ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
情報科学若手の会とは、情報科学に携わる学生、若手研究者、エンジニアのディスカッションと交流の会です。NTT東日本特殊局員の登氏が政府に配布停止要請されたVPNソフトの話など、シン・テレワークシステムの開発のもととなった数々の経験を開発秘話として講演しました。今回は登氏がNTT東日本に呼ばれるまでの経緯について。前回の記事はこちら。 村井研を真似た部屋を大学内に作る 登大遊氏(以下、登):しばらくして、どうも他にすごい大学があるという噂が回ってきました。「SFCの村井先生の研究室はすごいらしい」と。みんな知らなかったんのですが、ちょっと筑波大の学生が夜中に見学しに行ったら、あそこはすごいと。「村井研はすごい」と。 こういうものを作りたくて、我々も真似しようとヤフーオークションや大学廃棄で大量機材を持ってきました。あとは、先ほどの国のお話とかでの収益と、SoftEtherも売れていたので収益が
Intro Cookie は、ブラウザに一度保存すれば、次からその値を自動的に送ってくるという、非常に都合の良い仕様から始まった。 State Less が基本だった Web にセッションの概念をもたらし、今ではこれが無ければ実現できないユースケースの方が多い。 冷静に考えればふざけてるとして思えないヘッダ名からもわかるように、当初はこのヘッダがこんなに重宝され、 Web のあり方を変えるかもしれないくらい重要な議論を巻き起こすことになるとは、最初の実装者も思ってなかっただろう。 そんな Cookie が今どう使われ、 3rd Party Cookie (3rdPC) の何が問題になっているのかを踏まえ、これからどうなっていくのかについて考える。 Cookie のユースケース Web にある API の中でも Cookie はいくつかの点で特異な挙動をする 一度保存すれば、次から自動で送る
ユーザー アカウント、認証、パスワード管理に関する 13 のベスト プラクティス2021 年版 | Google Cloud 公式ブログ
※この投稿は米国時間 2021 年 5 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。 2021 年用に更新: この投稿には、Google のホワイトペーパー「パスワード管理のベスト プラクティス」のユーザー向けとシステム設計者向けの両方の最新情報を含む、更新されたベスト プラクティスが含まれています。 アカウント管理、認証、パスワード管理には十分な注意を払う必要があります。多くの場合、アカウント管理は開発者や製品マネージャーにとって最優先事項ではなく、盲点になりがちです。そのため、ユーザーが期待するデータ セキュリティやユーザー エクスペリエンスを提供できていないケースがよくあります。 幸い、Google Cloud には、ユーザー アカウント(ここでは、システムに対して認証を受けるすべてのユーザー、つまりお客様または内部ユーザー)の作成、安全な取り扱い、
概要 職業ソフトウェアエンジニアを目指す方々にオススメしたい書籍トップ10です 以下の観点から選定しました 10年後でも変わらない、流行にとらわれず長く役に立つ、ソフトウェアエンジニアリングにおいて普遍的な知識 特定のプログラミング言語やプラットフォームやツールに精通するのではなく、現代のソフトウェア開発の哲学・文化の全体像が把握できることを優先 200~300ページくらいで初心者でも読破できる 400~500ページくらいの本もあるが、それらは辞書的に使うのがいい あえて10冊に絞り込んだので、ここに含められなかった書籍も当然あります CI/CDやDevOpsに関する本も入れたかった… デザインパターンに関する本も入れたかった… DDDやClean Architectureなどシステム設計に関する本は意図的に入れていない 真・プログラミングスクールに通うくらいならこの本を読め10選を書きま
Intro Web の https 化が進み、それに伴って https を前提とする API も増えてきた。 そうした API を用いた開発をローカルで行う場合、 localhost という特別なホストを用いることもできるが、それだけでは間に合わないケースも少なからずある。 localhost を https にするという方法もあるが、そのように紹介されている方法には、いくつか注意すべき点もある。 この辺りの話を、直近 1 ヶ月で 3 回くらいしたので、筆者が普段使っている方法や注意点についてまとめる。 特に推奨するつもりはない。 Update chrome の --host-rules について追記 localhost での開発の注意点 例として https://example.com にデプロイする予定の ServiceWorker を用いたアプリがあったとする。 開発をローカルで行う
新型コロナウイルスの流行を機に、NTT東日本が開発し無償提供しているテレワークシステムが好評だ。自宅のパソコンから安全に職場のネットワークに入れるシステムで、利用者はすでに3万2千人を超えたが、驚くべきはこのシステムがわずか2週間で開発された点だ。携わったのは同社が4月にヘッドハンティングした登大遊(のぼりだいゆう)さん(35)。業界では名の知れた天才プログラマーだ。 「短期間で作ったシステムだが、大きな事故はない。今後のシステム開発にとって大きな価値になる」 そう語る登さんは、小学生でプログラミングを始め、高校時代にはプログラミングに関する著書を出版。筑波大在学中に開発した独自のVPN(仮想プライベートネットワーク)システムで平成19年に経済産業相表彰も受けた。今も同社に籍を置きつつ、筑波大准教授や自ら起業したソフトウエア会社の代表も務める。 国のサイバーセキュリティー研究の中核を担う独
みなさんは『攻殻機動隊』と聞いてどれを思い浮かべるでしょうか。押井守の最初の劇場版でしょうか、それとも神山健治のSACシリーズでしょうか。ハリウッドの実写版を思い出す方もおられるかもしれません。 しかしながら、私にとっての”攻殻”は士郎正宗による漫画『攻殻機動隊』なのです。はじめてこの漫画を読んだときは、世にこれほどまでに面白い漫画が存在するのかと震えました。未だに私にとっての漫画の最高傑作です。しかし、この原作漫画はアニメシリーズと比較して、残念ながら知名度が高いとはいえません。 その理由の一つに、非常に難解なストーリー展開があると思います。一読しただけでは物語の把握は困難で、注釈が無数にあって、そして理解を読者に求めます。 この作品は、画に描いてあることを解説してくれない漫画なのです。読者は画とセリフから能動的に意味を読み取り、物語を自分で組み立てなければなりません。 もちろんそういっ
![原作『攻殻機動隊』全話解説 [第一話]|ヒト](https://cdn-ak-scissors.b.st-hatena.com/image/square/ff09e5146dcedcffaa79647d59cad9342c22a2c2/height=288;version=1;width=512/https%3A%2F%2Fassets.st-note.com%2Fproduction%2Fuploads%2Fimages%2F117053446%2Frectangle_large_type_2_ce2a1b99fb7396ba5ab70227e7f5e8fd.jpeg%3Ffit%3Dbounds%26quality%3D85%26width%3D1280)
Dockerfileのベストプラクティス Top 20
本文の内容は、2021年3月9日にÁlvaro Iradierが投稿したブログ(https://sysdig.com/blog/dockerfile-best-practices/)を元に日本語に翻訳・再構成した内容となっております。 Dockerfileのベストプラクティスのクイックセットをイメージビルドに適用することで、セキュリティ問題を防ぎ、コンテナ化されたアプリケーションを最適化する方法を学びます。 コンテナ化されたアプリケーションやマイクロサービスに精通している人なら、自分のサービスがマイクロサービスであることに気づいているかもしれません。しかし、脆弱性の検出、セキュリティ問題の調査、デプロイ後の報告や修正など、管理のオーバーヘッドがマクロな問題になっています。 このオーバーヘッドの多くは、セキュリティをシフトレフトし、開発ワークフローの中で可能な限り早く潜在的な問題に取り組むこ
もうiPhoneを買う理由はほぼないと思う
なんかiPhone13の話題でブコメが「iPhoneはオワコン」みたいになっていたのだけど、やはりそれでもiPhoneは売れるだろう。でも、個人的にはもうiPhoneを買う理由はないと思う。当方、会社支給の無印iPhone12とXiaomiのmi 11 lite 5gを持っているが、圧倒的にXiaomiがいい。iPhone7までは個人で使うのもiPhoneにしてたけど、もう自分でiPhoneを買う気はない。 コスト…iPhoneは9万でXiaomiは3万円。話にならない。 カメラ…僅差でXiaomiのほうがいい。 バッテリー持ち…Xiaomiの勝ち ディスプレイ…発色はほぼ同等だけどXiaomiのほうが大きく見やすい。 コネクタ…Lightningは不便すぎて捨てたい。USB-Cでパソコンもタブレットもスマホもイヤホンも充電できる便利さを知ってしまうと、アップルはアホかと思う。 指紋認証…
2020年4月、無償かつ即日利用可能なリモートデスクトップ環境が公開され話題を呼びました。 現在16万人を越えるユーザーを擁する「シン・テレワークシステム」です。 今回登場いただくのは、そのシン・テレワークシステムの開発者として知られる登大遊さん。 登さんは、多忙な業務の傍ら次世代の人材育成にも関心を寄せ、安易な解決策に走るITエンジニアの未来に警鐘を鳴らしています。 「万人受けするアウトプットには価値がない」と断言する登さんに、これからを担うITエンジニアが抱える課題とその解決策について話を聞きました。 プロフィール NTT東日本 特殊局員 独立行政法人情報処理推進機構 サイバー技術研究室長 登 大遊さん(@dnobori) 1984年兵庫県生まれ。筑波大学在学中の2003年に、IPA(独立行政法人情報処理推進機構)の「未踏ソフトウェア創造事業 未踏ユース部門」に採択。自作の『SoftE
7年前から指摘してきたのに 今回、朝日新聞・峯村健司さんらの報道で明らかになった、⽇本国内で最も利⽤されているSNS「LINE」の個⼈情報が、⽇本国外である韓国のサーバーに暗号化されていない無防備状態格納されており、しかも再委託先の中国企業などがアクセス可能な状態だったという事件は、第一級の情報漏洩事案である可能性があり、安全保障上、極めて重大な損失を日本の国家・社会に与えかねないものだと認識しています。 筆者は、LINEが設立に関与した一般財団法人情報法制研究所の事務局次長と上席研究員を兼任し、また、日本の個人情報保護の枠組みについて研究を行ってきました。 本件LINEの事件についても知り得る立場にあり、2014年ごろからこの問題について警鐘を鳴らしてきたつもりではありましたが、今回の一連の報道でようやく広く国民の知るところとなり問題視された件については、安堵と同時に忸怩たる気持ちを抱き
Mic King @iPullRank Ok, let's get this party started! A couple weeks ago I said I was publishing the most important thing I ever wrote. I was wrong. Documentation related to the Google Search algorithm leaked and I spent the weekend tearing it apart. ipullrank.com/google-algo-le… ✌🏾 2024-05-28 11:10:19 数週間前、私はこれまで書いた中で最も重要なものを発表すると言いました。それは間違いだった。 Google検索のアルゴリズムに関するドキュメントが漏洩したため、私は週末をかけてそれを徹底的に調
【更新】7pay問題でオムニ7アプリのソースコードに漏洩の疑い。「GitHub」上で誰でも入手可能だったか
7payをめぐる脆弱性の懸念が解決しないまま、不正使用事件発覚から約3週間が経った。この間、実行犯とみられる複数の中国籍の容疑者が逮捕され、また外部ID連携の実装の不備から、セキュリティーの懸念を指摘する報道が続いている。 セブン&アイHDは7月中を目処に、今後の対応策などを公表する予定だ。 しかしここへきて、これまでとは異なる、別の問題が浮上してきた。 7payにも関連する、ECアプリ「オムニ7」の設計図にあたるソースコードが漏洩していた可能性がある。オムニ7アプリはセブン-イレブンアプリとは別アプリだが、ログインまわりの設計は非常に似通っているとみる専門家もいる。 事実であれば、アプリ開発の管理体制、アプリ自体やサービスのセキュリティーに関するリスクの有無についても、一層の警戒が必要になる可能性がある。
pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog より引用 これに関連してMD5ハッシュやソルトに関するツイート(post)を観察したところ、どうもソルトの理解が間違っている方が多いような気がしました。
こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut
(語り手)JILIS副理事長 高木 浩光 (聞き手)JILIS出版部 編集長 小泉 真由子 (撮影)宇壽山 貴久子 この1年、過去の海外文献を調査していたという高木浩光さん。これまでの研究の一部は情報法制レポート創刊号の特集として掲載されましたが、高木さんに言わせると「あれはまだ序の口」とのこと。本日お伺いする内容は近々高木さん自身が論文にされる予定とのことですが、まだ時間がかかりそうということで、急ぎ、インタビューとしてお話しいただくことになりました。なお、このインタビューは大変長くなっております。ぜひ、最後までお付き合いいただければと思いますが、時間のない方は、目次を参照していただき、気になるトピックからお読みください。 —— 今日は、高木さんがどうしても今すぐみなさんに伝えたいことがあるとのことで、インタビューでお話を聞くことになりました。 高木: はい、よろしくお願いします。話はと
肛門コンプレッサ流体力学
この古い増田に関して解説を加えたいと思う。 ■肛門コンプレッサーまとめ https://anond.hatelabo.jp/20201105214157 なぜ肛門に圧搾空気を入れると人は死ぬのか?直腸が破れるからである。すると出血する。 しかし一番の問題はここからで、便が腹腔内に散らばるのである。こうなると便に含まれる様々な細菌が複合的な感染症を惹き起こし腹膜炎を発症する。 これをうんぺりという医者もいるらしい。腹膜炎はペリトナイティス、うんこによるペリトナイティスだからうんぺり。お医者さん…。 速攻で洗浄しないといけないから開腹手術が必要だ。腹膜はどんどん吸収して血管に流してしまうのであっという間に全身症状になり死んでしまう。 だからエアコンプレッサ浣腸なんてアフォな事をやった場合、死亡率は4割ぐらいになる。手術が成功してこの数字。 ウエットスーツ非着用での橋からのダイブでは高圧洗浄機カ
映画『Winny』|公式サイト
東出昌大 三浦貴大 皆川猿時 和田正人 木竜麻生 池田大 金子大地 阿部進之介 渋川清彦 田村泰二郎 渡辺いっけい / 吉田羊 吹越満 吉岡秀隆 監督・脚本:松本優作 STORY 殺人に使われた包丁をつくった職人は逮捕されるのか——。 技術者の未来と権利を守るため、 権力やメディアと戦った男たちの真実の物語。 2002年、開発者・金子勇(東出昌大)は、簡単にファイルを共有できる革新的なソフト「Winny」を開発、試用版を「2ちゃんねる」に公開をする。彗星のごとく現れた「Winny」は、本人同士が直接データのやりとりができるシステムで、瞬く間にシェアを伸ばしていく。しかし、その裏で大量の映画やゲーム、音楽などが違法アップロードされ、ダウンロードする若者も続出、次第に社会問題へ発展していく。 次々に違法コピーした者たちが逮捕されていく中、開発者の金子も著作権法違反幇助の容疑をかけられ、2004
2019年の今年は「令和元年」であるわけだが、年初はまだ「平成31年」だったので、ギリギリまだ平成ともいえる。ところで、ITの世界にもいろいろな都市伝説や根拠は薄いけれどもかっちり守られているしきたり/習慣があり、少なくとも今の世界では通用しないため本当は改善したほうがいいのだが業界的にずるずるといってしまっていることが色々と存在する。年末の今、平成を思い返したときに元IT企業に勤めていた人間として「この習慣は平成のうちに終わらせておかねばならなかっただろうに!」と悔やまれることを7つ挙げてみた。 ※ちなみに、諸君のまわりでこれらをすべてやめられている人がいたならば本当に神である、というのが残念ながら今の現状だ。 【7位】 2要素認証でない「2段階認証」 これは令和元年にセブンペイサービスの停止でだいぶ話題になったので、認識されている諸君も多いかもしれない。話題になったのは大手企業のサービ
はい、今回はみんな大好き(大嫌い)SIerについての話である。 デジタル庁の動きに駆動されて、日本で何度目かの内製推進が盛り上がろうとしている。 日本のITシステム開発がうまく行かない原因としてしばしば挙げられるのが、ユーザサイド(非IT産業)にエンジニアやプログラマなどのIT人材が不足しているというものだ。確かに、日本が欧米と比較してIT企業にIT人材を集中的に配置しているのは事実である。 こうしたIT人材の偏りによって、アジリティの高い開発ができない、CI/CDやDevOpsが進まない、というのは当たっているし、ユーザ企業も自らIT人材を雇用して内製を進めるべきだ、という議論にはもう十年以上の歴史がある(筆者が追えていないだけでもっと古いかもしれない)。 この時、悪玉として批判にさらされるのが、今回の主役であるSIerという存在である。日本における内製推進は、しばしばSIer批判とセッ
45歳のプログラマーが、警察庁、NTT、SMBCの一部システムのコードを流出させたというニュースを見た。 三井住友銀行などのソースコードが流出 “年収診断”したさにGitHubに公開か【追記あり】(ITmedia) 三井住友銀行(SMBC)は1月29日、同行のシステムに関連するソースコードが外部のWebサイト上に無断で公開されていたと明らかにした。 情報漏洩の事件自体は既に珍しくないが、気になったのが、流出させたとみられる本人の反応だ。 「商用利用してないので、何も言われないと思う」という呑気なツイートをしている。 出典:45歳プログラマーさん、警察庁とNTTとSMBCのソースコードを世界に無償公開してしまう ツイートを見るに、年収を査定してくれるというサービスを利用するために、ソースコードをアップしたという。 だが、「普通に」考えたら、お客さんに納品したコードを「本人が使い方もままならな
ウクライナ大統領府広報室が公開したゼレンシキー大統領の演説のウクルインフォルムによる仮訳は以下のとおり。 親愛なる細田議長、山東議長、岸田首相、日本の国会議員の皆さん! そして親愛なる日本の人々よ! 私、ウクライナ大統領にとって、日本の議会の歴史で初めてあなた方に呼びかけられることは、大変な光栄である。 私たちの首都は、8193キロメートル離れている。平均すれば飛行機で15時間だ。ルートによって異なる。しかし、私たちの自由の感覚の間には、どのような距離があろうか? 私たちの生きることを望む気持ちの間には? 私たちの平和を望む気持ちの間に距離があるだろうか? 2月24日、私は、その距離を全く目にしなかった。私たちの首都の間には、1ミリの距離すらも。私たちの気持ちの間には1秒の距離もなかったのだ。なぜなら、あなた方が私たちのところにすぐに支援に駆けつけてくれたからだ。私は、そのことにつきあなた
Amazon.co.jp(以下Amazon)で9月26日~27日ごろにかけ発生していた「他人の注文履歴や氏名住所が見えてしまう不具合」(関連記事)を巡って、問題が解消したとされる今でも、一部のユーザーから「ありえない」「不誠実」と怒りの声があがっています。編集部ではAmazonに対し、不具合の詳細や情報流出の規模などを問い合わせていましたが、Amazon側からは「本事象は完全に解消しており、同様の事象が再発しないよう防止策をすでに講じています」との回答しか得られませんでした。 今回発生していた不具合は、Amazonのサイトやアプリから「注文履歴」を見た際、自分以外のユーザーの注文履歴や氏名・住所などが表示されることがあった――というもの。氏名住所の流出はもちろん、加えて購入履歴から自分の趣味嗜好が丸裸にされてしまう可能性もあり、ネット上では「怖すぎる」「羞恥プレイ」「社会的に死ぬ」など、当
このエントリは、2018年、2019年に公開したAWS全サービスまとめの2020年版です。これまではいくつかに分割して公開していましたが、1エントリにまとめてほしいという要望をもらっていたため、今年は1エントリに集約してみました。 こんにちは。サービスグループの武田です。 このエントリは、2018年、2019年に公開した AWS全サービスまとめの2020年版 です。これまではいくつかに分割して公開していましたが、1エントリにまとめてほしいという要望をもらっていたため、今年は1エントリに集約してみました。どちらがいいのか正直わからないので、フィードバックなどあれば参考にさせていただきます。 2020-01-08 リクエストがあったためAmazon Mechanical Turkを追加。 2018年まとめ 【2018年】AWS全サービスまとめ その1(コンピューティング、ストレージ、データベー
昨日、上野宣(@sen_u)さんがパスワードの総当りに要する時間の表をツイートされ、話題になっています。 総当たり攻撃時のパスワード最大解読時間の表を日本語化した。https://t.co/cVSNUZkAKv pic.twitter.com/rtS8ixwOqi — Sen UENO (@sen_u) August 17, 2021 1万件を超えるリツイートがありますね。大変よく読まれているようです。しかし、この表は何を計測したものでしょうか。上野さんにうかがってもわからないようでした。 何ですかね?パスワード空間が大きくなると解読に時間が掛かるということくらいがわかりますかね。 — Sen UENO (@sen_u) August 17, 2021 一般に、パスワードの総当たり攻撃(ブルートフォースアタック)というと、以下の二通りが考えられます。 ウェブサイト等でパスワードを順番に試す
(CNN) 中国政府が運営する新疆ウイグル自治区の収容施設に教師として着任した1日目、ケルビヌル・シディクさんは兵士2人が若いウイグル族の女性1人を担架にのせて建物の外へ運び出すのを見た。 「女性の顔には生気が全くなかった。頬の色は失われ、呼吸もしていなかった」と証言するシディクさんは、元小学校教師。やむを得ない事情により数カ月間、新彊の収容施設2カ所で中国語を教えたという。2017年のことだった。 施設に勤務していた女性警官はこの後、運ばれた女性が出血多量で死亡したと告げたが、その原因は明らかにしなかった。この一件を皮切りに、女性警官はいくつもの話をシディクさんに聞かせることになる。3カ月間教師として働いたその施設は厳重な警備が敷かれた建物で、女性のための収容所だった。 シディクさんによれば、その女性警官は上司の命令で施設内でのレイプの報告を調査するため配属されたと説明していた。CNNは
お知らせ 2022年初頭に本記事を元にしたAWS書籍が技術評論社より全国出版決定いたしました。 関係者各位のご協力に深く感謝いたします。 タイトル:AWSエンジニア入門講座――学習ロードマップで体系的に学ぶ 本書籍出版までの制作プロセス、チーム執筆の方法論などをまとめました チームで技術書を出版して学べた共同執筆メソッド はじめに インフラ初学者がAWSを用いた設計・構築レベルに到達するため、学習の全体像をロードマップ図にまとめました。 背景 パブリッククラウド全盛期においてAWSは全エンジニアにとって「常識」となりました。 しかしながら、情報過多によってAWS学習に必要な情報がネット上のノイズに埋もれてしまい、初学者の直感による判断が誤った学習に行き着くこともあります。 このロードマップはAWS学習の全体像を俯瞰でき、パブリッククラウドを用いた設計・構築レベルに到達するまで導く体系的なス
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 本稿では、Webアプリケーション上で実装される「ログイン機能」の実装パターンをいくつか示し、その「仕様の中で起きうる脆弱性」とその対策について解説していきます。 「ログイン機能」はToB、ToC問わず多くのWebアプリケーションで実装されている機能で、XSSやSQL Injection、Session Fixationといったような典型的な脆弱性の観点については、なんらかの解説を見たことのある方も多いと思います。 しかし、「仕様の脆弱性」というのはあまり多く語られていない印象です。今回はそのようなタイプの脆弱性についての解説を行います。なお、IDaaSを用いずに自前でログイン機能を実装しているケースを複数パターン想定しています。 はじめに ログイン機能の仕様パターンとセキュリティ
事実は小説より奇なり。誰も恨まない生き方をするに至った過程をnoteにまとめ、たった1人でも役立てば良いと考え、ナレッジとして残すことにした。 経営は社長に責任がある。これは間違いない。起業家は出資者を恨むことをしない方が幸せになると思う。これもたぶん間違いない。厳密には違うけれども僕が心がけていることだ。 そんな僕が、金商法違反を平気で行うベンチャーキャピタル(VC)から個人破産申立をされた末に4,000万円支払った話をしようと思う。 しかし今でもVCを恨んでいない。そんな能天気な自分が明日を創ると信じている。起業家なら暴風雨でも前を向いて進みたいものだ。 さて、この話では普通は表に出てこないような失敗談や注意すべきポイントが多数出てくる。これから起業してエクイティによるファイナンスを検討している人にとって参考事例になることを願う。 未だに存在する昔ながらのベンチャーキャピタル起業した一
元勤務先の全データを消去 元システム管理者の男を逮捕
業務を妨害する目的で元勤務先のパソコン内のデータを全て消去したとして、千葉県警サイバー犯罪対策課は25日、電子計算機損壊等業務妨害の疑いで、東京都調布市多摩川の自称会社員、石橋典昭容疑者(62)を逮捕した。「社長や会社の対応に不満があり、会社の業務を妨害した」と容疑を認めているという。 逮捕容疑は3月5~6日、以前勤務していた千葉県八千代市の建設会社のパソコンに不正にアクセスし、顧客情報や契約書などの全データを消去したとしている。 石橋容疑者は同社のシステム管理を1人で行っており、1月の依願退職後も会社がIDやパスワードを変更していなかったため、データにアクセスできた。同課によると、個人情報の漏洩(ろうえい)などは確認されていない。
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
マッチングアプリ「Omiai」会員情報管理サーバーへの不正アクセスについてまとめてみた - piyolog
2021年5月21日、ネットマーケティングは同社が運営するマッチングアプリ「Omiai」の会員情報の一部が不正アクセスにより、流出した可能性が高いと発表しました。ここでは関連する情報をまとめます。 171万件の年齢確認書類画像が流出 www.net-marketing.co.jp 不正アクセスを受けたのはOmiaiの会員情報を管理するサーバー。意図しない挙動がサーバー上で確認され、その後内部点検から不正アクセスの痕跡を発見。 流出した情報は法令で確認が義務づけられた年齢確認書類の画像データ。通信ログ分析から数回にわたり画像データが外部へ流出したと判明。流出した画像データの約6割は運転免許証で、画像データの暗号化も行っていなかった。*1 当初流出の可能性と公表していたが、8月11日の第三報では流出が確認されたことを公表した。 流出アカウント件数 171万1756件 (会員累計数は20年9月末
パーフェクトRails著者が解説するdeviseの現代的なユーザー認証のモデル構成について - joker1007’s diary
最近、パーフェクトRuby on Railsの増補改訂版をリリースさせていただいた身なので、久しぶりにRailsについて書いてみようと思う。 まあ、書籍の宣伝みたいなものです。 数日前に、noteというサービスでWebフロント側に投稿者のIPアドレスが露出するという漏洩事故が起きました。これがどれぐらい問題かは一旦置いておいて、何故こういうことになるのか、そしてRailsでよく使われるdeviseという認証機構作成ライブラリのより良い使い方について話をしていきます。 (noteがRailsを使っているか、ここで話をするdeviseを採用しているかは定かではないので、ここから先の話はその事故とは直接関係ありません。Railsだったとしても恐らく使ってないか変な使い方してると思うんですが、理由は後述) 何故こんなことが起きるのか そもそも、フロント側に何故IPアドレスを送ってんだ、という話です
note執筆者のIPアドレスが漏洩 接続元IPアドレスが一致しても同一人物とは限らないが(楠正憲) - エキスパート - Yahoo!ニュース
利用者が記事を配信・販売できるサービスnoteで8月14日、執筆者のIPアドレスを確認できてしまう不具合が見つかり、運営元は謝罪し同日中に修正しました。同社は「一般的なIPアドレスから、個人情報を特定することはできません」としていますが、ネットでは有名人のIPアドレスと一致する5ちゃんねる投稿が検索されるなど騒ぎは続いています。IPアドレスから個人を特定されたり、他の投稿との名寄せが行われるリスクはどの程度あるのでしょうか。 IPアドレスとはインターネットで通信を行う際に必要な差出人・宛先を示す住所のことです。現在IPv4、IPv6という2つの世代の技術が利用されており、note社のサービスはIPv4のみを利用しています。インターネットのIPv4アドレスは2011年に枯渇し、その後も利用者が増え続けたISPではCGNAT等の技術を用いることで数百人の利用者が同じIPアドレスを共用しています
【追記】妻の育ちが悪くて離婚になりそう
なりそうというか今の所ほぼ確定だけど(慰謝料とか財産分与で揉めている) 元々義母が断捨離依存症で、しかも自分の持ち物じゃなくて他人の物を捨てたがる厄介なタイプ。 妻や義姉、義父なんかも度々被害に遭っていたそうだ。(例えば妻は子供の頃からおもちゃや漫画本、CDなんかを勝手に捨てられていたらしい) それでも妻が実家にいた頃ぐらいは義父や義母方の義祖父母(結婚した時には既に亡くなっていた為面識は無い)が叱れば ある程度は収まっていたそうだが、義祖父母が亡くなり、義母も定年退職した頃ぐらいから悪化していった。 妻や義姉が実家に置いてあった学生の頃の思い出の品から義父の若い頃からのコレクション等を勝手に処分したり 義姉宅に甥っ子の世話をしに行った際に義姉夫の私物を勝手に売り払ったりする様になった。 当然義母との関係は悪化し、義父は仕事の資料(退職後に始めた法律関係の仕事)を義父が外出した隙を見計らっ
業務スーパー ある人物が「業務スーパー」で働き始めたところ、普段訪れていた喫茶店の店主が定期的に業務スーパーでレトルトカレーを大量に購入している光景を目にし、自家製だと思っていたカレーがレトルト商品だったと知り驚いたというネット上の投稿が、一部で話題を呼んでいる。 2000年に兵庫県三木市で1号店がオープンした業務スーパーは、昨年には国内1000店舗を達成。積極的にメーカーを買収して生産能力を拡大させ、自社で企画・製造するオリジナル商品を増やし、海外メーカーから直輸入する商品とともに圧倒的な低価格で販売することで急成長を遂げてきた。多くの店舗をフランチャイズ形式で運営し、業務スーパーは商品とノウハウの提供に注力することで低コスト経営を実現。運営元の神戸物産の業績も好調で、2022年10月期連結決算の売上高は前期比12.4%増の4068億円、営業利益は同1.9%増の278億円、経常利益は同1
高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2
「幸福追求権は基本的人権ではない」/香川県ゲーム規制条例訴訟の香川県側の主張が憲法的にひどいことを考えた : なか2656のblog
香川県ネット・ゲーム規制条例に関する訴訟の第3回目の口頭弁論が6月15日に高松地裁で行われたとのことです。 ■関連記事 ・香川県ネット・ゲーム依存症対策条例素案を法的に考えた-自己決定権・条例の限界・憲法94条・ゲーム規制条例 ところで、この第3回目の口頭弁論の毎日新聞の記事における、原告の住民側と被告の香川県との主張の争点に関する図がネット上で話題となっています。つまり、香川県側は何と、「幸福追求権は基本的人権ではない」と主張しているとのことです。 ・ゲーム条例訴訟 「依存症は予防が必要」 原告主張に県反論 地裁口答弁論 /香川|毎日新聞 (毎日新聞より) この点、弁護士の足立昌聰先生(@MasatoshiAdachi)が、この訴訟の原告である、香川県の大学生のわたるさん(@n1U5E6Gw119ZjGI)経由で原告代理人の作花知志弁護士に照会したところ、わたるさんより「この毎日新聞の要
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
けしからんファイアウォールに負荷掛けたら警察から手紙きた 登大遊氏が光ファイバーの先に興味をもった理由
牧歌的 Cookie の終焉 | blog.jxck.io
プログラミングスクールに通うくらいならこの本を読め10選 - ニート向けソフトウェアエンジニアリング塾
ローカル開発環境の https 化 | blog.jxck.io
天才プログラマーが2週間で構築 テレワークシステムが好評
原作『攻殻機動隊』全話解説 [第一話]|ヒト
登さん、LAPRASをどう思いますか?そしてエンジニアは今後どうすべきですか? - LAPRAS NOTE
だから言わんこっちゃない、LINE情報漏洩の深すぎる闇(山本 一郎) @gendai_biz
Googleの検索アルゴリズムの内部資料が漏洩か?「SEO業界で長年疑われていたものが明らかに」
ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita
OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife
高木浩光さんに訊く、個人データ保護の真髄 ——いま解き明かされる半世紀の経緯と混乱
デロイト トーマツ コンサルティング合同会社が当社の秘密情報を漏洩した件(PDF) | イオン株式会社
平成のうちにやめたかった『ITの7つの無意味な習慣』 - Qiita
SIerとは何か、何であるべきか ― 偉大ならざるリスクテイカー|ミック
ネットフリックスのような「ルールのない企業」は、どうやって社員の愚行を防いでいるのか。
ゼレンシキー宇大統領の日本の国会で演説全文 - ウクルインフォルム通信
Amazonユーザーが震え上がった「注文履歴流出騒動」の恐ろしさ 解消報道後も「不誠実」と怒りの声やまず
【2020年】AWS全サービスまとめ | DevelopersIO
総当たり攻撃時のパスワード最大解読時間の表(by 上野宣)について分析した - Qiita
「手足に鎖の生徒」と「集団レイプ」、女性たちが証言する中国の収容施設の内側
クラウドエンジニア(AWS)ロードマップ2021 - Qiita
Webサービスにおけるログイン機能の仕様とセキュリティ観点 - Flatt Security Blog
ベンチャーキャピタルから個人破産申立されて4,000万円支払った話|佐藤由太
二階氏「ダーウィンも喜んでいる」 進化論の誤用問われ:朝日新聞デジタル
業務スーパーに勤務→通う店のレトルトカレー大量買い判明…飲食店の既製品使用の実態|Business Journal