Cloudflareは、JAMスタックを用いてWebサイトを構築する新サービス「Cloudflare Pages」が正式版として提供開始されたことを発表しました。 JAMスタックによるWebサイトの構築とは JAMスタックとは、JavaScript、API、Markup Language(HTML)を主な構成要素としてWebサイトを構築する手法を指します。 WordPressに代表される多くのCMSでは、ユーザーからのリクエストに反応して動的にHTMLが生成されることで、動的なWebサイトを実現しています。この場合、HTMLの生成に一定の時間がかかるため高速なWebサイトの構築が容易ではないこと、サーバへの負荷によりスケーラブルなWebサイトの構築も容易でないことなどが課題です。 JAMスタックでは、HTMLの生成はWebサイトの生成時に行うことで、基本的には静的なWebサイトと同様の高速
OAuthにおける認可コード横取り攻撃とその対策 Jul 5, 2021 前回の記事で示したように、カスタムURLスキームを偽装した不正アプリは正規アプリへのディープリンクを乗っ取れる。この挙動の悪用シナリオとして、正規アプリと認可サーバー間のOAuthフローにおける認可コード横取り攻撃が知られている。この攻撃への対策を把握するためにiOS環境でシナリオを再現し、PKCEの有効性を確認した。 要約 OAuth 2.0の拡張機能であるPKCEを導入することで認可コード横取り攻撃を無効化できる。OAuth 2.0の仕様では、認可サーバーはネイティブアプリをクライアント認証できない。そのため、認可サーバーは認可コードを横取りした不正アプリと正規アプリを識別できない。しかし、PKCEの仕組みにより認可サーバーは正規アプリを識別できるようになり、認可コード横取り攻撃の検知が可能となる。 ネイティブア
macOS 12 Monterey では,OSビルトインでのOCR機能が搭載されました。Preview.app で,画像やスキャンPDF(中身がスキャン画像のPDF)に対して,ただマウスでドラッグするだけで,中身の文字を認識して選択し,コピーできるようになっています。さらに,macOS 13 Ventura では,それが日本語にも対応しました。 たとえば,(今や入手困難となってしまった)The TeXbook のアスキーによる日本語版をスキャンしたものを Preview.app で開くと,何もしなくても,文字選択できます。 これをコピーして他のエディタにペーストすると, TEXの名称で気をつけなければならないことがほかにもある。Eの文字が不揃いになっていることだ。Eの文字を少し下げてあるのは、TeXが組版のためのシステムであることを印象づけるためであり、またほかのシステムの名称と区別するた
逆に、RFC 6749 以外で定義されている認可フローをサポートする場合、新たに別のエンドポイントの実装が必要になることがあります。例えば CIBA(Client Initiated Backchannel Authentication)ではバックチャネル認証エンドポイント(backchannel authentication endpoint)、デバイスフロー(RFC 8628)ではデバイス認可エンドポイント(device authorization endpoint)の実装が求められます。 この記事では、認可エンドポイントとトークンエンドポイントを実装します。サポートする認可フローは認可コードフローのみ、サポートするクライアント・タイプはパブリックのみとします。 2. 注意点 下記の理由、および書かれていないその他の理由により、本実装は商用利用には適していません。 セキュリティー上必須
2021年1月27日、Europolは国際的な捜査活動を通じ、Emotetが利用するインフラ基盤を捜査官が制御下に置いたことを発表しました。ここでは関連する情報をまとめます。 Emotet テイクダウン 国際的なオペレーションにより2021/1/25週初めにEmotetが接続するサーバーを制御下に置くことに成功。Emotetの感染活動を停止させることに成功したとみられる。 Emotetインフラ基盤全体を内部より停止させたとして、現在接続が行われると法執行機関が管理するサーバーにリダイレクトされる。 ウクライナ当局が基盤を保守していた関係者2名を逮捕した。他の関係者も特定され拘束する措置が講じられた。 Team Cymruによれば、1月26日頃より顕著な変化が見られたと報告している。 ボットネット追跡のシステム(BARS)で見ているEmotetのアクティブなTier 1 C2サーバーが26日
この2,3週間ほど、私のメールボックスにほぼ毎日bitFlyerのフィッシングメールが届くようになりました。 私はサイバーセキュリティ分野での調査研究をしており、このような詐欺メールはさして珍しいことではありません。しかしこのフィッシングメールが誘導する先のフィッシングサイトは、あまり他に見ない特徴を持っています。そして今後の脅威となる可能性が高いと感じ、この文章を書きました。 フィッシングメール 届いたフィッシングメール自体は、よくあるタイプのものでした。不正なログインがあったからすぐ確認しなさい、と人を慌てさせてリンクをクリックさせる、一般的な手口です。 しかしこのリンク先が、2週間ほど前からGoogleドキュメントへのリンクとなったのです。 リンク先はGoogleドキュメント Googleドキュメントで作られたフィッシングサイトがこちらです。 見て分かるように、厳密にはこれはフィッシ
いつもはてなブックマークをご利用いただき誠にありがとうございます。はてなブックマーク開発チーム、ディレクターのid:yone-yamaです。 2023年4月8日の告知にてお知らせした通り、Twitter社提供のAPIが利用できなくなったことに起因し、はてなブックマークでTwitterに関連する機能がご利用いただけない状態が継続しています。 ご利用いただけなくなった機能のうち「ブックマーク時のTwitterへのシェア」の代替手段として、2023年5月9日にブラウザ版の共有メニューをリリースしました。 bookmark.hatenastaff.com このたび、はてなブックマークアプリならびに拡張機能(Chrome拡張・Firefoxアドオン)についても、Twitterをはじめとした外部サービスへブックマークを共有できるメニューを追加しました。 また、ご要望を多くいただいておりましたブックマー
おはようございます。しなもんです。 今回はセキュリティ調査に使える便利なブラウザの拡張機能 (アドオン・エクステンション) をご紹介します。 こうした拡張機能の多くはこの世で唯一無二の機能を持っているわけではありませんが、普段から一番よく使う調査ツールである「Web ブラウザ」に直結するため、手間の節減や各種オンラインサービスへのアクセシビリティ向上に大きな効果を発揮する場合があります。 前提 Mitaka IP Address and Domain information Link Redirect Trace User-Agent Switcher Flagfox IP Domain Country Flag Wappalyser anonymoX Wayback Machine Exif Viewer/EXIF Viewer Pro Simple Translate Mouse Di
Intro 従来の History API を改善する Navigation API の仕様策定と実装が進んでいる。 これは、 History API の使いにくかった部分を補うだけではなく、「JS で画面遷移をする」という現状のミッシングピースに取り組み、 SPA が抱える多くの問題だけでなく MPA すら改善する可能性がある。 この API の目的と仕様を解説しつつ、実装のメモを残す。 画面遷移と SPA の軌跡 Web は HTML の取得と描画を繰り返す、画面遷移(Navigation)を前提としたアーキテクチャ(のちに SPA からの逆算で MPA と呼ばれる)が基本であり、ブラウザなどの実装もそれに最適化されている。 一方「アプリケーション」の設計手法をそのまま Web に持ち込んだ SPA は、この Navigation によってもたらされる UX の低下を防ぐ部分がある一方
卒業証書 2021年4月にプログラミングスクールのWebデザイナー向けプログラミングコースを卒業しました。 受講していたのはRailsプログラマーコースだったのを、途中からメンターさんに相談してWebデザイナー向けにカリキュラム内容をカスタマイズしてもらって、受講してました。 受講していたスクールでははじめての試みだったということで、同じデザイナーの人でプログラミング勉強したいと考えている人向けに記事を残すことにしました。 プログラミングを勉強しようと思った経緯は以前投稿した記事に書いているので、そちらを参照してください。 ksmxxxxxx.hatenablog.com スクールでやったこと 通っていたのはフィヨルドブートキャンプというプログラミングスクールになります。 実際に進めたカリキュラムは以下になります。 Linuxの基本 Terminal Debianをインストール ファイル操
目次 tmuxとは 起動して新規セッションを作成する windowを作成する window間を行き来する windowを分割してpaneを作成する paneを行き来する セッション間を行き来する 【応用】tmuxの表示内容をリダイレクトする 【応用】情報バーにgitのbranch名を表示する 【応用】現在の操作パスを表示する 【応用】スニペットを呼び出す 以上の設定の .tmux.conf はこちら tmuxはバージョン互換性がかなり微妙 YouTubeでも公開したのでチャンネル登録してくれると嬉しいです tmuxとは tmuxとはターミナルマルチプレクサと言われるもので、sshで作業マシンにログインして操作した際や、重いプログラムを実行するなどして帰りたいが終了せずに作業を継続したい際などが、最も簡単なユースケースです。 これだけにとどまらず、tmuxはterminalを複雑に装飾できる
概要 ファイル名のリストだけ高速に欲しいみたいな場合に大量にファイルがあるディレクトリでlsを打って返ってこないみたいなのが地味にストレスになったりするので高速に済ませる手段が無いかを調べてみた。 1ディレクトリに100万ファイル程度 計測前にecho 3 > /proc/sys/vm/drop_cachesを都度実行し10回程度計測 計測 ls -l めっちゃ遅い real 0m24.052s user 0m5.668s sys 0m8.071s straceをしてみるとこんな感じ。-lをつけるとメタデータを取りに行くのでこれが遅いらしい。sysが長い % time seconds usecs/call calls errors syscall ------ ----------- ----------- --------- --------- ---------------- 44.6
オフェンシブセキュリティ部の山崎です。サーバサイドレンダリング(SSR)の導入によってSSRFが発生する問題を見つける機会があったため、本記事では実例を交えながら紹介したいと思います。 サーバサイドレンダリング(SSR)とは? 本記事で扱うSSRとは「サーバ上でHTMLを出力すること」を指しています。ただしerbやjspのようなテンプレートからHTMLを出力するのとは異なり、一般的には以下のようにクライアントサイドレンダリング(CSR)の文脈で使われることが主です。 近年のVue.jsやReactを代表するようなWebフロントエンドフレームワークはブラウザ上で動的にDOMツリーを構築して画面を描画(CSR)するのが主流となっています。これによってページ遷移を挟まずユーザ体験のよいシングルページアプリケーション(SPA)が作ることができるというメリットがあります。 ただ、単純なSPAにはデメ
たとえば、かつてiptablesで設定していたIPv4に関連するパケットフィルタリング設定は、nftablesにおいては「ip」というアドレスファミリに紐付けたテーブルを作成することで設定できる。同様に、ip6tablesやarptables、ebtablesで設定していたものはそれぞれ「ip6」や「arp」、「bridge」というアドレスファミリに紐付けたテーブルで設定する。 「inet」「および「netdev」アドレスファミリはnftablesで新たに導入されたもので、まず「inet」はIPv4およびIPv6の両方を対象にした設定を行えるアドレスファミリだ。従来IPv4とIPv6の両方にまたがったフィルタリングルールを設定したい場合はiptablesとip6tablesの両方で同じようなルールを追加する必要があったが、nftablesではinetアドレスファミリで指定することで単一の設
情報処理推進機構(IPA)の公式Webサイトリニューアルにおいて、多くのページにリダイレクト設定がなされず問題視されていた件を巡り、IPAは4月3日「ご不便をおかけしまして大変申し訳ありません」と謝罪した。 IPAは3月31日に公式Webサイトの全面リニューアルを実施。モバイル端末からの閲覧を意識したデザイン改修、コンテンツへの導線の改善などを図ったとしていた。その中で多くのページのURLも変更したが、リダイレクト設定がほとんどなく、既存のリンクを開いても「404 Not Found」とのみ表示されることが問題視されていた。 謝罪文によると、リニューアルに際して「安定的なレスポンスの確保を考慮し、リダイレクト対象とするコンテンツを選定した」という。しかし、多くのユーザーがIPAのコンテンツを資料として使っており、その影響について認識が不足していたのが原因の一つとしている。 なぜ「404エラ
こんにちは!店舗開発チームの滝口です。 ぐるなびでは、認証・認可のプラットフォーム開発に携わったのち、現在はレストランデータの運用をしつつ、ぐるなび掲載ページや、店舗向け管理画面の開発をしています。 はじめに このたび、オンプレで稼働していた「非構造化データストレージ(通称:UDS)」をAWSに移行しました。 UDS は NAS に保存されているファイルを REST API を介して CRUD 操作できるシステムで、ぐるなびで掲載している店舗の画像や CSS 、Javascript 等の保存に利用されています。 この記事では NAS に保存されたファイルをどのようにして AWS に移行したのか、その移行方式や AWS アーキテクチャを紹介します。 目次 はじめに 目次 UDS 基本情報 今回使った主な AWS AWS を活用して実現したいこと AWS 導入におけるアーキテクチャ AWS へ
JSONを操作するコマンドラインツールであるjqは、これまでオリジナル作者であるStephen Dolan氏 (@stedolan)のリポジトリ(github.com/stedolan/jq)で管理されていました。 メンテナンスはNico Williams氏 (@nicowilliams)とWilliam Langford氏 (@wtlangford)の二名が行なっていましたが、近年は活動が減っておりメンテナンスが滞っていることが度々指摘されていました。 最新のリリースは2018年11月に行われた1.6であり、その後に様々なバグ修正やパフォーマンス改善、新機能の実装が行われているのにリリースされておらず、またissueやPRも放置されがちになっていました。 さらにCI (AppVeyor)は常に落ちるので、簡単なドキュメント修正でもCIが通らず苦情が来る、数か月放置されたPRは作った人が諦
2020年7月までに国内外の複数のドメイン名が「Subdomain Takeover」とみられる影響を受け、当該サイトに接続した利用者が詐欺サイトに誘導される事象が発生しています。ここではこの事象に関連する情報をまとめます。 何が起きてるの? 誘導される詐欺サイトの一例 大手組織を含む複数のドメイン名において、検索サイトから接続した際に詐欺サイトへ遷移させる事象が発生していた。 各組織管理のサーバーやレジストラ、CDNサービスが直接被害を受けたのではなく、Subdomain Takeoverと呼称される手法により過去使用されていたドメイン名が狙われたとみられる。 どう対応すればよい? 不要なCNAMEレコードを削除する。 影響範囲は? 正確な被害状況は把握していないが、複数の国内外のドメイン名が影響を受けており、検索にかかるものだけでも100件以上をpiyokangoは確認(2020年7月
2023年2月7日のMicrosoft発表イベント、および同8日のGoogle発表イベントの内容をまとめています。いずれも検索エンジンに搭載されるAIサービスに関する新プロダクトが発表されました。 このページは随時更新しています。 Microsoft、AIを搭載した新しいBingと Edgeブラウザを発表 Microsoftイベントの発表内容(日本時間 2023年2月8日午前3時〜) 従来の検索サービスは複雑な質問の回答に適していない 従来の検索結果画面とAIチャットウインドウ GPT-4相当の技術を搭載 ChatGPTよりも自然で意図にあった回答をするデモを披露 違法行為を促進しないための安全システム 新しいBingのデモ画面 AIを搭載した新しいBingの概要(Microsoft公式発表資料より) Bing Webmaster Guidelines 会話型検索に関する記述 Google
Pythonがファイルを開くときなどに使われるエンコーディングはロケール(WindowsではANSIコードページ)依存でした。 Unixの世界ではどんどんUTF-8ロケールが一般的になっている一方、WindowsのANSIコードページはなかなかUTF-8になりません。 そのために、Unixユーザーが open(filepath) のようにエンコーディングを指定しないままUTF-8を仮定するコードを気軽に書いてしまって、Windowsユーザーがエラーで困るといった問題が発生します。 また、Windowsでもメモ帳(Notepad.exe)やVSCodeはすでにUTF-8をデフォルトのエンコーディングで使用しています。ANSIコードページがUTF-8になるのを待っていたらどんどん周りの環境から置いていかれ、レガシー化してしまいます。 Pythonがデフォルトで利用するエンコーディングをWind
3月末にリニューアルされた滋賀県のホームページ(HP)で不具合が多数発生した問題で、HPの設計(情報設計)に根本的な欠陥のある疑いがあることが、複数の専門家の指摘で分かった。県は緊急対策チームを設け「当初の不具合は改善できた」と説明するが、専門家は「このまま改善を進めても、問題は解消されないのでは」と疑問を呈している。 県広報課などによると、リニューアルはHPを整理し、スマートフォンなどでも見やすくしようと、2017年10月から検討を開始。費用は前のHPを作成した業者が提出した参考見積もりを基に、1000万円を18年度当初予算に計上した。提案内容も評価する「公募型プロポーザル方式」に応募した2社のうち、同県米原市の業者と昨年6月、約976万円で契約。この業者は、徳島県板野町の業者に再委託していた。 その際、HPを運用管理するシステム「CMS」を変更。約3万8000あったページを約2万200
jq(https://stedolan.github.io/jq/)の紹介では、「JSON処理のワンライナー〈一行野郎〉としてめちゃくちゃ便利!」とアピールするのが定番です。もちろんそれは本当で、「めちゃくちゃ便利!」です。が、実は jq は、ワンライナー記述にとどまらない、かなり本格的なプログラミング言語です。 JSON処理のためのDSL〈Domain Specific Language | 領域特化言語〉なので、汎用言語ではありません。しかし、汎用言語が備えている言語機能の一部(関数定義、モジュールシステムなど)を jq も持っています。また jq は、独特で楽しいプログラミング・パラダイム -- “パイプライン指向”に基づいて設計されています。 この記事では、ワンライナーを超えた jq の使い方と、プログラミング言語としての jq の特徴を紹介します。長い記事になってしまったので、一
こんにちは、イノベーションセンターの冨樫です。Network Analytics for Security プロジェクトに所属しています。 突然ですが皆さんはドメインパーキングというサービスを知っているでしょうか?詳細については後述しますが、以前イノベーションセンターの検証網でマルウェアに関する悪性通信が検知されたため通信先を調査したところ、ドメインパーキングだったことがあります。本記事ではこの調査を通して得られたドメインパーキングに関する知見とその調査過程を紹介します。また、今回紹介するドメインパーキングの悪用事例や外部インテリジェンスを活用した調査は基礎的な内容ですので、本記事は主に初学者の方の知見にしてもらうことを目的としています。 ドメインパーキングについて アラートの概要 Ursnif について 接続先についての調査 検知されたアラートの危険性について さいごに ドメインパーキン
Twitter が日々壊れゆくなか、周りの人が Misskey や Mastodon や Threads に住居を移すようになりました。 私も移住先を検討してみたものの、移住先のプラットフォームだっていつまで持つか分からないし、複数のプラットフォームにアウトプットを分散させるのも良くないなぁと思い、 最終的にマイクロブログがだめならブログでいいじゃんと自分を納得させるに至りました。 せっかくなら ActivityPub に対応して、Fediverse の人からリモートフォローできるようにして、反応が見れたら嬉しいよねということで色々と調べて対応させることができました。 本ブログは「@blog.tyage.net@blog.tyage.net」でリモートフォローすることが可能です。 このブログは hugo で生成しており、静的ファイルのみ配信しています。 それは変えたくなかったため、Acti
2022年4月28日、東映アニメーションは3月7日に公表していた不正アクセスによるシステム障害について調査結果を公表しました。ここでは関連する情報をまとめます。 不正アクセスの影響を受け作品制作が遅延 東映アニメーションは不正アクセスを受けたことに起因して、通常業務だけでなく同社が関係する作品制作の一部に遅れが生じた。具体的に影響が公表された作品は以下の5点。また関連商品の販売時期やキャンペーンが作品放送とタイミングが合わず、延期をしたり、放送前に登場キャラクターの商品が販売されてしまったり、告知が行われてしまうことがあった。 作品名 遅延が生じた期間等 ドラゴンクエスト ダイの大冒険 3月19日~4月9日までは再放送4回を実施。4月16日より再開(第73話)。*1 *2 デリシャスパーティ♡プリキュア 3月13日~4月10日までは過去のプリキュア映画作品の分割放送(3回)と再放送2回を実
Kyashでは9月からIDaaSであるOneLoginを導入しました。 導入から3ヶ月が経過し、現時点でほぼすべての社内認証をOneLoginに統一することが出来ました! 今回は、なぜOneLoginにしたのか、使い勝手等を含めお伝えできればと思います。 すごくヨイショしている記事になってしまったんですが、お金はもらってません!!!!!笑 www.onelogin.com 公式HPにも取り上げて頂き、ありがとうございます! 実は前職でもかなり使い込んでおり、OneLoginは思い入れのあるプロダクトです。 www.pentio.com 今回の導入に関しても、OneLogin 日本代表の福見さんと代理店であるペンティオさんにかなりのお力添えを頂きました。ありがとうございます! Kyash Advent Calendar 2019 day11 ということでKyash Advent Calend
東京オリンピックについて、これまで関係組織からの発表や報道されたサイバー関連事象についてまとめます。この記事は個別事象を整理したもので各々の関連性は一部を除きありません。また大会期間中のものを判別つきやすくするためタイトル部を赤文字で記載しています。 大会中に起きたこと 東京オリンピック期間中、過去大会で見られたようなサイバー攻撃などに起因する情報流出やシステム破壊の発生は報じられなかった。また官房長官は「サイバー攻撃に起因する問題発生は確認されていないとの報告を受領している」と7月26日にコメントしている。*1 大会後は経産大臣が電力やインフラなどのサイバーセキュリティに関してテロの様なものはなかったと説明した。*2 サイバー空間上でオリンピックに関連する事象が何もなかったわけではなく、大会に乗じた偽動画配信などの詐欺サイトの存在が報告されていた。またSNS上で選手への誹謗中傷が行われる
※こちらはバイセルテクノロジーズ Advent Calendar 2023の10日目の記事です。 前回の記事は、金澤さんのAuth0とEntra IDを扱うプロダクト同士を繋げるためのIstio設定あれこれでした。 はじめに こんにちは、開発3部の神保です。 バイセルでは、お客様宅への出張訪問による買取が買取チャネルの主力となっています。現在開発3部の弊チームでは、この出張訪問買取で使用されるWebアプリケーション「Visit」の新規開発を進めています。 VisitのフロントエンドにはReactを採用しましたが、Next.js等のフレームワークは使用せず、Vite + ReactによるSPA (Single Page Application)構成を選択しました。 技術選定の過程では、社内での採用事例などからNext.jsも検討の対象となりましたが、最終的にはその採用を見送る結論に至りました
NTTドコモは2021年から2022年にかけて、「dポイントクラブ」や「dカード」など44サービスのURLを順次変更します。ユーザーにとってはブックマークの変更などの手間が発生することになりますが、いったい何が目的なのでしょうか。 たとえばdカードの場合は、これまでWebサイトのドメイン名は「d-card.jp」でしたが、2022年6月から「dcard.docomo.ne.jp」に変更されます。個々のサービスだけでなく、ドコモの企業サイトも2022年3月に「www.nttdocomo.co.jp」から「www.docomo.ne.jp」に変更される予定です。 ドメイン名は「docomo.ne.jp」に統一される(ドコモの発表内容より筆者作成) ユーザーへの影響としては、ドコモはURL変更に合わせてWebブラウザの「お気に入り」や「ブックマーク」を変更するよう呼びかけています。ブックマークを
2023年9月以降、Amazonアカウントの不正アクセス被害が急増しています。不正アクセス被害は2段階認証を設定しているアカウントでも報告されており、何らかの方法で2段階認証をすり抜け、ギフトカードなどを無断購入される被害が増えています。 2段階認証を設定したアカウントで不正アクセス被害が報告 2023年9月以降、Amazonアカウントの不正アクセス被害が相次ぎ発生しており、SNSなどで「ギフトカードを購入された」「2段階認証を突破された」など、被害を報告する声が増えています。 また、2段階認証(2SV)を設定していたとするユーザーからも不正アクセス被害が報告されており、何らかの方法で2段階認証がすり抜けられてしまうことがあるようです。 Amazonのアカウント、不正利用されたー 夜中にギフトカード5,000円×20枚購入されて、速攻メールでどこかに送信されたらしく、即時クレカに請求が来て
はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ
強力な「Dropbox詐欺」が現れた。これまでのビジネスメール詐欺と比べると検出が難しく、よりだまされやすくなっている。どのように対応すればよいのだろうか。 オンラインストレージサービス「Dropbox」を利用したビジネスメール詐欺(BEC)が急増している。Checkpoint Software Technologies傘下のAvananの報告によれば、2023年9月の最初の2週間だけで、このような攻撃が5440件も発生した。Dropboxをどのように悪用しているのだろうか、どうやって防げばよいのだろうか。 そもそもDropboxが悪いのだろうか 攻撃の手口は3段階に分かれる。まず攻撃者が無料のDropboxアカウントを作成する。 次に危険性のない文書を作成して、関係者のふりをして攻撃対象(ユーザー)と共有する。最後に狙われたユーザーにDropboxから「共有したコンテンツを誰かがクリック
全国の nginx 職人のみなさま、こんにちは。野島(@nojima)です。 私の所属するYakumoプロジェクトでは、nginx を Go と Docker によってユニットテスト1しています。 手元で簡単に実行でき、ブランチへのpushのたびにCIでテストされるので、非常に便利です。 この記事では、このnginxのユニットテストについて紹介してみたいと思います。 背景 nginx は極めて柔軟なロードバランサであり、プロダクション環境ではその柔軟さを生かして多彩な役割を担っています。 我々の nginx は、ユーザーからのリクエストを AP サーバーに振り分け、アクセス制限を行い、リクエストをリダイレクトし、HTTPヘッダを付与したり削ったりしています。 しかし、nginx は便利な反面、その設定は極めて複雑になり、読解したり変更したりするのが難しくなっています。 そこで、nginx
作成日 2023-05-31 更新日 2023-06-02 author @bokken_ tag well-known, appsec はじめに パスワード変更のためのURLを示すための、A Well-Known URL for Changing Passwords という仕様が存在する。¶ この仕様は主にクライアントサイドのパスワード管理ツールで使われる想定の仕様だ。¶ 本記事ではこの仕様がどういうものか、どういった利点があるのかについてまとめる。¶ パスワード管理ソフトとその課題 パスワード管理ツールはクロスサイトでのパスワードの再利用を防いだり、オートフィルをしてユーザビリティを高めてくれる良いツールだ。 ブラウザにもパスワード管理ツールが搭載されていたり、有名どころでは1PasswordやBitwardenのようなツールがある。¶ これらのツールの中にはパスワードの強度を教えてく
例えばmain.tsというスクリプトに対して、ファイルの読み取りだけを許可したい場合は、以下のようにコマンドを実行します。 $ deno run --allow-read main.ts このときmain.tsプログラムはファイルの読み取りだけが可能になるため、ファイルの書き込みやネットワークアクセスをするとPermissionErrorによる実行時エラーになります。 なお、実行時にフラグを何も与えなければ、どの権限も持っていない状態になります。 各フラグにはパラメータを指定でき、例えば次のように実行すると/home/userディレクトリの読み込みだけが許可されます(--allow-writeフラグも同様)。 $ deno run --allow-read=/home/user main.ts また、--allow-netを次のように指定すると、特定のドメインとポートだけのアクセスを許可で
Azure App Service (Web Apps) がリリースされて 6 年、情報のアップデートを行いつつ気になった情報は適当にブログに書くという日々ですが、Regional VNET Integration や Service Endpoins が使えるようになって設計に大きな変化が出るようになったのでまとめます。 最近は Microsoft で HackFest を行うことも多いのですが、App Service をこれから使い始めたいという場合に、失敗しない構成を共有したい、知ってほしいという意図もあります。多いですが中身は単純です。 基本設定 64bit Worker は必要な場合のみ利用する FTP / Web Deploy をオフにする Always on を有効化する ARR affinity をオフにする HTTP/2 の有効化を検討する Health Checks の
リダイレクトの終了について投稿したゆやりん(@yuyarin)さんは「group.ntt/jp/ にすれば参照できる」と解決方法を紹介。しかし「リダイレクトしていないため、新しいURLでリンクされてないものはインデックス化されない。古いURLはエラーでインデックスから消されて、そのうち検索エンジンで探せなくなって存在しないのと同義になるので全くよくない」と問題点を訴えた。 なぜNTTはリダイレクトをやめたのか。同社に問い合わせたところ「12月までの旧URLへのアクセス数を見たところ、数がかなり減っていたため、影響はないと判断した。また、継続することでコストもそれに応じてかかっていくことも踏まえて、総合的な判断からリダイレクトの終了を決めた」と話した。 NTTは「新URLに変更したことをあらためて周知することで、ご迷惑をおかけしないように対応させていただきたい」と話したが、再びリダイレクトを
政府情報システムにおける 脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 - 初版決定 1 目次 1 はじめに ......................................................... 2 1.1 目的とスコープ .............................................. 2 1.2 適用対象 .................................................... 3 1.3 位置づけ ...
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く