セキュリティ入門Turbolinksアレルギー患者に捧げるTurbo & Stimulusでの時短実装術 / Kaigi on Rails 2023
TLS1.3とは何か?
プロダクト拡大フェーズでプロダクト検証サイクル効率化を目指す過程で見えたもの / Streamlining Product Validation in Growth Phase
みずほ銀行が恐ろしいサービスを始めます LINEで残高楽々確認 本当に安全なのか - がじぇぶ GADGETY BLOG
なんとLINEアプリを使用して簡単に入出金の確認ができるサービスを15日からみずほ銀行が始めるそうです。 参考: みずほ銀行:LINEでかんたん残高照会 スポンサードリンク 悪いことしか思い浮かばない 本当に大丈夫なの? 過去には個人情報の流出やハッキングの被害も 関連 悪いことしか思い浮かばない なんとこのサービス「暗証番号などを入力する必要はないのも特徴」の一つとなっています。初回のみ店番号、口座番号、氏名等を登録しておけば、あとはみずほ銀行のトーク画面でイラストスタンプを送るだけで、口座残高や直近10件までの入出金が見られるとのこと。 みずほ銀行は、スマートフォンで人気の無料通話アプリ「LINE」を使って、口座の残高などを簡単に確認できる国内初のサービスを15日から始める。 みずほ銀行の「トーク画面」で感情や用件などを表したイラスト「スタンプ」を送るだけで、残高と直近10件までの入出
国勢調査オンラインはトップページを http: で案内してるし、使っている証明書はOV SSL証明書だしちょっと問題あり - いろいろやってみるにっき
<20190814追記> EV SSL証明書についてはブラウザ側の扱いが変わりつつあり、当エントリは古い情報ということで下記エントリを参照頂きたい。 </追記終わり> 【追記 2015/09/15 10:50】書き方が悪かったようで、go.jpなんだからEV SSL証明書じゃなくていいだろというコメントが付く。意図を説明しておく。 EV SSL証明書を使うと、下記のようにブラウザのURL欄を見れば正規のサイトであることが一目瞭然。そのため毎回細かくURLを確認する必要が無い。幅広い利用者がいる今回の国勢調査オンラインの場合、利用者にリテラシを求めるより、見て分かるほうが一定のセキュリティを担保しやすい(フィッシングサイトに引っ掛からない)と考える。 スクリーンショットは【20140614加筆・訂正】三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なん
SSL で守られる生活
難解プログラミング言語「Piet」の解説とそのエディタを作った話です。 2015/08/21 Pidet公開しました。 https://github.com/kndama/Pidet
5分でわかる正しい Web サイト常時 SSL 化のための基礎知識
Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。 HTTPS をランキングシグナルに使用しますと Google が公式に発表したあたりから、Web サイトの SSL 対応、特に Google が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。 そこで、いい機会だしその辺に関する情報をまとめておこうかな~ と思って書いてみた、恒例の (?) 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。 常時 SSL
アンチウイルスソフトウェアの脆弱性
Breaking av software 市場に出回っているアンチウイルスソフトウェアの脆弱性についての研究発表のスライド資料が公開されている。 アンチウイルスソフトウェアは、セキュリティ向上のために重要だという意見があるが、このスライド著者は疑問を投げかけている。そもそも、ソフトウェアの追加は、攻撃できる箇所が増えるということだ。アンチウイルスソフトウェアは果たしてセキュアに作られているのか。 特に、多くのアンチウイルスソフトウェアは、カーネルドライバーを使ったりしている。もし脆弱性があればとんでもないことだ。 アンチウイルスソフトウェアの攻撃手段としては、細工されたファイルフォーマットをスキャンさせる事が大半だ。アンチウイルスソフトウェアは、様々なフォーマットのファイルをパースする必要がある。もし、そのパーサーにバッファーオーバーフローなどの不具合があれば任意のコードを実行させることが
そこそこセキュアなlinuxサーバーを作る - Qiita
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
「SSL証明書無償配布」がもたらすWebの変革、企業ネットの管理にも影響
2015年の夏以降、Webアクセスの姿が大きく変わる可能性が出てきた。現在主に使われている「HTTP(HyperText Transfer Protocol)」の代わりに、SSL(Secure Sockets Layer)やTLS(Transport Layer Security)を用いて通信を暗号化する「HTTPS(HTTP over SSL/TLS)」を利用したWebサイトやサービスが一気に増えることが予想されるからだ。 なぜHTTPの代わりにHTTPSを使うWebサイトやサービスが増えるのか。それは、HTTPSを利用するために必要となる「SSLサーバー証明書」(以下SSL証明書)を誰でも無償かつ簡単に入手できるようになるからである。これまでは、年間数千円から数万円程度の料金をベンダーに支払ってSSL証明書を取得する必要があった。2015年夏以降、これがタダで“も”入手できるようになる
銀行の、「右クリック禁止」に対応する。UserJS(Chromeの拡張機能) - それマグで!
新生銀行がマジF△ck 右クリック禁止ー。まぁいつものものか、右クリック禁止くらいならいいやっと思ってたら 右クリック禁止 cmd キー ctrl キーも警告 なんだよ、これ・・・セキュリティ・ヤクザ(蔑称)は何考えてるんですか。 タブ切り替でキーボードショートカット押したら、エラーで止まるんですね。 cmdキー イラッとして、 cmdキー連打したら・・・ もうね、更にダイアログ出るんですよ。あぁっもう。CMDやctrl のmodifier キーをエラー扱いするのやめてくれませんか。。。 cmdキー連打 UserJS 書いて対応した。 shinsei.user.js // ==UserScript== // @name 新生銀行の対策 // @match https://*.shinseibank.com/* // ==/UserScript== document.body.appendC
プログラマとして30年以上の経験から得た教訓 | POSTD
私は、プログラマとして30年以上仕事をしてきた中で、学んだことがあります。そのいくつかを以下にご紹介します。もっと挙げることもできますよ。 実物を見せないと、顧客の希望は分からない。 このことは最初の仕事で学びました。顧客は、実物を見るまでは、何が本当に必要なのかがよく分かりません。言葉で長々と説明するよりも、機能検証のためのプロトタイプを提示する方が確実に役立ちます。 十分な時間があれば、あらゆるセキュリティは破られる。 現代社会において、セキュリティを保つことは信じられないほどの難題となっています。プログラマは常に完璧を求められますが、ハッカーは1回でもハッキングができれば成功なのです。 セキュリティが破られた場合、事前にその状況に備えた対策を講じているかどうかで結果が変わってくる。 最終的にセキュリティが破られることを想定する場合、その時に起こることに備えて対策を立てておく必要があり
AWSのセキュリティが気になるなら読んでおくべきAWSセキュリティのベストプラクティス - yoshidashingo
cloudpackエバンジェリストの吉田真吾(@yoshidashingo)です。 昨日、DevLOVE現場甲子園2014東日本大会に参加して現場目線でのAWSセキュリティあるある的な話をして来ました。 その際にAWSのセキュリティ全般について知りたい場合に何を読めばいいか質問されたので、こちらで紹介しておきたいと思います。 AWSセキュリティセンター 1. AWSセキュリティ概要 ストレージデバイスの廃棄**の章では、ストレージデバイスが製品寿命に達した場合に、DoD 5220.22-M または NIST 800-88 に記載されている技術を用いてサニタイズを行ってから廃棄されるということが書かれています。 2. AWSセキュリティのベストプラクティス AWSの共有責任モデルを知る (1) Infrastructure servicesにおける共有責任モデル (2) Container
妻に公開鍵暗号を教えてみた - 西尾泰和のはてなダイアリー
何気なく放送大学をつけていたら公開鍵暗号の話をしていた。 妻「この話、何度聞いてもわかんないのよね」 僕「え、どこがわからない?どこまではわかってる?」 妻「平文はわかるけど、鍵を共有するとか秘密にするとか、署名するとかがよくわからない」 僕「あー、鍵に例えているのが逆効果なのか」 「鍵」をNGワードに指定 僕「じゃあ『鍵』という言葉を使わずに説明してみよう。暗号って『平文を暗号文に変換する方法』で伝えたい文章を暗号文に変えて送り、受け取った人はそれに『暗号文を平文に戻す方法』を使って元の文章を得るわけだ。その目的は、途中の通信文が敵に取られたりしても通信の内容がバレないようにするため。」 妻「うん」 僕「昔の暗号化の方法は、片方の方法がわかるともう片方の方法も分かった。例えば『アルファベットを後ろに1個ずつずらすと平文に戻せます』って教えてもらったら、『なるほど、前に1個ずつずらせば暗号
文字コードの脆弱性はこの3年間でどの程度対策されたか?
2019/01 JSUG勉強会の資料です。 この資料でDisっているのはJPAではなく、 ・何も考えずに「標準だから」というだけでJPAを選ぶ人 ・OSSに全くコントリビュートせずにフリーライドする人 です。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
安全なWebアプリ開発の鉄則 2004
他人事ではないWebセキュリティ
Bitcoinを技術的に理解する
Node.js のセキュリティの話