You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
EUの個人情報保護に関する新しい法律(General Data Protection Regulation)が2018年5月25日から施行される。EUの居住者に対してサービスを提供していて個人情報を取り扱っている業者は、たとえ個人であろうとも遵守義務が課せられる。 最近多くのサービスがプライバシーポリシーの改定を行っているのはそのためである。個人で作っている自分のサービスにもEUのユーザが沢山いるので、そろそろ対応しなければならない(遅い)。 今回はEUの法律によるものだが、内容は至極真っ当な、客観的に見れば当たり前のルールだ。将来的には事実上のデファクトとなり、アメリカや日本もこの法律に倣うのは時間の問題だろう。だから「日本人向けのサービスだから大丈夫」とほったらかしにしている業者は後々痛い目に遭うだろう。 Twitter社がパスワードをログに記録していた件は記憶に新しいが、今これが公に
For information on how to properly disclose an Electron vulnerability, see SECURITY.md. For upstream Chromium vulnerabilities: Electron keeps up to date with alternating Chromium releases. For more information, see the Electron Release Timelines document. PrefaceAs web developers, we usually enjoy the strong security net of the browser — the risks associated with the code we write are relatively
先週米国下院で行われたFacebookのマーク・ザッカーバーグCEOへの公聴会で、氏はGDPRはインターネットにとってポジティブなステップだとコメントし、欧州以外でGDPR水準の個人情報保護を拡張するつもりはないという従来の見解を自ら覆しました。 Zuckerberg: GDPR will generally be a positive step for the internet from CNBC. 先立って行われた上院での公聴会では質問者の上院議員のITリテラシーの低さから平謝りと自己弁護に終始してまるで実りがなかったのに対し、共和党、民主党ともに何名かの下院のタレントを揃えて臨んだ同会はGDPRに関する言及が多数あり、Facebookの具体的なポリシーと戦略が披露されました。 規制対策以上の、GDPR以前と以後のインターネットという大きな変革が企業に求められるのは明白です。 先週のブ
もう1つの重要なテーマは、プライバシバイデザインとプライバシバイデフォルトです。これは、今後、すべてのアーキテクチャへ実際に統合されるべきです。この規則以前は、プライバシバイデザインとプライバシバイデフォルトは、設計の自動的要素でしたが、人々は何かが起きるまで、セキュリティやプライバシにお金を払いたくありませんでした。GDPRは、今、これに対処する強力な動機付けになります。2,000万ユーロまでの価値を動機付けます。プライバシバイデフォルトはいろいろなことを意味しますが、本来、個人識別データとそのプライバシを適切に管理して、保護することを目的とします。これが一般的に要求するのは、例えば、特に個人識別情報の読み取りアクセスを含む、誰がいつ何をしたかという明白な監査証跡です。さらに、そのデータがいつ保存され、様々なレイヤを移動したかに注意を払い、システムからデータが漏洩するのを避けるために、適
sed -i -e "s/^NotifyClamd/#NotifyClamd/g" /etc/clamav/freshclam.conf Downloading main.cvd [100%] main.cvd updated (version: 57, sigs: 4218790, f-level: 60, builder: amishhammer) Downloading daily.cvd [100%] daily.cvd updated (version: 21502, sigs: 86257, f-level: 63, builder: neo) Downloading bytecode.cvd [100%] bytecode.cvd updated (version: 277, sigs: 47, f-level: 63, builder: neo) Database upda
概要 Apacheセキュリティ設定と同等程度の設定を目指します。 Apacheとの対比のために、Nginx上設定が不要な項目も設定不要として記載します。 SSLの設定はここでは記載していません。 想定環境 NginxのMainlineの最新版を使います。 現時点(2016/1/27)の最新版は1.9.10なのでそれを使います。 Stableではなく、Mainlineを利用します。 StableとMainlineの違いはnginx開発者コメント:nginx 1.8およびnginx 1.9リリースについてには以下のようにあります。 ステーブルラインとメインラインの重要な違いは、メインラインはインフラストラクチャ操作に影響を与える可能性があり、開発APIの変更がある場合があるため、nginxのサードパーティ製モジュールや拡張機能に影響を及ぼす場合があります。それ以外は、安全にご利用いただけます。
はじめに LinuxのウィルススキャンソフトはClamAVが有名ですが、 SophosのAntivirus for Linuxは リアルタイムスキャン(オンアクセススキャン)がインストール直後から有効である 有償版とほぼ同等の機能が提供される Web管理ツールが簡単にインストールできる(Antivirus for Linuxインストール後にsavsetupシェル起動で、構築できる) メッセージが日本語でわかりやすい という特徴があります。 (※無償版は企業向けの集中管理機能がない、ユーザーサポートがないといった違いがあります。) 有償のvirusscanに近く、リアルタイムスキャンの設定が簡単(ほぼ設定なし)というところに惹かれて、今回選んでみました。 準備 下記サイトからsav-linux-free-9.tgzをダウンロードします。 https://www.sophos.com/en-u
このマニュアルでは、Webアプリケーション全般におけるセキュリティの問題と、Railsでそれらの問題を回避する方法について説明します。 このガイドの内容: 本ガイドで取り上げられている問題に対するあらゆる対策 Railsにおけるセッションの概念、セッションに含めるべき項目、有名なセッション攻撃 Webサイトを開くだけで(CSRFによる)セキュリティ問題が発生するしくみ ファイルの取扱い上の注意、管理インターフェイスを提供する際の注意事項 ユーザーを正しく管理する(ログイン・ログアウトのしくみ、あらゆるレイヤにおける攻撃方法) 最も有名なインジェクション攻撃方法の解説 1 はじめに Webアプリケーションフレームワークは、Webアプリケーションの開発を支援するために作られました。フレームワークの中にはセキュリティを比較的高めやすいものもあります。実際のところ、あるフレームワークは他のよりも安
ネットワーク上のあるコンピュータで感染する操作が行われ、ネットワーク上の共有フォルダ、つまるところファイルサーバのファイルがやられて被害が大きく、、、という寸前でした。 実際に自分が対処してた時間帯にはほとんどなかったのだけれど、この数時間に関連情報は増えたいるようです。ESETがリリース出してるのかな? 確認してないけど。事実確認してないでしょ?というありきたりのことを書いただけの記事も他に出ているみたい。ロッキー、Locky、ランサムウェア、ウイルス、身代金、といった単語がキーワードでしょうか。ちなみに一部で出回っている記事にある Java, Adobe Reader, Flash 等の古いバージョン云々は関係なくファイルを開くだけで攻撃成立じゃないですかね。手元で確認した doc ファイルは、開くと中身はまっしろけのものと少しの本文があるものといった数種類。 (追記)検知具合はという
先日ツチノコブログでクロスルート証明書の確認にIE6を使ってる話が紹介されてた。 確かに実機で確認するのは大事なのだが、SSL証明書が正しくインストールされているかチェックしてくれるサービスがいくつかある。 それで確認すればいいんじゃね?と思って調べてみたが、実はクロスルート証明書まで調べてくれるサービスは少ない。また各社チェックしてくれる内容が結構違う。 そこでオススメのSSL証明書チェックサイトを3つ厳選してみた。 Qualys SSL Labs SSL Server Test クロスルートを含む複数のチェインを表示してくれるのは試した限りここだけだった。 また、クロスルート以外にも脆弱なプロトコルや暗号アルゴリズムを使用していないか、BEAST、CRIME、Lucky13、BREACHなどの攻撃に対して対策されているかなども調べてくれる。 グレード表記や項目別スコア表示もあり。最低限
SELinuxの簡単な説明 SELinuxでは、事前に定義された「セキュリティポリシー」に従って、あるプロセスがアクセス可能なシステムリソース(ファイル、ネットワークポートなど)を制限することが可能です。RHEL6のデフォルトである「Targetedポリシー」では、RHEL6同梱のアプリケーションについて、事前にいくつかの制限がかけられています。 たとえば、RHEL6同梱のhttpdを導入した状態で、下記のように「/var/www/html/」以下にコンテンツファイルを作成します。 # mkdir /var/www/html/pub # echo 'Hello World!' > /var/www/html/pub/index.htmlできたディレクトリやファイルの「セキュリティコンテキスト」を表示すると、「httpd_sys_content_t」というキーワードが見えます。(lsに「-Z
今回は、SELinuxモジュールのセキュリティチェック機能について説明しよう。SELinux独自のアクセス制御は、以下の3要素から構成されている。 ・強制アクセス制御(MAC:Mandatory Access Control) ・最小特権 TE(Type Enforcement) ドメイン遷移 RBAC(Role Base Access Control) ・監査ログ 強制アクセス制御 従来のLinuxのアクセス制御には、DAC(Discretionary Access Control:任意アクセス制御)が採用されている。DACは、リソースの所有者がアクセス権を制御できる仕組みで、所有者であればファイルなどのリソースに自由にアクセスできていた。 これに対しSELinuxでは、セキュリティ管理者が設定したアクセス制御ルールを、すべてのユーザー/プロセスに強制的に適用するMAC(Mandator
久々の更新になります。いろいろな技術に触れる機会が多いのに展開できなくて。。。 SELinuxの設定をしているときに、はまったことです。今後はまらないようにするためにも書きます。 あるサーバを見てみると、SELinuxのエラーが出力されておりました。 SELinuxのポリシーを追加して対応し、エラーは出力されないようになりましたが、動作しない。なぜだ… かなりはまったので、ポリシー追加と合わせてメモメモ〆(.. ) 原因は「dontaudit」でした。SELinuxの機能として、ログ出力抑止ルールがあります。 デフォルトではこの機能はonになっています。ルールにより許可されなかったアクセスは拒否されログに記録されるのですが、dontaudit ルールで定められたアクセスについてはアクセスが拒否されてもログに記録されないのです。 知らんかったわーw( ̄Д ̄;)w 以下のコマンドで機能をoff
オペレーティングシステムは、コンピュータのハードウェア管理、ファイル管理、データの入出力と管理、アプリケーションプログラムやユーティリティの実行、ユーザーとの対話などを効率的に行うための制御・処理プログラムの基本セットです。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く