何故お役所ってオワコンIEが大好きなの?|楠 正憲(デジタル庁統括官)
普通は役所のシステムって構築してから5年とか7年は塩漬けにして使うもので、一度やらかしてしまうと名誉挽回の機会なんて向こう数年は与えられないんだけど、こと本件に関しては高市総務大臣から「今すぐ私がマニュアルなしでも使えるように直しなさい」と叱責いただいて、しっかりと予算的なサポートも得られたことで、たったの数ヶ月で立て直すことができた。 この数ヶ月は外部のセキュリティやPKIの専門家の方から様々なサポートをいただいて何とか実現したんだけれども、役所のシステム開発としては非常識というか、極めて難易度が高い案件だった。「え?単にChromeやSafariをサポートするだけでしょ、難しい訳ないじゃん」と思う諸兄は、もうしばらくこの話に付き合って欲しい。 もともとマイナポータルは日本を代表するITベンダーと通信キャリアの3社が開発したんだけど、大臣からの叱責を受け「ちゃんとお金を払うから直してよ」
Web over HTTPS
Web over HTTPS DevFest Tokyo 2016 #devfest16 2016/10/0
SSL/TLSの基礎と最新動向
1. SSL/TLSの基礎と最新動向 セキュリティキャンプ 2015 2015年8月12日 IIJ 大津 繁樹 更新版資料の置場 http://goo.gl/cX1M17 Github Repo: https://goo.gl/vRLzrj 2. 自己紹介 • 大津 繁樹 • 株式会社 インターネットイニシアティブ • プロダクト本部 アプリケーション開発部サービス開発2課 • NodeJS Technical Committee メンバー • (主にTLS/CRYPTO/OpenSSLバインディングを担当) • IETF httpbis WG で HTTP/2相互接続試験等仕様策定に参画。 • ブログ: http://d.hatena.ne.jp/jovi0608/ 3. はじめに • TLS(Transport Layer Security)の仕組みについて学んでいただき ます。 •
co.jp への TXT 追加の謎
2. 最初に • 実は、「co.jpにTXTリソースレコードが追加されたこと」については、 直接の理由はわかりませんでした • 「多分これだろうという理由」は、既にわかっています • ここでは、私がどのような道をたどり、どんな答えに行き着いたのか をまとめてみようと思います • なお、この資料は「私がRFC 5155をこのように解釈しました」という内容に なっていますので、内容の正確性はRFC 5155原本にてご確認ください 3. 一通のメール • あるとき、dnsops MLに一通のメールが流れました Subject: [DNSOPS dnsops 1339] Re: キャッシュポイズニング攻撃の危険性増加に関 する緊急の注意喚起の掲載について From: "T.Suzuki" <tss@e-ontap.com> To: dnsops@dnsops.jp Date: Tue, 15 Ap
50,000 ドルの価値がある Twitter アカウントが盗まれたその経緯 : にぽたん研究所
ひろしまさん (廣島さん) は、これまでたった 1 文字の Twitter アカウント @N を持っていました。 何故「持っていました」と、過去形なのかというと、どうやら先日、巧妙な罠に、本人ではなく 2 社の有名 IT 関連企業がハメられたことによって、ひろしまさんの稀少なそのアカウントが第三者によって盗まれてしまったそうなのです。 2014/02/26 追記: 記事掲載時点では「持っていました」と過去形で表現していますが、ひろしまさん本人によるツイートで、2014/02/25 の昼過ぎ (日本時間 2014/02/26 の早朝) に、この事件によって盗まれてしまったアカウント @N がようやく取り戻されたことがわかりました。 Order has been restored. — Naoki Hiroshima (@N) February 25, 2014 解決まで一ヶ月以上という相当な
dotless domainとccTLDの話:Geekなぺーじ
昨年12月に、Informational RFCとして、RFC 7085「Top-Level Domains That Are Already Dotless」が発行されました。 そこでは、TLD(Top-Level Domain)そのものにAレコード、AAAAレコード、MXレコードが登録されている、いわゆる「ドット無しドメイン」の一覧が紹介されていますが、一部界隈では「晒し上げRFC」と揶揄されています。 なお、このRFCで「晒し上げられている」TLDはすべてccTLDで、gTLDは一つもありません(その理由を、今回の記事で紹介します)。 要は、「ここで晒されているccTLDは、運用を見直せば?」という圧力の意味合いもあるようです。 ここでポイントなのは、「直せ」と直接的に言っているのではなく、「ドット無しは有害です」「これがドット無しのTLDの一覧です」ということがたんたんと記載されて
Googleグループに残る「非公開のつもり」のメーリングリスト 公開範囲設定に注意を
Googleグループの開設画面。アクセス権限は「基本的な権限」メニューで設定できるが、「ネット上で誰でも閲覧できる状態」を、「トピックを表示 ユーザーのグループを選択 すべてのユーザー」というメニューで表すなど、分かりづらい表現になっている Googleが提供する掲示板/メーリングリストサービス「Googleグループ」で、環境省が機密情報を誰でも見られる状態で共有していたことが分かり、省内の規定違反に当たるとして問題になった。Googleグループはデフォルトで投稿内容がネット全体に公開される仕様になっており、現在も公開を意図していないとみられる情報が散見される状態だ。企業などが情報流出などのリスクを負う恐れもあるとして、セキュリティ専門企業が注意を呼び掛けている。 Googleグループは、テーマに応じた掲示板を作り、情報共有できるサービス。掲示板への書き込みはメールかWebから可能で、更新
広告を消してくれるブラウザ拡張機能「Adblock Plus」の秘密
6月21日にページ中に表示される広告を非表示にする「Adblock Plus」のInternet Explorer対応版がリリースされ、主要ブラウザであればどれでも「Adblock Plus」が使えるようになりました。 ブラウジングの際に広告バナーをブロックしてくれるということで重宝している人も多いと思いますが、その裏で、Adblock Plus製作者の背後には“戦略的パートナー”の存在があり、製作者の関連企業やお金を出した企業の広告はブロックせずに配信しているということが明らかになっています。 Adblock Plus Undercover – Einblicke in ein mafioeses Werbenetzwerk | Mobilegeeks.de | Allgemein http://www.mobilegeeks.de/adblock-plus-undercover-ein
日々是横着 - 「サーバ」に対する誤った認識
最近、常時接続というのが当り前になり、自宅サーバを立てることを 勧めるような書籍や Web ページが非常に多く出てきているので、 自分でもサーバを立ててみたいと思っている人を多く見受けます。 しかし、サーバを立てる際に気をつけるべきことを全く認識せずに 立てようとしている例も非常に多く見受けられます。 ここは、インターネットに公開するサーバを立てる際に一般の方が 勘違いしがちなこととそれに対する(私の個人的な)回答を、 世の中に溢れる「自宅サーバ立てよう!」系の書籍/Web ページには あまり書かれない 「自分でサーバを立てるのは大変だからやめよう!」 という視点で行い、 サーバ運営の現実をしっかり認識して頂くための ページです。 対象とする読者は基本的に 「サーバを自分で立てようと思っている人全員」で す。特に 「あまりコンピュータに詳しいわけじゃないけど、 なんだか自分で立てられるって
マシなインターネットを作る:malaさんインタビュー
こんにちは。今回はmalaさんのインタビューをお届けします。 malaさんはNHN Japanのエンジニアとして多くのウェブサービスの設計に関わるだけでなく、セキュリティやプライバシの観点から見たアーキテクチャについて、ブログでさまざまな情報や問題提起を発信されています。 特に昨年末に公開されたブログ記事「はてな使ったら負けかなと思っている2011」は、インターネットはどこへ行くかという私のもやっとした問題意識にピッタリとハマる素晴らしい文章でした。あの記事を読んで、これはぜひ一度お会いして、インターネットの現状やエンジニアの役割について、お話を聞いてみたい、と思ったのが今回の企画の発端です。未読の方は、まずそちらからどうぞ。 なお、インタビューは三月末に行われました。無職期間中に公開する予定で、ずいぶん時間がかかってしまいました。文中、私の所属する企業の話も出てきますが、例によってここは
はてブボタン履歴トラッキング問題の件 - 妄想科學倶樂部
はてなから公式に「取得やめます」と発表があって、一応は終息した件。 当初の認識では「グレーゾーンだけどアウトとは言えないんじゃないか」だったんだけど、色々考え/調べてちょっと認識変わったので書く。 発端 はてなは元々、「サイトに埋め込んでおくとクリック一発ブックマークできたりURLごとのブックマーク数を表示したりする機能」を提供していた。国内のSBMに於いてはてなブックマークは大手であり、そのブックマーク数は人気指標として広く認識されているため、はてなの各サーヴィスはもちろん外部に於いても当機能の利用率はかなり高い。 で、この機能に2011年9月から突然「埋め込んだページを閲覧した人の履歴情報を取得する」機能が追加された。このことは一応はてなのブックマークの機能解説ページには告知されたが、それ以外には説明がなかった。どうやら一部大手顧客については説明が為されたようだったが、大半を占める個人
はてなブックマークボタンのトラッキング問題で高木浩光先生が決別ツイートをするに至った経緯まとめ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
ネットを利用するときに気をつけたいこと - ぼくはまちちゃん!
こんにちはこんにちは!! 昨日、こんな記事を見かけたよ。 » コドモのソーシャルネットワーク事情〜親ならこれだけはやっておけ なるほど、いいこと書いてあるし、わかりやすい。 そんなわけでぼくも、 「ネットを利用するときに気をつけたいこと」について、自分なりに思うことを書いてみるよ。 情報は紐付く ちょっとした情報を元に、 ネットAとネットBが紐付くのはもちろんだし、 リアルの情報まで紐付くこともよくあること。 ひとつひとつは大したことない情報でも、 情報が紐付くと、さらに色々なことが芋づる式に誰かにわかるよ。 過去と現在が紐付く 今は、君のことを気にかけているのは まわりの友達だけかもしれない。 けれど情報は残る。 将来、5年後、10年後…、 君がうっかり書いた言葉が、たまたま炎上した時、 犯罪者のようなレッテルとともに、過去の全てと、紐付いたリアルの情報を、大勢の人に晒されることになる。
コドモのソーシャルネットワーク事情~親ならこれだけはやっておけ
2. 自己紹介 なまえ:やまぐちあゆみ コミュニティ活動: ・まっちゃ139勉強会 ・関西Ooo勉強会改め関西LibreOffice勉強会 ・Microsoft MVP Windows Security 2006.04-2008.03 Consumer Security 2008.04-2012.03 ネット上の活動: ・IT勉強会カレンダー: tinyurl.com/itcal ・はてダ: d.hatena.ne.jp/hanazukin ・Twitter: twitter.com/hanazukin ・Facebook: www.facebook.com/hanazukin リアル:2児の母 3. SNS使ってますか? SNSってなんだろう:出典 Wikipedeia ソーシャル・ネットワーキング・サービスとは、社会的ネット ワークをインターネット上で構築するサービスの事である。代 表
DNSCrypt - どさにっき
2011年12月7日(水) ■ DNSCrypt _ OpenDNS によるエンドユーザとキャッシュサーバの間を暗号化する試みだそうな。キャッシュサーバとコンテンツサーバの間を暗号化する DNSCurveをクライアント側でも利用できるように、という発想らしい。DNSSEC に対応したスタブレゾルバも現状では存在しないし、ここでの毒入れを防ぐというのはたしかに重要なことだろう。 _ DNSCurve って、どうやら ISP や企業内の共用キャッシュ DNS を使う従来のモデルと異なり、個別のクライアント PC ごとにインストールしてそれぞれが full recursive なサーバとして動作させることを意図してるようで (*1)、そうであればスタブレゾルバとキャッシュサーバの間の毒入れは気にしなくていいんだけど、しかしその一方でキャッシュ効率が極めて低くなる。そんなのが世界中に普及されてしま
スマホアプリとプライバシーの「越えてはいけない一線」 - @IT
スマートフォンアプリは果たしてどこまで、端末に関する情報を取得してもいいのだろうか。 位置情報と連動してお勧め店舗情報を表示したり、過去の検索履歴を基に商品を提案したりと、端末の情報やユーザーの行動履歴を活用するスマートフォンアプリが登場している。中には便利なものも多いが、一歩間違えれば、ユーザーのプライベートな情報が筒抜けになりかねない。結果として、スマートフォンを活用したビジネスやそれを支える広告市場までもが、否定的な目で見られ、発展を阻害される恐れもある。 この議論が起こったきっかけの1つは、ミログが公開していた「AppLog」と「app.tv」というアプリだ。AppLogはSDKの形で提供され、これを自前のアプリに組み込むと、Android端末にインストールされているアプリの情報やその起動回数を収集し、同社のアプリケーション分析サービスに送信するようになっていた。開発者にはインスト
深夜、FBIがデータセンターを強制捜査しサーバ押収。国際的なサイバー犯罪摘発のためと
6月21日火曜日、午前1時15分。米国東部バージニア州にあるデータセンターDigitalOneにFBIの強制捜査が入りました。FBIはデータセンター内のサーバを複数台と、そこに接続されていた周辺機器を押収。これにより、DigitalOneのWebサイトを含む、データセンターでホスティングしているいくつかの顧客のWebサイトが停止したとのこと。 しかも押収されたサーバの中には、Webの情報を手軽に保存できるサービスで人気のInstapaperのサーバ1台(ただしサービスに影響はなかったとのこと)、ソーシャルブックマーキングのPinboardのサーバなどが含まれており、強制捜査の巻き添えをくった形になりました。 FBI — Department of Justice Disrupts International Cyber Crime Rings Distributing Scareware
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://japan.internet.com/webtech/20130207/2.html
安全なWebサイト設計の注意点
Webは暗号化されるべきか?
