おはき゛ @hakaikosen 対策の(1)のcに、パスワード管理ツールを使うというのがあるじゃないですか。ここで唐突に「信頼のおける専用ツール(ソフトウェア)を使用し、IDとパスワードを保存します」って言い出すわけです。信頼のおける専用ツールってなんやねんと。
STOP!パスワード使い回し!!について思うこと
おはき゛ @hakaikosen 対策の(1)のcに、パスワード管理ツールを使うというのがあるじゃないですか。ここで唐突に「信頼のおける専用ツール(ソフトウェア)を使用し、IDとパスワードを保存します」って言い出すわけです。信頼のおける専用ツールってなんやねんと。
EpisoPass
EpisoPass概要 問題プール編集 EpisoPassページ作成 EpisoPassページ生成 EpisoPass概要 EpisoPass™ は、個人的な記憶をもとにパスワードを生成するシステムです。 自分だけが知っている記憶を利用して、複雑なパスワードを生成できます。 たとえば増井のEpisoPassページの問題に正しく答えると Amazonのパスワードが生成されます。 秘密ファイルを管理したり、パスワードを記憶したりする必要がありません。 EpisoPassページの作成 EpisoPassページ作成には問題プールを使います。 問題プールは、秘密の質問と回答候補を並べたものです。 例: 県名 / ローカル地名 / 海外 / 人名 Webに置いた問題プールデータをURL引数に指定できます。 例: 県名 / ローカル地名 / 海外 / 人名 問題プール編集タブを選択すると 問題プールを編
【リリース後に確認された問題】2014 年 8 月 13 日公開の更新プログラムの適用により問題が発生する場合がある [対応方法まとめ] | MSRC Blog | Microsoft Security Response Center
This blog post is older than a year. The information provided below may be outdated. (変更履歴) 2014/8/28 08:30 : 本日、サポート技術情報 2982791「[MS14-045] カーネル モード ドライバーのセキュリティ更新プログラムについて (2014 年 8 月 12 日)」で説明されたリリース後に見つかった問題を解決する、セキュリティ更新プログラム 2993651 を公開しました。詳細は、「[MS14-045] 更新プログラム 2982791 の問題を解決する更新プログラム 2993651 を公開」を参照してください。 2014 年 8 月 13 日公開のセキュリティ情報 MS14-045 「カーネルモード ドライバーの脆弱性により、特権が昇格される」にて公開したセキュリティ更新プ
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
ちょっとセキュアな「いつもの」パスワード - ぼくはまちちゃん!
こんにちはこんにちは!! 最近はメールでもなんでもWEB上の便利なサービスが増えてきましたね…! でも、いろいろ登録しすぎて、いよいよぼくもパスワードが管理できなくなってきました…! えっ! もしかして面倒だから、ぜんぶ同じパスワード使ってたりするるんでしょうか…! だめです!だめだめ!それはだめ。 全部のサイトで同じパスワードにするのってものすごく危険ですよ!!! これはほんと! だって、もしなにかあって、どれかひとつのパスワードがばれちゃったら全部芋づるだから…! 登録したWEBサイトの管理者の中に悪い人がいる可能性もあるし。 (個人運営のサイトはもちろん、たとえ大きな企業のサイトでもバイトちゃんが見れたりとか…) でもだからといって全部別のものにすると覚えられないんだよね。 たとえば自分宛にメールしておくとか… Dropboxのような共有フォルダにパスワードのメモいれとくとか… パス
WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まつてゐる
OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。 Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。 というわけで今回のテーマとして、手元にサーバの秘密鍵と、SSL通信をパケットキャプチャしたpcapファイルがあるときに、Wiresharkでどんな感じでSSL通信を「ほどく」のか……という具体的な手順を、ハマり所を含めてまとめておこうかと思います。 というか、私自身がハマったので自分用メモですな。なおこの文書では"SSL"とだけ記述し、TLSは無視しています。 前提条件 とりあえず以下のような感じの検証環境で試しました。 IPアドレス 説明 ホストO
Shodan
Search Engine for the Internet of Everything Shodan is the world's first search engine for Internet-connected devices. Discover how Internet intelligence can help you make better decisions. Sign Up Now Beyondthe Web Websites are just one part of the Internet. Use Shodan to discover everything from power plants, mobile phones, refrigerators and Minecraft servers. MonitorNetwork Exposure Keep track
正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう
正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「PHPer向け、Ruby/Railsの落とし穴」には、Rubyの落とし穴として、完全一致検索の指定として、正規表現の ^ と $ を指定する例が、Ruby on Rails Security Guideからの引用として紹介されています。以下の正規表現は、XSS対策として、httpスキームあるいはhttpsスキームのURLのみを許可する正規表現のつもりです。 /^https?:\/\/[^\n]+$/
広告でスパムが表示されると聞いたので検索エンジンで色んなワードを入れてみた - 戯れ言(はてなダイアリー版跡地)
この記事を読んだ。 なぜhao123に汚染されるのか - ex セットアップしたばかりのマシンのIEから、デフォルトの検索エンジンであるbingで「chrome」を検索すると怪しいサイトが広告に出てくるという話。 この記事を見てあっ、と思った。というのは一昨日、ちょうどbingで検索したら似たような広告が出てきたから。 【セキュリティ ニュース】「Adobe Flash Player」が今月2度目の緊急更新 - 別のゼロデイ脆弱性を修正:Security NEXT これ見てさっさと更新しようと思い、普段使わないIEを立ち上げてデフォのままになってるbingで「Flash」と入れた。すると出てきたのは次の画面。 普段なら広告なんてスルーして「get.adobe.com/jp/flashplayer」から更新するところを、adobeの文字が目に入ったので「adobe.fastsoftdownl
Chrome などで保存したパスワードが丸見えだから危険とか言われている件について
Google Chrome では設定画面からブラウザに保存してあるパスワードを簡単に見ることができて危ないっていう件について誤解されていそうな点をまとめてみたいと思います。 ソフトウェア開発者の Elliott Kember 氏が自身の Blog に「Chrome's insane password security strategy」 というタイトルで指摘する記事を書き、日本ではギズモード・ジャパンで翻訳記事が上がったことで話題になった、「Google Chrome では設定画面からブラウザに保存してあるパスワードを簡単に見ることができて、マスターパスワードの設定もないから危ない」 っていう件。 Chromeでは自動保存のパスワードが丸見え。サーッと血の気が引いたわ : ギズモード・ジャパン Chromeブラウザの「パスワード丸見え」問題にGoogleが釈明 : ITmedia ニュース
ねらーが比較したアンチウィルスソフト性能一覧 / CYBER LIFE 2CH
av-comparatives On-Demand 2011年8月 ウイルス206,043個の性能調査 ※XP SP3上で実施 http://www.av-comparatives.org/images/stories/test/ondret/avc_od_aug2011.pdf 検出率 誤検出数 スキャン速度 ソフト名 ADVANCED+ ★★★ 99.7% 14個 10.1 GDATA 99.5% 11個 12.3 Avira Personal [無料] 99.3% *1個 *9.6 Panda Cloud [無料] 98.5% *6個 10.3 F-Secure 98.4% *8個 10.5 BitDefender 98.3% *1個 *9.9 Kaspersky 97.3% *3個 *9.8 ESET 97.3% 10個 16.4 avast! Free [無
【楽天】行動ターゲティングサービスの説明とその無効化について
インフォシークの広告について楽天株式会社では下記の行動ターゲティングサービス(以下「本サービス」といいます)を行っています。 本サービスは、サイト来訪者の行動履歴情報をもとに来訪者の興味・嗜好にあわせて広告を配信する広告手法です。 本サービスの無効化をご希望される方は、お手数ですが以下の手順に従い無効化してください。 なお、本サービスはクッキーの設定が「オフ」になっているお客様には提供されておりませんのでご注意下さい。 株式会社ドリコムの技術を用いた行動ターゲティングサービスです。 本サービスでは、お客様がご利用になっているブラウザに記録されているファイル情報を自動的に「判別」し、効果的な広告を配信する目的にのみ使用いたします。 判別に用いる当該ファイル情報はお客様個人を特定・識別できるような情報は「一切」含まれておりません。 本サービスの無効化をご希望の場合は下記の「無効にする(オプ
もっとも危ないプログラミングエラー25、+16 | エンタープライズ | マイコミジャーナル
CWE is a Software Assurance strategic initiative sponsored by the National Cyber Security Division of the U.S. Department of Homeland Security. CWE - 2010 CWE/SANS Top 25 Most Dangerous Programming Errorsにおいて脆弱性の原因となる危険なプログラミングエラー25が発表された。開発者にセキュリティ問題の原因となるプログラミングに関する注意を促し、実際にソフトウェアが動作する前の段階で問題を発見し対処できるようにすることを目指したもの。2009年に発表されたリストの更新版にあたり、内容の多くが更新されている。2009年版を使っていた場合には、今回発表された2010年版を再度検討する価値がある。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft、OSが起動不能になる問題があったセキュリティ更新プログラムを修正・再公開
DeNA Engineering - DeNAエンジニアのポータルサイト
巧妙なので注意、Google ドライブで作られた偽のGoogle Docsログインページ