ブラウザのアドレスバーで検索できて便利やん。でもね、会社でつかうのはやめとき。 mDNSで同じLAN居る人全員に、このアドレス知りませんか?って検索ワードで聞きおるで。 Firefoxは検索窓がアドレスバーの右にあるからアドレス… https://t.co/zhn1fKxxe2
akira_you on Twitter: "ブラウザのアドレスバーで検索できて便利やん。でもね、会社でつかうのはやめとき。 mDNSで同じLAN居る人全員に、このアドレス知りませんか?って検索ワードで聞きおるで。 Firefoxは検索窓がアドレスバーの右にあるからアドレス… https://t.co/zhn1fKxxe2"
ブラウザのアドレスバーで検索できて便利やん。でもね、会社でつかうのはやめとき。 mDNSで同じLAN居る人全員に、このアドレス知りませんか?って検索ワードで聞きおるで。 Firefoxは検索窓がアドレスバーの右にあるからアドレス… https://t.co/zhn1fKxxe2
政府機関サイトなど一時ダウン Fastlyが障害公表:朝日新聞デジタル
欧米や日本の政府機関や主要メディア、ネット通販などのウェブサイトが8日午後7時ごろから一時、接続できなくなった。米企業が運営するコンテンツ配信サービスで障害が起き、このサービスを利用していたサイトが影響を受けた可能性がある。 朝日新聞は8日午後7時半の時点で、英国政府の窓口サイトや国際オリンピック委員会(IOC)のほか、環境省や金融庁といった日本の政府機関に影響が出ていたことを確認した。 メディアでは、米ニューヨーク・タイムズやCNN、英BBC、ガーディアン、フィナンシャル・タイムズ、仏ルモンドといった海外の大手に加え、読売新聞や日本経済新聞、ABEMA(アベマ)などのサイトにも一時接続できなくなった。 通販大手アマゾンの日本サイトや楽天、フリマサイトのメルカリも接続できなかったり、レイアウトが崩れたりするなど不安定な状態になった。 コンテンツ配信サービス大手の「Fastly(ファストリー
LINE 個人情報 中国 委託先技術者から少なくとも32回アクセス | NHKニュース
通信アプリ大手、LINEの利用者の個人情報などが、システムの管理を委託されていた中国の会社の技術者からアクセスできる状態になっていた問題で、実際に中国の技術者から少なくとも32回、日本のサーバーにアクセスがあったことがわかりました。 この問題は、LINEがシステムの管理を委託している中国の会社の技術者4人が、日本国内のサーバーに保管されている利用者の名前や電話番号、それにメールアドレスといった個人情報や、利用者の間でやり取りされたメッセージや写真などのうち、不適切だとして通報が寄せられた内容にアクセスできる状態になっていたものです。 LINEでは2月下旬にアクセスできない措置を取りましたが、中国の技術者から少なくとも32回、日本のサーバーにアクセスがあったことがわかりました。 LINEや親会社のZホールディングスによりますと、これまでのところ、情報が悪用されたという報告はないとしています。
福岡県の新型コロナ陽性者情報流出についてまとめてみた - piyolog
2021年1月6日、福岡県は新型コロナウイルス感染症陽性者の情報の外部への流出が発生したと発表しました。ここでは関連する情報をまとめます。 福岡県内の陽性者一覧が流出 新型コロナウイルス感染症対策本部(調整本部)における個人情報の漏えい等事案について(福岡県) 対象の陽性者数は約9,500人。(同県全体でこれまでに把握された2021年1月5日頃までの全陽性者数に相当) 流出したファイルは調整本部が作成した陽性者の一覧表。陽性者の氏名、年齢、性別、居住自治体名、症状などが含まれる。 インターネット上で1か月(2020年11月30日から少なくとも2021年1月5日)にわたり、第三者(メール誤送信を受けた男性一人)が閲覧できる状態だった。男性以外の流出や悪用の事実は確認されていない。 経緯をまとめると以下の通り。 日時 出来事 2020年4月 対策本部がGoogle Drive上での陽性者一覧表
「全ての開発者にセキュリティ知識を」演習まで完全オンラインの学習サービス公開
セキュリティ学習プラットフォーム「Flatt Security Learning Platform」 すべての画像提供 : Flatt Security 財布、カギ、自動車、部屋の中にある電化製品、ひいては自分の身体情報まで。身の回りのモノのIoTプロダクト化や、決済サービスなど便利なアプリケーションの普及が進めば、さまざまな情報がインターネット上に繋がるようになる。 そこで重要になるのがセキュリティだ。ユーザーの日常生活に深く関わり、そこで扱う情報がセンシティブなものになるほど、開発企業にはこれまで以上に万全なセキュリティが求められる。 ただアプリケーションが複雑化すればするほど、セキュリティを担保するのも大変だ。セキュリティ診断やペネトレーションテストなどのプロフェッショナルサービス(コンサルティング)や診断ツールを活用する企業も多いが、それだけでは必ずしも十分ではない。プロダクトに携
銀行口座から「ドコモコウザ」名義で身に覚えのない引き落としが何度も行われる事案が複数発生…いったい何が起こっているの?
桂 奈津子(なっつるん) @nattsurun 金融取引被害に遭いました。メインバンクから、「ドコモコウザ」名義で、4回に渡って30万円ものお金が引きだされ、行方不明に。銀行は「ドコモから情報が漏れたんだろう」ドコモは「銀行から情報が漏れたんだろう」でまともに調べてくれず。警察がなんとか捜査はしてくれるそうですが…😭 2020-09-03 22:40:19
ちょっとでもセキュリティに自信がないなら、 Firebase Authentication を検討しよう
note のやらかしのあのへんについて。 認証自作、 Rails 、 Devise - Diary パーフェクト Rails 著者が解説する devise の現代的なユーザー認証のモデル構成について - joker1007’s diary 認証サーバーの実装は本質的に難しいです。セキュリティが絡むものは「簡単な実装」などなく、プロアマ個人法人問わず、個人情報を守るという点で、同じ水準を要求されます。悪意あるハッカーは常にカモを探していて、もし認証が破られた場合、自分だけではなく大多数に迷惑が掛かります。初心者だから免責されるといったこともありません。全員が同じ土俵に立たされています。 とはいえ、認証基盤を作らないといろんなサービスが成立しません。そういうときにどうするか。 Firebase Authentication で、タイトルの件なんですが、 Firebase Authenticat
高木浩光@自宅の日記 - 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む
■ 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む IPAの「安全なウェブサイトの作り方」(改定第7版2015年、初版2006年)のHTML版が出ている。項目別にページが作られている。 1.1 SQLインジェクション 1.2 OSコマンド・インジェクション 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル 1.4 セッション管理の不備 1.5 クロスサイト・スクリプティング 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) 1.7 HTTPヘッダ・インジェクション 1.8 メールヘッダ・インジェクション 1.9 クリックジャッキング 1.10 バッファオーバーフロー 1.11 アクセス制御や認可制御の欠落 というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の
「場所は絶対秘密」警視庁が500人の「サイバー捜査ビル」を開所 | FRIDAYデジタル
4月1日、東京・文京区に突如、謎のビルが出現した。黒壁で覆われた建物内へスーツ姿のイカツイ男たちが次々に入っていくが、看板は真っ白で(2枚目写真)、案内板には何の説明もない。 通行人がそろって訝(いぶか)しげに見上げるこの建物。実はこれこそ、このほど警視庁が創設した一大捜査拠点、通称「サイバービル」なのである。 「生活安全部サイバー犯罪対策課や公安部サイバー攻撃対策センターなど、警視庁の各部署のほか、警察庁の出先機関である東京都警察情報通信部を加えた計6部門が入っています。捜査員約500人が、この『サイバービル』に勤務しています」(警視庁関係者) 4月2日には開所式も行われ、吉田尚正警視総監が「東京五輪を見据え、総力を挙げて結果を出す」と決意表明した。創設の目的はもちろん、急増・多様化しているサイバー犯罪に対応すべく、各部署の連携を強化するためだ。 「なかでも、最も注力しているのは、今年1
LANケーブルをニッパーで切断し5秒でネットワークへ侵入・盗聴できるか実験してみました
サイバーセキュリティにおいてLANケーブル(有線LAN)からの侵入について考えたことがあるでしょうか?本稿では、LANケーブルをニッパーで切断してネットワークへ侵入・盗聴した実験結果を紹介します。切断してから何秒で侵入・盗聴できたのでしょうか? 本記事は、ケーブルを切断してネットワークへ侵入・盗聴されるリスクがある事を知っていただく事を目的としています。 ご自身の環境以外では試さないようお願いします。 なぜLANケーブルからの侵入? 技術部の安井です。長年制御システムを開発してきた経験から制御システムセキュリティ向上に取り組んでいます。制御システムの業界では、近年外部ネットワークを経由しての侵入や内部に持ち込まれたUSBメモリからの侵入が注目されています。一方で、なぜかネットワークを構成する大きな要素であるLANケーブルや光ケーブルからの侵入への注目度は低いようです。制御システムに関わらず
GPUでZIPパスワードを解析する - Qiita
GPUでZIPパスワードを解析する 企業間のファイルのやり取りにZIPファイルの暗号化がされていることが多いのですが、その暗号は意味がなかったり、弱かったり、余計にセキュリティリスクが高くなっています。ZIPの暗号化が使えないことを証明するにはパスワードを解析するのが一番です。 パスワードが解析できるなら、もうあとからパスワードを送る必要はないのです。 用意するもの Windows PC Windows10を使いました。 GPU できる限り早いやつ ノートPCなので、外付けGPUケースにThunderbolt3でGPUを接続しています。 GTX 2080とケースで 10万円ぐらいかかっています。 CUDA Toolkit あらかじめ入れておきましょう。 hashcat hashcatのWindows版で公式サイトからダウンロードしたもので、バージョンが5.1.0の場合は古いので対応していま
HDD「簡単で毎日のように盗んだ」容疑者、早朝狙いか:朝日新聞デジタル
個人情報を含む行政文書が記録された神奈川県庁のハードディスク(HDD)がネットオークションを通じて転売された問題で、警視庁は、HDDの処理を請け負ったブロードリンク(東京都中央区)の元社員、高橋雄一容疑者(51)=横浜市旭区都岡町、懲戒解雇=を6日夜に窃盗の疑いで緊急逮捕した。調べに対し、「簡単にできるから、毎日のように盗み出していた」と供述していることが、捜査関係者への取材でわかった。 同社などによると、高橋容疑者は2016年2月に入社。HDDのデータの消去を担当していた。勤務していた同社の本部テクニカルセンター(東京都大田区)の「データ消去室」は、バッグなど私物の持ち込みは禁じられ、出入りにはIDカードと指紋の認証が必要という。 捜査関係者によると、高橋容疑者は、人目につかないように他の社員がいない早朝を狙って盗みを繰り返していたとみられ、「入社直後からやっていた」とも話しているという
「変なホテル舞浜」卵型ロボの脆弱性報告、なぜ「不審扱い」された? 不幸なすれ違いの背景
「変なホテル舞浜 東京ベイ」の客室に設置されていたロボット「Tapia」に、不正操作につながる脆弱性が存在していたことが明らかになりました。変なホテルを運営するH.I.S.ホテルホールディングスとTapiaの開発元であるMJIは10月17日、セキュリティを強化する旨を発表しましたが、一連のプロセスから考えさせられることは多そうです。 連載:ITの過去から紡ぐIoTセキュリティ 家電製品やクルマ、センサーを組み込んだ建物そのものなど、あらゆるモノがネットにつながり、互いにデータをやりとりするIoT時代が本格的に到来しようとしています。それ自体は歓迎すべきことですが、IoT機器やシステムにおける基本的なセキュリティ対策の不備が原因となって、思いもよらぬリスクが浮上しているのも事実です。 この連載ではインターネットの普及期から今までPCやITの世界で起こった、あるいは現在進行中のさまざまな事件か
HTML5のLocal Storageを使ってはいけない(翻訳)|TechRacho by BPS株式会社
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Randall Degges - Please Stop Using Local Storage 原文公開日: 2018/01/26 著者: Randall Degges 日本語タイトルは内容に即したものにしました。 画像は元記事からの引用です。 初版公開: 2019/10/19 追記更新: 2024/04/05 -- リンク情報を記事末尾に移動しました 本気で申し上げます。local storageを使わないでください。 local storageにセッション情報を保存する開発者がこれほど多い理由について、私にはさっぱり見当がつきません。しかしどんな理由であれ、その手法は地上から消えてなくなってもらう必要がありますが、明らかに手に負えなくなりつつあります。 私は毎日のように、重要なユーザー情報をlocal storageに保存す
Shiro Kawai on Twitter: "これはかなりすごいソーシャルハック。 「怪しいカードの利用がありました。マイアミで使いましたか?」 (いいえ) 「わかりました。このトランザクションはブロックします。本人確認のためメンバー番号を」 (メンバー番号自体は特に秘密でな… https://t.co/NHMlzcqkEj"
これはかなりすごいソーシャルハック。 「怪しいカードの利用がありました。マイアミで使いましたか?」 (いいえ) 「わかりました。このトランザクションはブロックします。本人確認のためメンバー番号を」 (メンバー番号自体は特に秘密でな… https://t.co/NHMlzcqkEj
クレジットカードの偽決済画面が稼働していたサーバーについて調べてみた - piyolog
2019年6月8日夜、クレジットカードの情報窃取を目的としたページが稼働していたと情報をいただきました。偽ページが稼働していたドメインやIPアドレスを調べたところ、いくつか興味深い情報が確認できたため、調べた内容をここではまとめます。 偽決済画面だらけのサーバー 情報提供頂いたURLではクレジットカード情報を窃取することを目的とした偽決済画面が稼働していた。 サブドメインには決済代行サービスのペイジェントに似せた文字列が用いられていた。 偽決済画面はワイン販売を行っている会社名がフォーム上部(モザイク部)に掲載。 この会社は2019年2月にWebサイトの改修を目的として一時閉鎖すると案内。 6月に新ドメインでECサイト再開。新ドメインへ移行した理由は「諸事情により」とのみ説明。 問題のドメインsearch-hot.comを調べる 問題のページが稼働していたドメインsearch-hot.co
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
徳丸試験(ウェブ・セキュリティ基礎試験)の試験情報と勉強方法 - Qiita
認証しないWeb認証 限定公開URLのセキュリティについて考える 公開版
大澤昇平🇺🇳 on Twitter: "俺に対する悪意しか感じないクソまとめ記事だな。 どういう思考すれば 90% 安全が「絶対安全」って解釈になるんだよ。 要するに「10% は危険」ってことだぞ。 確率論も理解できないセキュリティエンジニアには組織のリスク管理をや… https://t.co/F97MKKYD09"
各社のログインAPIで返ってくるIDは何であるのかと、PPIDの現状について
