Stop using JWT for sessions - joepie91's Ramblings
Update - June 19, 2016: A lot of people have been suggesting the same "solutions" to the problems below, but none of them are practical. I've published a new post with a slightly sarcastic flowchart - please have a look at it before suggesting a solution. Unfortunately, lately I've seen more and more people recommending to use JWT (JSON Web Tokens) for managing user sessions in their web applicati
携帯のGPS情報、本人通知なしで捜査利用 一部新機種:朝日新聞デジタル
今夏発売の携帯電話の新機種の一部から、捜査機関が、本人に通知することなく、GPS(全地球測位システム)の位置情報を取得できるようになることがわかった。総務省が昨年、個人情報保護ガイドラインを改定し、本人通知を不要としたことを受けた措置で、機種は今後順次拡大していく見通し。犯罪捜査に役立つ一方、プライバシー侵害の懸念もある。 NTTドコモは、11日発表の基本ソフト(OS)「アンドロイド」を使うスマートフォン5機種で対応を始めるという。19日から順次発売する。 KDDI(au)は「捜査に関わるため、本人非通知の改修有無についてはコメントを控えるが、必要な対応を検討中」と回答。ソフトバンクも「運用を含めて検討中。詳細は回答を控えたい」とした。 携帯電話会社は、捜査機関の要請で、利用者端末の位置情報を提供することがある。総務省のガイドラインは従来、位置情報の取得に際し、①裁判所の令状、②位置情報取
OAuth and Single Page JavaScript Web-Apps · Alex Bilbie
OAuth and Single Page JavaScript Web-Apps 11 Nov 2014 Earlier today I tweeted: A server dies every time someone implements OAuth in a single page is web-app. Stop the genocide! Use a server side proxy! Act now!— Alex Bilbie (@alexbilbie) November 11, 2014 This kicked off a discussion across Twitter, Github issues and email about why I have such strong opinions about this. It's simple, security. Yo
LastPassでさえも盗まれうる – LastPassのセキュリティを探る | POSTD
私は Alberto Garcia と一緒に、アムステルダムで開かれたBlackhatで “Even the LastPass Will be Stolen, Deal with It!(LastPassでさえも盗まれるうのです。それでも我慢しましょう)″ という調査を口頭発表してきました。その会議は大成功で、聴衆から素晴らしいフィードバックを得ることができました。たくさんの人からビデオやスライドなどの資料が欲しいと言われたので、講演の詳細を記した記事を書くことは価値があると考えました。 動機 Albertoのチームの1つがペネトレーションテストをした時、彼は複数のコンピュータへのアクセスに成功し、その全てがLastPassを参照するファイルを持っていることを発見しました。彼は私のところへ来て、LastPassの仕組みをチェックし、もし可能ならLastPassの認証情報を盗んでみたら面白い
XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記
合わせて読んでください:Flashと特定ブラウザの組み合わせでcross originでカスタムヘッダ付与が出来てしまう問題が未だに直っていない話 (2014-02/07) XMLHttpRequestを使うことで、Cookieやリファラ、hidden内のトークンを使用せずにシンプルにCSRF対策が行える。POSTするJavaScriptは以下の通り。(2013/03/04:コード一部修正) function post(){ var s = "mail=" + encodeURIComponent( document.getElementById("mail").value ) + "&msg=" + encodeURIComponent( document.getElementById("msg").value ); var xhr = new XMLHttpRequest(); xhr
Security Engineering - A Guide to Building Dependable Distributed Systems
I've written a third edition of Security Engineering. The e-book version is available now for $44 from Wiley and Amazon; paper copies are available from Amazon here for delivery in the USA and here for the UK. Here are the chapters, with links to the seven sample chapters as I last put them online for review: Preface Chapter 1: What is Security Engineering? Chapter 2: Who is the Opponent? Chapter
The History of etcd | CoreOS
For customersCustomer supportSubscription managementSupport casesRed Hat Ecosystem CatalogFind a partnerFor partnersPartner portalPartner supportBecome a partner Try, buy, & sellRed Hat MarketplaceRed Hat StoreContact salesStart a trialLearning resourcesDocumentationTraining and certification Hybrid cloud learning hubInteractive labsLearning communityRed Hat TVOpen source communitiesAnsibleGlobal
技術力だけでなくコミュ力も問われる大学対抗のセキュリティコンテスト
実社会のコミュ力が問われるセキュリティコンテスト 「……はい、白浜商事でございます」。 突然鳴り響く電話に慌てることなく受話器をとった学生は、チームごとに割り当てられた社名を名乗った。そして先方が伝えるトラブルの状況を手早くメモして電話を切り、聞き耳を立てて待ち構えるチームメンバーに振り返って状況を報告。こうして決勝戦第1問目への挑戦が始まった。 2015年5月、和歌山県の南紀白浜で大学対抗セキュリティコンテスト「情報危機管理コンテスト」が開催された。「サイバー犯罪に関する白浜シンポジウム」と併催される同コンテストは、今年で10回目を迎える。 「当初は、(ゲーム形式でセキュリティの技術力や知識力を競う)CTF(Capture the Flag)をやろうと考えていた」。そう話す、同コンテストの発案者で総指揮を執る和歌山大学の川橋(泉)裕氏は、「でも白浜シンポジウムは警察関係者と情報セキュリテ
不正アクセスで年金情報125万件が流出か NHKニュース
日本年金機構は、年金情報を管理しているシステムに外部から不正アクセスがあり、年金加入者の氏名や基礎年金番号など、およそ125万件の情報が流出したとみられることが先月28日に分かったことを明らかにしました。日本年金機構の水島理事長は記者会見し、「125万件の個人情報が流出したことを深くおわび申し上げる。誠に申し訳ございません」と陳謝しました。 このうち、「年金加入者の氏名と基礎年金番号の2つ」が漏れたのがおよそ3万1000件、「氏名と基礎年金番号、生年月日の3つ」が漏れたのがおよそ116万7000件、「氏名と基礎年金番号、生年月日、それに住所の4つ」が漏れたのがおよそ5万2000件で、合わせておよそ125万件となっています。日本年金機構では、今のところ、社会保険を支払うためのシステムへの不正アクセスは確認されていないとしています。 日本年金機構の水島理事長は厚生労働省で記者会見し、「125万
AWS で不正アクセスされて凄い額の請求が来ていた件 - yoya's diary
情けない話ですが、自分の大チョンボで AWS の個人アカウントが第三者にアクセスされた結果 190万円相当のリソースが使われ、最終的に AWS さんに免除を頂きました。反省込みで本件のまとめを書きます。 自分が馬鹿を幾つも重ねた結果であって、AWS 自体は怖くないというのが伝われば幸いです はじめにまとめ S3 実験してた時に SECRET KEY を見える場所に貼っていた事があり、第三者がそれでアクセスし大量の高性能インスタンスを全力で回す (恐らくBitCoin採掘) AWS さんから不正アクセスの連絡があり、急いで ACCESS KEY 無効&パスワード変更、インスタンス全停止、イメージ削除、ネットワーク削除 免除の承認フェーズを進めて、クレジットカードの引き落とし前に完了して助かる AWS さんのサポート AWS さんは最大限サポートしてくれました 承認フェーズが進まない時もあまり
Docker security in the future
Image by: Lucarelli via Wikimedia Commons. CC-BY-SA 3.0 When I began this series of writing about Docker security on Opensource.com, I stated that "containers do not contain." One of the main goals at both Red Hat and at Docker is to make this statement less true. My team at Red Hat is continuing to try to take advantage of other security mechanisms to make containers more secure. These are a few
The HTTPS-Only Standard - The HTTPS-Only Standard
The American people expect government websites to be secure and their interactions with those websites to be private. This site contains a web-friendly version of the White House Office of Management and Budget memorandum M-15-13, “A Policy to Require Secure Connections across Federal Websites and Web Services”, and provides technical guidance and best practices to assist in its implementation. Go
CIツールと連携した継続的セキュリティテストを実現する「VAddy」が全世界版のリリースに向けて始動 - BRIDGE(ブリッジ)テクノロジー&スタートアップ情報
VAddyの英語版ティザーサイト 継続的Webセキュリティテストサービス「VAddy」(バディ)が、グローバル版のサービス提供に先駆けて英語版のティザーサイトをオープンしました。 VAddyはCIツールと連携して、開発の初期段階から継続的なセキュリティテストを実現するクラウド型サービス。2014年10月のリリースした日本語版は、毎月約50%増のペースでユーザーを獲得し、既に じげん など複数企業の実業務で活用されています。 昨今、CI(Continuous Integration)の開発手法をとる企業は増加傾向にあり、例えば、CIツールの「Jenkins」のインストール数は、全世界で10万超。VAddyは、今後ますます伸びて行くであろう「Jenkins」「TravisCI」「CircleCI」といったCIツールと連携することで、Webアプリケーション エンジニアに最適なセキュリティツールを
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Vine's Docker Registry "Hack": A Bad Case of RTFM
https://techcrunch.com/2016/07/25/nist-declares-the-age-of-sms-based-2-factor-authentication-over/
セキュリティの専門家とそうでない人のセキュリティ対策の違いとは、Googleが論文紹介 
PASSED - Mobile-friendly random password generator
(PDF) MongoDB に対する探索行為の増加について - 警察庁 (平成27年2月20日)
パスワード認証
MAP | Kaspersky Cyberthreat real-time map
