Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。 個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。 (関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨) 三行VPN→プライベートクラウドの管理システムとオンプレ認証→各システムと言う流れで侵入されていると思われるオンプレのディレクトリサービスとクラウドのidMが接続され、オンプレの認証資格でSaaSは一部やられた可能性がある現在クラウドにリフトアップ中で、新システムはモダンな対策された方法で保護されており無事だった。が、それ故にオンプレへの対策が後手だったのでは会社のシステムはどうなってるか私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさ
迷惑メールは【meiwaku@dekyo.or.jp. 】のアドレスに転送すると総務省が行政処分してくれるらしい→ 『迷惑メール相談センター』ってド直球ですねw
瀬之本久史 @senomotomb 自分メモ 【迷惑メールが来たら、meiwaku@dekyo.or.jp. のアドレスに転送して、本文の文中に受信月日・迷惑メール送信者のアドレスを書いておくと総務省が行政処分してくれる】 あとで試してみよう。 2024-06-24 10:49:40
出版大手KADOKAWAがサイバー攻撃を受け、動画配信サイト「ニコニコ動画」などが利用できなくなった問題で、ロシア系ハッカー犯罪集団が27日、匿名性の高い「ダークウェブ」上の闇サイトに犯行声明を出したことが分かった。 ハッカー集団は「ブラックスーツ」を名乗り、真偽は不明だが、利用者や従業員の個人情報など大量のデータを盗んだと主張。金銭を支払わないと7月1日に公開するとした。KADOKAWAは「現時点で当社としては、お答えできることはない」とコメントした。 ブラックスーツは身代金要求型のコンピューターウイルス「ランサムウエア」を使う有力な犯罪集団の一つとされる。犯行声明の主張によると、約1カ月前にKADOKAWAの情報システムに侵入し、約1.5テラバイトのデータを盗み、暗号化した。KADOKAWAの経営陣と取引したが、提示された金額に不満があり、金額を上乗せするよう脅迫したという。 KADO
Gmailに届かなくなる?最近の電子メールで何が起っているのか? | IIJ Engineers Blog
IIJ 技術担当部長 最近はインターネットの技術を紹介するのがお仕事です。元々プログラマ、サーバ・データセンター・ネットワーク・セキュリティ・モバイルといろいろやってきました。 ここしばらく「2024年6月よりGoogle (Gmail) が迷惑メール対策を強化、メールが届かなくなるかも」というややセンセーショナルなニュースが流れていました。本件、掘り下げるとややこしい話ではあるのですが、この記事ではざっくりと「何が起っているのか」についてまとめてみたいと思います。(説明を簡単にするため、細かいことは省いています) 結局、私は何をすれば良いの? この問題、「Google (Gmail)で何か起るらしい」という報道のため、Gmailを使っている人が何かしなければならない雰囲気があります。ですが、実際に対応しなければならないのは、Gmailを使っている人ではありません。むしろGmailを使って
OneDriveが“勝手に同期”仕様変更に相次ぐ懸念「メチャクチャに」翻弄されるユーザーも…実際に検証してみた | オタク総研
OneDriveが“勝手に同期”仕様変更に相次ぐ懸念「メチャクチャに」翻弄されるユーザーも…実際に検証してみた
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
出版大手のKADOKAWAが大規模なサイバー攻撃を受けた。ランサムウエアによって複数サーバーのデータが暗号化。子会社のドワンゴが運営する「ニコニコ動画」などがサービス停止に追い込まれた。KADOKAWAの業務サーバーも使えなくなり、業務に影響が出た。取引先や従業員の情報漏洩も確認されている。 KADOKAWAへの大規模なサイバー攻撃が分かったのは、2024年6月8日土曜日の午前3時30分ごろ。グループ内の複数サーバーにアクセスできない障害が発生していることが検知された。 子会社のドワンゴが運営する動画配信サービス「ニコニコ動画」「ニコニコ生放送」をはじめとする一連の「ニコニコ」サービスのほか、チケット販売の「ドワンゴチケット」などが提供不能になった。 8日午前8時ごろには、不具合の原因がランサムウエアを含むサイバー攻撃であることを確認。グループ企業のデータセンター内におけるサーバー間通信の
大規模なサイバー攻撃を受けている出版大手、KADOKAWAの夏野剛社長のX(旧ツイッター)アカウントについて、傘下のドワンゴが手掛ける「ニコニコ動画」の窓口担当は25日、「乗っ取られたわけではない」とXで明らかにした。夏野氏はドワンゴの代表取締役社長も務めている。 「ニコニコ窓口担当」の投稿によると、「昨日、弊社代表取締役のXアカウントに連携しているアプリのいずれかよりスパムポストが投稿されるという事案がありました」という。一方、「代表取締役当人とともに弊社エンジニアが確認したところ、アカウントへの不審なログイン形跡は見当たらず、また不審なポストをされるより以前、サイバー攻撃を検知した当日にパスワードの変更を実施済みでした。したがいまして、代表取締役のXアカウントが乗っ取られたわけではなく、Xアカウントに連携しているアプリのいずれかよりスパムポストが投稿されてしまったものと思われます」と説
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ダークウェブに自分の情報が漏れているか確認するGoogleの機能が無料に
世界規模でWindowsデバイスが次々とブルースクリーン(BSoD)に! 大規模障害発生中【17:10追記】/「CrowdStrike Falcon Sensor」に含まれるドライバーが原因か
KADOKAWAのハッキングの話チョットワカルので書く
ロシア系ハッカーが犯行声明 ニコニコ動画へのサイバー攻撃 | 共同通信
OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog
KADOKAWAがランサム攻撃で「ニコニコ」停止、身代金を支払うもデータ復旧できず
KADOKAWA夏野社長のXアカウント「乗っ取りではなかった」ニコニコ窓口担当が公表