はじめに ◆この記事は何? IPA高度資格「情報処理安全確保支援士」のシラバスに掲載されている用語の備忘録です ◆対象は? 情報処理安全確保支援士の試験勉強をされる方 ◆この記事のねらい 試験範囲の用語の階層を整理します 試験勉強の一助となれば幸いです ◆この記事について シラバスの用語を参考書等を読みながら自分なりに整理した私の暗記用のノートです 試験に向けて高頻度で更新しています ご助言、誤り等あればご指摘いただけると幸いです 試験範囲全体 試験範囲の分解 暗号 認証 ネットワークセキュリティ データベースセキュリティ クライアントセキュリティ httpセキュリティ メールセキュリティ 攻撃と対策 注目技術 ※参考文献の目次をベースに、試験範囲を分解 暗号技術 共通鍵暗号方式 ブロック暗号 ECBモード CBCモード CTRモード(Counterモード) ストリーム暗号 公開鍵暗号方式
画像生成AIのStable Diffusionは、ノイズを除去することで画像を生成する「潜在拡散モデル」で、オープンソースで開発されて2022年8月に一般公開されたため、学習用のデータセットを変えることで特定の画像を生成するのに特化したフォークモデルが多数存在します。そんなStable Diffusionから派生して生まれた特化型モデルとその特徴や生成例をまとめてみました。 Stable Diffusion Models https://rentry.org/sdmodels 実際に複数のモデルとシード値で、同一のプロンプト・ステップ数・CFGスケールで画像を生成した結果をまとめてみました。 モデルは左からStable Diffusion v1.4、Waifu-Diffusion v1.2、Trinart Stable Diffusion、Hentai Diffusion、Zack3D_K
こんにちは、CX事業本部の夏目です。 MacのタッチバーのタッチIDが非常に便利なのですが、Terminalでsudoを叩かないと行けないときに使えたらなぁと思ったので、情報を共有します。 使う方法 /etc/pam.d/sudoにauth sufficient pam_tid.soを追加します。 書き込みには管理者権限が必要になるので次のようにして編集します。 # 自分の環境では最初管理者でも書き込みができないようになってたので、できるようにする $ sudo chmod +w /etc/pam.d/sudo $ sudo vi /etc/pam.d/sudo もともとはこんな感じになっていると思うので、 # sudo: auth account password session auth sufficient pam_smartcard.so auth required pam_ope
委託先の従業員が全市民46万人分の個人情報が入ったUSBメモリを紛失したとして、6月23日に謝罪した兵庫県尼崎市。同市の記者会見がネットで波紋を呼んでいる。会見中、USBメモリに設定されたパスワードの桁数を職員が話してしまったからだ。Twitterでは「セキュリティの悪例として最高の手本」など批判が続出している。 会見では、職員がパスワードについて聞かれたときに「英数字13桁のパスワードを設定している。解読するのは難しいのかなと考えている」などと返答していた。 これを受け、Twitterでは尼崎市のセキュリティ体制への批判が続出。パスワードの組み合わせを総当たりで試す「ブルートフォース攻撃」がしやすくなるという指摘が相次いだ。中には明らかになった情報から、同市が使っていたパスワードを推測する人も。ある文字列の組み合わせがちょうど13文字になることから、一部では「これがパスワードではないか」
GPUでZIPパスワードを解析する - Qiita
企業間のファイルのやり取りにZIPファイルの暗号化がされていることが多いのですが、その暗号は意味がなかったり、弱かったり、余計にセキュリティリスクが高くなっています。ZIPの暗号化が使えないことを証明するにはパスワードを解析するのが一番です。 パスワードが解析できるなら、もうあとからパスワードを送る必要はないのです。 用意するもの Windows PC Windows10を使いました。 GPU できる限り早いやつ ノートPCなので、外付けGPUケースにThunderbolt3でGPUを接続しています。 GTX 2080とケースで 10万円ぐらいかかっています。 CUDA Toolkit あらかじめ入れておきましょう。 hashcat hashcatのWindows版で公式サイトからダウンロードしたもので、バージョンが5.1.0の場合は古いので対応していません。 Windows版のJohn
「Twitterへの投稿をDiscordに同時投稿」「メールの本文をスプレッドシートにまとめる」など、複数のウェブサービスを連携させると便利な状況は多々あります。複数のウェブサービスを連携させるサービスとしてはIFTTTやZapierなどが有名ですが、それらのサービスには無料で使える機能が少なかったり、対応しているウェブサービスが少なかったりといった問題も存在しています。「Make(旧称:Integromat)」は1000以上のサービスに対応しており、無料プランでもユーザー数無制限で利用可能といった特徴を備えているとのこと。そこで、実際にMakeの会員登録手順や、ウェブサービス同士の連携手順を確かめてみました。 Make | Work the way you imagine https://www.make.com Makeの会員登録を行うには、まずMakeのトップページにアクセスして「G
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: @shiropen2 東京大学空間情報科学研究センター、大阪公立大学大学院情報学研究科、東京大学大学院情報理工学系研究科ソーシャルICT研究センター、株式会社国際電気通信基礎技術研究所に所属する研究者らは「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。 パスワード付き圧縮ファイルを添付したメールとそのパスワードを書いたメールを別々に送るセキュリティ対策手法(通称:PPAP)において、脆弱性が高いにもかかわらずまだ使い続けている有無や理由、脆弱性の認識はあるかなどの質問を組織344社に行い、分析した研究報告である。 取引先や顧客など社外の相手とファ
従業員向けセキュリティ教育のネタ
情報セキュリティマネージメントというと、必ずやらないといけないのが従業員教育。 しかし、古めかしいe-learningツールで、nextボタンをポチポチしつつ、つまらない動画を見る教育コンテンツは、はっきり言って意味ないと思うし、苦痛でしかない。とはいえ、カスタマイズして数百人の従業員にデリバリーするほど工数も割けない。 自分の会社の場合、KnowBe4というプラットフォームを契約して、オンボードや年次の必須教育をデリバリーしているが、これらは、なるべく苦痛にならない程度のボリュームのものを選んで、宿題でやってもらう感じにしています。事前に読んでチェックしなければいけない利用規程(Acceptable Use Policy)を読ませて、読みましたチェックを押してもらう、などもKnowBe4でやっています。しかし、さすがに全部のエッセンスが入ったコンテンツを割り当ててしまうと、普通に1hとか
By Brad Duncan August 21, 2020 at 6:00 AM Category: Tutorial, Unit 42, Unit 42 Tags: tutorial, Wireshark, Wireshark Tutorial This post is also available in: English (英語) 概要 本シリーズは、疑わしいネットワークアクティビティの調査やネットワークトラフィックのパケットキャプチャ(pcap)の確認を業務で行っておられるセキュリティ専門家を読者として想定しています。このため本稿での手順説明は読者の皆さんがWiresharkの使いかたをご存知であることを前提としています。また、本稿にて利用するWiresharkのバージョンは主に3.xとなります。 昨今、対象となる疑わしいネットワークアクティビティのトラフィックが暗号化されているこ
0 issue "letsencrypt.org" 0 issuewild "letsencrypt.org" 0 iodef "mailto:yourmail@example.jp" §OS再インストール さくらVPSのコントロールパネルから、OSを再インストールするサーバを選ぶ。 www99999ui.vs.sakura.ne.jp §OSのインストール操作 Ubuntu 22.04 LTS を選ぶ。 OSインストール時のパケットフィルタ(ポート制限)を無効にして、ファイアウォールは手動で設定することにする。 初期ユーザのパスワードに使える文字が制限されているので、ここでは簡単なパスワードにしておき、後ですぐに複雑なパスワードに変更する。 公開鍵認証できるように公開鍵を登録しておく。 §秘密鍵と公開鍵の作成 クライアントマシン側で生成した公開鍵を ~/.ssh/authorized_k
2ヶ月で28万円の子どもの電話代(100時間超のゲーム対戦時の通話)が請求される前に親がやっておくこと - 斗比主閲子の姑日記
こんなTweetが話題になっていました。 うちの息子がとんでもないことやらかしてくれました😭 友達とスマホで通話しながら対戦ゲームしてて てっきりLINEの無料通話してるのかと思ったら相手はキッズ携帯で 普通に通話してて電話代が2ヶ月で28万円😭 しかも相手の子は親から言われてこちらからかけなおさせてた😭 もっと早く気づいていれば😭 pic.twitter.com/RYbcgwrf2h — KSSソフト@ゲーム制作 (@sakazakiryo) 2022年8月12日 我が家では子どもたちはネット通話メインで、通話=料金がかかるという概念を持っていなさそうだったので、子どもたちにこのTweetを見せたら大変驚いていました。ご自身は大変辛いと思いますが、申し訳なくも、他山の石として大変参考になりました。ありがとうございます。 それで、いくつかTweetを見ていたら、こういったことが自分
編集・発行元 独立行政法人情報処理推進機構(IPA) 発行日 2020年9月3日 サイズ ソフトカバー/A4判 ISBN ISBN 978-4-905318-74-3 定価 定価:2,200円(税抜価格2,000 円、消費税率10%) 書籍概要 概要 IPAでは、「情報セキュリティ白書」を2008年から毎年発行しており、今年で13冊目を数えます。本白書は、情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、毎年タイムリーなトピックを新たに取り上げています。 各トピックでは国内外の官民の各種データ、資料を数多く紹介しており、情報の網羅性と参照性の高さが特長で、情報セキュリティ分野の全体把握が容易です。 また、本白書は次のような使途で利用されています(昨年版の読者アンケートから抜粋)。 顧客向け資料への参考や引用 社内資料に使用 業界動向把握
WordPressを運用中のサーバがまるごとPHPマルウェアに感染していた時の対応メモ - Qiita
(2021.1.26 追記) 本稿の続きを書きました。 時系列で見る:WordPressを運用中のサーバが丸ごとPHPマルウェアに感染する流れ https://qiita.com/Ayutanalects/items/e7919afadc7d8394820f 制作会社から「自社で管理中のサイトがおかしい」との連絡を受けて、 中をのぞいたら、PHP製の複数種類のマルウェアに感染していたので対応をメモ。 以下の内容は、あくまでも自分の対応時のものです。 攻撃者がスクリプトを変更すれば同じ方法では検出できなくなるのでご注意ください。 初期状態 症状 自社管理中のWordPressサイトにアクセスすると、全く知らないサイトにリダイレクトされる 今回は allc〇〇ling.shop というEC風サイト。Kasperskyを使っていると、「警察機関指定の危険サイト」の警告あり https://sup
『個人開発がやりたくなる本』を自費出版しました #技術書典 - 下町柚子黄昏記 by @yuzutas0
ご挨拶 自称企画屋・コンセプトデザイナーの@yuzutas0です。 執筆者一同をはじめとして、 アンケートに回答してくださった皆様、各所で書籍を紹介してくださった皆様、 その他何らかの形でご協力いただいた皆様、本当にありがとうございました。 さて、発売から間が空きましたが、 裏話をツイートしたところ反響をいただけたので、ブログに制作秘話をまとめます。 個人開発者や技術書典参加者のヒントになれば幸いです。 『個人開発がやりたくなる本』の経緯・裏話をブログにまとめようと思ったけど、細部まで語りだしたらキリがないことに気付いた。1時間枠で登壇できる内容・分量だ……。 pic.twitter.com/Qr9PcHF46c— ゆずたそ (@yuzutas0) May 3, 2019 もくじ ご挨拶 もくじ 1. はじめに 1-1. 免責・謝罪・注意・お願い 1-2. 書籍概要 1-3. この取り組み
警察庁内端末不正アクセスと5万件の脆弱なVPNホストの公開についてまとめてみた - piyolog
警察庁は2020年11月27日、庁内の端末が1年以上前から不正アクセスを受けていたことを発表しました。また同時期に公開された脆弱なVPN機器リストについても併せてここでまとめます。 VPNのパスワードが漏れた可能性 不正アクセスが確認されたのは警察庁情報通信局のノートPC1台。業務物品の手配を行う専用端末として利用されていたもの。 ノートPCは他のシステムとは接続されておらず、警察庁は情報流出の可能性は低いと判断。不正アクセスが行われたタイミングでは端末に情報保管を行っていなかった。 複数のIPアドレスから2019年8月から2020年11月中旬まで合計46回の不正アクセスが行われていた。*1 ノートPCからインターネット接続を行う際にVPN機器を利用。このVPNのパスワードが第三者に利用された可能性がある。*2 警視庁からの情報提供を受け発覚 2020年11月25日に警視庁から「不正アクセ
絵画や彫刻などの芸術作品は時間が経つにつれて劣化してしまうため、貴重な作品を後世に残すために定期的な修復作業を行う必要があります。しかし、時には修復作業が専門の知識と技術を持った人ではなく、単なる素人に任されてしまうケースもあります。そんな素人による芸術作品の修復事例が相次いでいるスペインで、またもや「素人による修復作業で芸術作品が台無しになってしまった」という事例が報告されました。 El Ecce Homo de Borja no está solo. Restauradores advierten de errores irreversibles por intervenciones no profesionales https://www.europapress.es/comunitat-valenciana/noticia-ecce-homo-borja-no-solo-resta
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
20分で分かるDirty Pipe(CVE-2022-0847) - knqyf263's blog
極限まで詳細を省けば何とか20分で雰囲気だけでも伝えられるんじゃないかと思って書きました。書き終えてから見返したら多分無理なので誇大広告となったことを深くお詫び申し上げます。 背景 概要 脆弱性の影響 ページキャッシュやsplice パイプ マージの可否 下準備 攻撃手順 まとめ 背景 先日Dirty PipeというLinuxカーネルの脆弱性が公表されました。 dirtypipe.cm4all.com Linuxのパイプに関する脆弱性なのですが、仕組みは意外とシンプルでぎりぎりブログでも伝わるかもしれないと思ったので自分の理解を書きました。あといつも細かく書きすぎて長くなるので、今回は雰囲気だけでも伝わるようにとにかく説明を簡略化し、ふわっとした概要だけでも理解してもらえるように頑張りました。その結果、若干正確性に欠ける部分があるかもしれませんがお許しください。細かい部分はまた別の記事でま
技術部 SRE グループの id:itkq です。2019 夏アニメで一番好きな作品は Re:ステージ!ドリームデイズ♪ です。この記事では SRE が運用している退職処理の自動化について説明します。 退職処理とは 入社後に業務のための様々なアカウントを作成するのと反対に、退職時にはそれらのアカウントを無効化する必要があります。これを退職処理と呼んでいます。SRE が管轄している典型的な例では、SSO に対応していない SaaS のログインアカウント・AWS の IAM User・データベースの個人ログインユーザなどが該当します。これらのアカウントは社員によって要否が異なったり必要な権限が異なるため、入社時に一括で用意せず必要に応じて申請してもらう形をとっています。一方で退職時にはそれらのアカウントをすべて無効化する必要があります。 退職処理は繰り返され、自動化の余地のあるタスクです。また
もっと早く導入すべきだった……。お家の中の「Wi-Fiが届かない」問題が簡単に解決2021.03.31 17:00Sponsored by 株式会社バッファロー 小暮ひさのり こんなに簡単に解決できたのか…。 と、驚きが一番大きかったですね。突然ですが皆さん、Wi-Fiってお家の隅々まで届いていますか? 我が家では、部屋を模様替えしてルーターの位置を変え、リビングのテレビボードの中に隠したところ、リビングでは快適につながるも、2階の寝室や書斎、子供部屋に行くとつながりにくくなってしまいました。速度が落ちるとかいうレベルではなく、部屋によっては寸断されちゃうくらいまで不安定。 こちらは奥まった場所にある書斎。Wi-Fiはギリギリ届くか届かないかくらいなので頻繁に接続が切れます。リモート会議とかトンデモナイ状態なので、会議のたびにリビングに移動しなければなりません。これは 優先的に解消したいと
Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog
はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿では Firebase Authentication を利用するうえで、注意しなければ不具合や脆弱性に繋がりうる 7 個の「落とし穴」について解説します。 はじめに IDaaS の利点と欠点 落とし穴 1. 自己サインアップ リスク 対策 不十分な対策 落とし穴 2. ユーザーが自身を削除できる 対策 落とし穴 3. 他人のメールアドレスを用いたユーザー登録 リスク リスク 3-1. メールアドレス誤入力によるユーザー乗っ取り リスク 3-2
どういうハッキングをされるのか? さて、本題です。ここ10年ちょっとWordPress専門で仕事をしていますが、自分が遭遇したり知り合いが遭遇したケースは「サーバー内のファイルが書き換えられて、アクセスすると他のサイトにリダイレクトされる」というケースです。 サーバーのファイルを見てみると概ね以下の症状になります WordPressをインストールした各ディレクトリのindex.phpなど、phpファイルの文頭に怪しげなコードを書き込まれているwp-content/uploads/ の中には通常画像ファイルなどばかりのはずが、見に覚えのないファイルを大量に置かれる通常の投稿内にいろいろ投稿される(このケースは近年は自分や周りでは遭遇していない) これらのファイルは全部キレイに駆除しない限り、該当部分を削除したり、該当ファイルを削除しても残っているファイルから再度改竄してくるので面倒です。 復
絶対に画像をダウンロード&スクレイピングさせないWebページを本気で作ってみた - blog.potproject.net
巷で話題になっているこの話題、画像をスクレイピングやダウンロードされたくないということで騒がれています。その話に関しては色々な意見があると思ってますがここでは置いておくとして・・・ 技術的にやるとしたら実際どれくらい対策できるの?ということが気になったので、自分の知識で出来る限り対策したものを作ってみることにしました。 最初に 賢い方はわかると思いますが、タイトルは釣りです。 絶対に画像をダウンロード&スクレイピングさせないページは存在しません。ソフトウェアにおいて絶対と言う言葉はまず存在しないのです。ブラウザで表示している以上、仕組みさえわかれば技術的には可能です。 そのため、 「元画像のダウンロードとスクレイピングを非常に困難にしたWebページを本気で作ってみた」 が実際のタイトルかなとなります。 とはいえ、この仕組みであれば大多数の人は機械的にスクレイピングすることを諦めるレベルの作
Hiromitsu Takagi on Twitter: "識別符号(アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード)がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電… https://t.co/D7EJ5cCksU"
識別符号(アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号≒パスワード)がないので、不正アクセス禁止法が禁ずる行為には当たらないが、虚偽内容で予約するのは、人の事務処理を誤らせる目的で行えば電… https://t.co/D7EJ5cCksU
新年、明けましておめでとうございます! 年末年始の休みを有効活用して、パスワード管理を見直しましょう!(笑) 企業のデータ漏洩は基本的に悪いですが、2,500万人のパスワードも持つデータの場合は、最悪です。 この投稿をするまで、少し間を置きました。 ニュースが出る直後、みんなが騒いで矛盾な情報が流されたり、感情的に報じることが多かったりして、それを避けたかったです。 事実パスワード管理アプリ LastPass によると、 2022年8月に第三者によって同社のクラウドサービスが侵入されました当時、個人データは盗まれなかったそうですが、ソースコードは盗まれましたユーザのデータが漏洩していなかったにも関わらず、 LastPass 社は事件を一般公開しました。 顧客と企業の間でのそのような透明性は望ましいことで、功績を認めるべきです(多くの会社はそんなことしません) しかし、当時漏洩したものの中で
エンジニアの佐野です。カンムはカード決済のサービスを提供しています。カード決済にはいくつかの決済手段があり、マグストライプ、IC、IC非接触(俗に言うタッチ決済)、オンライン決済などの機能が提供可能です。iD のようなスマートデバイスにカード情報を入れてスマホでタッチ決済する仕組みもあります。カンムのプロダクトであるバンドルカードはマグストライプとオンライン決済、Pool はマグストライプとオンライン決済に加えて IC接触決済、IC非接触決済(タッチ決済)を提供しています。今日はセキュリティ的な観点から各種決済手段の特徴や問題点とともに、主に IC 決済の仕組みについて小ネタを交えつつ書いていこうと思います。カンムが提供しているカードは Visa カードでありクローズドな仕様や confidential なものについては言及することはできませんが、公開仕様であったり一般的な事柄のみを用いて
DB設計の共有で疲弊してない?dbdocsのすゝめ
DB設計の管理や作成に疲弊してません?こんにちは。ukmshiです。今日はDB設計の共有と管理に便利なツール、dbdocsについてお話しします。dbdocsを使えば、設計の可視化や共有がめちゃくちゃ簡単になるんです。今回は、その魅力と利点、そして実際の使い方について詳しく説明します。 dbdocsとは? dbdocsは、コードベース(DBML)でDB設計を管理し、URLで共有することが可能なツールです。データベースのテーブル構造や関係性を可視化し、それを他のチームメンバーやステークホルダーと手軽に共有することができます。 DBMLについてはこちらを参考に dbdocsの利点 dbdocsの利点について詳しく見ていきましょう。 無料 まず最初に、dbdocsは基本無料です。コストを気にせずに利用できるので、チームの誰もがアクセス可能です。 コードベースで管理 dbdocsはコードベースでDB
なりすまし口座に約1億円が流出したSBI証券の不正ログインについてまとめたみた - piyolog
SBI証券は顧客アカウントへの不正ログインにより9,864万円の顧客口座の資産が外部へ流出したと発表しました。資産流出には不正に開設された銀行口座も悪用されました。ここでは関連する情報をまとめます。 SBI証券の発表 悪意のある第三者による不正アクセスに関するお知らせ なりすまし口座を使った犯行 不正利用の手口(SBI証券発表情報よりpiyokango作成)SBI証券からの流出は以下の手口で送金まで行われてしまった。 SBI証券の顧客アカウントに不正ログイン。 偽造した本人確認書類を用いて銀行でSBI証券と同名義の口座を開設。 顧客アカウントが保有する有価証券を売却。出金先銀行口座を不正口座に設定変更。 売却した資金を不正口座に送金。送金された金を引き出し。 約1億円が流出 SBI証券が2020年9月16日時点で把握している被害は顧客数6人、総額9,864万円。1件当たり数百~3,000万
FANZAアカウントの削除を決めました
まだサイト名がDMMの頃から、今に至るまで多くの作品を購入してきました。私は抜きどころを見つけて同じシーンで何回もヌくタイプなので高画質ビデオを購入します。最近だと4K作品しか購入しません。とくに乳首のキレイな巨乳が好きで、私のコレクションは乳首のキレイな巨乳で溢れかえっております。途中、VRに出会ったことで臨場感あふれる巨乳を堪能しましたが、やはりVRは頭への負担と、致しているときにヘッドセットが揺れるため映像が乱れること、画質の荒さ、なにより致している姿を家族に見られるリスクが高すぎることから2Dに戻しました。8KVRも試しましたが、やはり2D4Kにはかないません。 時にはオムニバスを購入し、名前の知らないキレイな巨乳をもつ女優に出会うこともありました。一期一会の関係性ですが、他のオムニバス作品でで会った時は、昔共に致した女性に出会うような、なんとも言えないけど甘酸っぱい気持ちになるこ
無料でEPUBやPDFのほか7万以上の書籍を自由に読めてWindows・Linux・macOSなどで同期できる電子書籍リーダー「Librum」レビュー
オープンソースの電子書籍リーダーソフト「Librum」は、PDFや電子書籍ファイルであるEPUB・MOBIのデータを読み込んで本棚として共有できるほか、7万冊以上の無料書籍を自由にダウンロードして複数端末で読書進度も合わせて共有できます。 librumreader.com/ https://librumreader.com/ Librumの公式ページにアクセスし、「Download」をクリック。今回はWindowsからダウンロードしていますが、Windows、GNU/Linux、macOSに対応しており、iOSとAndroidは後日対応予定とのこと。 ダウンロードした「librum-windows-0.11.0-installer.exe」をダブルクリックして開きます。 インストーラーが開いてライセンスが表示されるので、「I accept the agreement」にチェックを入れて「N
はじめに こんにちは。株式会社Flatt Security セキュリティエンジニアの石川です。 本稿では、ログイン機能をもつWebアプリケーションにおける実装上の注意を、マイページ機能から派生する機能のセキュリティ観点から記載していきます。特に、XSS(Cross-Site Scripting)やSQLインジェクションのような典型的な脆弱性と比較して語られることの少ない「仕様の脆弱性」にフォーカスしていきます。 これから述べる実装上の注意点は、実際にはマイページ機能であるかどうかに関係なく注意するべきです。 しかし、開発者の視点に立つと「これこれの機能にはどのようなセキュリティ観点があるか」という形が読みやすく、また他の機能の仕様のセキュリティを考える上で想像力を働かせやすいものになるのではないでしょうか。 また、株式会社Flatt Securityではお客様のプロダクトに脆弱性がないか専
8月14日にご報告しました、note株式会社(以下、「当社」)が運営するメディアプラットフォームnoteにおいて、記事投稿者のIPアドレスが記事詳細ページのソースコードから確認できた事態(以下、「本件」)について、note利用者のみなさま、noteのサービスに関わるみなさまに多大なるご迷惑とご心配をおかけしましたこと、改めて心よりお詫び申しあげます。 本件発生後、最優先で原因を究明し、本件への対応を実施しました。 その後、経営陣直轄の特別対策チームを編成し、1カ月半にわたり徹底した安全対策を実施。今回は、その対応および本件を受けた安全性確保のための施策と、再発防止策についてご報告いたします。 1.本件の概要と原因2020年8月14日6:14 利用者の方から「noteの記事詳細ページのソースコードからIPアドレスが確認できる」旨のお問い合わせを頂く (現象自体は2019年4月11日から発生)
オライリー本読み放題サブスクO’Reilly online learningを使ってみたらとても良かった - Security Index
オライリー本読み放題のサービス「O’Reilly online learning」 (旧 Safari Online Books)を使ってみたところとても良かったのでまとめてみました! (更新 2022/08/06 ACMの会員特典からO’Reilly online learningがなくなりました。そのため、ACMの会員になってもO’Reillyを読むことができないのでご注意ください。) (更新 2020/11/17 日本語の書籍が一部追加されたそうです!) 今までは英語などのみでしたが、日本語の書籍が一部読み放題の対象となったそうです! (更新 2020/06/12 内容を更新しました!) ACMの会員の特典ではオンライントレーニングなどの一部サービスが2020/06/22から利用できなくなりました。オライリー本の読み放題サービスは継続して利用できます! O’Reilly online
note_vuln.md noteの独自ドメインセッションの脆弱性について報告した件 文責: mala 前置き note.com (以下note) に2020年に報告した脆弱性(現在は修正済み)を解説する 個人の活動として行っており所属組織とは関係がない 自分がnote社に対して、問題があると指摘していたのは主に広報対応についてですが、この記事は技術的な知見を共有することを目的とするため、技術的な解説を中心にします。 公開にあたってはnote社に対して確認の上で行っています。note社による修正対応は2021年までに実施されていますが、その修正内容が適切であるかどうかについて保証するものではありません。(網羅的な確認や追加の検証をしていません) note社のサービスに他の脆弱性が無いことを保証するものではありません。 経緯 2020年9月30日に公開されたnote社の記事で https:/
宇宙に「低スペックなCPU」しか持って行けない理由とは?
By SpaceX-Imagery 火星の調査を継続している探査用ローバーのキュリオシティに搭載されたCPUのスペックはたった200MHzと、今日のスマートフォンよりもはるかに低スペック。その理由について、ポーランドの科学系ライターJacek Krywko氏が「宇宙ではハイスペックのCPUは壊れてしまう」と説明しています。 Space-grade CPUs: How do you send more computing power into space? | Ars Technica https://arstechnica.com/science/2019/11/space-grade-cpus-how-do-you-send-more-computing-power-into-space/ 真空・振動・極端な低温や高温など、宇宙にはCPUを破壊しうる現象がさまざま存在します。しかし、近年
インタフェースデザインのお約束
デジタル製品のデザインに役立つ101の指針。製品のユーザビリティや性能を高める上で必須かつ基本のツボ、マスターすれば時間を節約し顧客満足度をアップできるテクニックが101のコンパクトなルールにまとめられています。メッセージが明確で説明もわかりやすいので短時間で気軽に読むことができます。101のルールは、タイポグラフィ、コントロール、カスタマージャーニー、各種要素の統一、UX全般に関わるプラクティスに分類されているのでリファレンス的に読むことも可能です。「よくある落とし穴」を巧みに回避し、自信をもってユーザーのために闘い、すばらしいユーザーエクスペリエンスを提供するプロへと成長させてくれる一冊です。 ●翻訳者による「日本語版のサポートページ」。 ●日本語版独自の8つの追加ルールが収録された「訳者あとがき」のPDF(6MB)。 というわけで、この長すぎる「訳者あとがき」では、原著者があげなかっ
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
DeepLでPDFファイルのレイアウトを崩さず丸ごと翻訳できるサードパーティChrome拡張機能「DeepL Opener」を使ってみた
2020年に登場して「めちゃくちゃ精度が高い」と話題になったオンライン翻訳サービスが「DeepL」です。直近では公式Chrome拡張機能の「DeepL翻訳(ベータ版)」が登場しており便利さに磨きが掛かっていますが、まだこれらのソフトウェア/アプリでは「PDFファイルの丸ごと翻訳」はできないようなので、PDFファイルの丸ごと翻訳ができるサードパーティのChrome拡張機能「DeepL opener」を使ってみました。 DeepL opener - Chrome ウェブストア https://chrome.google.com/webstore/detail/deepl-opener/almdndhiblbhbnoaakhgefcpmbaoljde DeepLによるページ翻訳、ドキュメント翻訳、PDF上への翻訳表示ができるChrome拡張機能「DeepLopener」の使い方 - Teahat
ゼロトラストネットワーク
ゼロトラストネットワークとは、ファイアウォールやVPNに代表される従来型のセキュリティ(境界防御モデル)が通用しなくなった現状を踏まえ、すべてのトラフィックを信頼しないことを前提とし、検証することで脅威を防ぐというアプローチです。近年、クラウドサービスやモバイルの普及により、セキュリティで守るべき内外の境界があいまいになってきたことにより、強く注目を集めています。本書は、ゼロトラストネットワークの概念と実装するために必要な知識が学べる解説書です。基本的な概念の説明に始まり、デバイス、ユーザー、アプリケーション、トラフィックの信頼を実際にどのように確立していくかについて、詳しく紐解いていきます。また、Googleのゼロトラストモデル「BeyondCorp」を含む2つの詳細なケーススタディも収録しており、実装に役立つ知識を深めることができます。 はじめに 1章 ゼロトラストの基礎 1.1 ゼロ
2020年7月16日(日本時間)、Twitter上で複数の著名なアカウントや有名企業のアカウントからビットコイン詐欺の投稿が行われました。Twitterはその後の調査で、社内サポートチームが使用する管理ツールが不正利用されたことが原因と発表しました。ここでは関連する情報をまとめます。 何が起きたの? 2020年7月16日未明から著名アカウントを中心に詐欺投稿が行われた。その後アカウント侵害の影響は大部分が回復した。 一連の投稿にはTwitter社内のサポートチームが使用する管理ツールが悪用された。さらに複数のアカウントでDM閲覧やデータのダウンロードが行われた恐れがある。 社内ツールはソーシャルエンジニアリングにより不正利用された。Slackがその舞台となったと報じられている。 1. アカウントのっとり詐欺投稿 4時間続く 7月16日に発生したビットコイン詐欺の投稿は大まかに2種類が確認さ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita
画像生成AI「Stable Diffusion」でいろいろ特化した使えるモデルデータいろいろまとめ
MacのTerminalでsudo実行時にタッチIDを使用する方法 | DevelopersIO
USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露 ネット騒然 「悪例として最高の手本」
無料でIFTTTやZapierのようにアプリやサービスを連動させ自動化できる「Make」を実際に使ってみたよレビュー
それでも「PPAP」を使い続ける国内企業はどのくらい? 有害と知りつつ使う企業も、そのワケは
Wiresharkによるパケット解析講座 8:HTTPSトラフィックの復号
Ubuntu 22.04 LTS サーバ構築手順書
情報セキュリティ白書2020 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構
素人が絵画を修復しようとして大失敗する事態がまたもや発生、専門家が素人によるアート修復の規制を訴える
「安倍派というだけで罪人扱いか」 首相に批判噴出、疑惑ない議員も:朝日新聞デジタル
退職処理を可能な限り自動化する - クックパッド開発者ブログ
もっと早く導入すべきだった……。お家の中の「Wi-Fiが届かない」問題が簡単に解決
WordPressが改竄された時の復旧方法と絶対に改竄されない対策
パスワード管理ツールの LastPass の保管庫の漏洩について、被害者ができることを解説
カード決済のセキュリティ的な問題点とその対策、IC チップの決済とその仕組み - カンムテックブログ
Webサービスにおけるマイページの仕様とセキュリティ観点 - Flatt Security Blog
noteでソースコードからIPアドレスが確認できた事態に関する追加報告とお詫び|note株式会社
noteの独自ドメインセッションの脆弱性について報告した件
万博運営費の増額 「赤字でも大阪府市は負担せず」 吉村知事ら:朝日新聞デジタル
Twitter社内管理ツールの不正アクセスについてまとめてみた - piyolog