Apple、2023年にiMessageの検証やApple IDでのセキュリティキー、iCloudバックアップやメモ、写真のEnd-to-End暗号化などセキュリティ機能を強化すると発表。
macOS 12.3 MontereyでPython 2.7が削除されるのに伴い、AlfredやPopClip、xbar(BitBar)でPythonを利用したプラグインが動かなくなっているので注意を。
macOS 12.3 MontereyでPython2が削除されるのに伴い、AlfredやPopClip、xbar(旧BitBar)でPythonを利用したワークフローやプラグインが動かなくなっているすです。詳細は以下から。 Appleは2019年にリリースしたmacOS 10.15 CatalinaからPython 2.xの使用を非推奨とし、将来的にはスクリプト言語のランタイムを同梱せずダウンロード方式にすると発表、先日リリースされた「macOS 12.3 Monterey Beta」ではPython 2.xがmacOSに同梱されなくなることが発表されていますが、これに伴い、macOS 12.3では一部のアプリでPython2を利用したプラグイン(AlfredではWorkflow)が動かなくなっているそうです。 Python Deprecations Python 2.7 was rem
Exploiting IndexedDB API information leaks in Safari 15
DISCLAIMER: Fingerprint does not use this vulnerability in our products and does not provide cross-site tracking services. We focus on stopping fraud and support modern privacy trends for removing cross-site tracking entirely. We believe that vulnerabilities like this one should be discussed in the open to help browsers fix them as quickly as possible. To help fix it, we have submitted a bug repor
macOSの暗号化zipファイルはパスワード無しで解凍できる - NFLabs. エンジニアブログ
はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 先日のApple発表会では新型のiPhoneやApple Watchなど心躍る製品が色々と発表されましたね。筆者は特に新型iPad miniが心に刺さっています。 さて、今回はApple関連の話として「macOSの暗号化zipファイルはパスワード無しで解凍できる」というネタについて書いていきます。 解凍できる条件 何を言っているんだと思われるかもしれませんが、macOSで作られた暗号化zipファイルは以下の2つの条件を満たす場合にパスワード無しで容易に解凍が可能です。 zipの暗号化方式がzipcryptoである (通常の暗号化zipファイルは基本的にzipcryptoが利用されています) zip内のいずれかのディレクトリの中身が.DS_Storeファイルおよび何らかのファイル1つである このうち1.は基本
FaceTimeの仕組みはどのようになっているか?
マシュー・ダガンのブログより。 デンマークに住む元エクスパットの私は、FaceTimeオーディオをよく使います。使い方が簡単で信頼性が高いだけでなく、音質も素晴らしいです。固定電話を覚えている人にとっては、良いヘッドセットがあれば固定電話を思い出すことでしょう。私たちが携帯電話サービスに切り替えたとき、音質は大きな打撃を受けましたが、最近のVoIP家庭用電話でも問題は改善されていません。そのため、母とFaceTimeオーディオで話していると、まるで母が部屋にいるかのような高音質で、1週間に何度もかかってくる電話と比べて、その存在感は際立っています。 では、Appleはどのようにこれを実現しているのでしょうか? システム管理者としてキャリアを積んできた者としては、技術的な課題を考えると計り知れないものがあります。私たちは、ISPレベルと家庭レベルの両方で、様々なレベルのネットワークの抽象化を
Appleの製品セキュリティ解説が面白い
Appleは自社の製品セキュリティについて割と詳細に解説したホワイトペーパーを公開している。何故か日本語版もある。 (PDF版) https://manuals.info.apple.com/MANUALS/1000/MA1902/ja_JP/apple-platform-security-guide-j.pdf EDIT: 日本語版は無くなったようだ (PDF版) https://help.apple.com/pdf/security/ja_JP/apple-platform-security-guide-j.pdf EDIT: 新しいURLで公開された (PDF版) https://help.apple.com/pdf/security/en_US/apple-platform-security-guide.pdf このドキュメントは言わば ユーザのプライバシで商売をすることの決意表明
Fine-tune your App Transport Security settings - Discover - Apple Developer
At Apple, we believe privacy is a fundamental human right. When people connect to a public Wi-Fi hotspot, they expect to use your app to send and receive data without worrying that someone in the vicinity could intercept their connection and gain access to unencrypted data. Allowing even seemingly-innocuous data to remain unencrypted can expose people to snooping and fingerprinting by anyone on th
Apple、次期OSでプライバシー保護をさらに強化 - iPhone Mania
Appleは、次期OSであるiOS15、iPadO15、macOS Monterey、watchOS8において、ユーザーのプライバシー保護をさらに進化させると発表しました。 メールプライバシー保護 多くのユーザーは日々何通もの宣伝メールを受け取っていますが、これらのメールの中には差出人が目に見えないピクセルを使い、ユーザーに関する情報を勝手に収集しているケースが多々あります。 メールアプリの新しい「メールプライバシー保護」機能は、ユーザーがいつメールを開いたかを差出人が知るのを防ぎ、ユーザーのIPアドレスをマスキングすることで、差出人がユーザーのIPアドレスからユーザーのオンライン上の行動や位置情報を推測できないようにします。 SafariのIPアドレス保護機能 Safariには新たに、IPアドレスをトラッカーから隠す機能が追加されます。これまでにもインテリジェント・トラッキング防止機能に
iCloud+のSafariは2カ所を経由してIPアドレスを隠してくれる #WWDC21
iCloud+のSafariは2カ所を経由してIPアドレスを隠してくれる #WWDC212021.06.08 15:3016,073 amito 徹底してる。 ふつう、ブラウザでサイトにアクセスすると、自分のIPアドレス(だけでなくほかの情報も)がサイト側のサーバーに伝わります。すると、サイトを何度か訪れるうちにサイト側があなたをあなただと認識することができたり、位置情報が分かったりするので、その情報が知らぬ間にプロモーションや広告に使われます。 今日発表された、iCloud+でしか使えないSafariの「プライベートリレー」はIPアドレスを匿名化し、通信内容も暗号化してくれる機能です。 この機能はAppleとサードパーティ(第三者の企業)のサーバーの2者を経由することで実現しています。 なぜ2者を経由するの? Appleによれば、どうやらサイトを閲覧するのに必要な「接続元のIPアドレス」
多くの人、特にMacユーザに読んでほしい「Your Computer Isn't Yours」日本語訳 - YAMDAS現更新履歴
sneak.berlin コリィ・ドクトロウのブログ(ニュースレター)Pluralistic の Digital manorialism vs neofeudalism で宣伝されているローカス・マガジンの連載記事 Neofeudalism and the Digital Manor(日本語訳)経由で知ったブログ記事である。 恥ずかしい話だが、ワタシはこの記事で書かれている最近のバージョンの macOS のおそるべきユーザ支配について、これが書かれた昨年11月に話題になっていたことを知らなかった。 しかし、このエントリのはてなブックマークを見ても、その内容を考えると数が控えめで、もしかするとワタシのように知らない人も多いのかもと思ったので、ここで紹介しておいたほうがよいと思った次第である。 最近のバージョンの macOS では、君はコンピューターの利用ログを記録されていて、ログデータを送信
CloudflareやAppleなどが協力して新プロトコル「Oblivious DNS over HTTPS(ODoH)」を開発
CloudflareとAppleなどが協力して新しいDNSプロトコル「Oblivious DNS over HTTPS(ODoH)」を発表しました。ODoHを利用することで、これまでDNSリゾルバから確認できたクライアントの送信元IPアドレスを秘匿し、プライバシーを向上させることができます。 Improving DNS Privacy with Oblivious DoH in 1.1.1.1 https://blog.cloudflare.com/oblivious-dns/ Cloudflare, Apple and Fastly Create Improved, Private DNS https://www.webpronews.com/cloudflare-apple-and-fastly-create-improved-private-dns/ Oblivious DNS-ov
Apple、macOS 11 Big Surでユーザーが実行したアプリの情報をチェックしているのはGatekeeperや公証のためで、2021年にはセキュリティチェック機能を改善するとコメント。
AppleがmacOS 11 Big Surでユーザーが実行したアプリの情報をチェックしているのはGatekeeperや公証のためだと説明し、2021年にはより強固なセキュリティチェックを導入するとコメントしています。詳細は以下から。 Appleが2020年11月より正式に提供を開始した「macOS 11 Big Sur」では、Beta段階から新たに導入されたNetworkExtensions APIsにホワイトリストが用意され、このリストに記載されているFaceTimeやシステムアップデートなどApple製の56アプリ/サービスのトラフィックはNetworkExtensions APIをバイパスしてファイヤーウォール系のアプリでチェックできない問題や、 ユーザーがいつアプリを起動したかや、アプリのハッシュ値(Unique ID)などを収集している問題などが確認され、セキュリティ界隈で話題
日本を含む7カ国、エンドツーエンド暗号化コンテンツへの公的接続を可能にするよう要請する国際声明
英政府は10月11日(現地時間)、IT企業に対し、エンドツーエンドで暗号化(E2EE)されたコンテンツに法執行機関がアクセスできるようにするよう要請する国際声明を発表した。声明に署名したのは、ファイブアイズと呼ばれる英、米、カナダ、オーストラリア、ニュージーランドの5カ国と、インド、日本。 英政府は「テロや児童の性的搾取、虐待などの深刻な犯罪を捜査する場合、E2EEは公共の安全に深刻な影響を及ぼす。ユーザーのプライバシーとセキュリティを損なうことなく、市民の安全を確保するための解決策を見出すために政府と協力するようIT企業に呼び掛ける」としている。 米国では2016年、米Appleが米連邦捜査局(FBI)からの犯人所有のiPhoneのロック解除を拒否したことをきっかけに、国家安全と個人のプライバシーをめぐる議論が高まった。米上院議員は昨年12月、AppleやE2EEのメッセージングアプリ「
Help users change passwords easily by adding a well-known URL for changing passwords | Articles | web.dev
Help users change passwords easily by adding a well-known URL for changing passwords Stay organized with collections Save and categorize content based on your preferences. Set a redirect from /.well-known/change-password to the change password page of your website. This will enable password managers to navigate your users directly to that page. Introduction As you may know, passwords are not the b
Safariは危険なJavaScriptに対応しない - Qiita
Firefox / Safari 先日Appleが、Safariは幾つかのWebAPIに対応しないと公言しました。 日本語記事も幾つか出ています。 しかし、どのサイトも対応しないAPIの一覧を並べてはいるのですが、それぞれのAPIが具体的にどのようなものなのかを記載した記事が見当たらなかったので、以下はそれらについて調べてみたものです。 対応しない理由 a threat to user privacy、すなわち、あくまでブラウザフィンガープリントなどの手段によって個人を特定・追跡できてしまうからという理由です。 セキュリティ的にも問題なAPIが並んでいるのですが、そちらは理由ではありません。 対応しないWeb API Web Bluetooth caniuse RFC 非公式日本語訳 解説 ブラウザからBluetoothを通して接続先のデバイスにアクセスすることができます。 データ転送形式
Apple端末のセキュリティチップ「Secure Enclave」はどのようにして突破されてしまったのか?
Appleデバイスで機密データの暗号化に使用される「Secure Enclave(SEP)」にパッチ不可能な脆弱性が存在すると、中国人ハッカーグループ「Pangu」に所属するwindknown氏がMOSEC 2020にて発表しました。この脆弱性に関する情報をまとめた資料がGitHubで公開されており、仮想メモリ空間の暗号化キーの抜き出しといった脆弱性の詳細を知ることができます。 presentations/Attack_Secure_Boot_of_SEP.pdf at master · windknown/presentations · GitHub https://github.com/windknown/presentations/blob/master/Attack_Secure_Boot_of_SEP.pdf ほぼすべてのApple端末に組み込まれている「Secure Encla
iOSにiCloudなどAppleの複数のプロダクトに脆弱性、アップデートを
United States Computer Emergency Readiness Team (US-CERT)は3月25日(米国時間)、「Apple Releases Multiple Security Updates|US-CERT」において、Appleの複数のプロダクトに脆弱性が存在すると伝えた。 これら脆弱性を悪用されると、遠隔から攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性があるとされており注意が必要。脆弱性に関する情報は次のページにまとまっている。 Apple security updates - Apple Support 脆弱性が修正されたプロダクトおよびバージョンは次のとおり。 iCloud for Windows 7.11 iTunes 12.9.4 for Windows Safari 12.1 macOS Mojave 10.14.4 Secur
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - positive-security/send-my: Upload arbitrary data via Apple's Find My network.
Apple T2を搭載したiMac (Retina 5K, 27インチ, 2020)ではアクシデントによりMacが反応しなくなった場合、他のMacでApple T2ファームウェアの復元が必要に。
Making the Advanced Protection Program and Titan Security Keys easier to use on Apple iOS devices
