A Yale Professor Suggested Mass Suicide for Old People in Japan. What Did He Mean? (Published 2023)
His pronouncements could hardly sound more drastic. In interviews and public appearances, Yusuke Narita, an assistant professor of economics at Yale, has taken on the question of how to deal with the burdens of Japan’s rapidly aging society. “I feel like the only solution is pretty clear,” he said during one online news program in late 2021. “In the end, isn’t it mass suicide and mass ‘seppuku’ of
政府情報システムにおける 脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 - 初版決定 1 目次 1 はじめに ......................................................... 2 1.1 目的とスコープ .............................................. 2 1.2 適用対象 .................................................... 3 1.3 位置づけ ...
はじめに 有用な知識の特性 Google SRE リソース Site Reliability Engineering: How Google Runs Production Systems The Site Reliability Workbook: Practical Ways to Implement SRE Building Secure and Reliable Systems: Best Practices for Designing, Implementing, and Maintaining Systems SLO Adoption and Usage in SRE Creating a Production Launch Plan Training Site Reliability Engineers: What Your Organization Needs to Cre
オープンソースの開発者が製造責任や賠償責任を負う可能性があるとして、EUのサイバーレジリエンス法案にPython Software FoundationとEclipse Foundationらが異議を表明
欧州連合(EU)の政策執行機関である欧州委員会は、サイバー攻撃による社会的な被害が大きくなってきていることを背景に、現在広く普及しているさまざまなデジタル製品やサービスのセキュリティをより高める目的で、サイバーレジリエンス法案(CRA:Cyber Resilience Act)を検討しています。 この法案が目指すところは、より脆弱性の少ないデジタル製品が市場に投入されるようにすること、市場に投入後も製造者が製品のライフサイクル全体を通じてセキュリティに真剣に取り組むことを保証すること、そしてユーザーもセキュリティを考慮した製品を選択できるようにすること、などです。 欧州委員会では同時に製造者責任法の改定案も検討中です。これは従来の製造者責任法ではカバーされていなかったデジタル関連の製品やサービスに対しても製造者責任を問えるようにするものです。 しかしこれらの法案ではオープンソースの開発者が
こんにちは。サービスグループの武田です。このエントリは、2018年から公開しているAWS全サービスまとめの2022年版です。 こんにちは。サービスグループの武田です。 このエントリは、2018年から毎年公開している AWS全サービスまとめの2022年版 です。昨年までのものは次のリンクからたどってください。 AWSにはたくさんのサービスがありますが、「結局このサービスってなんなの?」という疑問を自分なりに理解するためにまとめました。 今回もマネジメントコンソールを開き、「サービス」の一覧をもとに一覧化しました。そのため、プレビュー版など一覧に載っていないサービスは含まれていません。また2021年にまとめたもののアップデート版ということで、新しくカテゴリに追加されたサービスには[New]、文章を更新したものには[Update]を付けました。ちなみにサービス数は 223個 です。 まとめるにあ
新型コロナウイルス感染症の影響により在宅勤務が広く行われ、Web会議サービスの利用が急速に拡大しています。Web会議サービスの活用は大変有益である一方、盗聴、情報漏えい、サイバー攻撃等のセキュリティリスクに十分注意する必要があります。IPAではWeb会議サービスを使用する場合に注意すべきセキュリティ上のポイントを「Web会議サービスを使用する際のセキュリティ上の注意事項」としてまとめました。資料をダウンロード頂き、ご活用いただければ幸いです。 対象読者:法人組織のWeb会議主催者、および、情報システム管理部門 「会議データの所在」、「暗号化」、「会議参加者の確認・認証方式」等をWeb会議サービス選定時に考慮すべきポイントとしてあげてます。 Web会議サービスを安全に使用する際の注意事項として、会議準備、会議実施のタイミングでの注意すべきポイントをまとめています。 資料は以下からダウンロード
普段からいくつか趣味で作ったツールやライブラリを npm パッケージとして publish しています。ちょっと工夫していることとして、「できるだけ簡単に npm publish できるようにしておく」というものがあります。npm publish が心理的に、手順的に難しいと、すでに main ブランチに新機能や修正が入っているのに、npm publish されていない、という状況が発生しがちです。新機能や修正をすぐにユーザに送り届けられるよう、npm publish は無思考でできるようになっていると嬉しいです。 その一環として、リリースノート (CHANGELOG) の自動生成というのをやっているので、その紹介をしてみます。本当は 6 月にやっていた Maintainer Month 期間 に間に合わせたかったのですが、とろとろしていたら 7 月になってしまった! まあ遅れたから公開し
メタクソ化するTiktok:プラットフォームが生まれ、成長し、支配し、滅びるまで投稿者: heatwave_p2p 投稿日: 2023/3/292023/3/29 Pluralistic プラットフォームはこのように滅びていく。まず、ユーザにとって良き存在になる。次に、ビジネス顧客にとって良き存在になるために、ユーザを虐げる。最後に、ビジネス顧客を虐げて、すべての価値を自分たちに向ける。そうして死んでいく。 私はこれを「メタクソ化(enshittification)」と呼んでいる。プラットフォームが容易に価値の配分方法を変更できることと、プラットフォームが買い手と売り手の間に陣取ってそれぞれを人質にし、両者の間を通過する価値のシェアをますます大きくする「両面市場」の性質によって生じる必然的な帰結である。 産声を上げたばかりのプラットフォームはユーザを必要とする。それゆえ、はじめはユーザにと
![メタクソ化するTiktok:プラットフォームが生まれ、成長し、支配し、滅びるまで | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/9e130749a689a228117cfab5cb1dd5f4870bf062/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2023%2F03%2Ftiktok-enshittification.webp)
設定対象 今回紹介する設定対象は以下2つです。 Repository Settings Repository Templates 1. Repository Settings おすすめの設定内容をシートにまとめました💡 よろしければ、ご活用ください🙇♂️ 各設定の選定理由をこの章で紹介します。 設定チートシート 1.1 General 1.1.1 General Require contributors to sign off on web-based commits 必要に応じて有効 機能について GitHubのWeb上で編集を行う場合、コミット時にサインオフを求める機能です。 詳細はリポジトリの強制コミット サインオフを有効または無効にする をご覧ください。 推奨シーン OSS開発など様々な開発者のコミットが想定されるとき 理由 OSS開発などにおいて、コミッターの方に著作権やラ
Heroku’s Next Chapter
Back in May, I wrote about my enthusiasm to be part of the Heroku story, and I remain just as passionate today about helping write the next chapter. I’ve had many customer meetings over the past few months, and the theme is consistent — you want to know where we are taking Heroku. We want to be clear: The priority going forward is to support customers of all sizes who are betting projects, careers
概要 Dockerの本番環境で秘密情報を使う際に、環境変数を使うことは推奨されてません。 秘密情報を扱うには、コンテナオーケストレーションのsecret supportを使うことが推奨されてます。 Docker Composeには秘密情報を扱うために、secretsがあります。(Docker ComposeのsecretsはDocker Swarmと併用することが前提の機能です) 環境変数で秘密情報を扱う時の問題点 秘密情報を扱う時に、よくある方法として、環境変数を使う方法があります。 (この記事において、秘密情報とはパスワード、APIキーを想定します。) しかし、Dockerのドキュメントhttps://docs.docker.com/get-started/07_multi_container/ には While using env vars to set connection set
イスラエル、ガザ地下トンネルに海水注入を検討=WSJ
イスラエルがパレスチナ自治区ガザの地下トンネルに海水を注入できる大型ポンプのシステムを組み立てたと、米紙ウォール・ストリート・ジャーナル(WSJ)が4日、米当局者の話として報じた。写真は、ガザ地区で活動するイスラエル兵士。この写真は、12月4日に公開された配布ビデオから作成された。(2023年 ロイター/Israel Defense Forces/Handout via REUTERS) [4日 ロイター] - イスラエルがパレスチナ自治区ガザの地下トンネルに海水を注入できる大型ポンプのシステムを組み立てたと、米紙ウォール・ストリート・ジャーナル(WSJ)が4日、米当局者の話として報じた。
ふと気になって調べたことの備忘メモです ✍ (2022/11/3追記)ご指摘頂いた内容を踏まえて加筆修正をおこないました なぜ調べたか Webアプリケーションの開発に携わっていると CSRF という脆弱性への対処を求められますが、多くの場合利用しているフレームワークが設定追加だけで対応してくれたり、既に前任者によって適切な処置がされていたりなど、実務上で目を向ける機会はその重要性と比較して少ないのでないかと思います また、Webブラウザの実装やHTTP周辺の関連仕様の変化から陳腐化している情報も多く、現代において全体感と具体的な対処法を理解するには少しばかりハードルが高いように感じていました ですので、自身の現時点での認識を明文化して残しておくことにしました なお、私はWebセキュリティの専門家でなく、一介の開発者のため、誤りが多分に含まれる可能性があります ご指摘を頂ければ修正したいと思
会社の支給PCがMacBook Pro M1なので、新しく開発環境を構築した話 - 食べチョク開発者ブログ
こんにちは。 今年の年始からジョインした遠藤です。 さて、入社したところ会社支給のMacBook ProがM1チップのものでした。 はい、現状は開発環境で苦労するとか色々噂を聞くやつです。 実際に試したのですが、 現状の開発環境構築スクリプト、手順書が一切使えない VitualBox, Vagrantは利用不可 Dockerは利用可能ではあるが、一部イメージが対応されてない 古いパッケージは動かす手段がない などなど、通常ではぶつからない問題にぶつかります。 食べチョクでは、 Ruby Node.js MySQL Redis ElasticSearch Kibana を利用しています。 この辺りをメインに話つつ、Intel版とこんな風に違うのかっていう辺りの雰囲気を感じ取っていただければと思います。 どこに開発環境を構築するか まず、どこで開発環境を構築するかを考えてみたいと思います。 ロ
eBPF(extended Berkley Packet Filter)という用語を著者が初めてみかけたのは、2015年ごろだった。最初は、eBPFをその字面のとおり、パケットキャプチャやパケットフィルタリングを担うだけの、Linuxの新しいサブシステムであろうと認識していた。しかし、実際にはそうではなかった。 システム性能の分析のための方法論をまとめた書籍Systems Performance 1 の著者で有名なBrendan Greggが、Linuxのネットワークサブシステムとは特に関係ない文脈で、古典的なシステム性能計測ツールでは計測できないことを計測するツールを作っていた。その計測ツールがeBPFという技術によって実装されていることを知ったときに、eBPFに興味をもったのだった。また、eBPFは、システム性能を調べる用途以外にXDP(eXpress Data Path)と呼ばれるプ
2023年3月30日、名刺管理サービスを提供するSansanは、同社になりすました不審な電話やメールが確認されているとして利用組織に対して注意を呼びかけました。その後、この注意喚起に関連して実際に被害に遭ったとみられる企業が名刺管理システムからの情報流出の公表を行っています。ここでは関連する情報をまとめます。 運営会社になりすました人物から電話後にフィッシングメール 不正アクセス被害を公表したのは川崎設備工業。名刺管理システム上に登録された名刺情報6万6214件が流出した。名刺情報には氏名、会社名、役職、会社住所、電話番号、メールアドレス等が含まれていたが、公表時点では流出した情報の悪用(営業メールや電話等の発生)は確認されていない。 不正アクセスは2月13日の同社従業員への電話連絡から始まった。電話をかけてきた人物は、Sansanの従業員になりすまし、川崎設備工業からその従業員に対して2
サマリ CookieやlocalStorage等でセッション管理しているウェブサイトがクリックジャッキング対策していない場合、どの条件で被害を受けるかを説明する。SameSite属性のないCookieでセッション管理しているウェブサイトは、主要ブラウザのデフォルト設定ではクリックジャッキングの影響を受けない。一方、loaclStorageにトークン類を格納するウェブサイトでは、Google Chrome等のブラウザでクリックジャッキングの影響がある。また、ブラウザの設定を変更した場合の影響についても説明する。 クリックジャッキングとは クリックジャッキングとは、一言で説明すると「ウェブサイト利用者に意図しないクリック(タップ)をさせる」攻撃です。ウェブサイト上で意図しないクリックを勝手にさせられると、重大な結果になる場合があります。例えば、このURLを閲覧すると、以下のようにTwitter
ニュースサイト・CyberNewsのセキュリティ研究者であるMantas Sasnauskas氏と研究者のJames Clee氏・Roni Carta氏の共同研究により、中国製の安価なルーターに不審なバックドアが存在していることがわかりました。 Walmart-exclusive router and others sold on Amazon & eBay contain hidden backdoors to control devices | CyberNews https://cybernews.com/security/walmart-exclusive-routers-others-made-in-china-contain-backdoors-to-control-devices/ バックドアの存在が指摘されているのは、ウォルマートが独占販売している「Jetstream」ブラ
技術選定の成功 2年間を振り返る TypeScript,Hono,Nest.js,React,GraphQL
技術選定の成功 2年間を振り返る TypeScript,Hono,Nest.js,React,GraphQL 技術選定に失敗はない 技術選定に失敗はありません。 仮説を立て、検証し、結果の分析からNext Actionを考える。検証の結果がどうであれ、それは過程に過ぎません。 机上の空論だけで全てを理解できるほど、我々人間は賢くないのです。(注意: これは人類全体を誹謗中傷する意味ではありません。) この記事では、この2年間で行った技術選定の成功例をその理由と共に紹介していこうと思います。 申し訳遅れましたが、私、YadaYadaKonnanYadaといいます。私は今回初めて記事を書いたので、どうぞお手柔らかに。 Twitterエンジニア垢作りました。エンジニアのお友達がいません。 @uncode_jp 前提 技術選定に結論はありません。組織毎に前提が違うのだから当然のことです。みんな違っ
Next.js + TypeScript + AWS Amplify でアプリケーション開発 - 虎の穴開発室ブログ
こんにちは、虎の穴ラボのNSSです。 最近ReactやTypeScriptを勉強中なのですが、Reactで作ったアプリケーションを簡単にデプロイして公開できるツールとして、AWS Amplifyがあります。 AWS Amplifyとは、AWSが提供するモバイルやWEBのアプリケーションを素早く開発することができるプラットフォームです。 AWS Amplifyは、たった数クリックでアプリケーションをデプロイできる他、 コマンドラインツールを使ってユーザー認証やAPIなど、あらゆる機能を簡単にアプリケーションに追加することができます。 今回は、ReactベースのフレームワークであるNext.js と AWS Amplifyを使ったアプリ開発をご紹介します。 環境 Node.js (v16.4.1) Next.js (v10.2.0) TypeScript Node.jsはインストール済みである
「C」や「C++」に代わるシステムプログラミング言語として「Rust」が注目を集めている。メモリ安全性が高く、メモリ破壊バグといった脆弱(ぜいじゃく)性を作り込みにくいからだ(関連記事)。 ただし、システムプログラミング言語では、高い処理性能が必須条件であり、これがCやC++が使われ続けている理由となっている。Rustはどの程度「速い」のだろうか。 ドイツのミュンヘン工科大学で博士課程の学生であるポール・エメリク氏は2019年9月9日、Rustで作成したデバイスドライバの性能評価をGitHubで発表した。 同氏のグループはさまざまな言語で同じ機能を備えたデバイスドライバを記述し、性能を比較している。 何が性能低下を引き起こしているのか 性能評価用に作成したのは、Intelのイーサネットコントローラー向けのLinux用デバイスドライバだ(ixgbeタイプ)。 エメリク氏は解説の冒頭で研究に取
個人的にTypeScriptプロジェクトで使って良かったと感じたライブラリやツール、役立ったノウハウ・情報源へのリンクをまとめていきます。随時更新します。 記事更新時に通知を受け取りたい方はこの投稿を「ストック」してください。 追加された内容は更新履歴をご覧ください。 書籍 『実践TypeScript ~BFFとNext.js&Nuxt.jsの型定義~』 - JavaScriptからTypeScriptに来た人が読むと、JSとTSの差分を学ぶことができる本。 『JavaScript Primer: ECMAScript 2019時代のJavaScript入門書』 - すでにプログラミング経験がある人が読むとJavaScriptの文法や機能を中心に学ぶことができる本。TypeScriptを書くにもJavaScriptの知識が必要不可欠なので、雰囲気でJSを書いてきた人やちゃんとおさらいしたい
New – Use Amazon EC2 Mac Instances to Build & Test macOS, iOS, iPadOS, tvOS, and watchOS Apps | Amazon Web Services
AWS News Blog New – Use Amazon EC2 Mac Instances to Build & Test macOS, iOS, iPadOS, tvOS, and watchOS Apps Throughout the course of my career I have done my best to stay on top of new hardware and software. As a teenager I owned an Altair 8800 and an Apple II. In my first year of college someone gave me a phone number and said “call this with modem.” I did, it answered “PENTAGON TIP,” and I had a
「あとで読む」タグで振り返る2023年 〜今年の「あとで読む」、今年のうちに〜 - はてなブックマーク開発ブログ
今年も残すところあと少し。皆さんにとって、2023年はどのような一年でしたか? はてなブックマークでは今年もたくさんのエントリーがブックマークされ、コメント欄も盛り上がりました。 データで見る「あとで読む」 年末ということで、2021年・2022年に引き続き今年も「あとで読む」タグにフォーカスしたデータを集計しました。全ブックマークを対象にした「あとで読む」率、カテゴリー別「あとで読む」率、「あとで読む」が多いエントリーランキングを通して、2023年のはてなブックマークを振り返ってみましょう。 全ブックマークを対象にした「あとで読む」 率 カテゴリー別 「あとで読む」 率 「あとで読む」 タグが多いエントリーは? トップ10ランキング 「あとで読む」タグの数が多かったエントリーランキング カテゴリー別「あとで読む」率の高かったエントリーランキング 気になった記事を気軽に保存できる「あとで読
note、Internet Archiveで保存できなくなる、古いドメインはブロック | スラド セキュリティ
Internet Archiveからnote関連のキャッシュがまるごと消えてしまったそうだ(5ちゃんねるの書き込み)。新たな登録もできないという。noteの以前のドメインであるnote.muに関しても完全にブロックされているとのこと。 5ちゃんねるのInternet Archive総合スレの書き込みによると、8月上旬まではnote.comドメインのキャッシュが共有されていたという。8月に発生したnoteのIPアドレス流出事故の後に対処されたのではないかとしている。実際にnote.comのrobots.txtを見るとInternet Archiveとウェブ魚拓のクロールを拒否する記述がされている。 あるAnonymous Coward 曰く、
npm is joining GitHub
CompanyProductnpm is joining GitHubWe're excited to announce that npm will be joining GitHub. I’m excited to announce that GitHub has signed an agreement to acquire npm. npm is a critical part of the JavaScript world. The work of the npm team over the last 10 years, and the contributions of hundreds of thousands of open source developers and maintainers, have made npm home to over 1.3 million pack
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
国内の主要なSaaS企業やSIerに脆弱性診断サービスなどを提供しているFlatt Security社は、Webエンジニアがセキュアコーディングを独習できるオンライン教材「KENRO」のトライアルとしてコンテンツの一部を無料で公開中です。 メールアドレスを登録するだけで利用を開始でき、期間も無制限。 KENROでは「SQLインジェクション」「XSS(クロスサイトスクリプティング)」「ディレクトリトラバーサル」などを始めとする10種類の一般的な脆弱性についてテキストで学び、その学びを基に攻撃者として脆弱性に対する攻撃を「ハッキング演習」で試し、その脆弱性があるコードを自分で修正する「堅牢化演習」まで、オンラインで実践できるユニークな教材です。 演習の結果もKENROが自動判定してくれるため、24時間365日、いつでも学習できます。 無料トライアルでは、一般的な10種類の脆弱性の学習コンテンツ
![Webエンジニアがセキュアコーディングを独習できるオンライン教材「KENRO」の一部を無料公開中[PR]](https://cdn-ak-scissors.b.st-hatena.com/image/square/9ea2c3f33e8bf01c1ac53e8880e27f9425b22a34/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2023%2Fkenro_trial10.png)
2021年12月に、さまざまなプログラムに使われているJavaのログ出力ライブラリ「Log4j」にリモートコード実行のゼロデイ脆弱(ぜいじゃく)性「Log4Shell」があることが発覚し、世界中のIT産業が対応に追われました。そんな問題に対し、フォーチュン500に選出されるような大企業から対応方法を教えるよう要請を受けたオープンソース開発者が、相手企業と交わしたメールを公開しています。 LogJ4 Security Inquiry – Response Required | daniel.haxx.se https://daniel.haxx.se/blog/2022/01/24/logj4-security-inquiry-response-required/ さまざまなプロトコルを用いてデータを送受信するのに使われるオープンソースソフトウェア「cURL」の開発者のダニエル・ステンバーグ
パスワード管理アプリ「LastPass」では、2022年8月の不正アクセスによってソースコードが盗まれて以降、ハッカーによる顧客データへの不正アクセスが発生しています。LastPassは2022年12月22日に不正アクセスによってユーザーの個人情報やパスワードなどのデータが漏えいしたことを発表しています。 Notice of Recent Security Incident - The LastPass Blog https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/ LastPass says hackers stole customers’ password vaults | TechCrunch https://techcrunch.com/2022/12/22/lastpass-customer-p
アンカー・ジャパンは4月13日、同社初のスマートトラッカーをEufyブランドで展開すると発表した。財布向けなどのカード型「Eufy SmartTrack Card」と、鍵などに取り付ける「Eufy SmartTrack Link」の2種類で、2022年秋ごろの発売を見込む。米Appleの「探す」機能との連携も予定しているという。 Eufy SmartTrack Cardは、厚さ約2.4mmのカード型トラッカーで、「Eufy Security」アプリを使って、50m以内であれば音を鳴らして探せる「Find Nearby」機能や、置き忘れを防止する「Left Alarm」機能が利用できる。紛失時に、拾い主に連絡してもらえるよう裏面のQRコードにメールアドレスなどの情報を指定できる。 サイズは約85×54×2.4mm。重さは約17.8g。電池寿命は約3年、音量は約85dbを出力できるという。価格
アラン・ギブソンのブログより。 Mozillaの財務状況を見ると、Googleが反トラスト法の問題を回避するように、彼らを生命維持装置に付けていると結論付けるのが理にかなっています。MozillaとGoogleとの契約は、今後の収益の少なくとも70%を占めることになります。これは4億ドルを超え、ブラウザの4%でデフォルトの検索プロバイダになっています。1年間です。私は次の給与を賭けてもいいのですが、MicrosoftのInternet Explorerの独占を巡るトラブルの再発を避けるために、Googleがこのかなり寛大な契約を結んだのではないかと思います。私の推測では、この最新の反トラスト法の波が吹き荒れる頃に、Googleはプラグを抜くことが、彼らの利益になると判断するのではないかと思います。 Mozillaのトラブルで、GoogleはWeChatやFacebookのウォールドガーデン
Auth0のアクセストークンをLocal Storageに保存するのは安全?メリット・デメリットをin-memory方式と比較して検討する - Flatt Security Blog
※追記: 本記事の続編としてin-memory方式からアクセストークンを奪取するPoCを下記記事で公開しました。ぜひあわせてご覧ください。 はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事では、Auth0のSPA SDKでアクセストークンのキャッシュを有効化する際の考慮ポイントについて紹介し、それを切り口にアクセストークンの保存場所に関してin-memory方式とlocalStorage方式の2つについて解説します。 Auth0のようなIDaaSは昨今かなり普及が進んでいると思いますが、Flatt Securityの提供するセキュリティ診断はAuth0に限らずFirebase AuthenticationやAmazon CognitoなどのIDaaSのセキュアな利用まで観点に含めて専門家がチェックすることが可能です。 ご興味のある方は是非IDaaS利用部
SELinuxシリーズ 本記事は、SELinuxシリーズの1記事目です。 Linuxプロセスアクセス制御の概要 ←今ココ SELinuxの概要 SELinux Type Enforcement SELinuxの実践 (参考) SELinuxのRBAC、UBAC、MLS、MCS (参考) SELinux Module Policyのソースコード読解、ビルド 参考URL 1〜3記事目は、4記事目を理解するための前提知識をカバーしています。 4記事目が最も重要で、SELinuxの具体的な操作方法やコマンド、トラブルシューティング手順を紹介しています。 5記事目以降は参考情報です。 SELinuxの関連記事は、SELinuxタグから探せます。 一連の記事はFedora環境を前提として書いています。 FedoraやRHELに類するディストリビューションであればほぼ同等の挙動になると思いますが、他のデ
ガンジス川で瞑想し、サウナでひらめきVulsができた - 各OSに対応する脆弱性スキャンを実現した手法 - エンジニアHub|Webエンジニアのキャリアを考える!
エンジニアHub > 記事一覧 > ガンジス川で瞑想し、サウナでひらめきVulsができた - 各OSに対応する脆弱性スキャンを実現した手法 ガンジス川で瞑想し、サウナでひらめきVulsができた - 各OSに対応する脆弱性スキャンを実現した手法 サーバー運用者の抱える「脆弱性対応の負担が大きい」という課題を解決するべく、神戸康多さんが開発したOSS「Vuls」。同ソフトウェアはなぜ複数OSの脆弱性を検知できるのか、その基本構造を聞きました。そして、神戸さんが語るVulsの開発の根本にあった、貢献意識とは。 マカフィー株式会社が戦略国際問題研究所と協力して2018年3月8日に発表したレポート「Economic Impact of Cybercrime - No Slowing Down(衰えを知らないサイバー犯罪の経済的影響)」は、サイバー犯罪が世界経済にもたらした損害額は約6,000億米ドル
アメリカ国家安全保障局(NSA)が、ZoomやMicrosoft Teams、Slackといったリモートワークでよく使われている主なビデオ会議ツールやメッセージングツールの安全性を評価するレポートを発表しました。 Selecting and Safely Using Collaboration Services for Telework https://media.defense.gov/2020/Apr/24/2002288652/-1/-1/0/CSI-SELECTING-AND-USING-COLLABORATION-SERVICES-SECURELY-LONG-FINAL.PDF Here's the NSA's guide for choosing a safe text chat and video conferencing service | ZDNet https://ww
本日は、あまり興味を惹く参考記事がなかったので、某サイトをネットサーフィンした件を書きたいと思います。 本日、作業cy・・勤務時間外に見ていたのは、このブログでも過去に何度か記事を書いた事がある、世界の監視カメラ映像を見れる某サイトです。 日本でも、サイト管理者集計ですが、本日時点で1,519台のカメラが掲載されており、オリンピック前に総務省が肝煎りで実施した、サイバー攻撃に悪用されるおそれのあるIoT機器の調査(NOTICE)の結果を嘲笑う様な掲載数を誇ります。 ※このほとんどが監視カメラのパスワード設定なし、又は脆弱なパスワード設定によるものとサイト管理者は公言しています。 URLリンクを貼るのは自己規制しますが、ググればすぐ出てくるサイト(ロシア系だったと思います)なので、業務をサボりたい休憩時間を有効に使いたい方は、たまに見てみると良いかと思います。 久しぶりに閲覧したのですが、ち
Webアプリケーションの堅牢化に欠かせない知識を凝縮! セキュリティ学習のスタートに最適の一冊! 本書は、安全なWebアプリケーションを開発するための基本知識を、フロントエンドエンジニア向けに解説したセキュリティの入門書です。 これまでWebアプリケーションの開発で、セキュリティは「バックエンドの仕事」というイメージの強い領域でした。しかし、アプリケーションの安全性を高めるためには、フロントエンドエンジニアにも、セキュリティの基礎知識や具体的な対策の実践が求められます。 本書では、Webセキュリティの必須知識である「HTTP」「オリジン」などの基礎トピックや、「XSS」「CSRF」といったフロントエンドを狙ったサイバー攻撃の仕組みを、サンプルアプリケーションを舞台にしたハンズオンで学びます。 もちろん、攻撃からユーザーを守る防御の手法もしっかりおさえます。個々の攻撃手法に応じた対策のほか、
はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、Amazon S3 の脆弱な使い方によるセキュリティリスクと対策を解説し、実際の設定不備などに関する事例についても紹介します。 Flatt Security は専門家の視点でセキュリティリスクを調査するセキュリティ診断を提供しています。クラウドとアプリケーションの総合的な診断の事例として SmartHR 様の診断事例がございますので、是非インタビュー記事をご覧ください。GCP の事例ですが、もちろん今回取り上げる AWS でも同様の診断が可能です。 はじめに Amazon S3 とは バケット・オブジェクト バケット オブジェクト アクセスポリシー バケットポリシー アクセスコントロールリスト(ACL) IAM ポリシー 署名付き URL Amazon S3 に
Spring Frameworkの脆弱性 CVE-2022-22965(Spring4shell)についてまとめてみた - piyolog
2022年3月31日、Spring Frameworkに致命的な脆弱性が確認され、修正版が公開されました。ここでは関連する情報をまとめます。 1.何が起きたの? JDK9以上で実行されるSpringMVC、SpringWebFluxでリモートコード実行が可能な脆弱性(CVE-2022-22965)が確認された。脆弱性の通称にSpring4shellまたはSpringShellが用いられている。 Spring FrameworkはJavaで採用される主流なフレームワークの1つのため、Javaで実行されるWebアプリケーションで利用している可能性がある。 2022年3月31日時点で脆弱性のExploitコードが出回っており、関連するインターネット上の活動が既に報告されている。 2.脆弱性を悪用されると何が起きるの? 脆弱性を悪用された場合、リモートから任意コード実行が行われることで、機密情報の
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
政府情報システムにおける 脆弱性診断導入ガイドライン
このSRE本がすごい!2024年版 - じゃあ、おうちで学べる
【2022年】AWS全サービスまとめ | DevelopersIO
Web会議サービスを使用する際のセキュリティ上の注意事項:IPA 独立行政法人 情報処理推進機構
リリースノート自動生成テクニック - mizdra's blog
メタクソ化するTiktok:プラットフォームが生まれ、成長し、支配し、滅びるまで | p2ptk[.]org
ワイのGitHubリポジトリおすすめ設定(2022年 決定版) - Qiita
Docker Composeの環境変数ではなくsecretsで秘密情報を扱う - Qiita
CSRF(Cross-Site Request Forgery)攻撃について
Linux eBPFトレーシング技術の概論とツール実装 - ゆううきブログ
電話後にメールを送ってくるフィッシング攻撃についてまとめてみた - piyolog
2023年4月においてクリックジャッキング未対策のサイトはどの条件で被害を受けるか
中国製の安価なルーターに不審なバックドアが存在、積極的に悪用しようとする試みも
「Rust」言語はCよりも遅いのか、研究者がベンチマーク結果を解説
厳選TypeScript 〜おすすめしたいライブラリ、ツール、ノウハウ、情報源のリンク集〜 - Qiita
BudouX: 読みやすい改行のための軽量な分かち書き器
Webエンジニアがセキュアコーディングを独習できるオンライン教材「KENRO」の一部を無料公開中[PR]
「無料でLog4j対策を教えろ」と迫った大企業とオープンソース開発者の痛快なやりとりが公開中
パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明
Appleの「探す」と連携予定 Ankerから忘れ物防止タグ2機種 AirTagにはないカード型も
Web by Google (TM)
Linuxプロセスアクセス制御の概要 - えんでぃの技術ブログ
ZoomやMicrosoft Teamsなどビデオ会議ツールの安全性をまとめたレポートをNSAが発表
自宅警備員ごっこで見つけるハッカーの痕跡 - Fox on Security
フロントエンド開発のためのセキュリティ入門 知らなかったでは済まされない脆弱性対策の必須知識 | 翔泳社
Amazon S3の脆弱な利用によるセキュリティリスクと対策 - Flatt Security Blog