利用者として私が実践してるHeartBleed脆弱性対策をご紹介 リストとChromeBleed & SSL Server Testでチェック!
TOP Security 利用者として私が実践してるHeartBleed脆弱性対策をご紹介 リストとChromeBleed & SSL Server Testでチェック! 本ブログでも紹介していますが、OpenSSLというWebサーバ側で使用されるオープンソースのSSL/TLS実装ライブラリに非常に危険な脆弱性が発見されました。 OpenSSLの脆弱性「Heartbleed Bug」をチェックするサイト : I believe in technology オープンソースのSSL/TLS実装ライブラリ「OpenSSL」に深刻な脆弱性が見つかり、今朝から大きな話題となっています。 といっても、サーバ管理者でもセキュリティエンジニアでもない方にとっては、この脆弱性が意味するところを理解するのはなかなか難しいのではないかと思います。 そこで今回は、この脆弱性が一般的なインターネット利用者に与える影
PHPで本気で安全なパスワードを生成する - espresso3389の日記
Twitterで PHPで、いわゆる安全な秘密鍵を生成する方法っていうのがネットにほとんど記述されてないという事実に愕然としている。みんな、暗号乱数ぐらい勉強してくれ・・・。— Takashi Kawasaki (@espresso3389) April 12, 2014 なんて発言をしたら結構反響があったので、責任を取って、これならまぁ許せるというサンプルを出しておく。エントロピーの無駄遣いなどというぐらいの理解がある人は自分で実装してください。マジ実装すると結構面倒なので諦めました。 コピペするならここからどうぞ <?php // パスワードに使っても良い文字集合 $password_chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'; $password_chars_count = strl
インターネットを苛んでいる Heartbleed バグ発見の経緯とは | readwrite.jp
「最初の傷が一番深い(The First Cut Is the Deepest)」という歌をご存じだろうか? 残念ながら、今世間を賑わせている Heartbleed バグに関して言えば、この歌は全く当てはまらない。なぜなら、このバグでオンライン上のセキュリティが負った傷について知れば知るほど、その深さと危険度は増していく一方だからだ。 関連記事:ウェブ・セキュリティを脅かす重大なバグ「Heartbleed」について知っておくべきこと グーグルのエンジニア、ニール・メヒタとフィンランドのセキュリティー企業 Codenomicon 社が個別に発見した Heartbleed は、「近代のウェブを襲う最も深刻なセキュリティー問題の一つ」とされている。Heartbleed を発見、命名した Codenomicon 社のチームを率いる CEO、デビッド・シャルティエを取材して、その経緯と今後の展開につ
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
CVE-2014-0160 OpenSSL Heartbleed 脆弱性まとめ - めもおきば
必要な情報は http://heartbleed.com/ にまとまっているのですが、英語だし長いしって人のために手短にまとめておきます。 どうすればいいのか OpenSSL 1.0.1〜1.0.1fを使っていなければセーフ あてはまる場合には、一刻も早くバージョンアップして、サーバごと再起動(わかるひとはサービス単位でもOK、ただしreloadではだめなことも) SSL証明書でサーバを公開しているなら、秘密鍵から作り直して証明書を再発行し、過去の証明書を失効させる(末尾に関連リンクあり)。 サーバを公開していない場合も、外部へのSSL通信があれば影響を受けるので、詳しく精査する。 PFS(perfect forward secrecy)を利用していない場合、過去の通信内容も復号される可能性があるため、詳しく精査する。 漏洩する情報の具体例は、OpenSSLの脆弱性で想定されるリスクとして
OpenSSLの脆弱性(CVE-2014-0160)関連の情報をまとめてみた - piyolog
HeartBleed(CVE-2014-0160)関係のリンク集、自分のメモ用なので不正確です。 HeartBleedの影響対象となるOpenSSLバージョン 以下のバージョンが影響を受けます。但し、システムによっては原因となっているheartbeat機能が無効化されている場合もあるため、バージョンが一致しただけで当該脆弱性の影響を受けるかは確定しません。 (1) OpenSSL 1.0.1系 バージョン名 リリース時期 CVE-2014-0160 OpenSSL 1.0.1 2012/03/14 脆弱性あり OpenSSL 1.0.1a 2012/04/19 脆弱性あり OpenSSL 1.0.1b 2012/04/26 脆弱性あり OpenSSL 1.0.1c 2012/05/10 脆弱性あり OpenSSL 1.0.1d 2013/02/05 脆弱性あり OpenSSL 1.0.1e
iOSデバイスの不具合を自分で診断する - Apple コミュニティ
※現在この方法は利用できません。(2016/4/30現在) iOSデバイス(iPhone・iPad・iPod touch)を使っていて何か本体やバッテリーに問題があると感じた場合ユーザーで本体に異常がないかチェックする方法があります。 診断に必要な物 診断したいiOSデバイス本体そのiOSデバイスで受信が可能なEメールアドレスパソコン・iOSデバイス共に通信出来る環境パソコンiOS診断を利用する Apple サポートへのお問い合わせへパソコンでアクセスし、「こちらからスタート」をクリックします。何についてのサポートをご希望ですか?と聞かれますので診断したいiOSデバイスをクリックします。自分の症状に近い内容をクリックします。(今回はバッテリーが持たないと感じた場合の例)基本的なシステム情報を Apple に送信してください。という画面に移動しますので、メールアドレスを入力し、矢印ボタンをク
STAP論文の不正を認定 理研調査委、きょう最終報告 - MSN産経ニュース
理化学研究所の小保方晴子・研究ユニットリーダーらが発表した新型万能細胞「STAP細胞」の論文を巡る疑惑を検証していた理研の調査委員会が、論文に意図的な不正があると認める最終報告書を取りまとめたことが31日、分かった。1日午前に東京都内で記者会見を開き、公表する。 調査委は3月14日の中間報告で、実験データ画像の切り張りや過去の論文からの流用、他人の論文の文章盗用など、計6カ所に問題があると指摘。うち2つは「意図的な不正ではない過誤」と判断したが、残りについて今回、「意図的であり不正と認められる部分がある」との見解を示した。 これを受け、1日午後に野依良治理事長らが記者会見し、論文不正の再発防止策や、STAP細胞の有無に関する科学的検証計画などについて説明する。 だが、小保方氏や、同氏の上司である理研発生・再生科学総合研究センターの笹井芳樹副センター長ら、STAP論文の著者に対する理研内の処
MMDforUnityのZip圧縮ファイル読み込み機能サポートに関する集中議論まとめ。
自分から撒いた種なので、まとめておきます。 ここでは私と水道屋さんおよび0316(そよ風)さんの議論を収録しています。この件はまとめておいて今後の参考資料にさせて頂きます。(汗)
サルモン神宮外苑~「イース FOR X68000の世界」4
X68000とは 「最強のホビーパソコン」X68000。高性能を詰め込んだ「マンハッタンシェイプ」はユーザーの憧れだった。 X68kはシャープが1987年に発売した高性能パソコンです。80年代中頃まで、同社ではビジネスユースを想定したMZシリーズと、家庭でのホビーユースを想定したX1シリーズという、二系統のパソコンを開発・販売していたのですが、X68kはX1の後継シリーズという位置づけでした。PCGやスーパーインポーズ等(注1)、X1は手軽に凝ったグラフィック表示が可能で、扱いやすいホビーパソコンとして定評のあるマシンだったのですが、X68kもその路線を継承し、ユーザーレベルで高度なグラフィック処理や音楽処理が可能なマシンとして設計されていました。シャープではこれを「パーソナルワークステーション」と銘打っています。 本体付属の「グラディウス」。アーケードに遜色ない「完全移植」はX68K格好
ドワンゴの女子マネという過酷な訓練
ドワンゴ現在、ドワンゴでは「女子マネ弁当」という企画が復活している。 過去の女子マネ弁当の様子については、すでに社外にも相当の情報が出回っているので、例えば以下のような情報を参考にしてもらいたい。 【第1回】ドワンゴ大改革の鍵は、インフラと女子マネージャー。|川上量生の胸のうち|川上量生|cakes(ケイクス) ドワンゴ「助けて! エンジニアが朝出社しないの!」→ 女子マネージャーが弁当を手渡してくれる「女子マネ弁当」システム導入で生活習慣改善へ - ねとらぼ 今回は、その女子マネ弁当の実情に迫る、社内からのレポートをお届けする。 女子マネ弁当の概要とは以下の通りである。 3月17日から、4月25日までの一ヶ月間、午前10時30分までに出社すると、以下の特典がある 午前10時30分から、エンジ色のジャージを来た女子マネ人員(なぜか若い女性のみで構成されている男女比率の偏った集団)が、エンジ
想像力はベッドルームと路上から
脱文脈化ということ: 極東ブログ なにやら私のブコメが琴線に触れたらしいので簡単に答えておきます。 愉快だった。読み違えしているかなと思えるのは一点、「深刻ぶった」というくらいで、どうも「バブー」のベタは受けなかったようだ。つまり、他の指摘は当たっていると思った。二つある。 一つは「こうやってごく基本的な経緯すら把握していないくせに」である。まあ、それでいいと思う。他のはてなーず(「女子ーず」みたいだな)のコメントに、「私はシャルリだ」の背景もわからんのか爺、みたいのもあった。 どう理解されているかの弁解でもないが、私は、この話題を「脱文脈化」したいのである。 脱文脈化というのは、人々がある方向性の受容している前提となる文脈を入れ替えることである。そうしたとき、命題はどのような意味を持つだろうか。 「基本的な経緯すら把握していない」という指摘について「当たっている」と認めていただいたのでそ
【裏技】Nexus 4を2万円も安く購入する方法
みんなには内緒だよー(ひそひそ…) 本日より発売となったLGのスマートフォン「Nexus 4」。Amazonや家電量販店で購入することができるのですが、ちょっと納得いかないのがその価格(記事)。だってアメリカでは249ドル(約2万5000円)で販売してる16GBモデルが日本では4万9800円なんですよ!その差、実に1万5000円。円安だからなんて言い訳は聞きません。ぷんぷん。 なんとかして安く購入する方法ないかなって考えたんですが、やっぱり海外版を輸入して購入するのが一番なんですよね。だって、日本版も海外版も同じでsimフリーなんだもん。だけど英語を使って購入するのは不安だなーってアナタ、ゲッコー・アンド・カンパニーが海外版の並行輸入品を販売してくれるそうですよ。お値段は手数料込みで2万9800円(16GB)と超良心的。しかも独自に保証サービスもつけてくれるんですって。バンザイ! 購入手続
STAP騒動に見る、一流教育機関のあり方
「うーん、ほんまSTAP細胞って、なんやったんや……」 寒さの残る香港はマンダリンオリエンタルホテルの一室で、本来ならば今度こそ、「ドイツのソーセージはなぜおいしい?!」というコラムを出そうと思っていたのに、またしても時事ネタの誘惑に敗北してSTAP細胞論争に参戦する運びとなってしまった。 まずSTAP細胞発表時はリケジョの星と持ち上げ、疑惑が指摘されると、今度は批判のスパイラル報道で儲けるメディアを見ていると、ある時は韓流を押して儲け、次はその反動の嫌韓で儲け、という節操のない行動を繰り返す「事実・真実に関する審査能力のないメディア」に辟易とするわけだが、むしろメディアに信頼性の担保を求めるのがどだい不可能で、真実の番人はより厳正な審査機関に任せざるをえないのが実情だろう。 今回は驚いたことに、その厳正な審査機能を果たしているはずの世界的な科学誌『Nature』に掲載された論文が、なんと
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DeNA Engineering - DeNAエンジニアのポータルサイト
sakurachiro.com
STAP細胞:小保方さん「不正認定2点、承服できない」 - 毎日新聞
今後のAndroid端末には「Powered by Google」ロゴが必須に?
TBSラジオ FM90.5 + AM954~何かが始まる音がする~
How to Avoid Plagiarism § Harvard Guide to Using Sources