるんです。今回は、その魅力と利点、そして実際の使い方について詳しく説明します。 dbdocsとは? dbdocsは、コードベース(DBML)でDB設計を管理し、URLで共有することが可能なツールです。データベースのテーブル構造や関係性を可視化し、それを他のチームメンバーやステークホルダーと手軽に共有することができます。 DBMLについてはこちらを参考に dbdocsの利点 dbdocsの利点について詳しく見ていきましょう。 無料 まず最初に、dbdocsは基本無料です。コストを気にせずに利用できるので、チームの誰もがアクセス可能です。 コードベースで管理 dbdocsはコードベースでDB
なりすまし口座に約1億円が流出したSBI証券の不正ログインについてまとめたみた - piyolog
SBI証券は顧客アカウントへの不正ログインにより9,864万円の顧客口座の資産が外部へ流出したと発表しました。資産流出には不正に開設された銀行口座も悪用されました。ここでは関連する情報をまとめます。 SBI証券の発表 悪意のある第三者による不正アクセスに関するお知らせ なりすまし口座を使った犯行 不正利用の手口(SBI証券発表情報よりpiyokango作成)SBI証券からの流出は以下の手口で送金まで行われてしまった。 SBI証券の顧客アカウントに不正ログイン。 偽造した本人確認書類を用いて銀行でSBI証券と同名義の口座を開設。 顧客アカウントが保有する有価証券を売却。出金先銀行口座を不正口座に設定変更。 売却した資金を不正口座に送金。送金された金を引き出し。 約1億円が流出 SBI証券が2020年9月16日時点で把握している被害は顧客数6人、総額9,864万円。1件当たり数百~3,000万
FANZAアカウントの削除を決めました
まだサイト名がDMMの頃から、今に至るまで多くの作品を購入してきました。私は抜きどころを見つけて同じシーンで何回もヌくタイプなので高画質ビデオを購入します。最近だと4K作品しか購入しません。とくに乳首のキレイな巨乳が好きで、私のコレクションは乳首のキレイな巨乳で溢れかえっております。途中、VRに出会ったことで臨場感あふれる巨乳を堪能しましたが、やはりVRは頭への負担と、致しているときにヘッドセットが揺れるため映像が乱れること、画質の荒さ、なにより致している姿を家族に見られるリスクが高すぎることから2Dに戻しました。8KVRも試しましたが、やはり2D4Kにはかないません。 時にはオムニバスを購入し、名前の知らないキレイな巨乳をもつ女優に出会うこともありました。一期一会の関係性ですが、他のオムニバス作品でで会った時は、昔共に致した女性に出会うような、なんとも言えないけど甘酸っぱい気持ちになるこ
無料でEPUBやPDFのほか7万以上の書籍を自由に読めてWindows・Linux・macOSなどで同期できる電子書籍リーダー「Librum」レビュー
オープンソースの電子書籍リーダーソフト「Librum」は、PDFや電子書籍ファイルであるEPUB・MOBIのデータを読み込んで本棚として共有できるほか、7万冊以上の無料書籍を自由にダウンロードして複数端末で読書進度も合わせて共有できます。 librumreader.com/ https://librumreader.com/ Librumの公式ページにアクセスし、「Download」をクリック。今回はWindowsからダウンロードしていますが、Windows、GNU/Linux、macOSに対応しており、iOSとAndroidは後日対応予定とのこと。 ダウンロードした「librum-windows-0.11.0-installer.exe」をダブルクリックして開きます。 インストーラーが開いてライセンスが表示されるので、「I accept the agreement」にチェックを入れて「N
はじめに こんにちは。株式会社Flatt Security セキュリティエンジニアの石川です。 本稿では、ログイン機能をもつWebアプリケーションにおける実装上の注意を、マイページ機能から派生する機能のセキュリティ観点から記載していきます。特に、XSS(Cross-Site Scripting)やSQLインジェクションのような典型的な脆弱性と比較して語られることの少ない「仕様の脆弱性」にフォーカスしていきます。 これから述べる実装上の注意点は、実際にはマイページ機能であるかどうかに関係なく注意するべきです。 しかし、開発者の視点に立つと「これこれの機能にはどのようなセキュリティ観点があるか」という形が読みやすく、また他の機能の仕様のセキュリティを考える上で想像力を働かせやすいものになるのではないでしょうか。 また、株式会社Flatt Securityではお客様のプロダクトに脆弱性がないか専
8月14日にご報告しました、note株式会社(以下、「当社」)が運営するメディアプラットフォームnoteにおいて、記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できた事態(以下、「本件」)について、note利用者のみなさま、noteのサービスに関わるみなさまに多大なるご迷惑とご心配をおかけしましたこと、改めて心よりお詫び申しあげます。 本件発生後、最優先で原因を究明し、本件への対応を実施しました。 その後、経営陣直轄の特別対策チームを編成し、1カ月半にわたり徹底した安全対策を実施。今回は、その対応および本件を受けた安全性確保のための施策と、再発防止策についてご報告いたします。 1.本件の概要と原因2020年8月14日6:14 利用者の方から「noteの記事詳細ページのソースコードからIPアドレスが確認できる」旨のお問い合わせを頂く (現象自体は2019年4月11日から発生)
オライリー本読み放題サブスクO’Reilly online learningを使ってみたらとても良かった - Security Index
オライリー本読み放題のサービス「O’Reilly online learning」 (旧 Safari Online Books)を使ってみたところとても良かったのでまとめてみました! (更新 2022/08/06 ACMの会員特典からO’Reilly online learningがなくなりました。そのため、ACMの会員になってもO’Reillyを読むことができないのでご注意ください。) (更新 2020/11/17 日本語の書籍が一部追加されたそうです!) 今までは英語などのみでしたが、日本語の書籍が一部読み放題の対象となったそうです! (更新 2020/06/12 内容を更新しました!) ACMの会員の特典ではオンライントレーニングなどの一部サービスが2020/06/22から利用できなくなりました。オライリー本の読み放題サービスは継続して利用できます! O’Reilly online
note_vuln.md noteの独自ドメインセッションの脆弱性について報告した件 文責: mala 前置き note.com (以下note) に2020年に報告した脆弱性(現在は修正済み)を解説する 個人の活動として行っており所属組織とは関係がない 自分がnote社に対して、問題があると指摘していたのは主に広報対応についてですが、この記事は技術的な知見を共有することを目的とするため、技術的な解説を中心にします。 公開にあたってはnote社に対して確認の上で行っています。note社による修正対応は2021年までに実施されていますが、その修正内容が適切であるかどうかについて保証するものではありません。(網羅的な確認や追加の検証をしていません) note社のサービスに他の脆弱性が無いことを保証するものではありません。 経緯 2020年9月30日に公開されたnote社の記事で https:/
セブン&アイ・ホールディングス(HD)は30日、スマートフォンアプリやインターネット通販サイトの利用に必要なグループ共通IDのパスワードリセットを始めたと発表した。バーコード決済サービスが不正利用された事件に対応し、安全性を担保したい考え。共通ID「7iD」会員全約1650万人が対象で、パスワードを再設定しないと使えないようにする。【関連記事】セブン&アイ、セブンペイ不正利用で失ったもの7iDは不正利用された決済サービス「セブンペイ」や「セブン―イレブンアプリ」など傘下企業のスマホアプリだけでなく
宇宙に「低スペックなCPU」しか持って行けない理由とは?
By SpaceX-Imagery 火星の調査を継続している探査用ローバーのキュリオシティに搭載されたCPUのスペックはたった200MHzと、今日のスマートフォンよりもはるかに低スペック。その理由について、ポーランドの科学系ライターJacek Krywko氏が「宇宙ではハイスペックのCPUは壊れてしまう」と説明しています。 Space-grade CPUs: How do you send more computing power into space? | Ars Technica https://arstechnica.com/science/2019/11/space-grade-cpus-how-do-you-send-more-computing-power-into-space/ 真空・振動・極端な低温や高温など、宇宙にはCPUを破壊しうる現象がさまざま存在します。しかし、近年
インタフェースデザインのお約束
デジタル製品のデザインに役立つ101の指針。製品のユーザビリティや性能を高める上で必須かつ基本のツボ、マスターすれば時間を節約し顧客満足度をアップできるテクニックが101のコンパクトなルールにまとめられています。メッセージが明確で説明もわかりやすいので短時間で気軽に読むことができます。101のルールは、タイポグラフィ、コントロール、カスタマージャーニー、各種要素の統一、UX全般に関わるプラクティスに分類されているのでリファレンス的に読むことも可能です。「よくある落とし穴」を巧みに回避し、自信をもってユーザーのために闘い、すばらしいユーザーエクスペリエンスを提供するプロへと成長させてくれる一冊です。 ●翻訳者による「日本語版のサポートページ」。 ●日本語版独自の8つの追加ルールが収録された「訳者あとがき」のPDF(6MB)。 というわけで、この長すぎる「訳者あとがき」では、原著者があげなかっ
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
DeepLでPDFファイルのレイアウトを崩さず丸ごと翻訳できるサードパーティChrome拡張機能「DeepL Opener」を使ってみた
2020年に登場して「めちゃくちゃ精度が高い」と話題になったオンライン翻訳サービスが「DeepL」です。直近では公式Chrome拡張機能の「DeepL翻訳(ベータ版)」が登場しており便利さに磨きが掛かっていますが、まだこれらのソフトウェア/アプリでは「PDFファイルの丸ごと翻訳」はできないようなので、PDFファイルの丸ごと翻訳ができるサードパーティのChrome拡張機能「DeepL opener」を使ってみました。 DeepL opener - Chrome ウェブストア https://chrome.google.com/webstore/detail/deepl-opener/almdndhiblbhbnoaakhgefcpmbaoljde DeepLによるページ翻訳、ドキュメント翻訳、PDF上への翻訳表示ができるChrome拡張機能「DeepLopener」の使い方 - Teahat
ゼロトラストネットワーク
ゼロトラストネットワークとは、ファイアウォールやVPNに代表される従来型のセキュリティ(境界防御モデル)が通用しなくなった現状を踏まえ、すべてのトラフィックを信頼しないことを前提とし、検証することで脅威を防ぐというアプローチです。近年、クラウドサービスやモバイルの普及により、セキュリティで守るべき内外の境界があいまいになってきたことにより、強く注目を集めています。本書は、ゼロトラストネットワークの概念と実装するために必要な知識が学べる解説書です。基本的な概念の説明に始まり、デバイス、ユーザー、アプリケーション、トラフィックの信頼を実際にどのように確立していくかについて、詳しく紐解いていきます。また、Googleのゼロトラストモデル「BeyondCorp」を含む2つの詳細なケーススタディも収録しており、実装に役立つ知識を深めることができます。 はじめに 1章 ゼロトラストの基礎 1.1 ゼロ
ホームセンター大手「コーナン」のスマホ決済サービスで、23日から不正なアクセスが相次いだとして、運営会社は24日夕方、急きょサービスを停止しました。これまでのところ不正に決済が行われたなどの被害は確認されていないということです。 運営会社によりますと23日深夜、コーナンPayに登録していない人たちから心当たりのないメールが届いたという問い合わせが相次いだため、調査したところ、海外からログインを試みたとみられる不審な通信が大量に行われていたということです。 このうちおよそ100件で、利用者のメールアドレスとパスワードが使われ、不正にログインされたとみられますが、これまでのところ不正に決済が行われるなどの被害は確認されていないということです。 運営会社によりますと、過去に別の場所で流出したメールアドレスなどの情報を使って手当たりしだいに不正なアクセスが行われたとみられるということです。 このた
2020年7月16日(日本時間)、Twitter上で複数の著名なアカウントや有名企業のアカウントからビットコイン詐欺の投稿が行われました。Twitterはその後の調査で、社内サポートチームが使用する管理ツールが不正利用されたことが原因と発表しました。ここでは関連する情報をまとめます。 何が起きたの? 2020年7月16日未明から著名アカウントを中心に詐欺投稿が行われた。その後アカウント侵害の影響は大部分が回復した。 一連の投稿にはTwitter社内のサポートチームが使用する管理ツールが悪用された。さらに複数のアカウントでDM閲覧やデータのダウンロードが行われた恐れがある。 社内ツールはソーシャルエンジニアリングにより不正利用された。Slackがその舞台となったと報じられている。 1. アカウントのっとり詐欺投稿 4時間続く 7月16日に発生したビットコイン詐欺の投稿は大まかに2種類が確認さ
社内で毎週公開してるセキュリティコンテンツ3ヶ月分を公開します【2020年4月〜7月】 - Qiita
はじめに 普段はWeb開発を生業としている おりばー(@oliver_diary) です。 今年の4月から情報処理安全確保支援士として、社内のセキュリティ向上に努めているのですが、その取り組みの一つとして社内Slackに毎週セキュリティトピックを公開しています。 毎週続けて3ヶ月が経過しましたが、社内だけに閉じておくのは勿体ないと思ったので、記事としてまとめて投稿します。みなさんのセキュリティ意識向上の助けになればと思います。 またセキュリティ研修用に使用したアプリケーションの記事も公開しているので、そちらも併せてご覧ください。 Gitの脆弱性(2020/04/23) みなさん、既にバージョンをあげている方もいると思いますが、Gitにとても深刻な脆弱性が発見されました。 http://www.security-next.com/114201 https://github.com/git/g
IIJは、パスワード付きZIPファイルを添付したメールとパスワード記載メールを個別に送信する「PPAP」を廃止すると発表した。2022年1月26日から添付ファイルは削除し、メール本文のみを受信する。 インターネットイニシアティブ(IIJ)は11月15日、パスワード付きZIPファイルをメールに添付して送信し、パスワードを記載したメールを別送する、いわゆる「PPAP」を廃止すると発表した。2022年1月26日以降はパスワード付きZIPファイルをフィルターによって削除し、メール本文のみを受信する。 同社は「PPAPは、日本で多く見られる情報セキュリティ対策の一つだが、(情報漏えいを防ぐ)効果が薄いだけでなく、ウイルススキャンをすり抜けてしまう」と説明。この仕組みを悪用したマルウェアが、今後も発生すると予想し、同社とその顧客、取引先の情報を守るためにも対応が必要と判断したという。 今後、IIJは別
カネも思い出もすべてを奪われる…米国で被害が急増中の「Apple ID泥棒」の卑劣すぎる手口 鉄壁のセキュリティの「最大の弱点」を悪用している
被害者たちは、外出先でiPhoneを盗まれ、わずか数分後にはアカウントから閉め出される。次いで自宅のMacはログインができなくなり、24時間以内に数百万円という預金が口座から消える――。そんな事例をウォール・ストリート・ジャーナル紙が報じている。 被害のきっかけは、iPhoneの4桁または6桁の簡易的なパスコードを盗み見られたことだ。これによって、より強力なパスワードを設定したはずのApple IDのセキュリティが同時に無力化されてしまった。 同紙が今年2月に「脆弱性」として報じ、さまざまなテックメディアで取り上げられ大きな反響を呼んでいる。Appleは現時点で対策措置を発表していない。 被害はiPhoneからほかのApple製品に広がる… これはiPhoneの6桁のパスコードさえわかれば、Apple IDのアカウントを丸ごと乗っ取れる状態であることを意味する。 Apple IDとは、多く
by Marcin Wichary Appleの共同設立者で2011年に亡くなったスティーブ・ジョブズ氏は、自身が設立したAppleから一度追い出され、その後Appleに復帰したという経歴があります。そんなジョブズ氏が復帰して最初に発表されたiMacは500万台も売れた大ヒットマシンとなりました。Apple関連のニュースを扱うサイト・appleiniderが、3年足らずで500万台も売れるまでの経緯を解説しています。 How Apple went from bust to five million colorful iMacs sold https://appleinsider.com/articles/20/04/19/how-apple-went-from-bust-to-five-million-colorful-imacs-sold 1998年8月15日にアメリカで、8月29日にヨ
情報処理推進機構(IPA)は1月20日、気になるサイバー攻撃や自社の情報セキュリティ対策状況といった情報を入力すると、想定損害額や対策、効果などの情報を出力するExcelシート「NANBOK」を公開した。 従業員数やサービスの提供状況、「インシデントの初動対応を自社で実行できますか?」といった対策状況を入力すると、想定損害額を算出。攻撃手口の解説、具体的な対策製品・サービス、国内の導入状況、対策で得られる効果なども提示できる。 IPAは、情報セキュリティ製品購入の予算確保において「担当者は情報セキュリティ対策を経営者が理解できる言葉で説明することに苦悩し、自社のセキュリティ対策を遂行するための予算確保に苦労する方が多い」として、支援ツールの提供を決めたとしている。 関連記事 年末年始はいつも以上にご用心! IPAの「情報セキュリティ注意喚起」で万全な仕事納めを 年末年始の長期休暇では、シス
パスワードに阻まれて途方に暮れる遺族の現実
今や、ほぼ1人1台スマホやパソコンを所有している時代だが、そのパスワードについては、いくら親しい間柄とはいえ、知らされていないことが多い。 家族の誰かが亡くなったとき、その家族のスマホやパソコンを開かなくてはならない事態に陥っても、パスワードという壁に阻まれて、途方に暮れる遺族が増えている。一方で、スマホ・パソコンのデータ復旧やフォレンジックサービス(デジタル鑑識)に対応している企業は少なく、そうした企業の1つである「デジタルデータソリューション」には、家族が遺したデジタル資産に関するさまざまな相談が後を絶たない。 同社に相談した場合、相談料は無料だが、実際に作業を依頼すれば、20~30万円の費用がかかる。ただし、スマホやパソコンのロック解除の成功率は、100%ではない。 そこでデジタルデータソリューションに寄せられた相談から、「デジタル遺品」を取り巻く現在の人間模様を紹介し、万が一のとき
物理カード「PassCard」を使えば、複雑なパスワードを何パターン作っても、忘れることなく安全に管理できる! | ライフハッカー・ジャパン
パスワードは、ネットワーク経由のサービスに欠かせないもの。ところが、“簡単なパスワードはNG” 。しかも、“パスワードを使い回すとリスクが高まる” ため、もはや記憶に頼った運用は、実質的に不可能になっています。 そこで、強固にガードされたパスワード管理サービスを利用するのが、現状の最適解となっているところですが、実は、アナログな手法に回帰するという手段もあるのです。 「PassCard」は、完全にネットワークから遮断された環境でパスワードを管理できるセキュリティツールです。 アナログを経由すればハッキングは怖くないImage: TITLEincイタチごっこを繰り返すセキュリティ対策を単純化できる最も効果的な手段は、ネットワークとは隔離された環境でパスワードを管理することです。 「PassCard」は、物理的な暗号・復号化ツール。このカードの現物を盗難し、かつ復号するためのパターンを入手する
インターネット決済などで、セキュリティーを高めるために使われる「2段階認証」をねらった偽のサイトが増えているとして、情報セキュリティー会社が注意を呼びかけています。 情報セキュリティー会社の調査によりますと、この「2段階認証」をねらった偽のサイトがことし9月だけで94件確認され、前の月から倍以上に増えていたということです。 具体的な手口としては正規の金融機関などを装って、情報を盗み取る偽のサイトに誘導してIDやパスワードを盗み取り、そのうえで、スマートフォンなどに送られてきた2段階認証の暗証番号も入力するよう求めるメッセージが表示されるということです。 入力してしまうと不正に決済されるなどの被害にあうおそれがあるということで、セキュリティー会社ではいつもと異なる手順で暗証番号の入力が求められるなど違和感があった場合は、改めてサイトを確認するよう注意を呼びかけています。 調査を担当したトレン
ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2023 の 初日の記事です。 こちら、参加者を募集中です!気軽に参加してみてください!してくれよ!はよ! なんの話か ちょっと想定以上に反応をいただいたこちらの記事について、ちょっとだけ補足をしたいと思います。 なんの話か詳しく 自分のはてブのコメントをつけたポストにもたくさん反応いただきました。 実際、海外のサービスはメアドをキーにして参照してるところも多く これはサービスのDBのUserテーブルがemailをプライマリキーにしているという話ではありません(が、そう思われた方からDMが来ました)。 最初にパスワード認証やメールでリンクを送信して認証させる仕組みを実装している状態から、ソーシャルログインを実装しようとする際に "email" をキーにした参照をすることがあるんよ
SlackでDMを受け取るとパブリックチャネルに優しく誘導してくれるDM警察というBOTを作って公開しました - rocky-manobi's blog
この記事はLAPRAS Advent Calendar 2019の9日目の記事です 概要 LAPRASに入る前、業務の内容をDMでたくさん受け取って辛いという課題があった DMを受け取るとパブリックチャネルに優しく誘導してくれるDM警察というBOTを作ったがLAPRASに入ったら需要がなかった なんでや?じゃあLAPRAS関係ないやろ!? まとめ 課題 - 業務の内容をDMでたくさん受け取るのは辛い このような内容をDMで受け取ると少し困ります。 パブリックチャネルの発言であれば、僕がこの質問に答えられない場合でも「@知っていそうな人 さん、わかりますか?」とメンションするだけで事が足ります。たまたま会話を見ていて知っている人が能動的に答えてくれる事もあるでしょう。また、後々一連の会話をシェアしたくなったときでも、この会話へのリンクを貼れば経緯を伝えることができます。DMではいずれも叶いま
これは はてなエンジニア Advent Calendar 2019 2日目の記事です。 こんにちは、 id:masawada です。2ヶ月前まではブログチームのエンジニアでしたが、最近はマンガビューアを開発するチームに在籍しています。 弊社では開発に利用する端末を決められた上限額の範囲内で自由に選ぶことができます。多くのエンジニアがmacOS上で仕事をしており、WindowsやLinuxをデスクトップ環境として利用しているエンジニアはどちらかというと少数です(少なからずいます)。近年では多くのプロダクトのローカル開発環境でDockerを利用できるようになっており、OSの差異によってセットアップに躓くことがなくなった結果Linuxデスクトップへの移行のハードルが下がる傾向にあります。 自分も去年まではmacOS上で仕事をしていましたが、今年の頭にLinuxデスクトップに切り替えてようやく1年
Trelloは豪Atlassianが運営するプロジェクト管理ツール。付せんのようなユーザーインタフェースで簡単にToDoやプロジェクトの進行状況を管理できるのが特徴。米Fog Creek Softwareが2011年に立ち上げ、14年に企業としてスピンアウト。Atlassianが17年2月に買収した。 Atlassianはヘルプページで「公開したボードはインターネット上の誰にでも表示され、Googleなどの検索エンジンに表示される。リンクを知っているすべての人が、Trelloアカウントを持っているかどうかにかかわらず、ボードを表示できる」と記載している。 関連記事 名刺SNS「Eight」で情報機関員などの本名が閲覧できる状態に 非公開にする方法は 治安や防衛、情報収集活動に関わる人物の中でも、Sansanの名刺SNS「Eight」を利用している人の一部の所属と本名がGoogle検索で誰で
光ファイバー回線が普及したことで、一般の家庭でも1Gbpsや10Gbpsで当たり前にインターネットが利用できるようになりました。しかし、賃貸住宅では100MbpsのVDSL回線しか利用できないケースも数多く存在します。無料のオープンソースソフトウェア「OpenMPTCProuter」を使うと、複数の回線を同時に利用して高速なインターネットを楽しむことができます。 OpenMPTCProuter - Internet connection bonding - Home https://www.openmptcprouter.com/ OpenMPTCProuterが使っているMultiPath TCP(MPTCP)とは、複数のインターフェースを利用してTCPコネクションを確立し、通信のスループットや冗長性を向上させる技術です。OpenMPTCProuterでは、PCやタブレット端末といったク
政府が、高い安全性をうたうマイナンバーカード(以下マイナカード)。松野博一官房長官は、「マイナンバーカードは、オンラインでも確実な本人確認ができる安全安心なデジタル社会のパスポートだ」と語り、保険証利用、運転免許証との一体化など積極的な活用を進めている。 だが、東京都の練馬区役所が誤って、マイナカード再発行者50人の住所、氏名などを利用者に手渡して流出させていたことが、「週刊文春」の取材でわかった。練馬区は「深くお詫び申し上げます。事故の発生を重く受け止め、再発防止に向けて取り組んでまいります」としている。 広報パンフレットともに手渡された〈カード発行一覧表〉 政府の個人情報保護委員会の2021年度年次報告によれば、情報漏洩などのマイナンバー法違反、または違反の恐れがある事案が、1年の間に111機関、170件あった。ただし「いずれもマイナンバーが悪用されたとの報告は受けていない」と記してい
自分探しは続いても、明るく生きたい。55歳の大槻ケンヂさんが語る“老い”とこれから|tayorini by LIFULL介護
自分探しは続いても、明るく生きたい。55歳の大槻ケンヂさんが語る“老い”とこれから #エンタメ#老いの準備#楽に生きる 公開日 | 2022/01/11 更新日 | 2022/01/11 ロックミュージシャンとしても作家としても、唯一無二の存在感で第一線を走り続けている大槻ケンヂさん。大槻さんがボーカルを務めるバンド「筋肉少女帯」はデビューから33年を経た現在もライブを続け、活動の幅を広げています。 そんな中、個人としても40代で新たにアコースティックギターを始めたり、コロナ禍でTwitterやInstagramといったSNSを一挙に始めるなど、年齢を重ねる中で次々と新しいチャレンジを続けている大槻さん。その背景には、40代を過ぎ、50代になった現在もずっと「自分探し」をしている感覚があるそう。しかし50代を迎えたことで、以前よりも前向きな気持ちが芽生えてきたと語ります。 今回そんな大槻さ
ソリトンシステムズが発表した「日本人のパスワードランキング2021」。2021年に発生した209の情報漏えい事件から日本人が利用するパスワードを分析したもので、1位は「123456」、他は「password」や「000000」などよく見掛けるものだが、少し変わったものとして、4位に「1qaz2wsx」がランクインしている。 一見ランダムに生成されたものに思えるが、実際にキーボードをタイプしてみれば納得がいく。QWERTY配列のキーボードを左から縦2列打ち込むと「1qaz2wsx」となるわけだ。「qwerty」の亜種みたいなものだが、ランキングを見るとこの手の配列に沿ったパスワードが多いことが分かる。
こんにちは。shirou(@r_rudi) と申します。アーキテクトという名の雑用係をしています。 Alpaca Japanでは、2021年8月に「アルパカ証券」という証券サービスをはじめました。 この一連の文章は、アルパカ証券の裏側のシステムやその開発体制などについて述べたものです。なるべく証券分野に限らず説明していく予定ですので、証券サービスを立ち上げようとしている人たちにはもちろん、それ以外の方にも参考にしていただけるような文章を目指したいと思っています。 アルパカ証券とはアルパカ証券の詳細はホームページをご覧ください。また、第一種金融商品取引業者登録完了時のプレスリリースにも、「アルパカ証券」サービスの特徴が記載されています。 全体設計方針まず最初に、アルパカ証券を構成するシステムの全体設計方針について説明します。 マイクロサービス vs モノリシック設計は2018年中頃ぐらいから
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
退職処理を可能な限り自動化する - クックパッド開発者ブログ
もっと早く導入すべきだった……。お家の中の「Wi-Fiが届かない」問題が簡単に解決
WordPressが改竄された時の復旧方法と絶対に改竄されない対策
パスワード管理ツールの LastPass の保管庫の漏洩について、被害者ができることを解説
Webサービスにおけるマイページの仕様とセキュリティ観点 - Flatt Security Blog
noteでソースコードからIPアドレスが確認できた事態に関する追加報告とお詫び|note株式会社
noteの独自ドメインセッションの脆弱性について報告した件
セブン、全会員のパスワードを強制リセット 1650万人 - 日本経済新聞
万博運営費の増額 「赤字でも大阪府市は負担せず」 吉村知事ら:朝日新聞デジタル
「コーナンPay」不正アクセス相次ぎサービス停止 | NHKニュース
Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog
IIJ、PPAP廃止へ 社外から届くパスワード付きZIPファイルは削除
2年8カ月で500万台も売り上げたiMacが倒産寸前だったAppleを救うまで
「経営層への情報セキュリティの説明大変ですよね?」 IPA、予算確保の説得材料を出してくれるツール公開
2段階認証をねらった偽サイトが急増中 | NHKニュース
なぜソーシャルログインの際にemailをキーにして参照するのか
年始にLinuxデスクトップを使い始めて1年が経とうとしている - あんパン
プロジェクト管理ツール「Trello」で運転免許証など個人情報流出 閲覧範囲の設定ミスが原因か
貧弱なインターネット回線をたくさん束ねて強くできる「OpenMPTCProuter」レビュー
練馬区は「取材があるまで気がつかなった」マイナカードの個人情報、住所、氏名50人分が流出 | 文春オンライン
謎の文字列「1qaz2wsx」 漏えいした日本のパスワードに頻出するワケ
アルパカ証券 技術ノート|アルパカ証券の裏側 - はじめに