Security advisory for the regex crate (CVE-2022-24713) | Rust Blog
This is a cross-post of the official security advisory. The official advisory contains a signed version with our PGP key, as well. The Rust Security Response WG was notified that the regex crate did not properly limit the complexity of the regular expressions (regex) it parses. An attacker could use this security issue to perform a denial of service, by sending a specially crafted regex to a servi
OIDCを用いたID連携における "確認済みメールアドレス" の使い方と注意点
ritou です。 前の記事でちょっと確認済みメアドについての記載をしたあと、Twitterでちょっとやりとりしたり個別にDMで質問が来たりしたのでまとめます。 まとめ "確認済みメアド" のユースケースはいくつかある 新規登録時に自サービスで確認処理を行わずに利用 未登録ユーザーがソーシャルログインしてきた時に既存ユーザーとの紐付け IdPからもらった確認済みメアドをそのまま使っていい場合とそうじゃない場合がある 自サービスで提供しているメールアドレスかどうかで変わる部分を許容するかどうか email_provided のようなclaim があると便利かもしれない 確認済みメアドのユースケース 新規登録時の確認処理をスキップ これはID連携、ソーシャルログインのメリットとしてずっと言われているものです。 IdPで確認済みなのでRPは確認せずに信用して使おう というお話です。 よく知られて
さくらのクラウドやSlackが“政府認定クラウドサービス”に登録 各省庁の調達対象に
日本政府は12月20日、さくらインターネットが提供するクラウド基盤「さくらのクラウド」や、米Slack Technologiesの企業向けコラボレーションツール「Slack」など14サービスを、クラウドサービスの認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)のリストに登録したと発表した。今後、これらの製品は政府調達の対象になる。 クラウド基盤はさくらのクラウドに加え、インターネットイニシアティブの「IIJ GIO インフラストラクチャーP2」、富士通クラウドテクノロジーズの「ニフクラ/FJcloud-V」なども追加。SaaSでは、カオナビの人材管理システム「カオナビ」、弁護士ドットコムの電子サインサービス「クラウドサイン」を新たに登録した。 ISMAPは、情報処理推進機構(IPA)などが民間のクラウドサービスの情報セキュリティ対策などを評価し、“政府認定クラウド”と
マイクロサービスセキュリティの「7つの難しさ」とその対応策 Open ID ConnectとSDKの実装で認証認可の安全性を担保
Goの初心者から上級者までが1年間の学びを共有する勉強会、「GeekGig #1 ~Goと私の一年~」。ここで株式会社Showcase Gigの高橋氏が登壇。マイクロサービスセキュリティの難しい点と、認証認可の実施方法を紹介します。 自己紹介 高橋建太氏(以下:高橋):「認証認可とGo」について説明します。まず自己紹介です。現在Showcase GigのPlatformチームに所属しています。主に認証認可の機能を担当しています。高橋建太です。 週1回会社でGoの知見を共有したり、ドキュメントを読んだり、Goについてみんなで話す緩い勉強会を主催で開催しています。もし合同で勉強会やりたい方がいれば、気軽に連絡してください。ぜひやりましょう。 「O:der」について まず前提知識として、「O:derとは?」について、あらためて説明します。ちょっと内部寄りな説明となり、実際のものは若干スライドの図
今Partytownがヤバい。JavaScript Sandboxの未来はどっちだ?
概要 Partytownというプロジェクトが先月発表された。このプロジェクト自体はWebのパフォーマンス向上(3rd Party Scriptによるブロッキングの低減)を主目的としているが、実質ブラウザにおけるJavaScript Sandboxの方向性に一石を投じるものであるとして自分は理解した。本稿ではこちらについて背景とともに解説を試みる。 WebブラウザにおけるJavaScript Sandbox JavaScriptで記述されたWebアプリケーションにおいて、たとえばプラグイン機構を実現したいなど、他Partyが提供あるいはユーザ自身が記述したスクリプトを、ホストとなるアプリケーションに影響を与えることなく実行することを許可したい、というケースはままある。2000年代に跋扈したブログパーツの類はWebコンテンツに対するプラグインの代表例とも言えるが、埋め込み先ページに対しての全権
GraphQL採用サービスに追加で脆弱性を報告した話 · GitHub
aini_graphql_vuln.md GraphQL採用サービスに追加で脆弱性を報告した話 前置き 個人の活動であり文責は全てmalaにあります。 網羅的に調べているわけではないので、自分が利用していたり、調査したサービスに他の脆弱性が無いことを保証するものではないです。 概要 ainiというサービス https://helloaini.com/ のGraphQLでの情報露出の脆弱性に関する記事を見て、追加で調べたところ、Webサイトやアプリ上から参照できない他のユーザーのフォロー/フォロワー関係をGraphQL経由で取得することが出来ることを発見した。 9月24日(金)の日付変わったころに報告したところ、迅速に修正された。修正されたようなので開示して良いか訪ねたところ、問題ないとの返信をもらった。 malaから問い合わせ 報告内容と、脆弱性が修正された旨をブログ、Twitter等で公
Cloudflareから簡単に「メールアドレス使い分け」ができる新サービスが登場、ワンクリックで可能なフィッシング対策も
アカウントへの侵入を防ぐためにパスワードを使い分けているという人でも、IDとして用いるメールアドレスを使い分けているというケースはあまり多くないはず。こうした現状を踏まえた新たなセキュリティ対策サービスとして、Cloudflareが2021年9月28日に、複数のメールアドレスが受信したメールを1つのメールアドレスに統合する「Cloudflare Email Routing」と、なりすましやフィッシング対策を強化する「Email Security DNS Wizard」を発表しました。 Easily creating and routing email addresses with Cloudflare Email Routing https://blog.cloudflare.com/introducing-email-routing/ Tackling Email Spoofing an
反社チェック代行サービスの提供を開始しました! - PAY.JP Announcement
本日より、反社チェック代行サービスの提供を開始いたしました。 定額制で安心、簡単に利用を開始できるサービスとなっておりますので、ぜひご検討くださいませ! 反社チェック代行サービスとは? 依頼をいただいた人物に関して、反社会的勢力との関連性等を調査し、該当した場合に報告をするサービスです。 反社チェック代行サービスについて(資料) <データベースについて> 2021.4.23追記 ・複合的な情報から成る決済会社共通のデータベースを利用しております。 ・月に1回データベースは最新情報に更新されます。 ・反社会的勢力の排除を目指すものであり、100%の保証はございません。 サービスの利用シーン 特にCtoCのプラットフォームサービスにおいては、「販売者(サービス提供者)が反社会的勢力に該当しないかのチェックが実施されていること」が審査要件とされるケースが多くなっています。 しかしながら自社で反社
エンジニア向け「セキュリティ学習サービス」が国内外で加速、全開発者がセキュアコーディング学ぶ時代へ
大学在学中&休学中に複数のIT系スタートアップでのインターンやベンチャーキャピタルでのリサーチバイトを経験後、フリーランスとして独立。現在は「TechCrunch Japan」などでスタートアップ企業のプロダクトや資金調達を中心としたインタビュー・執筆活動を行っている。 From DIAMOND SIGNAL スタートアップやDX(デジタルトランスフォーメーション)を進める大企業など、テクノロジーを武器に新たな産業を生み出さんとする「挑戦者」。彼ら・彼女にフォーカスして情報を届ける媒体「DIAMOND SIGNAL」から、オススメの記事を転載します。※DIAMOND SIGNALは2024年1月をもって、ダイヤモンド・オンラインと統合いたしました。すべての記事は本連載からお読みいただけます。 バックナンバー一覧 セキュリティエンジニアに限らず、プロダクトの開発に携わるすべての開発者がセキュ
[新サービス]セキュリティ製品等の新しい展開方法が可能なAWS Gateway Load Balancerが発表されたので調査してみた | DevelopersIO
こんにちは、臼田です みなさん、セキュリティ対策してますか?(挨拶 今回は新サービスの紹介です。AWS Gateway Load Balancer(GWLB)というサービスが登場しました。 私はRSSで流れてきたこの名前を見て、「新しいロードバランサーが出てきたのか、へー」と思ってしばらく流していたのですが、いざ中身を読んでみたらめっちゃセキュリティに関係するアップデートでした!以下がリリースです。 Introducing AWS Gateway Load Balancer 概要 さっくり説明すると、サードパーティのセキュリティ製品などをAWS上で利用する場合、従来ではNLBを挟んだり、VPC PeeringやTransit Gatewayなどでネットワークをつないでルーティングしたり、NATして連携したりしていたところを、GWLBとGateway Load Balancer Endpoi
![[新サービス]セキュリティ製品等の新しい展開方法が可能なAWS Gateway Load Balancerが発表されたので調査してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/876809e40a16193d45c580a01a3f67fc9a50a044/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Felastic-load-balancing.png)
E2EE を開発していて思うこと
ここ数ヶ月は自社製品向けの End to End (Media) Encryption の設計と実装をしています。年内での提供を目標として開発を進めてい見ていますが、色々感じることがあったので雑に書いていこうと思います。 前提自分は暗号やセキュリティの専門家ではない自社製品向けの E2EE は Signal や Google Duo が利用している実績のある仕組みを採用しているE2EE や暗号の専門家を招聘し、相談しながら開発している自分の E2EE に対する考え悪意あるサービス管理者からユーザを守るために存在する機能と考えています。 Signal プロトコルはよく考えられすぎているSignal が考えた Curve25519 (x25519/ed25519) を利用した X3DH / Double Ratchet の仕組みは安全すぎると感じるくらいです。 相手からメッセージを受信するたび
就活生向け: 裏アカウント特定サービスからの特定を防ぐためのガイドライン - HackMD
就活生向け: 裏アカウント特定サービスからの特定を防ぐためのガイドライン === 筆者: [SttyK](https://twitter.com/SttyK), [znppunfuv](https:
[神機能]Security HubでCISの違反を自動修復する仕組みが提供されたので試したりちょっと深堀りして理解してみた | DevelopersIO
[神機能]Security HubでCISの違反を自動修復する仕組みが提供されたので試したりちょっと深堀りして理解してみた セキュリティ運用の自動化をめちゃくちゃ簡単に展開して利用できる神リリースです。これからAWSアカウントのセキュリティをちゃんとやりたい人も、大規模な環境のAWSセキュリティ管理を簡単にしたい人にもオススメのソリューションです! こんにちは、臼田です。 みなさん、快適なセキュリティ運用してますか?(挨拶 出たときにはフーン( ´_ゝ`)ぐらいに思っていたのですが使ってみるとなかなか神機能なSecurity Hubの新しい仕組みがリリースされました。 AWS Security Hub で自動化された応答と修復ソリューションの一般提供が開始に これまでSecurity HubはAWS環境のセキュリティリスクを具体的にチェックする仕組みをセキュリティ基準(standard)と
![[神機能]Security HubでCISの違反を自動修復する仕組みが提供されたので試したりちょっと深堀りして理解してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/98415e5015700dc56d48ae4b2df22577fe2cbfa2/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2020%2F08%2Faws-security-hub-auto-remediation_1200_630.jpg)
Announcing Hubble - Network, Service & Security Observability for Kubernetes
Nov 19, 2019Announcing Hubble - Network, Service & Security Observability for Kubernetes Hubble is a fully distributed networking and security observability platform for cloud native workloads. Hubble is open source software and built on top of Cilium and eBPF to enable deep visibility into the communication and behavior of services as well as the networking infrastructure in a completely transpar
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【CTF】OSINT問題で個人的に使用するツール・サイト・テクニックまとめ - Qiita
How We Harden Platform Security at Mercari
Sansan の成長を支えるセキュリティログの活用と Amazon Elasticsearch Service / Amazon Elasticsearch Service empowers Sansan's business growth to create value and drive innovation through security logs management
ZOZOにおけるID基盤のk8sへのリプレイスとセキュリティの取り組み / Authentication service replacement and security efforts of zozotown(CNDT2020)