バンドルカードの クレジットカード決済システムの 泥臭い運用
プロダクト開発における ソフトウェアサプライチェーンセキュリティ: 実践的フレームワークとその活用 / Software Supply Chain Security in Product Development: Practical Framework and their applications
プロダクト開発における ソフトウェアサプライチェーンセキュリティ: 実践的フレームワークとその活用 / Software Supply Chain Security in Product Development: Practical Framework and their applications
本日は、あまり興味を惹く参考記事がなかったので、某サイトをネットサーフィンした件を書きたいと思います。 本日、作業cy・・勤務時間外に見ていたのは、このブログでも過去に何度か記事を書いた事がある、世界の監視カメラ映像を見れる某サイトです。 日本でも、サイト管理者集計ですが、本日時点で1,519台のカメラが掲載されており、オリンピック前に総務省が肝煎りで実施した、サイバー攻撃に悪用されるおそれのあるIoT機器の調査(NOTICE)の結果を嘲笑う様な掲載数を誇ります。 ※このほとんどが監視カメラのパスワード設定なし、又は脆弱なパスワード設定によるものとサイト管理者は公言しています。 URLリンクを貼るのは自己規制しますが、ググればすぐ出てくるサイト(ロシア系だったと思います)なので、業務をサボりたい休憩時間を有効に使いたい方は、たまに見てみると良いかと思います。 久しぶりに閲覧したのですが、ち
Webアプリケーションの堅牢化に欠かせない知識を凝縮! セキュリティ学習のスタートに最適の一冊! 本書は、安全なWebアプリケーションを開発するための基本知識を、フロントエンドエンジニア向けに解説したセキュリティの入門書です。 これまでWebアプリケーションの開発で、セキュリティは「バックエンドの仕事」というイメージの強い領域でした。しかし、アプリケーションの安全性を高めるためには、フロントエンドエンジニアにも、セキュリティの基礎知識や具体的な対策の実践が求められます。 本書では、Webセキュリティの必須知識である「HTTP」「オリジン」などの基礎トピックや、「XSS」「CSRF」といったフロントエンドを狙ったサイバー攻撃の仕組みを、サンプルアプリケーションを舞台にしたハンズオンで学びます。 もちろん、攻撃からユーザーを守る防御の手法もしっかりおさえます。個々の攻撃手法に応じた対策のほか、
SELinuxシリーズ 本記事は、SELinuxシリーズの1記事目です。 Linuxプロセスアクセス制御の概要 ←今ココ SELinuxの概要 SELinux Type Enforcement SELinuxの実践 (参考) SELinuxのRBAC、UBAC、MLS、MCS (参考) SELinux Module Policyのソースコード読解、ビルド 参考URL 1〜3記事目は、4記事目を理解するための前提知識をカバーしています。 4記事目が最も重要で、SELinuxの具体的な操作方法やコマンド、トラブルシューティング手順を紹介しています。 5記事目以降は参考情報です。 SELinuxの関連記事は、SELinuxタグから探せます。 一連の記事はFedora環境を前提として書いています。 FedoraやRHELに類するディストリビューションであればほぼ同等の挙動になると思いますが、他のデ
はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、Amazon S3 の脆弱な使い方によるセキュリティリスクと対策を解説し、実際の設定不備などに関する事例についても紹介します。 Flatt Security は専門家の視点でセキュリティリスクを調査するセキュリティ診断を提供しています。クラウドとアプリケーションの総合的な診断の事例として SmartHR 様の診断事例がございますので、是非インタビュー記事をご覧ください。GCP の事例ですが、もちろん今回取り上げる AWS でも同様の診断が可能です。 はじめに Amazon S3 とは バケット・オブジェクト バケット オブジェクト アクセスポリシー バケットポリシー アクセスコントロールリスト(ACL) IAM ポリシー 署名付き URL Amazon S3 に
Spring Frameworkの脆弱性 CVE-2022-22965(Spring4shell)についてまとめてみた - piyolog
2022年3月31日、Spring Frameworkに致命的な脆弱性が確認され、修正版が公開されました。ここでは関連する情報をまとめます。 1.何が起きたの? JDK9以上で実行されるSpringMVC、SpringWebFluxでリモートコード実行が可能な脆弱性(CVE-2022-22965)が確認された。脆弱性の通称にSpring4shellまたはSpringShellが用いられている。 Spring FrameworkはJavaで採用される主流なフレームワークの1つのため、Javaで実行されるWebアプリケーションで利用している可能性がある。 2022年3月31日時点で脆弱性のExploitコードが出回っており、関連するインターネット上の活動が既に報告されている。 2.脆弱性を悪用されると何が起きるの? 脆弱性を悪用された場合、リモートから任意コード実行が行われることで、機密情報の
Osumi, Yusuke @ozuma5119 Threat Intelligence, Cyber Security Researcher, PenTester. CISSP,CISA https://t.co/8kTFSGuuoZ Osumi, Yusuke @ozuma5119 イオンカードさん、この注意喚起は大間違いです。 ドメインは「始まっている」ではなく「終わっている」部分を見ないと意味がありません。 https://aeon .co .jp .example. com/ のようなまぎらわしいドメインこそが、一番詐欺に使われます。出す前に、社内のエンジニアのレビューを受けましょう。 pic.twitter.com/hLVrhHisPH 2021-06-07 14:59:35
Azureの資格を全て取ったので資格制度について語る(2022/07現在21個) - APC 技術ブログ
はじめに こんにちは、ACS事業部の吉川です。 タイトルにあるとおり、Azureの認定資格全21種を取得しました。 以下URLで公開されている認定資格ポスターのうち、一番左の Azure 列の資格が対象です。 https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2PjDI このポスターは毎月更新されており内容が変わってしまうので、2022年7月時点の画像も貼っておきます。 私が取得済みの資格にレ点を付けています。 以下は資格取得後発行されるデジタルバッジの一覧です。 www.credly.com 試験を大量に受け続けた経験から、皆様にAzureの資格についてお話ししようと思います。 資格を取得するモチベーション ITの分野においては、資格は特に必須なものではないです。資格持ってないからといって、困ることもないでしょう。 じ
S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか? 従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること
LINE株式会社は、2023年10月1日にLINEヤフー株式会社になりました。 LINEヤフー株式会社のコーポレートサイトはこちらです。 当ページに記載されている情報は、2023年9月30日時点の情報です。 1. 概要 2020年2月、LINEのアカウントに対して複数の不正ログインの試みが発生し、約4千名を超えるLINEアカウントが不正ログインの被害を受け、ユーザーの意図に反するメッセージやタイムライン投稿が行われていることを確認しております。 ユーザーの皆さまからの通報内容をもとに調査したところ、これらのメッセージ及びタイムライン投稿の内容は、購買誘導をするためのスパムの他、LINEのアカウントの恒久的な乗っ取りを目的としたフィッシング詐欺のためのURLが含まれておりました。 当社では引き続き、被害の拡大防止のための対応を行っておりますが、現在、LINEの機能やメールを通じたフィッシング
今日(2022/07/07)は弊社、Classmethodの創立記念日ということで、 AWSのマルチアカウント戦略で思ったこと をそのまま書き殴ってみました。 共感するところや他に苦労しているところ思いついた方は Twitter 等で共有いただけると嬉しいです! 思いつく限り書いた結果の目次がこちらです。 「アカウントをどう分割するのか」問題 「AWS Control Tower を活用したほうがいいのか」問題 「ユーザー管理どうするのか」問題 「最小権限とは言っても」問題 「管理アカウントでの作業が怖い」問題 「OU/SCP周りの更新が怖い」問題 「セキュリティをどう向上するか」問題 「アカウント数のスケールにどう対応するのか」問題 「ベースラインの構築/管理をどうするか」問題 「ログ集約するのか/しないのか」問題 「どのアカウントかぱっと見て分からない」問題 「Security Hub
Linux Performance
static, benchmarking, tuning: sar, perf-tools, bcc/BPF: bpftrace, BPF book: Images license: creative commons Attribution-ShareAlike 4.0. This page links to various Linux performance material I've created, including the tools maps on the right. These use a large font size to suit slide decks. You can also print them out for your office wall. They show: Linux observability tools, Linux static perfor
米司法省(DoJ)は7月31日(現地時間)、15日に発生したTwitterの大規模著名人アカウント乗っ取り・ビットコイン詐欺事件の犯人3人が逮捕、起訴されたと発表した。 主犯はフロリダ州タンパ在住の17歳の男性。未成年のためDoJは名前を公表していないが、タンパの第13司法裁判所の連邦検事、アンドリュー・ウォーレン氏は記者会見で容疑者名をグラハム・クラークと発表した。ヒルズボロ郡保安官事務所のデータベースによると、クラーク容疑者は31日、自宅アパートで逮捕され、詐欺や個人情報盗難、ハッキングなど30の容疑で起訴されており、1日に初出廷する予定。 ウォーレン氏は別の記者会見で、「われわれは被告に責任を追わせる。人が苦労して稼いだ金をだましとることは、直接であれネットを使ってであれ、違法であり、許されることではない」と語った。この詐欺では10万ドル以上のビットコインが騙し取られた。 あとの2人
If you’re not using SSH certificates you’re doing SSH wrong
If you’re not using SSH certificates you’re doing SSH wrongUpdated on: June 8, 2023 SSH is ubiquitous. It's the de-facto solution for remote administration of *nix systems. But SSH has some pretty gnarly issues when it comes to usability, operability, and security. You're probably familiar with these issues: SSH user experience is terrible. SSH user on-boarding is slow and manual. Connecting to ne
三菱電機が今年に入って2度目の不正アクセス被害の発表をしました。前回の発表は朝日新聞のスクープ記事から発覚しましたが、今回も朝日新聞のスクープ記事が出ていました。 digital.asahi.com 複数の関係者によれば16日夕方、同社が利用する外部クラウドサービスの監視システムが、通常とは異なる不審なアクセスを検知し、警告を発した。本社内でしかアクセスしないはずの管理者アカウントで、中国国内に割り当てられたIPアドレス(ネット上の住所)から接続があったためだ。 同社は不正アクセスの発生と判断し、接続を遮断した。調査の結果、社内ネットワークの管理や保守を担当する従業員の管理台帳ファイルを盗み取ろうとしていた形跡が見つかった。 接続元のIPアドレスを手掛かりに調べたところ、新たに2人の社員アカウントからの接続も見つかった。いずれもクラウドサービスの管理を任されている社員のものだった。ハッカー
【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? - Flatt Security Blog
はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-memory方式であり、XSSへの耐性のなさ等の理由でlocalStorageで保存することを推奨していない しかし、XSSでアクセストークンを奪取できるのはin-memory方式でも同じのはず(検証は行いませんでした)。localStorage方式を過度に忌避する必要はないのではないか なお、Flatt Securityの提供するセキュリティ診断はAuth0に限らずFirebase AuthenticationやAmazon CognitoなどのIDaaSのセキュアな利用
皆さま、こんにちは。Red Hatの西村(@iamnishipy)です。入社するまでDockerユーザーだった私が、わかりやすいと感じたPodmanの記事を共有いたします。 この記事はRed Hat DeveloperのPodman and Buildah for Docker usersを、許可を受けて翻訳したものです。 :::William Henry 2019年2月21日::: 最近Twitterにて、Dockerに詳しい人のためにPodmanとBuildahをよりよく説明してほしいと頼まれました。ブログやチュートリアル(後ほど紹介)はたくさんありますが、DockerユーザーがどのようにDockerからPodmanやBuildahに移行していくのかについて、私たちコミュニティから一元的な説明を行っていませんでした。Buildahはどのような役割を果たしているのでしょうか?Docker
The server operating system has not changed in 50 yearsOur current server operating systems have not changed in 50 years and do not reflect modern day concerns for managing servers and cyber-security.Still built for multiple users to run multiple programs, leaving large spaces open for targeted cyber attacks. The future is unikernelsA unikernel is an application that has been boiled down to a smal
Amazon S3 へのファイルアップロードで POST Policy を使うと、かゆいところに手が届くかもしれない - カミナシ エンジニアブログ
はじめに こんにちは。カミナシでソフトウェアエンジニアをしている佐藤です。 みなさんは、アプリケーションのフロントエンドから、Amazon S3 にファイルをアップロードするときに、どのような方法を用いているでしょうか? 「バックエンドのサーバーにファイルを送信し、バックエンドのサーバー経由で S3 にアップロードしている」「Presigned URL を払い出して、フロントエンドから直接 PUT している」など、いくつかの方法があると思います。 弊社で提供しているサービス「カミナシレポート」でも、用途に応じて上記の方法を使い分けて S3 へのファイルのアップロードを行っています。 特に、Presigned URL は、手軽に利用できる上に、バックエンドのサーバーの負荷やレイテンシーの削減といったメリットも大きく、重宝しています。 一方で、その手軽さの反面、アップロードに際して様々な制約を
「Evernote」や「Notion」などのノートアプリの利用が企業でも進んでいるが、両者の人気には差があるようだ。ノートアプリのメリットや企業での導入実績、両者のセキュリティ機能、市場での位置付けなどを解説する。 ノートアプリは、個人で利用されることが多く、企業が導入することはほとんどないと思われてきたが、その状況が変わるかもしれない。人気のノートアプリである「Evernote」と「Notion」は、企業のITバイヤーにとって魅力的に映る機能と性能を備えている。 Evernoteは「Evernote Teams」を提供していて、ノート作成機能やチームコラボレーション、セキュリティの向上、ガバナンス機能を追加した。有名なノートアプリであるNotionは、Wikiやその他のコラボレーション機能を搭載している。これらのツールは、企業向けコラボレーションの中でもどこに位置付けられるのだろうか。
GitHub、コードの脆弱性などを発見してくれる「GitHub Code Scanning」正式版が提供開始。パブリックリポジトリには無料
GitHub、コードの脆弱性などを発見してくれる「GitHub Code Scanning」正式版が提供開始。パブリックリポジトリには無料 GitHubは、リポジトリに保存されているソースコードをスキャンすることで脆弱性やエラーなどを発見してくれる新機能「GitHub Code Scanning」が正式版として提供開始されたことを明らかにしました。 Code scanning is here! Prevent issues in code by automating security as a part of your workflow. Free for public repositories Developer-first, GitHub native Enabled for GitHub Enterprise Cloud Learn more! https://t.co/2SSCjb
アンチウイルスソフト Antivirus for Amazon S3 を本番環境に導入してみてわかったメリット・デメリット - ANDPAD Tech Blog
こんにちは。SREチームの吉澤です。 アンドパッドでは最近、AWSのS3バケット上のファイルをスキャンするために、アンチウイルスソフト Antivirus for Amazon S3 を本番環境に導入しました。その結果、私たちの要件はほぼ全て満たされたうえに、従来比で大幅なコスト削減を実現できました。 Antivirus for Amazon S3について日本語で書かれた記事はまだ少ないですが、S3に対するウイルススキャンが求められるケースでは、導入を検討する価値があるソフトです。 そこで、今回はこのAntivirus for Amazon S3の概要、私たちが本番環境に導入してみてわかったメリットやデメリット、そしてこのソフトが適した状況をご紹介します。 背景 S3に対するウイルススキャンが必要な理由 Antivirus for Amazon S3の導入前に利用していたソフト Antiv
Lambda の運用面でのベストプラクティスを学べる「AWS Lambda Operator Guide」を読んだ - kakakakakku blog
AWS の公式ドキュメント「AWS Lambda Operator Guide」を読んだ❗️AWS Lambda を軸にサーバーレスアプリケーションを構築するときに意識しておくべき "運用面のポイント・ベストプラクティス" がまとまっていて,とても良いドキュメントだった👏 内容的には AWS Well-Architected Framework: Serverless Applications Lens と重複するところもあるけど,サーバーレスアプリケーションを開発・運用しているなら1度は読んでおくと良いのではないでしょうか❗️ \( 'ω')/ 多くの人に読みやすくなるように日本語翻訳もあるとイイなぁ〜 docs.aws.amazon.com 構成 ドキュメントとしては全6章で構成されている.どれも重要で,理解を深めるために読むのはもちろん,開発中もしくは運用中のアプリケーションに対し
SREチーム 鈴木心之介 です。 職歴の空白 を経て参画しました。 社名変更して co.jp ドメインを複数保有する技術 の節は皆様ありがとうございました。 たぶんそのうち書かれるだろう「Dockerコンテナ移行しました」記事の先史時代の記録として、また、事業の成長に併走してきたEC2でのアーキテクチャの御焚上として奏上するものです。 問題意識 アプリケーションはRuby on Railsで実装し、インフラはAWSにEC2, RDS, S3を中核に構成してます。運用状況はEC2に限らず大変きびしく、早くどうにかしないと事業の成長の足枷になりそうでした。入社前のカジュアル面談で伺っていた情報と、入社後の情報収集から、大枠の問題意識を以下4つに絞りました。 デプロイメント セキュリティ スケーラビリティ ディザスタリカバリ どれも解決すべきで、優先順位にみなさま一家言あるかと思います。ただセキ
解説と登壇時の動画を載せたブログは以下です。こちらを見てください。シェアもブログの方をお願いします。 https://dev.classmethod.jp/articles/aws-security-all-in-one-2021/ イベントページはこちら。 DevelopersIO 2021 Decade https://classmethod.jp/m/devio-2021-decade/
![[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで]](https://cdn-ak-scissors.b.st-hatena.com/image/square/ad5ef06e544c41ba705f887120c121b38dbfccc4/height=288;version=1;width=512/https%3A%2F%2Ffiles.speakerdeck.com%2Fpresentations%2F95792f1ff5e147a5a32804b5ef5d1fd8%2Fslide_0.jpg%3F19221817)
セキュリティガードレールを作って、非エンジニアに安心してGCPを提供できるようにした話 - MonotaRO Tech Blog
はじめまして、モノタロウでGCPの管理をしている吉本です。 今回はモノタロウの社内全体でデータ基盤として使っているGCPをテーマに、大規模組織におけるクラウド運用の取り組みをお話します。 データ民主化による現場主導のデータ活用 クラウドの利用拡大に伴う課題 Cloud Asset Inventoryを利用したセキュリティガードレールの構築 まとめ データ民主化による現場主導のデータ活用 最近、データの活用・推進が様々な企業で実施されるようになってきました。 特に2018年あたりからデータ民主化と呼ばれる、職種に問わず自らデータを集計・分析して意思決定をする文化が広まるようになった結果、非エンジニアがSQLを書く事例が増えています。*1 *2 モノタロウでも職種問わずデータドリブンな意思決定を推進しています。 2017年にデータ基盤をBigQueryに構築して以降、積極的にSQLなどの研修な
うちの会社には技術的なCXOとして、CTO、CIO、CISOの3パートがあります。何が違うねん、という話なのですが、ここにはのっぴきならない事情と仕組み化の流れがあって、3つのロールに分けました。このあたりの話を今日はつらつら書いてみたいと思います。 CTOの責任昔はCTOこそ全てのバランスを有し、社長よりも俯瞰したロールであれ、的な思想を持っていました。というのもマーケットを理解し、P/L、B/Sも理解しながら先日書いたG/Pを最大化しろ、また負債をいつどのようにどうやって減らしていくのかを考え、説明責任を果たし(その間機能開発力が落ちるかもしれないし)、実行しなければならない。これらは、短期的な収益と中長期的な投資をバランス良く、柔軟に判断しなければならない、という意味で、できりゃいいのですが簡単ではありません。特に簡単ではないのが、結局社長なり、トップの視点、視野にこの広大さと深さが
河野太郎の再生エネルギータスクフォース(内閣府)で元活動家構成員が中国企業の資料で政府への提言取りまとめ|山本一郎(やまもといちろう)
そもそも何が起きたのか 内閣府に設置されている、再生エネルギータスクフォース(以下、再エネTF)において、次期再生エネルギー調達にかかる固定買取価格(FIT)を政権に対して提言するにあたり、再エネTFの構成員の何者かが中国国営の送電企業の『国家電網公司』の資料を流用し、その電子透かしが資料にそのまま掲載されていたことが発覚した事件です。 https://web.archive.org/web/20240323041756/https://www8.cao.go.jp/kisei-kaikaku/kisei/conference/energy/20240322/240322energy05.pdf 本件資料は中国語では現存するものですが、問題は、「日本語で記載されていること」「資料そのものに電子透かしが入っていること」を考えれば、この内閣府で行われた再エネTFで構成員から日本政府に向けて提言
はじめに 本記事はMicrosoft Security Advent Calendar 2023、10日目の記事になります。 シリーズ3部作です。 きっかけ 所属企業にて、2022年7月頃、情報システム部門に異動。種々の課題感に対する解決策(ここも話すと長くなる)としてMicrosoft 365 E5を導入することに決定。2023年1月にテナントにライセンスが適用され、E5セキュリティの実装を始める。同時に、組織内でIdPが複数運用されていることに対しても課題感を持っていたため、IdPの整理・統合も始める。 さらに同時期に、セキュリティ侵害の多くの原因が、パスワード漏洩だということを知る。 フィッシングメールでパスワードが漏洩(個人1位)し、クレジットカードが不正利用(個人4位)されたり、インターネット上のサービスに不正ログイン(個人10位)されたり…。スマホ決済の不正利用(個人5位)もで
Intro 筆者は、 Web のセマンティクスに対する実装の方針として、大きく Push 型の実装 と Pull 型の実装 があると考えている。 もっと言えば、それは実装方法という具体的な話よりも、開発者のセマンティクスに対する態度を表現することができる。 この話は「Push よりも Pull が良い」などと簡単に切り分けられる話ではない。 「自分は今 Push で実装しているのか、 Pull で実装しているのか」この観点を意識するかしないかによって、セマンティクスに対する視野が広くなり、その応用として、たとえば今自分が行っている実装が、将来の Web においてどのような互換性の問題を生じるかなどを想像できるようになるだろう。最近問題になる Ossification を、こうした視点の欠如の結果とみることもできる。 (本エントリでの Ossification は、一般に言われている Pro
Project Googrename: Google Workspace で 14 年運用されたドメインエイリアスをプライマリドメインに変更 & 全ユーザーを安全にリネームする - クックパッド開発者ブログ
コーポレートエンジニアリング部の id:sora_h です *1。今回は 3 ヵ月ほど前に実施した、Google Workspace テナントのプライマリドメイン変更について、記録を兼ねて説明します。 クックパッドは 2009 年頃 *2 より Google Workspace *3 を利用しています。当社の対外的なメールアドレスは cookpad.com ですが、Google ではプライマリドメインとして cookpad.jp が設定されています。各ユーザーには cookpad.com のアドレスを別名 (エイリアス) として登録されていて、メールアドレスとしては cookpad.com を利用、ただ Google へログインする時だけ cookpad.jp を利用する運用になっていました。想像が出来ると思いますが、これが様々な面で不便・混乱を発生させていました。どうしてこうなった… *
早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方|ハイクラス転職・求人情報サイト AMBI(アンビ)
早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方 Webセキュリティ対策はなにかと面倒ですが、昨今はフレームワークが脆弱性に対応するなど、プログラミングは効率的になっています。その上でサービス全体の安全のため、開発チームがすぐ実施できるWebセキュリティ診断と要件定義について解説します。 こんにちは、松本(@ym405nm)です。 みなさんは業務やコミュニティ、趣味などでWebサイト作ってますか? SEO対策、ユーザビリティ、レスポンジブル、オートスケールなどなど、Webサイトを1つ作るだけでもさまざまな技術や考え方が必要であり、非常に奥深いものであるということは、このエンジニアHubの記事の多さが物語っているのではないでしょうか。 その中でもWebサイト開発者・運用者を悩ませるのは、Webセキュリティです。この記事では、開発フェーズから試すこと
Introducing WebContainers: Run Node.js natively in your browser
Introducing WebContainers: Run Node.js natively in your browser Update: Since the publication of this blog post in May 2021, WebContainers became stable and available on Firefox but most importantly, we released a WebContainer API for you all to enjoy! A few years ago we realized that the web was heading towards a key inflection point. The advent of WebAssembly and new capabilities APIs made it se
はじめに こんにちは。ブランドソリューション開発本部FAANSバックエンドブロックの田村です。普段はサーバサイドエンジニアとしてFAANSのバックエンドシステムの開発をしています。 FAANSとは、弊社が2022年8月に正式ローンチした、アパレル店舗のショップスタッフの販売サポートツールです。FAANSでは、データベースとしてGCPのサーバレスでドキュメント指向のNoSQLデータベースであるCloud Firestoreを当初採用していました。Cloud Firestoreはサーバレスなので運用負荷が掛からず、また安価でスケーラビリティにも優れたハイパフォーマンスなデータベースです。 しかし、Cloud Firestoreを使用して開発・運用していく中で直面した様々な課題からGCPのフルマネージドのリレーショナルデータベースであるCloud SQLのPostgreSQLにデータベースのリプ
2015年頃に脅威インテリジェンスという概念に出会ってから、色々調べて、講演・ブログで調査結果や自分の考えを公開してきましたが、一度その内容を体系的な資料として整理したいと考え、『脅威インテリジェンスの教科書』という形で執筆・整理したので、公開します。 脅威インテリジェンスの教科書 from Tomohisa Ishikawa, CISSP, CSSLP, CISA, CISM, CFE www.slideshare.net 先日公開した金融ISACの講演では、時間制約上、概要しかお話しできませんでした。それぞれの内容について、より詳細が知りたいという方は上記資料をご覧ください。 www.scientia-security.org なにかのご参考になれば幸いです。
はじめに 先日発表された話題のGoogle製OSS - Tsunamiを触ってみたので,実行方法と概要を残したいと思います. TL;DR サクッとコマンド叩くと脆弱性をjson形式で返してくれるので便利 ただ,XSSやSQLインジェクションといった内部のセキュリティーホールは見てくれない(これから対応するかもしれないが) どちらかと言うと,システムたくさん持ってる企業向け しかし,実行まで3分もかからないので,試してみる価値はあると思います. Tsunamiとは Tsunamiは,システムの脆弱性を高い信頼性のもと最小の誤検知率でRCE(遠隔からのコード実行)のような深刻度の高い脆弱性の検出を行います. 特徴としては,システム内部から実行することなく,外部から高速に実行でき,かつ,システムの規模に合わせて簡単にスケールすることができます. 作られた背景 昨今,攻撃者は自動化に力を入れている
2023年4月21日、新潟県は公文書管理システム上に登録された文書の添付ファイル約10万件が消失する事故が発生したことを公表しました。ここでは関連する情報をまとめます。 大量ファイル消失も県民への影響限定的と見解 2023年4月9日にファイルの消失事故が発生したのは県が運用していた公文書管理システム。2023年3月24日21時から2023年3月31日23時59分までにシステムに登録されたファイル10万3,389件が消失したことを事業者が確認した。新潟県は今回のファイルの大量消失は、庁内業務(庁内の意思決定手続きにかかるもの)で処理が既に行われたものであって、県民や事業者などへ直ちに大きな影響が及ぶことは想定していないと見解を示している。また事業者によれば、今回の事故は新潟県の公文書管理システムでのみ生じたもので、他の地方公共団体では発生していないとしている。 新潟県は行政DXの一環で庁内の
Deno ver 1.0 5月13日、Deno v1.0の正式リリースが決定しました。 少し勉強してみましょう。 ↑ かわいい Denoってなに? DenoはNode.jsの製作者であるRyan Dahlによって作られました、新しいJS/TSランタイムです Denoはdefaultで安全です(許可なしではファイル・ネットワーク・環境にアクセスできません) DenoはTypeScriptがビルトインで入ってます 外部パッケージはurlでインポートできます(Goみたいに) ディーノって読むらしい(デノではない) Denoが作られた背景 一年前くらいにこの動画を見たことを思い出しました。 Node.jsの作者であるRyan Dahlが、Node.jsを開発した当時の仕様を後悔する旨の動画です。 https://www.youtube.com/watch?v=M3BM9TB-8yA&t=1319s
2020年2月8日夜、日本テレビ系列が放送している「世界一受けたい授業」で「ホワイトハッカー」の仕事紹介を特集したシーンがありました。ここでは放送内容からpiyokangoが気になった点を取り上げます。 番組該当パートの構成 www.ntv.co.jp 番組の該当パートは約23分。以下構成で放送されていた。 イントロ(サイバー犯罪、サイバー攻撃の概要紹介) 該当パート説明担当者の紹介 ホワイトハッカーの仕事紹介 設問①としてFBIのiPhoneロック解除を取り上げ 仮想通貨流出事件のIR支援事例紹介 設問②として逆SEOを取り上げ 無線Wifiのハッキング実験 ランチ合コン探偵の番宣 番組中取り上げられた数字 番組中ではいくつかの数字に触れられていた。 サイバー犯罪の被害予想額は660兆円 Cybersecurity Venturesが2016年に発表している数字より引用された予測値。
「Pixel 3の文鎮化」の報告が相次いでいる
2018年11月にリリースされたGoogle製スマートフォン「Pixel 3シリーズ」が突然応答しなくなり、いわゆる「文鎮化」してしまうという報告が相次いでいます。これらの報告ではソフトウェア的な修正を試みても状況が改善しなかったことから、「何らかのハードウェア欠陥があるのでは」と報じられています。 Reports of Pixel 3s bricking with “EDL” message are growing | Ars Technica https://arstechnica.com/gadgets/2021/09/reports-of-pixel-3s-bricking-with-edl-message-are-growing/ Some Pixel 3 devices are stuck on EDL mode, and nobody knows why https://ww
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
自宅警備員ごっこで見つけるハッカーの痕跡 - Fox on Security
フロントエンド開発のためのセキュリティ入門 知らなかったでは済まされない脆弱性対策の必須知識 | 翔泳社
Linuxプロセスアクセス制御の概要 - えんでぃの技術ブログ
Amazon S3の脆弱な利用によるセキュリティリスクと対策 - Flatt Security Blog
「このままだと攻撃者の思う壺」イオンカードで不正利用の注意喚起のはずが…大間違いだった
LINEへの不正ログインに対する注意喚起 | LINE Corporation | セキュリティ&プライバシー
AWSのマルチアカウント戦略が難しい! | DevelopersIO
Twitterアカウント大規模乗っ取り犯逮捕 主犯は米在住の17歳
三菱電機は二段階認証を破られた - Fox on Security
DockerユーザーのためのPodmanとBuildahの紹介 - 赤帽エンジニアブログ
GoodBye Linux : the next OS
人気爆発のNotionと低迷のEvernote、ノートアプリのトレンド事情を読む
猛烈に成長するSaaSのインフラを猛烈にカイゼンする技術 - ANDPAD Tech Blog
[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで]
CTOの頭の中:技術と組織と牽制関係|Shin Takeuchi
社内をパスワードレスにするため頑張った話(前編) - Qiita
Web のセマンティクスにおける Push と Pull | blog.jxck.io
Cloud FirestoreからPostgreSQLへ移行したお話 - ZOZO TECH BLOG
『脅威インテリジェンスの教科書』を公開しました! - セキュリティコンサルタントの日誌から
話題のGoogle製OSS - Tsunamiを試してみた - Qiita
公文書管理システムの大量ファイル消失事故についてまとめてみた - piyolog
Denoの登場でNode.jsの時代は終わるのか? - Qiita
世界一受けたい授業「ホワイトハッカー」特集を見てみた - piyolog