ちょっとでもセキュリティに自信がないなら、 Firebase Authentication を検討しよう
note のやらかしのあのへんについて。 認証自作、 Rails 、 Devise - Diary パーフェクト Rails 著者が解説する devise の現代的なユーザー認証のモデル構成について - joker1007’s diary 認証サーバーの実装は本質的に難しいです。セキュリティが絡むものは「簡単な実装」などなく、プロアマ個人法人問わず、個人情報を守るという点で、同じ水準を要求されます。悪意あるハッカーは常にカモを探していて、もし認証が破られた場合、自分だけではなく大多数に迷惑が掛かります。初心者だから免責されるといったこともありません。全員が同じ土俵に立たされています。 とはいえ、認証基盤を作らないといろんなサービスが成立しません。そういうときにどうするか。 Firebase Authentication で、タイトルの件なんですが、 Firebase Authenticat
give IT a try
はじめに 昨年書いたこちらのブログの続きです。 blog.jnito.com ここ1年ぐらい、包丁にハマってます。しかも夫婦で。 妻は包丁の切れ味にハマり、僕は包丁研ぎにハマってます(苦笑)。 料理をしない夫と、包丁を研がない妻 僕は包丁を研ぐ人、妻は包丁を使う人です。 でも僕は包丁を研ぐだけで料理はしません。 妻も包丁は研ぎません。 僕は料理はしないですが、包丁の切れ味を高めるのは好きです。 自分で包丁を研ぐなら自分でも使えよ、というツッコミが聞こえてきそうですが、作詞作曲はしても自分では歌わないバンドメンバーもいたりするので、包丁は研いでも自分では使わない人間がいてもいいんじゃないでしょうか😅 それはさておき、この1年で包丁と砥石と包丁研ぎグッズがめちゃくちゃ増えました。 これまでに購入した包丁 實光(じっこう)刃物・青二 三徳包丁 (165mm) ちょっと高くてもいいからよく切れる
WPA2の脆弱性 KRACKsについてまとめてみた - piyolog
2017年10月16日、WPA2のプロトコルに欠陥が確認され盗聴や改ざんの恐れがあるとして脆弱性情報が公開されました。発見者によりこの脆弱性は「KRACKs」と呼称されています。ここでは脆弱性の関連情報をまとめます。 脆弱性タイムライン 日時 出来事 2017年5月19日 Vanhoef氏が研究論文を提出。 2017年7月14日頃 Vanhoef氏が脆弱性の実験をした製品開発ベンダへ連絡。 その後 Vanhoef氏が影響範囲の広さを認識し、CERT/CCと協力し脆弱性情報を開示。 2017年8月24日 ラスベガスで開催されたBlackhatでVanhoef氏が関連研究を発表。 2017年8月28日 CERT/CCから複数の開発ベンダ*1に通知。 2017年10月6日 BlackhatのTwitterアカウントがWPA2をテーマとした発表があるとツイート。 2017年10月16日 SNSなど
【セキュリティ初心者向け】ウイルス対策ソフト比較&紹介!(紹介する俺も初心者) | Boxilが運営するBtoBサービス・資料紹介メディア ボクシルマガジン!
はじめに みなさんPCやスマートフォンで"ウイルス対策"はしていますか? ウイルスに感染してしまうと、PCのデータがおかしくなったり、動作が遅くなったりなど、様々な不具合が出ますよね。 場合によってはPCが起動しなくなることもあるそうです。 そういった事を事前に防ぐため、ウイルス対策ソフトを入れておくことは必要なのではないでしょうか。 ちなみに私は"マカフィー オールアクセス"を使って、自分・家族のすべてのデバイスにインストールしています。 しかし、ウイルス対策もたくさんありますし「じゃあ自分はどれを入れるのがいいのか?」と思うことも多いのではないでしょうか。 そこで今回はウイルス対策ソフトを比較しながら紹介しようと思います。 私も初心者なので、どれがどうすごいのかは分からないんですが、情報を集められるだけ集めてみました! 他に見つけたら追記していきますね! McAfee(マ
Gmailアカウントを乗っ取られないための基本ガイド | ライフハッカー・ジャパン
あなたも私たちと同類なら、Gmailの檻から逃れられなくなっているはず。せめて、下のガイドを読んでGmailを安全に使ってください。Q&Aサイト「Stack Exchange」のウェブアプリ専門家が、絶対やっておきべきGmailのセキュリティ対策を教えてくれました。 私自身、Googleアカウントを乗っ取られた人から数々の恐ろしい話を聞きました。とくにGmailを乗っ取られると悲惨です。どうすれば最悪の事態を避けられるでしょうか? アカウントを奪われる前にどのような対策をとればいいでしょうか? 以下、Al E.さんの回答から。 Googleには、アカウントを乗っ取られないための機能がいくつかあります。しかし、使うには事前に設定が必要です。 アカウント復旧オプションを設定する 携帯電話番号の登録:携帯電話番号を登録しておけば、パスワードを忘れてしまったり、アカウントの不正使用の疑いがあったと
セキュリティーソフトなに使ってる? : いたしん!
1:以下、名無しにかわりましてVIPがお送りします[]:2013/05/30(木) 04:10:56.41 ID:0YisLAy20 ウイルスバスターが多いのか 3:以下、名無しにかわりましてVIPがお送りします[]:2013/05/30(木) 04:11:29.10 ID:Q4MGlj6+0 貧乏人御愛用アバストだぜ 4:以下、名無しにかわりましてVIPがお送りします[]:2013/05/30(木) 04:12:14.16 ID:682kTqPX0 avira 22:以下、名無しにかわりましてVIPがお送りします[]:2013/05/30(木) 04:22:07.00 ID:LrpwAR650 >>4で出てた 5:以下、名無しにかわりましてVIPがお送りします[]:2013/05/30(木) 04:12:47.69 ID:vpKfDNGx0 バスターやノートン、ZEROあたり使ってるのは
セキュリティ通信|知って安心のセキュリティ情報 : 無線LANの安全な使い方
現在、最も普及しているとされるIEEE802.11b規格の無線LANの場合、アクセスポイントからの有効通信距離は、最大100m程度とされています。間に壁などの遮へい物があったとしても40〜50mは届くといわれ、この通信可能範囲に入っていれば基本的に誰でもそのアクセスポイントに、ひいてはそこに構築されているネットワークに接続できてしまうことになります。 もしあなたが、このアクセスポイントを利用していたとすると、見ず知らずの他人が同じネットワーク内にいるということを意味します。従来の有線LANならば、ネットワークに接続するためには、ハブやルータに改めてケーブルを挿す必要があり、不正利用の防止はそれほど難しくはありませんでした。しかし、無線LANでは、まったく見えないところからでも、アクセスポイントつまりネットワークへの接続が可能になってしまうのです。 通信速度の低下などは軽微なほうです。あな
つい無防備になってない? 公衆無線LANを安全に使うための4つのコツ | ライフハッカー・ジャパン
パソコンも、もはや「ケイタイ」する時代。日本でもWi-Fiスポットが徐々に増え、外出先でも手軽にインターネット接続できる環境が整ってきましたが、さらに先を行く米国では、7月1日から、スターバックス(Starbucks)が米国内の全店舗で、Wi-Fiを無料で利用できるようになったとか。どこでもインターネットにアクセスできるのは、便利なことこの上ないですが、セキュリティリスクにも十分配慮する必要がありますね。そこで、こちらでは、公衆無線LANを安全に使うための方法についてご紹介しましょう。 ほどんどのワイヤレスルーターには、インターネットからユーザを守るファイアウォールがありますが、これによって、自分が完全に保護されていると考えるのは誤り。同じネットワークに接続している他のユーザからは保護されていません。多くのホットスポットでは、ネットワークに接続しやすいように暗号化されておらず、これによって
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
最強のパスワード管理ツール5選! | ライフハッカー・ジャパン
ネット中心に発展していく世界において、増え続けるのがパスワードと呼ばれる文字の羅列ですが、簡単すぎてもセキュリティが危ういし、難しすぎると忘れてしまうし、となかなか良いバランスを見つけ出すのが大変です。今回は、パスワード管理のお手伝いをしてくれる便利なパスワード管理ツールを5つほどご紹介! 全てのアカウントなどに同じパスワードを使うと確かに楽ですが、これは危険極まりない行為です。逆に、全てのアカウントのパスワードを違うもの、かつ強力なものにしてしまうと、常人の頭脳ではとても覚えきれる数ではないかと。 パスワード管理ツールとは「少ないパスワードの使い回し」と「自分でも覚えられない複雑すぎるパスワード」の絶妙なバランスを保つことを目的としてこの世に誕生したツールなのです。下記の5つのツールは強力なパスワードを設定し、かつ、それらを管理する、という正義の味方のようなツールです。 ■KeePass
WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
システム管理者は“復讐”する:日経ビジネスオンライン
「ああ。またプロの犯罪が――」 1月29日金曜日、帰宅して日本経済新聞の夕刊を眺めた時、こうつぶやきたくなった。 元勤務先のサーバーに不正アクセス 夕刊に載っていたのは、『昔の勤務先に不正接続容疑 警視庁、男を逮捕』という見出しの小さな記事である。読んでみると、警視庁ハイテク犯罪対策総合センターが不正アクセス禁止法違反や電子計算機損壊等業務妨害の疑いで39歳の会社員を逮捕した、とある。 容疑者は以前勤務していた企業のサーバー(コンピューター)に、自宅のパソコンから不正にアクセス(侵入)し、サーバーの中にあったファイル(データを入れておくところ)を2万件あまり勝手に削除し、古巣の業務を妨害したらしい。 日経ビジネスオンラインの読者の方々は、「ハイテク犯罪対策総合センター」という組織があること、そのセンターが「不正アクセス禁止法違反」や「電子計算機損壊等業務妨害」という、ものものしい名称で呼ば
サイバー攻撃「防衛隊」を新設へ…防衛省 : 政治 : YOMIURI ONLINE(読売新聞)
防衛省はインターネットを通じたウイルス攻撃などに対し、機密保護を強化するための専門組織として、「サイバー空間防衛隊」を2011年度に新設することを決めた。 米韓など各国でハッカーによる政府機関の情報網への侵入が相次いでいることを踏まえ「防衛隊」ではウイルスの最新情報の収集や分析・研究、対処訓練を一元的に行う。 防衛省の10年度予算ではサイバー攻撃対処に約70億円を計上。「サイバー企画調整官」が統括する準備室を設置して、専門知識を持つ隊員の育成を進める。「防衛隊」は約60人規模の予定で、自衛隊指揮通信システム部の下に設置する。 米韓両国では09年7月、政府機関のサイトが集中的にサイバー攻撃を受け、接続不能になるなどの被害が出た。防衛省・自衛隊にもウイルス添付メールが送りつけられるケースが増えており、警戒を強めている。
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
個人情報銀行 - elm200 の日記(旧はてなダイアリー)
昔メールとは、POP3 プロトコルを使って、ローカル PC のメールソフトウェアにダウンロードして読むものであった。それが hotmail や gmail の普及により、いまやウェブ上でそのまま読むのが当たり前になった。この流れが続くならば、いま手元においてある情報のほぼすべてが、ネットワークの「向こう側」に置かれる日がくるだろう。 現在、氏名・住所・生年月日といった個人情報は、ウェブサービスにサインアップするたびに、サービス提供会社に渡され、この各会社が管理することになっている。生年月日は絶対に変わらないし、氏名も頻繁に変わるものではないが、住所はしばしば変わる。こういう個人情報が変わるたび、各サービス提供会社に連絡するのは、非常に面倒である。 そこで提案なのだが、個人情報を一箇所に登録しておいて、ウェブサービスは、個人情報を必要とするたびに、そこへアクセスしにいくのはどうだろうか。私は
htpasswdファイル生成
Webサイトの閲覧に使うプロトコル「HTTP」が備える、最も基本的なユーザ認証方式。 アクセスの制限されたWebページにアクセスしようとすると、Webブラウザでユーザ名とパスワードの入力を求め、サーバでアクセスを許可しているユーザに一致すると、ページを閲覧することができる。
オバマ政権はインターネット停止権を獲得するのか?:Geekなぺーじ
アメリカ大統領の権限でインターネットを停止できることが盛り込まれた法案が「 Mother Jones:Should Obama Control the Internet?」で紹介されていました。 法案原文はCDT(Center of Democracy & Technology)で公開されているものです「 The Cybersecurity Act of 2009(PDF)」。 前半はセキュリティ的な危機やインターネットの重要性などが説かれていて、政府インターネットセキュリティに関する専門組織設立や、定期的に大統領に状況報告等をすることが書かれています。 そこを見ると、まあ、普通の提案に見えます。 しかし、途中で凄い表現が入っています。 元記事で注目されているのは43ページから44ページに記述されている部分です。 以下、法案原文より。 SEC. 18. CYBERSECURITY RESP
@IT:Apacheでユーザー認証を行うには(Digest認証編)
Apacheのユーザー認証には、「Basic認証」と「Digest認証」がある。Basic認証は一般的に行われている方法だが、パスワードが暗号化されないため、機密性の高いデータへの認証には適していない。Digest認証はパスワードが暗号化されるが、これに対応しているのは比較的最近のWebブラウザに限られる。 ここではDigest認証を利用して、特定ディレクトリのWebページを開く際に「secret」というユーザー名でアクセスできるようにする(編注)。Basic認証を使う方法については、Apacheでユーザー認証を行うには(Basic認証編)を参照。
サウンドハウスでのカード情報漏洩について思ったこと
サウンドハウスっていう楽器器材の販売店があって、ここって安いし品揃えが良いんですよね。よく使わせてもらっていたんですが、クレジットカード番号を漏洩させる事件が発生しててんやわんや。という事になっています。 経緯の詳細はこちらに詳しく載っています。 http://www.soundhouse.co.jp/shop/News.asp?NewsNo=1561 僕のクレジットカード情報も実はサウンドハウスに登録されていて、なんだかたくさんメールが来るんですが、メールが来るたびにさっきの情報はこういう事でした。みたいな内容が記載されていたりして、なんだかなーと思ってしまいます。 僕も仕事の中でこの手の事件に遭遇した事があるんですが、中も今頃てんやわんやになっているんじゃないかなと思います。2008年になってもまだSQLインジェクションがどーのこーの言ってるのもどうかと思いますが、使い勝手や開発効率な
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Gmailが不正アクセスされたときに自分以外のアクセスを一斉に遮断する方法 | ライフハッカー・ジャパン