GnuTLSの脆弱性でTLS1.3の再接続を理解する(Challenge CVE-2020-13777) - ぼちぼち日記
(TLDR; めちゃくちゃ長くなったので、長文読むのが苦手な方は読まないようお願いします。) 1. はじめに 前回の「求む!TLS1.3の再接続を完全に理解した方(Challenge CVE-2020-13777)」 の記事にて、GnuTLSの脆弱性(CVE-2020-13777)のPoCを募集しました。 短い期間にも関わらず2名の方から応募を頂き、本当にありがとうございます。 また、応募しなかったけど課題に取り組んで頂いた方もいらしゃったようです。この課題を通じて、いろいろな方がTLS1.3仕様(RFC8446)に触れる機会を持っていただいたことを非常に嬉しく思います。 全くの初心者ではやはり課題が難しいとの意見もいただきました。今後はもう少し幅広い人に手をつけやすいよう工夫が必要であると感じていますが、はてさてどうしたらいいか、なかなか難しい。なんにせよ初めての試みでしたが、やってみて
【解説編】CircleCIからOIDCを用いて安全にGoogle Cloudにアクセスする - KAYAC Engineers' Blog
SREチーム(新卒)の市川恭佑です。これはカヤックSRE連載の2月号です。 よく見ると投稿日が3月になっていますが、どちらかと言うと2月が28日までしかない方に問題があるので、大丈夫です。(何が?) ということで、2023年も滑り出し好調のカヤックSRE連載ですが、前回の記事ではCircleCIからGoogle CloudにOIDCでアクセスする方法について、 ちゃんと動く(はずの)ソースコードをサクッと紹介いたしました。 techblog.kayac.com さて、Google CloudとCircleCIをお使いの皆様、もうOIDC対応は完了しましたか? 安心してください。私のプロジェクトでも一部未完遂です。(おい) ということで今回は、前回紹介したソースコードを深掘りして解説します。 私と同じように、途中でなんか面倒になって一旦塩漬けにしたら正直忘れかけてる長い道のりの途中にいる皆様
高木浩光@自宅の日記 - PKIよくある勘違い(3)「プライベート認証局が妥当ならオレオレ認証局も妥当だ」
■ PKIよくある勘違い(2)「安全に配布すればルート証明書を入れさせてよい」 オープンソースプロジェクトなので……? 1月20日の日記「日本のPKIを殺した真犯人は誰か」に対して、「SQS Development:暫定的な方法:SourceForge.jp上のHTTPSで保護されたページを通じて,証明書のMD5SUM値を確認する」というトラックバックを頂いた。訪れてみると、オープンソースプロジェクトとして開発されている、「SQS SourceEditor」と「SQS MarkReader」というJavaアプリケーションが、Java Web Startの仕組みで配布されていた*1。 配布されている「SQS SourceEditor」を起動しようとすると、図1の警告画面が現れる。 「このコードをインストールおよび実行しないことを強くお勧めします」と警告されているのは、「この証明書の信頼性を検
DKIM(ディーキム)は、そのメールが正規のメールサーバから送信されたか否かを識別するための技術です。仕組みとしては、送信側でメールに電子署名を行い、受信側でそのメールの電子署名を検証することによってメールサーバの正当性をチェックします。そこで今回は、OpenDKIM を利用して、Postfix を DKIM に対応するための設定方法をまとめてみました。 DKIM 設定の概要 送信側のメールサーバで電子署名(以下「署名」と表記します)に必要な秘密鍵と公開鍵を作成し、この秘密鍵を使ってメールサーバで署名を行うように設定します。一方、ペアの公開鍵はメールドメインを管理しているDNSサーバのTXTレコードに登録しておきます。そして、受信側のメールサーバはこの公開鍵を使って署名の検証を行います。 このように設定しておけば、下図の迷惑メール送信者のメールサーバから、送信元のメールアドレスを偽ったメー
『架空請求』Amazon 楽天 AppleStore LINE paypayなどを名乗る迷惑メールに登録するとどうなるのか実験しました(まとめ)
迷惑メールの設定をしていますが相変わらず毎日のように架空請求業者から詐欺メールがたくさん届きウンザリしています。 今回は『Amazon』『楽天』『LINE』『Apple』を名乗る架空請求業者から 詐欺メールが来たので、実際にメールが来た時の対処方法と登録するとどうなるのか実験してみました。 この実験は十分なウイルス対策をしてWindowsやLinux上でVMwareと言う仮想ドライブで別のOSを動かしてステアカウントを使い実験をしています。 Amazon(アマゾン)を名乗る架空請求業者から届いた迷惑メールの内容Amazon.co.jp にご登録のアカウント(名前、パスワード、その他個人情報)の確認Аmazon お客様 残念ながら、あなたのアカウントАmazon を更新できませんでした。これは、カードが期限切れになったか。請求先住所が変更されたなど、さまざまな理由で発生する可能性があります。
議事録は、書く側にも読む側にも「なんか面倒くさいな」と思われがちです。しかし、議事録をないがしろにするのは、情報流通を疎かにすることと同じ。 議事録の質を高めることは、仕事の評価を高めるだけでなく、ビジネスを加速させる力となります。 このnoteでは、「残念な議事録を少なくする」をテーマに、「文章を書くのが苦手」「情報の論理構造の整理が苦手」という方にも、実践可能な方法を書いていこうと思います。 新人の仕事といえば…議事録今回、アドビさんの「みんなの資料作成」という企画に参加し、「新社会人向けに社内資料のノウハウ」をお伝えすることになりました。 Adobe Acrobat「みんなの資料作成」 新人が任せられる資料の代表例といえば…議事録ではないでしょうか。 多くの会議に必須な議事録ですが、面倒な仕事でもあります。現場では、新人メンバーが議事録をまかせられる傾向があります。 ただ、新社会人の
「Skype」や「MSNメッセンジャー」の音声通話機能などのボイスチャットは、電話料金を気にせず手軽に通話できるとあってとても便利だ。しかし、これらのソフトは大人数でのマルチチャットに適しておらず、またCPU負荷も高いため重い処理の実行中には使いにくかった。今回紹介する「Mumble」は、マルチチャット対応の軽量なボイスチャットアプリケーションだ。 Mumbleは元々はネットゲームのユーザー向けに開発されたボイスチャットツールである。とはいえ決してゲーム専用ではなく、その高い性能は一般のユーザーにとっても極めて有用だ。重量級のゲームをプレイしながらでも問題なく利用できる軽快な動作や、10人を遙かに超えるユーザーでも遅延なく会話できる安定性は、オンラインでのちょっとした打ち合わせなどに役立つだろう(図1)。 P2Pで動作するSkypeとは異なり、Mumbleはすべての通信がサーバを介して行わ
■概要 #OpRussia からの派生したオペレーション(以下、OP)として #OpRedScare というものが立ち上げられています。「Red Scare」とは、日本語にすると「赤狩り」となりWikipediaには以下のように説明されています。 赤狩り(あかがり、英: Red Scare)は、政府が国内の共産党員およびそのシンパ(sympathizer:同調者、支持者)を、公職を代表とする職などから追放すること。第二次世界大戦後の冷戦を背景に、主にアメリカとその友好国である西側諸国で行われた。 OpRussiaは、当初ロシアをターゲットとしていたOPでしたが、OpRedScare は、ロシアに加え、ベラルーシも含まれていることから別名とされているようです。状況の変化によって派生したものと考えらるため、実質的には、OpRussiaとして扱って問題ないかと思います。このOPにおいて共有されて
2019年1月30日、株式会社Re:Buildが主催するイベント「【Nuxt.js/Vue.js】スタートアップ企業導入事例」が開催されました。近年注目を集めるNuxt.jsやVue.jsを実際の開発現場でどのように活用しているのか、スタートアップ4社が集い、自社の取り組みを語ります。プレゼンテーション「SPA開発未経験者によるNuxt.jsを使った自社サービス開発」に登壇したのは、株式会社リビルドの嘉数侑起氏。講演資料はこちら SPA開発未経験者によるNuxt.jsを使った自社サービス開発 嘉数侑起氏(以下、嘉数):みなさん、こんばんは。「SPA開発未経験者によるNuxt.jsを使った自社サービス開発」というタイトルで、プレゼンさせていただきます。株式会社Re:Buildの嘉数と申します。よろしくお願いします。 こちらがアジェンダです。 今回、Nuxt.jsをこれから導入しようと検討し
こんにちは、JavaScript担当の(株)アークウェブの竹村です。 2008年2月25日にAdobe AIR 1.0 (英語版)がリリースされましたね。 Adobe AIR AIRはHTMLやJavaScriptなどWebの技術をそのまま利用してクライアントサイドのデスクトップアプリケーションの開発ができるので、今までのWebデベロッパーには親しみやすいと思います。 今回は、このAIRでHTMLとJavaScriptを使ったWebアプリをAIRに変換してユーザに配布するまでについて、書いていきます。 レジュメは↓このようになっています。 AIRアプリケーションを制作できる環境構築 ユーザに配布するまでの流れ アプリケーション記述ファイルの作成 AIRコンテンツの制作 AIRコンテンツの確認 電子署名の作成 インストールパッケージの作成 Webにアップする (インストールバッジの作成) お
by NullSession セキュリティ対策ソフトMcAfeeの創業者であるジョン・マカフィー氏は、暗殺されかけたり、殺人容疑で逃亡したりと、何かと話題を集める型破りな人物として知られています。そんなマカフィー氏がTwitterで、ビットコインプロトコルとそのリファレンス実装を作ったことで知られる「サトシ・ナカモト」の正体を明らかにすると豪語しています。 McAfee Vows to Unmask Crypto’s Satoshi Nakamoto, Then Backs Off - Bloomberg https://www.bloomberg.com/news/articles/2019-04-23/john-mcafee-vows-to-unmask-crypto-s-satoshi-nakamoto-within-days サトシ・ナカモトは2008年にビットコインに関する論文を
よく訓練されたアップル信者、都元です。ここまで「AWSでジョブWorkerを構成するベストプラクティス」と題して2本の記事を書いてまいりました。SQSの巻では、バックグラウンドジョブの実行にはSQSを使ってスケーラビリティを確保しようという、下図中の中段の話をしました。続いてBeanstalk worker tierの巻では、Workerの実装方法として、図中の下段の話をしました。今回は、上段の話です。 ジョブスケジューリング ここまでの話では「ジョブは、ユーザからのWebサーバへのリクエストに伴って発生する」という暗黙の前提で進めてきました。具体的には動画のエンコーディングや、少々時間の掛かる集計処理等をイメージして頂いたと思います。 しかし、ジョブというのは「ユーザのリクエスト」に起因して発生するばかりではありません。ユーザからのリクエストに関わらず「定期的な繰り返し」という、スケジュ
情報セキュリティ部「部内勉強会」の取り組み
はじめに MICINの情報セキュリティ部では、2021年3月から部内勉強会を毎週開催しています。最初は4名から始まりましたが、部門メンバーの増員や組織改編もあり、現在は毎週10名程度が参加し、持ち回りで発表を行っています。勉強会の目的としては、 最新の技術情報の交換 各自の業務内容のアウトプット・キャッチアップ 各自が興味のある情報の共有 としており、本の輪読や技術解説、ハンズオンなど形式は様々で、ジャンルも情報セキュリティ部が担当するセキュリティやSRE・インフラ分野だけでなく、生成AIやワークスタイルなど、情報セキュリティ部のメンバーとして有益な情報であれば、何でもOKとしています。 この記事では、2023年に部内勉強会で発表された内容をジャンル別にご紹介します。情報セキュリティ部の1年間の取り組みについて、簡単に知っていただければ幸いです。 部内勉強会の様子(オンラインとのハイブリッ
MRIC Medical Research Information Center の記事を MRIC の許可を頂き掲載させていただいております。 MRICメールマガジン配信希望の方は touroku@mricj.com あてにメールで依頼してください。 また、記事をひとつひとつ見たい方は右の「アーカイブ」をクリックしてみてください。 ■「高度医療」制度は事実上、実行不可能 骨髄移植を待っている患者さんがこの3月頃から移植を受けられなくなる可能性があることが、先般、明らかとなった。必要なキットの不足が確定的という。国内未承認のキットを輸入して使用する道もあるにはあるが、600~900万円程度の医療費が患者負担となり、事実上、骨髄移植は手の届かないものとなる。そこで全国骨髄バンク推進連絡協議会(会長:大谷貴子氏)が、厚労省に迅速な対応を求めるための署名活動を行っている。 ※電子署名は
クラウドサインとは?をCTOに聞く -- 自己紹介をお願いします。 市橋: 市橋 立です。弁護士ドットコムのCTOを務めています。 クラウドサインというサービスの開発を中心としながら、エンジニアとデザイナーを横断的にマネジメントしています。 -- クラウドサインについて教えて下さい。 市橋: 「紙と印鑑」を「クラウド」に置き換え、契約作業をオンラインだけで完結できるWeb完結型のクラウド電子契約サービスです。インターネット上で安全に、法的に有効な契約を素早く行えます。 従来の、紙と印鑑で行われている契約は、実はかなりコストのかかる作業です。 企業同士だと、契約書のやり取りだけで1-2週間を要することもざらにありました。その手間や時間を大幅に軽減できるのがクラウドサインです。PDFのアップロードから始まって、早ければ10分もかからず契約完了です。 -- コロナ禍で利用も大幅に増えたのではない
【さくらのレンタルサーバ / マネージドサーバ】DKIMおよびDMARC対応完了のお知らせ | さくらインターネット
お客さま各位 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 「さくらのレンタルサーバ」および「さくらのマネージドサーバ」において、DKIM※1およびDMARC※2の対応を2024年1月31日(水)に完了いたしました。 詳細は下記をご参照ください。 さくらインターネットでは、今後もよりよいサービスの提供が行えますよう、精一杯努めてまいります。引き続き変わらぬご愛顧を賜りますようお願い申し上げます。 ※1 DomainKeys Identified Mail / 送信する電子メールに電子署名し、受信者がDNSを経由して署名を検証することで、間違いなく送信されたドメインから送られてきていることを確認し、送信ドメインのなりすましをしていないことが証明できる機能。 ※2 Domain-based Message Authentication, Reporting &
第4回 ハッシュ関数
セキュリティには「ハッシュ関数」による処理が欠かせません。もともと処理能力を向上させたり,アクセスに便利なデータ構造を実現するための技術でしたが,認証や電子署名でも使われています。 ハッシュ関数とは,何らかの数値が入力されて,何らかの数値が出力される仕掛けの一つです。同じ数値を入力する限り,必ず同じ数値が出力されます。偶然性はなく,その時々で出力値が異なることはありません。このような関数がセキュリティで何の役に立つのかを解説する前にまず,ハッシュ関数とはどのようなものなのかをお話ししましょう。 コンピュータ・プログラムでは,図1のような配列変数というものを使います。この配列変数にはインデックス番号が付いていて,その番号でデータの値を検索します。皆さんが学校時代に慣れ親しんだ出席番号もインデックスです。マンションの部屋番号も一種のインデックスです。このような配列変数は,ほとんどのプログラミン
qmail RFC violations
qmail の RFC 違反 違反してるからといって、それを糾弾するつもりも、使うなというつもりもないし、qmail 以外の MTA がまったく違反をしていないというつもりもない。ただ、他の MTA と比べてわりと目につきやすいところでやってるので、とりあえず気がついたところをメモしてみたもの。さらに、Qmail bugs and wishlist. というページの情報も加えてある。読めばわかるが、qmail-pop3d がかなり悲惨。 あんまり詳しく調査しているわけではないので鵜呑みにはしないように。間違いや追加情報があれば教えてください。 qmail-send: ダブルバウンス/VERP qmail-remote: 8BITMIME/バックアップ MX qmail-pop3d: サイズ/よけいな空行/LAST/STAT qmail-send: ダブルバウンスの envelope sen
先日、有料写真素材の不正利用で著作権侵害が認められたと話題になっていましたね!('A')ノ こんにちは!ぱくたそフリー素材の管理人すしぱくです。不正利用はほんとやめてください。 【@Pressさんに掲載されたその記事はこちら↓】 クリエイティブ業務に関わる皆さまへ有料写真、インターネット上の無断使用で著作権侵害が認められ勝訴 ブコメ、ツイート、FB、と様々なコメントが付いております! 原告のアマナイメージ社さんの見解、そして判決の全文を読んで思ったことは、クリエイターが更に意識する事、知らなかったでは許されなく素材サイトは簡単に賠償請求できるようになった点です。 その上で、フリー素材サイトを運営する者として、そしてWeb制作者として、この訴訟がどのような内容だったのか分かりやすくまとめてみました。ぜひ、Web制作系の会社さんはご一読していただけると嬉しい限りです。 ※ ちなみに、今回の記事
米Googleは10月19日(現地時間)、9月に「Google Apps for Work」から「G Suite」に名称変更した同社のプロダクティビティスイートに5つの新機能を追加したと発表した。 自然言語処理(NLP)による「アクション アイテム」サジェスト(英語のみ) 「アクション アイテム」は、共同編集中の「ドキュメント」「スプレッドシート」「スライド」でコメントを使ってプロジェクト参加メンバーにタスクを割り当てる(=アサインする)機能。コメント内に@をつけた相手のメールアドレスを入れて指示を出せば、アクション アイテムを割り当てた相手にメールが届く。 英語版の新機能として、文書内に「ToDo: ライアンがプレゼンを完成させる」などと入力すると、自然言語処理(NLP)技術によってアプリがこれをアクション アイテムだと判断し、アクション アイテムとして相手(この場合はライアン)に指示を
sshを便利にする公開鍵暗号
前回までに、VPSにリモートログインする準備ができました。しかし、固定IPアドレスのコンピュータからでしか接続できないという問題が残っています。今回はこの問題の解決に役立つ公開鍵認証について解説します(編集部) sshの接続元を限定できないなら公開鍵認証 前回までで、初期状態のサーバを安全にしておくため、最低限やっておくべき設定が終わりました。他人や攻撃者からのsshログインを制限する方法として、接続元のIPアドレスを限定するという手法を紹介しましたが、IPアドレスが固定でないと使えません。一般向けのインターネット接続環境では、IPアドレスが固定されていないことも多く、sshのアクセス元を限定できないという人も多いでしょう。 そこで今回は、公開鍵認証について解説します。公開鍵認証であれば原理上本人しかログインできないため、接続元をIPアドレスで限定できない状況でも安全にsshを利用できます
国民の暗号化された通信内容を政府が傍受可能にする条文がEUの新たな標準規則「eIDAS 2.0」に盛り込まれようとしている
EU全域への電子署名法拡大を目的として導入されたElectronic Identification and Trust Services Regulation(eIDAS規則)の改正案である「eIDAS 2.0」のほぼ最終版が、2023年10月に交渉担当者間で合意されました。2023年中には議会に提出されるこの最終版に含まれる条文が、「EU加盟国の政府による中間者攻撃を可能にし、暗号化されたトラフィックが傍受される危険性がある」として、電子フロンティア財団やMozillaなどが公式に非難しています。 Article 45 Will Roll Back Web Security by 12 Years | Electronic Frontier Foundation https://www.eff.org/deeplinks/2023/11/article-45-will-roll-back
「メールの送信元を詐称できるのは僕も知ってます」「本当なら電子署名とかで本人確認ができればいいんだけど」「あっ、PGPとかS/MIMEとかってヤツですよね?」 大手総合商社・メデア商事の新人・小林ケンタは、同じ営業3課の先輩・高柳ワタルと昼飯を食べていた。 小林 最近、ネットで読んだ記事なんですけど、官公庁を騙ったメールがある企業に送られてきて、なんちゃら白書みたいなデータが添付されていたようだから、つい開けてしまったら、実はそれがスパイウェアだったらしいんです。 高柳 あぁ、その記事は俺も読んだ。 小林 メールの送信元を詐称できるのは僕も知ってますけど、そんなメールを受け取ったら、僕も不用意に開いちゃうかも、ってちょっと不安になりました。 高柳 そうだよな。本当なら電子署名とかで本人確認ができればいいんだけど……。 小林 電子署名? あっ、PGP(ピージーピー)とかS/MIME(エスマイ
B2B SaaSビジネスに携わる人が読むべき3つのブログ SaaS小ネタシリーズ第2段。今回はビジネス寄りで役立つ話を紹介します。 SaaSブログその1: SaaStrまず紹介するのはシリコンバレーのSaaSの会社のファウンダーのバイブルと化してきたブログ、SaaStrです。企業向けの電子署名SaaS「EchoSign」のFounder、Jason Lemkinのブログです。EchoSignは2004年に創業、2011年にAdobeに買収されましたがその後もビジネス自体は伸びており、2014年のARRは164万ドルとなっています。自分でゼロからSaaSビジネスを起こしたからこそ書けるエントリがいくつも有ります。 SaaStr紹介するだけだと面白く無いので個人的に好きなエントリをいくつか。 From Initial Traction to Initial Scale (~$10M in AR
The MD5 Message-Digest Algorithm
R. Rivest MIT Laboratory for Computer Science and RSA Data Security, Inc. 1992年 4月 English MD5 メッセージダイジェストアルゴリズム (The MD5 Message-Digest Algorithm) このメモの位置付け このメモは、インターネットコミュニティに情報を提供するものである。インターネット標準を規定するものではない。このメモの配布に制限はない。 謝辞 多くの有用なコメントと提案を頂いた Don Coppersmith氏、Burt Kaliski氏、Ralph Merkle氏、David Chaum氏および Noam Nisan氏に感謝する。 目次 1. 要約 2. 用語と記法 3. MD5 アルゴリズム 4. まとめ 5. MD4 と MD 5 の違い 参考文献 補遺 A - 参考実装
Oauth2やOpenID Connectなどすでに導入されているJWT(JSON Web Token)。 今後IoTとかを考えると認証手法としては結構有効な認証方法だということで、改めて眺めてみた。 JSON Web TokenJSON Web Token(JWT) jot(ジョット)と発音する。 JSONを電子署名したurl-safe(URLで使用できない文字が含まれる)なclaimのことを指す。rfc7519 また同じような言葉もあるので一旦整理する。 JWS は署名したもの JWE はEncryptしたもの 一般的にJWTというとJWSのことをいう。 電子署名(公開鍵+秘密鍵方式)をしているため、データの読み出し、書き込みができる。 しかし、その内容の改竄はチェックできる。 JSONの内容を秘匿化するわけではないので、内容は誰でも見ることはできるという点は注意が必要。 jwt.io
2010年6月9日にAdobe AIR 2がリリースされました。約2年半振りのメジャーバージョンアップとなり、多くの新機能追加と機能強化が行われています。本連載(全10回予定)では、 それら機能について詳しく説明するとともに、サンプルアプリを用いながらその使い方を解説していきます。 ・第1回 Adobe AIR 2をはじめよう ・第2回 サーバーソケット/ データグラムソケットなどのネットワーク系機能 ・第3回 Safari 4.0.3 と同等の WebKit を搭載 第1回目は「Adobe AIR 2をはじめよう」と題し、あらためてAdobe AIRと新機能の概要を説明するとともに、「開発環境の構築→アプリ作成の手順→配布」とAIRアプリケーションを作成する際の一連の流れについて解説します。 本記事のサンプル:AIR2master01sample.zip Adobe AIRとは AI
メールは信頼できても信用できない― @IT ―
ほとんどの人が、メールを送信するときには相手が読んでくれると勝手に信じ、受信したときには差出人と内容が正しいと勝手に信じて、メールというシステムを使っている。 メールの動作は誰も保証していない インターネット上で利用されているものの中で、Webと同じく普及しているのがメールである。わざわざ「電子メール」や「Eメール」といわずとも、「メール」で通じるようになってから何年もたっている。 利用者の大半が、メールというシステムの仕組みを知らずに使っている。それは、世にあるほかの便利な道具類と同様に、「知らなくても不都合が生じないから」といったところだろう。確かに、水や電気などのインフラ、車やコンピュータなどの機械、郵便や宅配便などのサービスは、利用者がその仕組みを知らずとも信頼するメーカーや運営会社があり、動作や品質について保証しているので安心して使うことができている。 しかし、メールはどうだろう
今回は電子署名を利用した送信ドメイン認証技術「DomainKeys」について解説する。Sender IDやSPFなどのIPアドレスベースの送信ドメイン認証に比べて、本質的にメール転送に強いという利点があり、長期的には電子署名方式の送信ドメイン認証を利用していくべきであるといわれている。 ただし、Sender IDの導入は送信側ではDNSにSPFレコードを登録するだけで簡単に開始できるのに対して、DomainKeysなどの電子署名方式では送信側でも電子署名を行うメールフィルタを導入する必要があり、やや敷居が高い。 電子署名方式で最も普及しているDomainKeys DomainKeysは、電子署名を利用した送信ドメイン認証技術の中では最も普及している技術である。DomainKeysは、米Yahoo!が提唱する方式であり、Yahoo!メールやGmailなどで利用されている。RFCのドラフトは以
研究開発部 システム&セキュリティ担当の松倉です。 世間の DMARC 対応を加速させたといっても過言ではない Gmail におけるメール送信者のガイドラインが適用開始されてから 3 ヶ月近くが経ち、NFLabs. に届くメールでも DMARC ポリシーが設定されているドメインが多くなっています。 しかしながら、そのほとんどはポリシーが none であり、DMARC レポートを通じて影響範囲を見極めている、という企業がまだ多そうです。 受信側から見ると、ポリシーが quarantine または reject であればセキュリティ観点では安心感がある一方、正規のメールが検疫や破棄となる場合もあり悩まされることがあります。 DMARC 認証の失敗原因となりがちなのはメーリングリスト等のメール転送で、NFLabs. でもこれにより正規のメールが DMARC failとなって検疫される、という事例
Adobe - デベロッパーセンター : AIRチュートリアル Flash 第1回 AIRアプリをはじめてみよう ~環境を設定する~
【チュートリアルコース開発担当】 たいらひでかづ氏 AIRプロジェクトチーム 作成日:2008年4月8日 ユーザレベル:中級 製品:Flash AIR はじめに Flashユーザー待望のアプリケーション実行環境であるAIR(Adobe Integrated Runtime)がリリースされました。FlashによるWebコンテンツの開発と同様の方法で、WindowsやMacintoshで実行するネイティブアプリケーションを作成でき、Flashによるコンテンツ開発を経験されたことがある方ならどなたでも容易に開発することができます。本チュートリアルでは、FlashによるAIRアプリケーションの開発に必要な開発環境やAIRアプリケーション実行環境の準備、簡単なアプリケーションの作成から実行までの一連の流れをご紹介します。 Flashで作るAIRアプリケーションの開発の必要構成 この記事を読み進める
既存のモバイルSIMの上に貼る、シール型のSIMが、一部で見られるようになってきたが、これを活用して認証インフラを構築しようという動きがある。これを取材した。 インターネットを通じた所得税の確定申告では、2019年1月から、マイナンバーカード(電子証明書)を使わずに、ID/パスワードで申告を送信することもできるようになった。「マイナンバーカードとICカードリーダーが普及するまでの暫定措置」とされているものの、セキュリティ的には後退してしまっている。 また、現在のインターネットバンキングでは、ID/パスワードによるセキュリティを補完するため、振り込みなどの重要取引でワンタイムパスワードカード(あるいはアプリ)などが使われているが、金融機関ごとに異なり、利用者にとっての使い勝手もいいとは言えない。 こうした本人認証の問題が日本におけるFinTechの普及を大きく左右すると、日本通信の代表取締役
本稿の筆者を含む8人の著者陣は2016年、ITpro(現日経クロステック)において「ブロックチェーンは本当に世界を変えるのか」というタイトルの連載を始めた。黎明(れいめい)期にあったブロックチェーン技術の基礎を解説するとともに、ブロックチェーン技術が世の中をより良くする形で普及するために解決すべき課題を論じた。 この連載はのちに「ブロックチェーン技術の未解決問題」という形で2018年に書籍化され、発行直後に発生したコインチェック事件につながる解説などで注目を集めた。この書籍はまもなく中国語と韓国語に翻訳され、さらに2021年には独Springer(シュプリンガー)より英語版(タイトル『Blockchain Gaps』)が出版された。 当時の連載で議論の対象としたのは主にBitcoin(ビットコイン)が実現した技術だった。2016年時点でEthereum(イーサリアム)は稼働していたが、今日
Deno Land Inc.は2024年10月9日、同社が開発するJavaScript/TypeScriptランタイム環境Denoの新バージョンDeno 2.0のリリースをアナウンスした。 Announcing Deno 2 4 years after Deno 1.0, the next generation of JavaScript is ready for production at scale. Deno 2 is out today: 🐢 Fully backwards compatible with Node and npm 📦 Package management and node_modules and package.json 📅 Long term supporthttps://t.co/LsV4D4Too8 pic.twitter.com/F6EI3whmX8
高市早苗総務大臣より、当社で提供している「LINEで住民票請求」のサービスについてコメントされたようです。 このコメントを受け、当社としての考え方を率直に書いておこうと思います。 まず、タイミングについて。 当社は自治体など行政組織のミッションは国民・住民に益する活動をおこなうことだと考えています。当社の契約上の顧客は自治体はじめ官公庁ですが、実際の顧客は住民の皆様です。法令というのは法治国家に不可欠でありつつも、あくまでも国民の安全と利益を実現するためのフレームワークだと思います。 当社で提供しているLINEで住民票申請の機能は、実質的にほとんどの住民の皆様が今すぐに利用できる電子的な行政窓口機能であることを重要視しています。もちろん、十分なセキュリテイを確保した上で。逆に、同様の手続きについて現存する電子申請はマイナンバーカードおよびそのICチップを読み取るためのICカードリーダーが前
あなたは「ビットコイン」と聞いて、どのようなイメージを浮かべるだろうか。 取引所大手bitFlyerが2021年1月に20歳〜59歳の男女3,000人を対象に『投資と暗号資産に関する日米アンケート調査』を実施したところ、暗号資産に対するイメージについて、米国では回答者の76%が「ポジティブ」と答えたのに対し、日本では78%が「ネガティブ」と回答する結果が出た。 【引用】株式会社bitFlyerさらに、同調査によると、日本で「ネガティブ」と回答した理由として、過去に起きた暗号資産の流出事件による印象から、詐欺や盗難などの不安があることが分かった。 今や何千種類もの暗号資産が世に存在しているが、そのなかでも、「ビットコイン」は知名度・時価総額ともにナンバーワンの暗号資産だ。ビットコインといえば、2014年のマウントゴックス事件をきっかけに日本国内でも広く知られるようになるが、それと同時に詐欺や
W3Cメンバーからの推薦状 2012年12月17日 - World Wide Webコンソーシアム (W3C)は、本日、HTML5およびCanvas 2Dに関する仕様策定完了を発表いたしました。これらの仕様は、現段階ではW3C標準ではないものの、現在各企業やデベロッパーが実装やプランニングに向けて安定的なターゲットを持つことができる、機能的に完成した・機能策定完了段階にあります。HTML5は、W3Cが推進するOpenWeb Platformの根幹を担っており、ビデオやアニメーション、グラフィクス、スタイル、タイポグラフィ、およびデジタルパブリッシング向けのその他ツール、ネットワーク機能拡張など、デバイス機能へのアクセスを行うクロスプラットフォームアプリケーションに対応するフルプログラミング環境です。 「ステークホルダーは、ウェブテクノロジーの広まりにともない、さらに安定した標準を望むように
2012/06/11 日本スマートフォンセキュリティ協会(JSSEC)は6月11日、セキュリティを考慮したAndroidアプリを設計、開発するためのTipsをまとめた「Androidアプリのセキュア設計・セキュアコーディングガイド」を公開した。7月31日まで、ガイドに対するパブリックコメントを募集する。 Androidアプリのセキュア設計・セキュアコーディングガイドは、JSSECのセキュアコーディンググループがまとめた全232ページの文書だ。ソフトウェアメーカーやアプリケーション開発者を対象に、セキュアコーディングの基礎知識にはじまり、ActivityやSQLiteといったAndroid特有の機能の適切な実装方法や、パーミッションや暗号、電子署名などAndroid OSが備えるセキュリティ機能の使い方を紹介している。 特徴は「開発現場で使う」ことを念頭に置いて、ふんだんにサンプルコードを交
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Postfix DKIM設定(OpenDKIM)【2023年版】
プロの議事録はここが違う。一目置かれる議事録作りの8つのメソッド|長谷川 翔一 / 編集とマーケティング
「クラウド型電子署名サービス協議会」設立。アドビ、freeeなど7社が参加 デジタル庁が主導するトラストサービスに関する法整備に提言・支援
多人数でも遅延なしで軽快に使えるボイスチャット「Mumble」 の使い方 | OSDN Magazine
ロシアとベラルーシに向けられたアノニマスによるオペレーション #OpRedScare メモ
SPA開発未経験者によるNuxt.jsを使った自社サービス開発の裏側
つくるぶガイドブログ: Adobe AIRでAjax!HTMLとJavaScriptでそのままAIRに移行できるサンプル
ビットコインの考案者「サトシ・ナカモト」の正体を暴くとMcAfeeの創業者ジョン・マカフィーが宣言
AWSでジョブWorkerを構成するベストプラクティス 〜 Brianの巻 | DevelopersIO
MRIC: 臨時 vol 13 「国内での臨床研究が事実上不可能に」
Go言語とマイクロサービス、そしてクラウドサインについてCTOに聞いてみた
フリー素材と著作権、判決から見る使いやすい写真素材サイトとは、|フリー素材のぱくたそ
「G Suite」(旧Google Apps for Work)にSlack連係など5つの新機能
第18回「PGP? S/MIME? 電子署名の違いを学ぶ」
B2B SaaSビジネスに携わる人が読むべき3つのブログ | Post Moratorium
JWT(JSON Web Token)を使った認証を試みる
Adobe AIR 2 マスターシリーズ 第1回 Adobe AIR 2をはじめよう | デベロッパーセンター
電子署名を使うDomainKeysの設定方法 ― @IT
メール認証における ARC の仕組みと DMARC fail の対策 - NFLabs. エンジニアブログ
電子署名だけの契約って法律的に大丈夫? 電子契約の法的な位置付けや契約書の補完【はんこレス実現への基礎知識】
「貼るSIM」は日本のFinTech普及を加速できるのか
ブロックチェーン技術の未解決問題と、DAOやWeb3.0で新たに生じる問題とは
Deno 2.0リリース ―大規模プロダクトにも対応可能なJavaScript環境へ | gihyo.jp
総務大臣の「LINEで住民票請求」へのコメントについて|Bot Express
Bitcoin史 〜0.00076ドルから6万ドルへの歩み〜 | ALIS
W3CがHTML5仕様策定完了を発表、相互運用性テストおよびパフォーマンス向上へ
セキュアなAndroidアプリ開発のTipを集めたガイド、JSSECが公開 - @IT