日本よ、目を覚ませ、Web3はクソだ!
Web3の誇大広告は日本の政界にまで浸透し、大手メディアでは誤った説明が繰り返されている。バブル崩壊以降の30年間を経済停滞の中で過ごし、長期的なビジョンと計画に欠け、短期主義的な右往左往を繰り返してきた日本にとって、Web3への投資は船が再び誤った方向に進んだことのシグナルとなってしまうだろう。 自民党広報本部副本部長の平将明衆議院議員は、4月下旬に公開された暗号通貨メディアCoinDesk JapanのインタビューでWeb3の可能性を高らかに論じている。平議員の活動は今年に入り活発化し、独自のチームによるNFTに関するホワイトペーパーの作成を行い、Web3担当大臣の創設を内閣に要請するまでになった。彼はインタビューの中で「年金積立金管理運用独立行政法人(GPIF)の運用資産の0.5%にあたる1兆円でスタートアップ支援ファンドを作るのもいい」と発言している。 日本は世界第三位の経済規模を
Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog
※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。 通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なることが知られており、攻撃者が異なる値の種類でパラメータを渡すと、最終的に予期せぬ動作を引き起こす可能性があります。予期せぬ動作とは、バグのような動作やSQLインジェクションなどです。 ほぼすべてのオンラ
男性器をBluetooth経由でロックできるスマート貞操帯に「攻撃者によってリモートから完全にロックされる脆弱性」が判明
Bluetoothを介してスマートフォンと接続してリモート操作が可能な男性向けのスマート貞操帯に「セキュリティ上の欠陥」が発見され、悪意ある攻撃者がリモートで制御すると、着用したら二度と外れないようにできてしまうことが判明しました。 Smart male chastity lock cock-up | Pen Test Partners https://www.pentestpartners.com/security-blog/smart-male-chastity-lock-cock-up/ Locked In An Insecure Cage https://internetofdon.gs/qiui-chastity-cage/ Internet-enabled male chastity cage can be remotely locked by hackers - The Ve
「セキュリティ脆弱性に対するサイバー犯罪については、もう心情的に白旗を上げてしまい、技術的には対策が打てたとしても、運用が追いつかない…」という指摘が秀逸すぎる話
ケビン松永 @Canary_Kun 大手SIerで15年間システム開発に従事し、現在は独立してITコンサルをやってます。零細法人経営者 | 意識高い系よりは尿酸値高い系 | 3児の父 | 大家クラスタ | 多重債務力167M、加重平均金利は197bp ケビン松永 @Canary_Kun 自分は情報安全確保支援士(登録セキスペ)も持っていて素人ではないんですが、セキュリティ脆弱性に対するサイバー犯罪については、もう心情的に白旗を上げてしまってます。 技術的には対策が打てたとしても、運用が追いつかない…。そんな気持ちを連ツイします。 x.com/yuri_snowwhite… 白”雪姫” @yuri_snowwhite 一応、セキュリティ担当としておおっぴらには言ってないことなんだけどたまにはきちんと言おうかな。 今回のSSHの件然り、カドカワの情報漏洩然りなんだけど、 1:定期的に脆弱性対応
ベンダが提供していない決済モジュールの不具合による情報漏洩事故 東京地判令2.10.13(平28ワ10775) - IT・システム判例メモ
ECサイトにおけるクレジットカード情報漏洩事故が、決済代行業者から提供されたモジュールの不具合があったという場合において、開発ベンダの責任がモジュールの仕様・不具合の確認まで及ぶか否かが問われた事例。 事案の概要 Xが運営するECサイト(本件サイト)において、顧客のクレジットカード情報が漏洩した可能性があるとの指摘を受けて、Xは、本件サイトにおけるクレジットカード決済機能を停止した(本件情報漏洩)。その後、Xはフォレンジック調査を依頼し、不正アクセスによってクレジットカード会員情報が漏洩したこと、クレジットカード情報はサーバ内のログに暗号化されて含まれていたが、復号することが可能だったこと、漏えいした情報は最大で約6500件だったこと等が明らかとなった。 Xは、本件サイトを、Yとの間で締結した請負契約(本件請負契約)に基づいて開発したものであって、本件サイトの保守管理についても本件保守管理
トレンドマイクロさんに脆弱性を指摘して1周年…とんでもない主張を聞かされた話 - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 2020年2月25日にトレンドマイクロさんに、某脆弱性を指摘して受理されたの26日なのでやり取りを続けて1周年になるのですが、いまだに直ってないのは、お茶目ということで許すとして、ちょっと看過できないコメントを頂きました。このコメントの内容は、脆弱性と全く関係ないので皆さんにもちょっと知ってもらいたいなと思いました・ω・ 1.「この脆弱性は、トレンドマイクロ製品をアンインストールするまで実行されないのでリスクは低いと考えています」 いや、仮にそうだとしても、トレンドマイクロ製品
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
JP Contents Hub
AWS 日本語ハンズオン Amazon Web Services(AWS) の 日本語ハンズオンやワークショップを、カテゴリごとにまとめています。 右側の目次や、ヘッダー部分の検索ボックスから、各コンテンツにたどり着けます。 また、Ctrl + F や command + F を使ったページ内検索もご活用いただけます。 料金について ハンズオンで作成した AWS リソースは通常の料金が発生します。作成したリソースの削除を忘れずにお願いします。 もし忘れてしまうと、想定外の料金が発生する可能性があります。 画面の差異について ハンズオンで紹介されている手順と、実際の操作方法に差異がある場合があります。 AWS は随時アップデートされており、タイミングによってはハンズオンコンテンツが追いついていない事もあります。 差異がある場合、AWS Document などを活用しながら進めて頂けますと幸い
プロジェクトのキックオフ前後に作成する要件定義書。確認の抜け漏れを最小限に抑えるには、どのようなことを記載しておくべきか。そして、メンバーへのスムーズな共有と、その後の円滑なプロジェクト進行のための、良い要件定義書とはどのようなものだろう。自分たち用のメモも兼ねて「Webサイト制作プロジェクトの要件定義書」の確認項目をnoteに整理してみます。 1. プロジェクト概要1-1. 背景プロジェクトを発案するに至った背景です。現状の課題、ビジネス要件の変化、ユーザーの変化、社会的要請など、プロジェクトの存在意義や必要性を記載します。 1-2. ゴールゴールとは「完了条件」です。何を達成すれば終わるのか、どこに行けば終わるのかを記載します。通常は5W1Hのうち、WHATやWHEREをゴールとします。 1-3. 目的プロジェクトを何のために進めるのかという意図です。ゴールよりも広い視野で捉えます。5
自分はセックスワーク擁護派だけど、「セックスワーク差別は無知からやってくる」(https://anond.hatelabo.jp/20210714185723)を書いた元増田のロジックはだいぶマズいというか突っ込まれどころが多いので、もう少し理論武装してください。通常の賃労働とは違うセックスワーク固有の困難というのは確かにあって、セックスワーク当事者たちも、そのことはきちんと問題化しているので。 安全確保そもそもセックスワークというのはワーカーの安全確保がとても難しい。行為の性質的に、どうしても個別性・私秘性が求められ、たいていは誰からも見られない場所、多くの場合は密室で、1対1で行うということになる。特に非店舗型風俗では完全にアウェイな相手の自室に1人で入っていくことになるので非常にリスクが高い。男性相手の女性セックスワーカーの場合、フィジカルに圧倒的な差がある。事前のルールで決められた
成績トップだった中国人留学生は、母国の“依頼”を断れずスパイ活動の「末端」に転落した 夢を持つ若者を引き込む中国軍の情報活動 日本へのサイバー攻撃関与の疑いで国際手配へ | 47NEWS
このサーバーは、2016年の宇宙航空研究開発機構(JAXA)など国内約200機関の機密情報を狙ったサイバー攻撃で使われた。攻撃では日本の複数のサーバーが使われ、その一つが王容疑者のものだった。日本のサーバーを経由することで、検知システムに不正アクセスと認識されにくくするためだったとみられる。 ▽架空企業、偽名でソフト購入を狙う 王容疑者は16年春に大学を卒業。就職先として日本国内の会社に内定を得たが、「健康上の理由」から入社を辞退し、帰国した。 帰国後も「軍人の妻」である女性との関係は続いていたとみられる。16年11月、女性からの指示を受け、あるセキュリティーソフトを東京都内の販売会社から購入しようとした疑いがある。警視庁公安部が今回、逮捕状を取ったのもこの容疑だ。 ソフトは日本企業に販売が限られている。このため王容疑者は、架空の企業名や偽名を使って購入を申し込んだ。しかし、販売会社は登記
Docker DesktopからRancher Desktopに乗り換えてみた - knqyf263's blog
この記事はPRを含みます。 概要 背景 移行 Docker Desktopのアンインストール Rancher Desktopのインストール Kubernetesクラスタの無効化 宣伝 まとめ 概要 Rancher Desktopがcontainerdに加えdockerにも対応したのでDocker Desktopから乗り換えてみました。簡単な用途だとdockerコマンドがそのまま使えるので特に困っていません。 背景 2021年9月にDocker Desktopが有料化されました。移行期間として2022年1月31まで引き続き無料で利用できましたが、それもついに終了しました。 www.docker.com ただし、個人利用もしくはスモールビジネス(従業員数250人未満かつ年間売上高1000万ドル未満)、教育機関、非商用のオープンソースプロジェクトでは引き続き無料で利用できるという条件でした。no
個人的なJavaScriptの情報収集の方法についてまとめてみます。 JSer.infoなどをやっているので、JavaScriptの情報については色々な情報源を見るようにしています。 JSer.infoの範囲の中での情報源については、次の記事でまとめています。 JSer.info 13周年: JavaScriptの情報源を整理する - JSer.info この記事では、少しスコープを広げてJavaScriptの情報収集についてまとめてみます。 かなりスコープが広がってしまうので、万人向けの方法ではなく、個人的な情報収集方法としてまとめています。 この記事では、膨大な情報の中から見つけるというアプローチをとっているので、人によって向き不向きがあると思います。 情報収集の方法 情報の元となる情報源はさまざまなサイトや人になると思います。 しかし、そのサイトや人ごとに見ていくというのはかなり大変
ある程度経験を積んだレビュワーがやりがちな失敗は、 指摘しやすいコーディング規約違反だけ指摘している というもの。 コードレビューで指摘するべき欠陥とは、必ずしも規約違反だけではなく、 仕様考慮もれや機能的なバグ、非機能的なセキュリティやパフォーマンス上の問題点も含まれる。 一つ関数に対して複数の視点でソースチェックをしないといけないが、 人間は同時に複数のことは考えられない。 そこでどうすればいいかと情報をあさっていたところ、 われらがIPAがセキュアプログラミング講座というWEBページで、 四回に分けてレビューすることを提唱していた。 1回目はどこに何があるか、 2回目は可読性が確保されているか、規約にのっとっているか 3回目は機能性 4回目はセキュリティ といった具合である。 IPAの講座では4回目はセキュリティに限定しているが、 担当していたプロダクトは、非機能面はセキュリティはも
IPAウェブサイトリニューアルによるリンク切れや不具合について、ご不便をおかけしまして大変申し訳ありません。 IPAは本年3月31日、ユーザーの皆様にIPAウェブサイトについて、より快適にご利用いただけるようリニューアルを行い、スマートフォンやタブレットから閲覧する場合でも適切に表示されるようにマルチデバイス対応を行うとともに、ユーザーが目的のコンテンツを探しやすくするため、掲載内容やサイト構造の見直し等を行い、多くのページのURLも変更することとなりました。 URL変更の対応にあたっては、安定的なレスポンスの確保を考慮し、リダイレクト対象とするコンテンツの選定を行いました。しかし、今回の対応は、多くのユーザーがIPAウェブサイトに掲載されたコンテンツへのリンクを自組織のサイトや資料等で活用していることの影響に関して、認識が不十分でした。頂いた多くのご指摘を重く受け止め、ユーザーの皆様のコ
はじめに 配信情報まとめ 独占タイトル一覧 アマプラ独占配信 アマプラ見放題独占配信 ネトフリ独占配信 FOD独占配信 その他 感想 不滅のあなたへ 美少年探偵団 SSSS.DYNAZENON スーパーカブ Vivy -Fluorite Eyeʼs Song- ゴジラS.P<シンギュラポイント> ゾンビランドサガ リベンジ MARS RED NOMAD メガロボクス2 86―エイティシックス― シャドーハウス バクテン!! ましろのおと やくならマグカップも 転生したらスライムだった件 転スラ日記 ひげを剃る。そして女子高生を拾う 聖女の魔力は万能です さよなら私のクラマー BLUE REFLECTION RAY/澪 Fairy蘭丸~あなたの心お助けします~ 擾乱 THE PRINCESS OF SNOW AND BLOOD 究極進化したフルダイブRPGが現実よりもクソゲーだったら イジら
はじめに 入門監視をはじめ一般的な監視に関するプラクティスは出回っているものの、AWSで具体的に何を監視するか?そのとっかかりについてはあまり出回っていないような気がします。 AWSの監視ってみんな何監視してるんすか…っていうぐらい実例あまり見つからないな。門外不出?— mazyu36 (@mazyu36) 2023年2月14日 どこまで監視するかは基本的にシステムの特性によると思います。一方でAWSのサービスごとにシステムによらずよく監視で使う項目というのもあるかと思います。 今回は過去の経験をもとに、最低限この辺りは監視することが多いかなというものをまとめてみます。全体像としては以下になります。 最低限これは監視しないとダメでしょ、とかこれは不要でしょ、などなどあるかと思います。そういうのがあればぜひコメントいただきたいです。 はじめに 「監視」について 前提 1-1. Webサービス
大規模会場を使った新型コロナワクチンの接種予約システムの欠陥を巡り、情報公開の在り方で議論が起きている。IPA(情報処理推進機構)は5月18日、取材に対し「一般論ではあるが、脆弱性や手口を不特定多数に公開するのは望ましくない」とコメントした。脆弱性を発見した際は「まず開発者やIPAの窓口に報告してほしい」という。 【修正履歴:2021年5月18日午後9時25分 IPAがITmedia NEWSの取材に回答したものであるため、表現を一部変更しました】 【修正履歴:2021年5月18日午後11時5分 記事初出時、架空予約できることのみが「脆弱性」としていましたが、同手法がセキュリティ上の欠陥を突いているかは議論の余地があります。本件に関しては「SQLインジェクション」などの攻撃が可能という情報もあることから、タイトルと本文の表現を修正しました。】 【訂正履歴:2021年5月21日午後1時 IP
株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分(改善命令)があいついで公開されました。 第三者委員会調査報告書(公表版) クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省) 本稿では、主に第三者委員会の調査報告書(以下「報告書」と表記)をベースとして、この事件の攻撃の様子を説明します。 システムの概要報告書にはシステム構成図やネットワーク構成図は記載されていないため、報告書の内容から推測によりシステムの構成を以下のように仮定しました。 図中のサーバー名は報告書の記載に従っています。以下、概要を説明します。 サーバ名概要 A社アプリ一般社団法人A 会員向け申込みフォーム 経産省改善命令では、「同社とコンビニ決済に係る契約を締結してい
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- Section BGN -->\n<div class=\"Section jukentokushu_naka6_list pc\">\n<div class=\"Title\">\n<h2><a href=\"https://www.asahi.com/edu/exam/\">受験ニュース</a></h2>\n<ul class=\"SubLink\" style=\"float:right;font-size:.8rem;\">\n<li class=\"Fst\"><a href=\"https://www.asahi.com/edu/kyotsu-exam/\">大学入学共通テストへ</a
Clubhouseのデータは中国企業Agora社に送られている。スタンフォード大が警告2021.02.16 13:00218,348 Jody Serrano - Gizmodo US [原文] ( satomi ) Clubhouseブームの追い風で中国Agora株が急上昇! 先月から2倍に跳ね上がっています。 そんななかスタンフォード・インターネット・オブザーバトリー(SIO)の最新調査で、Clubhouse(クラブハウス)入室中の各利用者のメタデータを含むパケットがエンド・トゥ・エンド暗号化もない平文でAgora社に送られていることがわかり、Clubhouse社が対応に追われています。 その前にAgora社って何?Agoraは動画・音声・ライブインタラクティブ配信プラットフォームで、シリコンバレーのサンタクララと中国上海にオフィスを構えています。Clubhouseをはじめ世界中の企業
2022年2月28日、メタップスペイメントは決済情報などが格納されたデータベースへ不正アクセスが行われクレジットカードを含む情報流出が判明したと公表しました。ここでは関連する情報をまとめます。 複合的な攻撃を半年間受ける 不正利用懸念ありと連絡を受けたのはメタップスペイメントのイベントペイで2021年12月17日にクレジットカード決済を停止。さらに会費ペイを含む3サイトは2022年1月5日までにクレジットカードの新規決済を停止。その後2022年1月24日にバックドアの存在が確認されたことから、トークン方式のクレジット決済サービスを全て停止した。 攻撃を受けていたのは2021年8月2日から2022年1月25日の約6カ月。2021年12月14日にクレジットカード会社から連絡受領しその後調査するも自社での原因特定ができず外部機関でフォレンジック調査を実施。 不正アクセスはメタップスペイメントの決
おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか? Cookie vs JWT 認証に JWT を利用するのってどうなの? JWT をセッション管理に使うべきではない! リンク貼るのは省略しますが、年に何度か見かける記事です。 個人的にこの話題の原点は最近 IDaaS(Identity as a Service) として注目を集めている Auth0 が Cookie vs Token とか言う比較記事を書いたことだと思っていますが、今探したところ記事は削除されたのか最近の記事にリダイレクトされてるようなのでもうよくわからん。 なのでそれはおいといて、この話題を扱う記事は クライアントでのセッション管理 : HTTP Cookie vs WebStorage(LocalStorage / Sess
NFTがゴミである理由
NFTは著作権、翻案権をめぐる致命的な脆弱性をいくつも持っている。その大半は何の権利も所有者に与えない詐欺まがいの代物だ。そして複製可能でもある。NFTを扱うということは詐欺師と法律家を儲けさせるということだ。 俳優でテレビ・プロデューサーのセス・グリーンが、自身が所有する膨大なNFTコレクションに関連するキャラクターを用いて新アニメシリーズを企画していたが、5月、フィッシング詐欺に遭って4枚のNFTを奪われ、新アニメの制作がストップした。 グリーンは2021年7月に有名アート「BAYC」のNFTを購入し、この数ヶ月間、そのNFTにまつわる「権利」を基に自らが企画する番組の主役にするための知的財産(IP)を開発・活用してきた。 この「盗難」は、様々なNFTの法的な問題を露見させる絶好のケース・スタディとなっている。著作権や所有権、その珍しいライセンス体系をめぐる議論を呼び起こしたのだ。 ス
IT産業はタダ働きのエンジニアに依存しすぎている
By Pressmaster 「フリーソフトウェア」「無料アプリ」の中には便利なものがたくさんあります。しかし、有料のソフトウェアの中にも「無料のコード」が多数内在しています。さまざまなプロトコルを用いてデータを転送するライブラリ「libcurl」とファイルを送受信用コマンドラインツール「cURL」を開発し無料で提供しているダニエル・ステンバーグさんが「オープンソースプロジェクトを公開すること」にまつわる自身のエピソードを語っています。 The Internet Relies on People Working for Free - OneZero https://onezero.medium.com/the-internet-relies-on-people-working-for-free-a79104a68bcc iPhoneのような多数のコードによって動いている製品の価格には、その
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 米ミシガン大学、米フロリダ大学、電気通信大学による研究チームが発表した論文「You Can’t See Me: Physical Removal Attacks on LiDAR-based Autonomous Vehicles Driving Frameworks」は、自動運転車の周囲を検知するセンサーにレーザー光を物理的に照射して、選択的に障害物を見えなくする攻撃を提案した研究報告だ。偽の情報を注入するスプーフィング攻撃で自動運転車の物体検出モデルに影響を与え安全を脅かす。 自動運転車の知覚システムは、LiDARやカメラ、レーダーなどのセンサーを活用して、障害物回避やナビゲーション制
GPTシリーズやお絵描きAIなど、ファウンデーションモデルの進化により再び大きな注目を集めるAI。自民党では2023年1月に「AIの進化と実装に関するプロジェクトチーム」(座長:平将明衆議院議員)を立ち上げ、日本のAI戦略のあり方や政策提言について検討を進めて参ります。こちらのページには、各回のテーマや公開可能な資料を順次アップロードしています。 2024年2月16日(金)8時〜9時 (*25日英語版追加) テーマ:責任あるAI推進基本法(仮)について 昨年4月のAIホワイトペーパー発表以降、半年以上にわたり生成AIの法的ガバナンスのあり方について国内外のローメーカー、学者、実務家の方などと議論を重ねてきました。こうした検討を踏まえ、「フロンティアAIモデル」と呼ばれる特に強力な生成AIに対する我が国の新たな法的ガバナンスの一つの私案として、「責任あるAI推進基本法(仮)」を本日公表しま
エンジニアに読んで欲しい技術書90選 - Qiita
はじめに タイトル通り、読んで欲しい(圧)技術書をたくさん集めてみました。自身の担当から外れる領域に関しては、会社の人に協力を仰ぎ、編集しました。「何を読めばいいかわからない」、「次の読む本を探したい」などのように考えている方の参考になればと思います。 また、大きく、 ・新米エンジニア ・脱新米エンジニア と分けてまとめたので、参考にしてみてください。 技術書のススメ 技術書の紹介の前に、技術書で得られるものについて説明したいと思います。全然読み飛ばしてもらって大丈夫です。この章から本の紹介を行なっていきます。 技術書は体系的な構成となっているため、技術書を読むことで、 ・論理的な思考力が身に付く ・技術の歴史・背景を知れる ・技術の知識、手法を学べる これらを学ぶことができます。論理的な思考力、知識はわかるけど、技術の歴史・背景を知ってどうするんだと思う方もいるかもしれません。しかし、歴
こんにちは、らくからちゃです。 気づけば8月にはじまったQUICPayの20%還元キャンペーンも、残すところ約2週間となりました。 このキャンペーンは、JCB発行のカードをApple PayかGoogle Payを使いQUICPayとして紐付けて利用すれば、後日20%分が還元されるというものです。最大還元額は10,000円で、還元率20%なのでカード一枚あたり50,000円の支払いまでキャンペーン対象になります。 QUICPayってなんやねんって人もいると思うので、超ざっくりいうと「クレジットカードをタッチ決済できるようにする仕組み」くらいに理解しておけば分かりやすいかと思います。 複数枚のカードを登録すれば、それぞれ還元が受けられるとのことでしたので、調子に乗って ソラチカカード(元々持ってた) リクルートカード(元々持ってた) ANA プリペイドカード(面白そうなので作ってみた) 地銀
スキル0から1年間でマルウェア解析を習得した学習方法 - the_art_of_nerdのブログ
みなさん、こんちにはmです。 今回は私が1年の期間でマルウェア解析のスキル0から習得するまでに取り組んだ方法をまとめました。 初めに開始時のスキルや1年間でかけたコスト、スケジュールなどを共有します。 開始時のスキルなど 表層解析、動的解析、静的解析の違いもあまり理解していない プログラミングはPythonを学び始めた程度 低レイヤーの知識なし アセンブリの知識なし Windowsアプリケーション開発の経験なし SOCアナリストとしてブルーチームの知識は多少 脆弱性診断の経験も(深くはないが)多少 エンジニア歴7、8ヶ月目くらい ざっくりですが、このようにマルウェア解析に絡んでくる知識はほぼ0でした。 学習にかけたトータルコスト 書籍:約5万円 オンライン教材:12万円 約17万円近く1年間に使いましたが、お金で直接スキルは買えないので必要経費です。 なお、オンライン教材の12万円について
GitHub に漏れ出た内部コードを探す ~ 上場企業 3900社編 ~ - ぶるーたるごぶりん
全1回、このシリーズは今回で最後です! TL;DR 上場企業 3900 社程に対して、すごく大雑把な「内部コード等の漏洩調査」を GitHub 上で行った 結果としては、重要度の高いものから低いものまで 10社ほどで漏洩が確認された 重要度の高いものとして、社外秘っぽそうなスプレッドシート、社員のハッシュ化パスワード(BCrypt)、 AWS Credential 等 「大雑把な」調査を行ったが、より精度の高い方法等について記事内にて触れていく 脅威インテルとか DLP みたいなエリアとかも、外部企業とかに頼るだけじゃなく「自分たちでも」頑張ってみるのがいいんだと思います GitHub Code Search ... すげえぜ! Google Dorks ならぬ、 GitHub Dorks + GitHub Code Search でまだまだいろいろできるはず。 はじめに チャオ! 今回は
https://archive.is/AQuYS この記事は検証自体がネットストーカー的な話で怖さがあったりますが……。まずこのファミマ自体は該当アカウントの「実家の近所」だとのこと*1。では、ということで「実家」でキーワード検索すると浦安市であると判断できます。で、さらに実家の近所の店についてのツイートがあり*2、それが浦安の堀江6丁目。で、ここまで来たらあとはグーグルストリートビューでしらみつぶしにしていけばいいわけで、そしてその該当店舗が「ファミリーマート 浦安海楽店」となるわけです。 https://goo.gl/maps/TAmUC5aidKdLVrJV8 さて、上記のストリートビューは2022年9月の時点のものです*3。うちゃか氏はおそらくの文意としてLGBT理解増進法などの時によく見られた「消える女子トイレ」的な話があると思われますが、去年時点で消えてるならこの話には関係ない
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
「オープンソース」は壊れている
christine.websiteのブログより。 または: お金を払わない限り、有用なソフトウェアを書かないのか? 最近、重要なJavaエコシステム・パッケージに大きな脆弱性が見つかりました。この脆弱性が完全に兵器化されると、攻撃者はLDAPサーバから取得した任意のコードを実行するよう、Javaサーバを強制することができます。 <マラ> もしこれがニュースで、あなたがJavaショップで働いているなら、残念ですが、あなたには2、3日が待っています。 私は、これが「オープンソース」ソフトウェアの主要なエコシステム問題の全ての完璧な縮図だと考えています。log4j2が、この問題の最悪のシナリオの1つの完璧な例であると思うので、このすべてについていくつか考えを持っています。この問題に関与したすべての人が、現実世界の問題に対する完全に妥当な解決策のためにこれらすべてを行ったことは完全に合理的であり、
この記事は? それぞれが専門にしている領域に関わらず、Webエンジニアリングの基礎知識として知っておきたいと思う事を対話形式でまとめていく。知識はインプットだけではなく、技術面接や現場では、専門用語の正しい理解をもとにした使用が必要なので、専門がなんであれ理解できるようなシンプルな回答を目指したものになっています。解答の正しさはこれまでの実務と各分野の専門書をベースに確認してはいますが、著者は各技術の全領域の専門家ではなく100%の正しさを保証して提供しているものではないので、そこはご認識いただき、出てきたキーワードの理解が怪しい場合各自でも調べ直すくらいの温度感を期待しています。なお、本記事で書いている私の回答が間違っている箇所があったりした場合、気軽にコメント欄などで指摘いただけるとありがたいです。 Webエンジニアリングの基礎 この記事でカバーしている領域は、以下のような領域です。W
こんにちは、ISC 1年 IPFactory 所属の morioka12 です。 この記事は IPFactory Advent Calendar 2020 の10日目の分になります。 IPFactory という技術サークルについては、こちらを参照ください。 本記事の最後に記載されている余談でも IPFactory の詳細を紹介しています。 はてなブログに投稿しました #はてなブログ IPFactory Advent Calendar 2020 の10日目の記事を書きました#JWT #security セキュリティ視点からの JWT 入門 - blog of morioka12https://t.co/g1MYe77hAF — morioka12 (@scgajge12) 2020年12月10日 普段は Web Security や Cloud Security 、バグバウンティなどを興味分
当初、物理SIMのpovoのau IDでログインした端末で、メール内のリンクURLを踏んだような記憶もあるので、何らかのミスが生じたのでしょうか?と疑いました。 しばらく待っていても、このeSIM再発行の画面は変わらず、eSIMのQRコードは出てきません。ダメそうなので、サポートセンターにeSIMを再発行するよう問い合わせ。テキストは自動応答なので、電話をします。 サポートセンターによると、回線は使えるようになっている状態とのこと。また、eSIMダウンロードのエラー画面の文言は、今後そういう行動をするとどうなるかを書いているだけであって、エラーの内容を書いているわけではないとのこと。そんなもの、わかるわけがありません。当然、エラーという文字の直下に書かれているのはエラーの内容・原因であろうと考えるのは、99.9%のユーザーがそうだと思うのではないでしょうか。この画面を設計した人は感覚が非常
WebアプリケーションでJWTをセッションに使う際の保存先は(自分なりに説明できれば)どちらでもよいと思います - 日々量産
以下のツイートを読んで気持ちが昂ったので。 みんな、もうSNSでいがみ合うのはやめよう。 平和に好きなJWTの話でもしようよ。 JWTの格納場所はlocalStorageとCookieのどっちが好き?— 徳丸 浩 (@ockeghem) 2022年2月11日 というのも、JWTをセッションに使うときに保存先含めて一時期悩んでいたので、その時の自分の解。 ただ、考えるたびに変化しているので、変わるのかもしれない。 要約 タイトル。 あとは優秀な方々が既に色々考えておられるのでそちらを読むとよいでしょう。 SPAセキュリティ入門~PHP Conference Japan 2021 JWT カテゴリーの記事一覧 - r-weblife どうしてリスクアセスメントせずに JWT をセッションに使っちゃうわけ? - co3k.org JWT形式を採用したChatWorkのアクセストークンについて -
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
Webサイト制作の要件定義書の確認項目|重松佑 / Shhh inc.
「セックスワーク差別は無知からやってくる」というけれど…
エレコム製ルーターに脆弱性。修正はなく使用中止を勧告
私のJavaScriptの情報収集法 2024年版
メンバーに恨まれそうな3つのコードレビュー施策を徹底したら、逆にメンバーが爆速で成長した話 - Qiita
IPAウェブサイトリニューアルに係るお詫びと対応について | 新着情報 | IPA 独立行政法人 情報処理推進機構
2021年春アニメほぼ全部観たので、ちょっとした読み物にしたよ - Sweet Lemon
AWS監視アラート 事始め - mazyu36の日記
脆弱性を突く手口、IPA「見つけたらまず開発者やIPA窓口に報告して」【訂正あり】
メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く
浪人はもう当たり前じゃない? 駿台「役割終えた」首都圏の校舎削減:朝日新聞デジタル
Clubhouseのデータは中国企業Agora社に送られている。スタンフォード大が警告
メタップスペイメントの情報流出についてまとめてみた - piyolog
Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife
自動運転車の視界から“人だけ”を消す攻撃 偽情報をLiDARに注入 電通大などが発表
自民党AIの進化と実装に関するプロジェクトチーム|衆議院議員 塩崎彰久(あきひさ)
QUICPayの20%還元を使い切ろうとしたらキャッシュレスの闇が見えた件 - ゆとりずむ
XP以降、20年存在していたWindowsの脆弱性をGoogleが発見
ファミマの看板下にある「消えた女性のピクトグラム」は紫外線で消えただけだと思うよ - 電脳塵芥
「ナチスは良いこともした」という逆張り その根底にある二つの欲求:朝日新聞デジタル
【Web】知っておきたいWebエンジニアリング各分野の基礎知見80
セキュリティ視点からの JWT 入門 - blog of morioka12
未来な「eSIM」の夢をブチ壊す。povoの衝撃ロートル仕様「電話手続き必須、夜8時まで」、驚愕のサービス実態とは - すまほん!!