ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。 GitHub - meh301/HG8045Q: Pwning the Nuro issued Huawei HG8045Q https://github.com/meh301/HG8045Q/ 目次 ◆1:「HG8045Q」の脆弱性の指摘 ◆2:脆弱性を確認してみた ◆3:新たな脆弱性を発見 ◆4:脆弱性の報告とNURO光の対応 ◆1:「HG8045Q」の脆弱性の指摘 研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワーク
実際の暗号システムがセキュアに動作し続けるためには、暗号アルゴリズム自体がセキュアであるだけでは不十分で、データが保護される期間中、その暗号アルゴリズムが使用する暗号鍵もセキュアに管理されている必要があります。そのため、暗号鍵やデータのライフサイクルを踏まえた運用、安全な暗号鍵の保管、暗号鍵危殆化時の対策などを行う上で参考となるガイドラインを取りまとめています。 「暗号鍵管理システム設計指針(基本編)」の内容 「暗号鍵管理システム設計指針(基本編)」は、あらゆる分野・あらゆる領域の全ての暗号鍵管理システムを対象に、暗号鍵管理を安全に行うための構築・運用・役割・責任等に関する対応方針として考慮すべき事項を網羅的に提供し、設計時に考慮すべきトピックス及び設計書等に明示的に記載する要求事項を取りまとめたガイドラインとして作成されたものです。 具体的には、暗号鍵管理の必要性を認識してもらうために「
こちらのスライドは以下のサイトにて閲覧いただけます。 https://www.docswell.com/s/ockeghem/ZM6VNK-phpconf2021-spa-security シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、著名なフレームワークな状況とエンジニアの技術理解の現状を踏まえ、SPAセキュリティの現実的な方法について説明します。 動画はこちら https://www.youtube.com/watch?v=pc57hw6haXkRead less
ジェフリー・ポールのブログより。 ここにあります。それが起こりました。あなたは気付きましたか? リチャード・ストールマンが1997年に予言した世界のことを話しています。コリイ・ドクトロウも警告しました。 macOSの最新バージョンでは、アクティビティのログが送信されたり、保存されたりしない限り、コンピュータの電源を入れ、テキスト・エディタや電子書籍リーダを起動して、文書を書いたり読んだりすることはできません。 macOSの現在のバージョンでは、OSはそれを実行する時に、あなたが実行したすべてのプログラムのハッシュ(一意の識別子)をAppleに送信することが分かりました。多くの人はこれに気づいていませんでした。なぜなら、それは静かで目に見えず、オフラインのときに即座に、そしてうまく失敗するからが、今日はサーバが本当に遅くなり、フェイルファストのコードパスにヒットせず、インターネットに接続して
Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog
※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。 通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なることが知られており、攻撃者が異なる値の種類でパラメータを渡すと、最終的に予期せぬ動作を引き起こす可能性があります。予期せぬ動作とは、バグのような動作やSQLインジェクションなどです。 ほぼすべてのオンラ
GitHub、脆弱性のあるコードを実際にデバッグして学べる「Secure Code Game」シーズン2がスタート
GitHub、脆弱性のあるコードを実際にデバッグして学べる「Secure Code Game」シーズン2がスタート 「Secure Code Game」は、ゲームと名付けられていますが、実際のコードを月間60時間無料で提供されるGitHub Codespacesの機能を駆使して修正し、ユニットテストを通して完成させる手順となっており、実践に近い内容となっています。 昨年(2023年)3月に開始されたシーズン1は、PythonとC言語でのセキュアなコーディングを学べる内容でした。今回のシーズン2ではこれらに加えてJavaScript、Go、そしてGitHub ActionsのYamlファイルなどが含まれており、これらのコードのバグを修正することになります。 Secure Code Gameの始め方 「Secure Code Game」の始め方は次の通りです。 まず「Secure Code G
« Microsoft Word を Markdown に変換するコマンド「docx2md」を作った。 | Main | VimConf 2019 を終えて » Linux の sudo に root 権限を奪取できるバグが見つかった。 Linuxの「sudo」コマンドにroot権限奪取の脆弱性。ユーザーID処理のバグで制限無効化 - Engadget 日本版 この脆弱性は、sudoコマンドのユーザーIDに-1もしくは4294967295を指定すると、誤って0(ゼロ)と認識して処理してしまうというもの。0(ゼロ)はrootのユーザーIDであるため、攻撃者は完全なrootとしてコマンドを実行できることになります。 https://japanese.engadget.com/2019/10/14/linux-sudo-root-id/ 既に Ubuntu 等にはパッチが配布され始めているらしい
SPF レコードで許可されている IPアドレスの実態がクラウドやプロキシ等の共用サービスのものであるケースは多く、それらの IPアドレスが第三者によって利用できる可能性があることを悪用し、SPF 認証を pass、結果的に DMARC 認証まで pass して詐称メールを送信できてしまうことを指摘した論文が公開されています。 この論文では、上記のような SPF の脆弱な展開に対する攻撃手法を BreakSPF と呼び、関連するプロトコルや基盤の実装に対する分析と共に、その内容が体系的にまとめられています。 本記事では、その論文を参照しながら、簡単に概要をまとめておきます。 補足事項 (2024/3/5) 本記事につきまして、(当サイトとしては) 多くのアクセスいただいているようで (ちょっとビビってま) す。まことに大変ありがたいことに色々とシェアいただいたりしたようです。 そこで、記事の
脆弱性診断につかえるツール集 - Qiita
概要 自宅サーバのセキュリティチェックをして見た。 脆弱性診断ツール nikto niktoは、Web アプリケーションセキュリティスキャナー。 $ sudo apt install nikto -y $ nikto -h localhost - Nikto v2.1.5 --------------------------------------------------------------------------- + Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2019-08-23 22:26:00 (GMT9) ---------------------------------------------------------------------------
セキュアにGoを書くための「ガードレール」を置こう - 安全なGoプロダクト開発に向けた持続可能なアプローチ - Flatt Security Blog
The Go gopher was designed by Renee French. (http://reneefrench.blogspot.com/) The design is licensed under the Creative Commons 3.0 Attributions license. 種々の linter が様々なプロダクトの品質を高めてきた、というのは疑う余地のない事実です。実装の初歩的な問題をエディタ内や CI/CD パイプライン中で機械的に検出できる環境を作れば、開発者はコーディングやコードレビューの邪魔になる些末な問題を早期に頭から追い出し、本質的な問題に集中できます。 また、そのような環境づくり(e.g. linter のルールセットの定義、組織独自のルールの作成、…)は、まさに開発組織のベースラインを定義する作業として捉えることができます。一度誰かが定義
GitHubの運用を「会社」にしていく話
Ubie DiscoveryでSREなどをしている@itkqです。 UbieではGitホスティングにgithub.comを使っています。プロダクト開発に必要なprivateなコードベースはもちろん、OSSや就業規則といったドキュメントをpublicにホストしたりもしています。また、この記事を書いている時点で、メインのOrganizationのメンバーは121名です。 自分が入社したのは一年前(2021年1月)で、まだ情報システム専任の人がいませんでした。それから今に至るまで、GitHubの運用を「会社」にしていく話を書きます。 一年前のGitHubの運用 当時、UbieのOrganizationに所属していた人数は、業務委託含め80〜90名ぐらいで、Businessプランを利用していました。私はSREとして入社しましたが、情報システム専任の人がおらず、SREをはじめとする何名かのメンバーが
中国出張でPCは“肌身離さず”でなければいけない、なぜ?:世界を読み解くニュース・サロン(1/5 ページ) 2月上旬から、筆者は取材のためにイスラエルとパレスチナ自治区ガザ周辺を訪問した。その取材で知り合った外国人記者が、現場で重そうなバックパックを背負っていたので話しかけると、「海外出張は多いけど、どこに行ってもPCなどデジタルデバイスは怖くてホテルに置いておけないんだ」と言う。 実はサイバーセキュリティやインテリジェンスを取材・研究している筆者も、その「習性」は同じだ。どこへ出張に行ってもPCなどは常に持ち歩いている。 そして最近、そんな習性が正しかったことを改めて確認させられる情報が飛び込んできた。ある日本政府関係者が言う。「まだ公表されていないが、昨年、中国に出張に行った中央省庁の職員3人が情報窃取工作の被害を受けたとして最近話題になっている」 その話を詳しく聞いていくと、手口は非
米ホワイトハウス「将来のソフトウェアはメモリ安全になるべき」と声明発表。ソフトウェアコミュニティに呼びかけ 米ホワイトハウスの国家サイバー局長室(The White House Office of the National Cyber Director:ONCD)は、サイバー空間における攻撃対象領域を積極的に削減する目的で、テクノロジーコミュニティやソフトウェアコミュニティに対してメモリ安全(Memory Safe)なソフトウェアの実現を積極的に呼びかけるプレスリリース「Future Software Should Be Memory Safe」(将来のソフトウェアはメモリ安全になるべき)を発表しました。 プレスリリースの中で、国家サイバー局長Harry Coker氏は「私たちは国家として、サイバースペースにおける攻撃対象領域を減らし、あらゆる種類のセキュリティバグがデジタルエコシステムに
Go Secure Coding Practice の日本語翻訳を公開します - Techtouch Developers Blog
はじめに Go Secure Coding Practice とは コンテンツ一覧 良かったところ 注意すべきところ 最後に はじめに こんにちは。SRE の izzii です。 テックタッチのエンジニア規模もそれなりに拡大し、若手の採用も進んできたため、セキュアコーディングを徹底していきたいという思いがあり、まずは意識改革ということで勉強会を実施しました。セキュアコーディングを目的とした場合には教育だけでなく Static application security testing (SAST) の導入といった方法もあるのですが、まずは自分を含めた開発メンバーにノウハウをインストールすることにしました。セキュアコーディングへの意識が高まれば、いづれ SAST の導入の際に抵抗感も少ないだろうと考えています。いきなり SAST を導入しても、誤検知が煩くて浸透しないリスクもありうると考えてい
はじめに 2022年のセキュリティ・キャンプ全国大会に講師として参加しました。その際に、Goにおける脆弱性への対策はどうなっているのか調べました。この記事では、github.com/google/go-safeweb/safesqlがどのようにSQLインジェクションを防いでるのかについて解説します。 なお、@rungさんの文書を多いに参考にしております。また、セキュリティ・キャンプで用いた資料はこちらから閲覧できます。 SQLインジェクションとは? 独立行政法人情報処理推進機構(IPA)が公開している安全なウェブサイトの作り方を見ると、SQLインジェクションは以下のように説明されています。 データベースと連携したウェブアプリケーションの多くは、利用者からの入力情報を基にSQL文(データベースへの命令文)を組み立てています。ここで、SQL文の組み立て方法に問題がある場合、攻撃によってデータベ
イントロダクション 最近自宅のネットワークが極端に遅かったため、IPv4 PPPoEからIPv6 IPoEに構成変更しました。 IPv4時代は固定グローバルIPを購入して外出先から自宅にVPNを張れるようにしていましたが、IPv6では残念ながらL2TP/IPSecが使えない。 (参考:https://zenn.dev/apple_nktn/articles/80acf34cf0634b) そもそもVPNで拠点接続するという構成自体が最近のトレンドではないよね、ということもありZTNA(Zero Trust Network Access)サービスであるCloudflare Zero Trustを試してみることにしました。 ゼロトラストネットワークとは(個人的な理解) ネットワーク上のあらゆるアクセスを信頼せず全て検査するという概念。 従来のDMZを用いた境界型防御は境界の内側は「暗黙的に信頼
はじめに この記事ではLinuxの新しいsandbox機構であるLandlockのサンプルの使い方を概説します。 詳細で正確な情報は公式のページ https://landlock.io/ やLinux kernelのソースコード中にありますので、必要な場合はそちらを参照してください。 サンドボックスが欲しいわけ 一般的なLinuxディストリビューションとスマートフォンOSの両方を使い、それぞれで様々なアプリを使っている方は大きな違いに気付くと思いますが、前者はユーザーのデータはホームディレクトリと呼ばれる共通のディレクトリに格納され、他のアプリのためのデータを自由に参照できます。それに対し、スマートフォンの場合は各アプリが独自のデータ領域を持ち、他のアプリのデータを参照するには手間のかかるプログラミングとユーザーの同意が必要になります(バイパスできてしまう場合は脆弱性とみなされます)。 L
Downfall
Downfall attacks target a critical weakness found in billions of modern processors used in personal and cloud computers. This vulnerability, identified as CVE-2022-40982, enables a user to access and steal data from other users who share the same computer. For instance, a malicious app obtained from an app store could use the Downfall attack to steal sensitive information like passwords, encryptio
WebAssemblyをあらゆるプラットフォームでセキュアに実行できるようにする「Bytecode Alliance」発足。インテル、Mozilla、Red Hatなど
WebAssemblyをあらゆるプラットフォームでセキュアに実行できるようにする「Bytecode Alliance」発足。インテル、Mozilla、Red Hatなど WebAssemblyは、Webブラウザ上でネイティブコードのように高速に実行できるバイナリフォーマットして策定された標準仕様で、すでにChromeやFirefox、Edge、Safariなどの主要ブラウザでサポートが実現されています。 このWebAssemblyをWebブラウザだけでなく、デスクトップPCやサーバ、IoTデバイスなどあらゆる環境で、セキュアに実行することを目指した団体「Bytecode Alliance」が発足しました。 Bytecode Allianceの創立メンバーは、インテル、Mozilla、Red Hat、Fastlyの4社。 前述したように、WebAssemblyはもともと、Webブラウザで実行
総務省|報道資料|「クラウドサービスの安全・信頼性に係る情報開示指針」における「AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)」の追加
総務省では、クラウドサービスの安全・信頼性を向上させるため、利用者によるクラウドサービスの比較・評価・選択等に資する情報の開示項目を示した7つの情報開示指針からなる「クラウドサービスの安全・信頼性に係る情報開示指針」を公表しています。 今般、AIを用いたクラウドサービスの提供の増加等を踏まえ、クラウドサービス事業者がAIを用いたクラウドサービスを提供しようとする際のリスクへの対応方針として新たに「AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)」を追加しましたので、公表します。 総務省では、IaaS、PaaS及び ASP・SaaS(※1)等のクラウドサービスの普及に伴い、利用者によるクラウドサービスの比較・評価・選択等に資する情報に関するニーズに対応するため、一般社団法人ASP・SaaS・クラウド普及促進協議会(※2)における検討を踏まえて、クラウドサービ
マイクロソフト、Linux用マルウェア対策ツールの強化版「Microsoft Defender for Linux EDR」正式版リリース。Linuxサーバ上の怪しい動作などを検出可能に
マイクロソフト、Linux用マルウェア対策ツールの強化版「Microsoft Defender for Linux EDR」正式版リリース。Linuxサーバ上の怪しい動作などを検出可能に マイクロソフトは、Linuxサーバに対するセキュリティ上の脅威を検出と対応を行うためのツール「Microsoft Defender for Linux EDR」正式版のリリースを発表しました。 As of today, EDR capabilities for Linux servers are now generally available in Microsoft Defender for Endpoint. Check out the blog to learn more! https://t.co/HjPnAyAAYs pic.twitter.com/X8iG1OcEst — Microsoft
ウェブサイトの認証に用いられるパスワード認証は、パスワードの漏えいに対して脆弱(ぜいじゃく)であるため、物理キーなどを用いた2段階認証を導入するウェブサイトが増加しています。Googleの「Titan セキュリティ キー」は、Googleの2段階認証で利用できる物理キーのひとつで、FIDOによる生体認証に対応しているのが特徴。そんなTitan セキュリティ キーについて、セキュリティ調査機関のNinjaLabがサイドチャネル攻撃に成功したと報告しています。 A Side Journey to Titan - NinjaLab https://ninjalab.io/a-side-journey-to-titan/ A Side Journey to Titan (PDFファイル)https://ninjalab.io/wp-content/uploads/2021/01/a_side_jo
はじめまして、デジタルペンテスト部2年目のれーじです。 1年目はIoTペネトレ、2年目の現在はスマホアプリ診断を担当しています。先輩も後輩も化物みたいな人しかいないため、足を引っ張らないように必死です。 先日友人から「フリーwifiとかって危ないって聞くけど実際どうなの?」と聞かれました。「危ないよ!」と即答したのはいいものの具体的にどう危ないかの説明に困ったため、それを機にwifiハッキングについて少し勉強し、実験した内容をブログにしました。 はじめてのブログですので色々ご容赦ください。 これからの内容は絶対に自身の環境以外で試さないでください。「不正アクセス禁止法」に引っかかる可能性があります。 wifiハッキングって何するの? 隣の家のwifiを不正利用 実験環境 事前準備 kaliにwifiインタフェースを認識させる。 実験内容(手順) wifiインタフェースをMonitor mo
SELinux を踏み台サーバに使ってみた話
これは ビットバンク株式会社 Advent Calendar 2020 の 17 日目の記事です。 はじめに 皆さん setenforce 1してますか? AWS エンジニアの koarakko です。 普段は DevOps や 統制周りの業務を担当しています。 今回は踏み台サーバでの SELinux 活用事例を交えながら実際にポリシー調査から実装までの方法を紹介したいと思います。 SELinux を本番利用している環境は少なく、貴重な経験ができたと自負しています。 この記事を読むことで SELinux の本番利用の一助になれば幸いです。 当社の踏み台の活用背景 踏み台サーバは本番アプリサーバにログインする場合に経由サーバとして利用しています。 OS は RHEL 8 で2台構成です。 当社では踏み台サーバを2年程度使っていますが、この間に踏み台サーバの置き換えもしています。 以前は am
おはようございます ritou です。 久々に「解説付きスライド全公開」的なやつをやります。 先月、チーム内でID連携のための標準化仕様に関する勉強会(私が一方的に話す会)を行いました。 が、実際はだいぶグダグダになってしまい、これはその後色々付け足してるうちに別物になってしまった資料です。 内容としては、ID連携のための標準化仕様にどのようなものがあるかを知ってもらうための「入門編」のような立ち位置で作りました。 OpenID Connect(やSAMLのような) ID連携のための標準化仕様を紹介しようと思うと、ついつい個別にシーケンスやリクエスト/レスポンスの説明を始めがちですが、初学者が気になるのはそんな細けぇことではないでしょう。 まずは「この仕様で何ができるようになるのだろう」「この仕様では何を実現したいんだろう」と言うところから理解していくのが良いのではないでしょうか。 そこで
Ubuntuは、標準のブートローダーとしてGRUBを採用しています。ほとんどの利用者は、インストール時に自動設定されるGRUBをそのまま利用し続けていることでしょう。今回は初心者向けに、このGRUBがどう動いているのか、そしてどのように設定可能なのかを紹介します。 図1 Ubuntuインストール時の無骨なGRUB セキュアブート時代のGRUB GNU GRUB(GRand Unified Bootloader)は、言わずとしれたLinuxをはじめとする各種OSを起動するための「ブートローダー」です。一般的なコンピューターは電源が入ると、CPUを含む最低限のデバイスのリセットが解除され、ROM上にある小さなプログラムが実行されることによりRAM上に大きなプログラムがロードされ、さらにいくつかのデバイスのリセットが解除されて最終的に必要なプログラムが実行されるという、「ブートストラップ」な方
Python製のマルウェアが台頭してきているという指摘
インターネットの普及とともにコンピューターやスマートフォンは日常生活に欠かせないものとなりましたが、そうしたデバイスに保存された機密データを標的としたマルウェアの脅威も大きなものになっています。そのマルウェアのプログラミングに使用される言語として「Python」が台頭してきていると、アメリカサイバー軍に使役した経験のあるオースティン・ジャクソン氏が語っています。 Python Malware On The Rise | Cyborg Security https://www.cyborgsecurity.com/python-malware-on-the-rise// 過去30年にわたり、マルウェアの開発環境はC言語やC++、Delphiなどのコンパイラ型言語が主でしたが、近年はPythonなどのインタプリタ型言語によるマルウェアが増加しているとのこと。特にPythonはプログラミング初心
October 27, 2021 GitHub Actions now supports OpenID Connect (OIDC) for secure deployments to cloud, which uses short-lived tokens that are automatically rotated for each deployment. This enables: Seamless authentication between Cloud Providers and GitHub without the need for storing any long-lived cloud secrets in GitHub Cloud Admins can rely on the security mechanisms of their cloud provider to e
OWASP/Go-SCPを読んでセキュアプログラミングとGoを学ぶ - My External Storage
この記事はGo Advent Calendar 2019の4日目の記事になる。 3日目は@ikawahaさんの「Goa v3 のテストをシュッとする]」だった。 本記事ではOpen Web Application Security Project(OWASP)が公開しているGo-SCPリポジトリを紹介する。 Webアプリケーションにはクロスサイトスクリプティング(XSS)やクロスサイトリクエストフォージェリ(CSRF)など、様々な脆弱性が潜む可能性がある。 脆弱性対策の書籍としては、体系的に学ぶ 安全なWebアプリケーションの作り方(徳丸本)などが有名だろう。 Go-SCPリポジトリにはWebアプリケーションを実装する際に必要な脆弱性の知識と、Goを使った脆弱性対策の実装方法が含まれている。 https://github.com/OWASP/Go-SCP TL;DR OWASPというWEB
大量の質問をぶつけて最後の最後に問題のある質問をするとAIの倫理観が壊れるという脆弱性を突いた攻撃手法「メニーショット・ジェイルブレイキング」が発見される
「ChatGPT」など広く使われているAIサービスは、通常であればセーフティがかけられていて、「人を殺す方法」「爆弾をつくる方法」といった倫理的に問題のある質問には答えないようになっています。ところが、あまりにも多い質問を一度にぶつけてしまうことによりセーフティが外れ、AIが問題のある回答を行ってしまう可能性があることがわかりました。 Many-shot jailbreaking \ Anthropic https://www.anthropic.com/research/many-shot-jailbreaking 大規模言語モデル(LLM)は、モデルの刷新と共にコンテキストウィンドウ(扱える情報量)も増加しており、記事作成時点では長編小説数冊分(100万トークン以上)を取り扱えるモデルも存在します。 大量の情報を扱えるというのはユーザーにとって利点になりますが、大量の情報を扱うことによ
MicrosoftがiOS・Android・macOSでも使えるセキュリティソフト「Microsoft Defender」を公開
Microsoftは企業ユーザー向けにオンライン上の脅威からユーザーを保護する「Microsoft Defender for Endpoint」を提供しています。このMicrosoft Defender for Endpointの技術を個人ユーザー向けに提供する「Microsoft Defender」が2022年6月16日に発表されました。Microsoft DefenderにはWindows版の他にiOS版やAndroid版、macOS版が存在しており、Microsoftのサブスクリプションサービス「Microsoft 365」の加入者なら即座に利用可能となっています。 個人向け Microsoft Defender | Microsoft Security https://www.microsoft.com/ja-jp/microsoft-365/microsoft-defender-
Microsoft Security Response Center(MSRC)は2019年9月30日(米国時間)、Microsoft社内におけるRust言語の採用事例を発表した。 「Azure IoT Edge」のセキュリティデーモンコンポーネントを実装するプログラミング言語として「Rust」を選択した背景と、実装過程で分かったメリットと課題が分かる。 Azure IoT Edgeは、MicrosoftのAzure IoTチームが手掛けるオープンソースのクロスプラットフォームソフトウェアプロジェクト。プロジェクトの目的は、クラウドからオンプレミスネットワーク内のエッジへとコンピューティング機能の分散を進め、管理する上での問題解決だ。 Azure IoT Edgeのセキュリティデーモンは、Azure IoT Edgeランタイムを起動(ブートストラップ)する。さらに、Azure IoTランタ
パスワードなしでの認証を可能にする「パスキー」技術にはわなが潜んでいる、YubiKeyなどのハードウェア認証デバイスを利用している場合は注意
「パスキー」は各種ウェブサイトにパスワード不要でログインできるようにする仕組みで、AppleやGoogle、Microsoftといった大手テクノロジー企業が利用を推進しています。しかし、使い方を誤るとYubiKeyなどのハードウェア認証デバイスが使い物にならなくなってしまうとして、RustのWebAuthnライブラリを作成しているウィリアム・ブラウンさんが注意を促しています。 Firstyear's blog-a-log https://fy.blackhats.net.au/blog/2023-02-02-how-hype-will-turn-your-security-key-into-junk/ パスキーの認証の仕組みには、クライアント側に鍵を保存しない方法と、クライアント側に鍵を保存する方法の2種類が存在しています。クライアント側に鍵を保存しない場合、あらかじめ認証に利用する鍵を生
苺野しずく @studio15heart 災害時用らしいのですけど 社畜家具にしか思えないのほんとすみません 簡易ベッド『イス de ベッド』 パイプいすに取り付けて簡易ベッドになる段ボール pic.twitter.com/BJBXkuLsk3 2019-08-27 10:41:05 苺野しずく -Shizuku Ichigono- @studio15heart ✨華麗なる女子漫画家 🏍🚗クロスカブ110&ミニクーパー🚗🏍 📚ヤングキングラムダで 『レリック/アンダーグラウンド ~最強の "失せ物探し"パーティ、ダンジョンの罪を暴く』を連載中📚 構成やキャラデザもやってます 💞かわいい子には優しい💞 amazon.jp/hz/wishlist/ls…
本ウェビナーでは、GitHubが提供する、ソフトウェア開発におけるセキュリティ対策について説明します。 本ウェビナーで説明するトピック 現在のセキュリティ開発現場において、どのような脅威が発生しているのか。コードの依存関係を判断し、セキュアなソフトウェア開発を進める方法 セキュリティ対策のベストプラクティス:コードに潜んでいる脆弱性を検知する ソフトウェア開発コミュニティに対するコントリビューション:オープンソース内に発見した脆弱性を報告する方法 セキュリティレポート作成時の注意点、および、今すぐできるセキュリティと信頼を高める対策
Google Colab上で秘匿情報を安全に使うために、Google Cloud Secret Managerを使う
やりたいこと kaggleなどのコンペ参加時にColabで計算して、wandbなどの実験管理ツールを使いたい。 現状wandbなどのAPI keyが生のままColabに貼っているので、そのままgithubにpushできない。 driveにtxtやyamlファイルを置いて管理すると、自分の性格上散らかすと分かっているので、GCPのサービスを使ってバージョンを含めて一括管理したい。 やったこと GCPのSecret Managerを使ってAPI keyを秘匿化して、Colabで呼び出した。 やりかた GCP上の設定 自分のGCPのコンソールを立ち上げて、Secret Manager APIを有効化する。 そのままUI上で作成する。 有効化されているのを確認する。 これで設定は終わり。 Colab上の設定 参考googleの公式レポジトリ
Appleが独自開発したセキュリティチップ「T2」は、MacでNetflixの4K画質ムービを再生するのに必要であることが判明するなど、Mac製品のセキュリティを担う中心的存在です。ハッキングチームのt8012 Development Teamが、改造したUSBデバイスとApple製品向け脱獄ツール「checkra1n」を利用して、T2チップの脱獄に成功したと報告しています。 Plug'nPwn - Connect to Jailbreak https://blog.t8012.dev/plug-n-pwn/ A custom USB-C cable can jailbreak the T2 chip in a MacBook Pro | AppleInsider https://appleinsider.com/articles/20/10/13/a-custom-usb-c-cable
PGP鍵を交換しました。というのも、元々使っていたPGP鍵はYubikey上で生成して使っていたところ、数ヶ月前にYubikeyを紛失するという赤っ恥の行いをやらかしてしまい、とっとと失効させて作り直す必要があったからです。ありがたいことに手元に旧い鍵の失効証明書があったので、失効は終わっています。そのまましばらくPGP自体使っていなかったのでそのままにしていたのですが、最近PGPを使う用事が発生したのでちゃんと作ることにしました。 本当は、旧い鍵の主鍵で新たな鍵の主鍵に署名したり、Key Transition Statementというのを作成して両者の鍵で署名したりして、「正当に鍵が移行しましたよ」ということを表明しなければならないのですが、いかんせん旧い主鍵を使えない形態で旧鍵を運用していたので、これができません。しょうがないので、たとえばhttps://www.3qe.usに公開鍵情
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能
暗号鍵管理ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
SPAセキュリティ入門~PHP Conference Japan 2021
あなたのコンピュータはあなたのものではない
Big Sky :: sudo の特権昇格バグはなぜ起こったのか
SPF (やDMARC) を突破する攻撃手法、BreakSPF | 朝から昼寝
ChromeやEdgeの拡張機能複数にマルウェア実装。すでに300万人がダウンロード
中国出張でPCは“肌身離さず”でなければいけない、なぜ?
Thunderboltに数分でハッキング完了可能な脆弱性。2011年以降のPCが対象
米ホワイトハウス「将来のソフトウェアはメモリ安全になるべき」と声明発表。ソフトウェアコミュニティに呼びかけ
Goにおける型によってSQLインジェクションを防ぐ方法
Cloudflare Zero Trustで自宅PCにアクセスする
Linuxの新しいsandbox機構「Landlock」 - Qiita
Googleの物理キー「Titan セキュリティ キー」がサイドチャネル攻撃により突破される
簡単なwifiハッキング あなたの家は大丈夫? - ラック・セキュリティごった煮ブログ
ID連携の標準化仕様紹介とセキュアな実装のためのアプローチ ~ 2021 - r-weblife
第743回 Ubuntuの標準ブートローダーであるGRUBを改めて見直す | gihyo.jp
GitHub Actions: Secure cloud deployments with OpenID Connect
Rust言語のメリットと課題、「Azure IoT Edge」の事例から分かること
災害時用と思われる簡易ベッドが社畜用にしか見えないという話に「真の社畜はこうだ」と現場の声が止まらない
"脆弱性をなくす、セキュアなソフトウェア開発"
AppleのMacシリーズがUSBだけでハッキングされる、セキュリティチップ「T2」の脆弱性を利用
PGP鍵を交換しました + 令和最新版のPGP鍵運用メモ - Lambdaカクテル
qiita.com/tkmo0807
kanaeboshi.hatenablog.com
www.tarotaro1995.com
yumika.lo.gob.jp
www.tv-tokyo.co.jp
shiina-saba13.hatenablog.com