The savvy marketers at Boston Dynamics produced two major robotics news cycles last week. The larger of the two was, naturally, the electric Atlas announcement. As I write this, the sub-40 second vide
![TechCrunch](https://cdn-ak-scissors.b.st-hatena.com/image/square/92584d6251feb0822f349cf0211361b2833c9939/height=288;version=1;width=512/https%3A%2F%2Ftechcrunch.com%2Fwp-content%2Fuploads%2F2018%2F04%2Ftc-logo-2018-square-reverse2x.png)
おはようございます。しなもんです。 今回はセキュリティ調査に使える便利なブラウザの拡張機能 (アドオン・エクステンション) をご紹介します。 こうした拡張機能の多くはこの世で唯一無二の機能を持っているわけではありませんが、普段から一番よく使う調査ツールである「Web ブラウザ」に直結するため、手間の節減や各種オンラインサービスへのアクセシビリティ向上に大きな効果を発揮する場合があります。 前提 Mitaka IP Address and Domain information Link Redirect Trace User-Agent Switcher Flagfox IP Domain Country Flag Wappalyser anonymoX Wayback Machine Exif Viewer/EXIF Viewer Pro Simple Translate Mouse Di
[レベル: 中級] 非 HTTPS (HTTP) のページでテキストをフォーム送信する要素を持つサイトを対象に、Google は先週末いっせいに警告メールを送信しました。 Chrome 62 から実装予定のセキュリティ警告 次のメールが Search Console 経由で届きます。 Chrome のセキュリティ警告を http://example.com に表示します http://example.com の所有者様 2017 年 10 月より、ユーザーが Chrome(バージョン 62)で HTTP ページのフォームにテキストを入力すると、「保護されていません」という警告が表示されるようになります。また、シークレット モードを使用している場合は、HTTP ページにアクセスするだけで「保護されていません」と表示されます。 貴サイトでは、たとえば以下に示す URL に、Chrome の新し
今年はGoogle I/Oに初めて社員ではない立場で参加しました。全体の感想は Google I/O 2016まとめ(Web的視点) で公開していますが、今回はその中で、気に入ったセッションの1つである"Mythbusting HTTPS: Squashing security’s urban legends"について書いてみたいと思います。 セッションは大変良くまとまっていますので、YouTubeにあがっている動画を見れる人は動画を見て貰えれば良いのですが、時間が無いという人のために、その内容をまとめました。基本的には文字起こしに近いものです。 重要だとわかっているけど、なかなか導入に踏み切れない人も多いHTTPS。これについて、最新の状況が理解できるコンテンツとしてお役に立てるならば嬉しいです。 TL;DR HTTPSはPWAppなどWebにとって必須。 しかし、パフォーマンス悪化する
ChaCha(チャチャ)という一見ふざけた名前の暗号が最近(自分の中で)話題ということで,勉強がてらに記事にしてみました. 背景 ChaChaの構造 Salsa20 Chacha 初期状態 ラウンド操作 ChaChaの安全性 実装してみた 参考 背景 2016年4月現在,TLSの新しいバージョンとしてTLS 1.3が提案されており,ドラフトが公開されている. draft-ietf-tls-tls13-11 - The Transport Layer Security (TLS) Protocol Version 1.3 TLS 1.2からの大きな変更点として,以下の2つがある. ハンドシェイクの省略によるRTT(Round Trip Time)の削減 危殆化した暗号の廃止 「危殆化した暗号」とは,Forward SecrecyでないCipher Suite(RSAのみを用いたもの)や,認証
【追記】このページを既に訪問された方々へ 結論から申し上げますと、当エントリーの記事内容は誤った情報になります。誤解を与える内容をアップしてしまい申し訳ありませんでした。ブックマークコメントやコメントにて指摘くださった方々、どうもありがとうございました。指摘がなければ自分も誤った情報を鵜呑みにしたまま過ごすところでした。 こちらの記事は、もともとこちらの動画(How to see who viewed your facebook profile the most? – YouTube)を偶然見つけて、initial chat friendsを検索し(What does the “initial chat friends list” on Facebook mean? )のベストアンサーをちらりと見て書いてしまったものになります。自分で試してみた後の結果と動画を見た直後の先入観からベストアン
IPAの安全なウェブサイトの作り方 改訂第7版が公開されました。 このエントリでは、安全なウェブサイトの作り方の元々もつ特徴(変わらない点)と、第7版の変更のポイントについて説明します。 なお、私は安全なウェブサイトの作り方の執筆者の一人ではありますが、以下の記述は私個人の意見であり、IPAを代表するものではありませんので、あらかじめご承知おきください。 安全なウェブサイトの作り方の変わらぬ特徴 安全なウェブサイトの作り方の特徴は、「まえがき」の中で述べられています。 本書は、IPAが届出を受けたソフトウェア製品およびウェブアプリケーションの脆弱性関連情報に基づいて、特にウェブサイトやウェブアプリケーションについて、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、その根本的な解決策と、保険的な対策を示しています。 すなわち、以下の2点がポイントと考えます。 脆弱性の選定
このブログを読んでいる人なら Google や AWS の 2 段階認証(マルチファクタ認証)を有効にしていると思います。もしパスワードが漏れてしまってもワンタイムパスワードを入力しないと認証されないので安心です。 有名どころのサービスでは使えるところが増えてきましたが、2 段階認証を有効にしていれば万全なのでしょうか。エンジニアである以上、その仕組みを理解したうえで自信を持って安全と言いたいところ。 というわけで、2 段階認証は本当に安全なのか仕様を紐解きながら調べてみました。 ワンタイムパスワードの仕様 ワンタイムパスワードを生成する仕様は HOTP と TOTP の 2 つがあり、RFC の仕様になっています(TOTP はドラフト段階)。 HOTP (HMAC-Based One-Time Password Algorithm) TOTP (Time-Based One-Time P
Android アプリのアクティビティとして WEB のコンテンツを表示できる「WebView」の Android 向けコンポーネントが Android 5.0 (Lollipop)でシステムから切り離され、Google Play ストア経由でアップデートされるよう実装方法が変更されました。 Android 4.4 (KitKat)までの WebView コンポーネントは OS 組み込み型だったので、バグの修正や機能追加は OS 自体のアップデートが必要でした。Android 5.0 (Lollipop)では「Android System WebView」としてアプリ化され、個別に Google Play ストアで提供されるようになりました。 Android 5.0 (Lollipop)の初期リリース版の WebView コンポーネントは WebRTC や WebAudi,、WebGL を
Googleで検索したり、Gmail, YouTube, Googleマップ、カレンダーなど、Googleのさまざまなサービスを利用する際に知っておくべき大切なURLを10個、紹介します。 Googleアカウントが使えなくなった時の設定とかしてありますか? 10 URLs That Every Google User Should Know written by Digital Inspiration Googleのアカウントを作成・管理 広告の設定 Gmail, YouTube, カレンダーなどのデータを保存 違反コンテンツを見つけたらGoogleに報告 位置情報の管理 検索に使用した文字も記録されています Googleアカウントの使用を止めた後のデータの扱い 自分のGoogleアカウントを第三者が使っていないか調べる アカウントの権限を一括管理 Googleアカウントがハッキングされた
HSTS(HTTP Strict Transport Security)という仕組みがある。簡単にいうと、次のような仕組みだ。 「このサイトにはHTTPではなくHTTPSで必ず接続するように」と、サーバーがブラウザに指示するHTTPヘッダー。この指示を受け取ったブラウザは、その情報を記録しておき、以降は、そのサイトに対してアクセスするのにHTTPを使わず自動的にHTTPSで接続するようにする。 たとえHTTPSでサイトを構成していたとしても、通信を傍受されたりフィッシング詐欺に遭ったりする危険性がある(特に無線LANなどの環境で)。これを防ぐのにHSTSを利用できる。 グーグルは、HTTPSをランキング要因に組み込んだことを発表した際に、「サイトでHSTSを有効にするように」と指示している。 ところが、たしかにHSTSによってブラウザは必ずHTTPSで接続を試みるのだが、それは2回目以降だ
近年、日常茶飯事になりつつある個人情報の漏えい事件。 ベネッセや日本航空の事例などなど、セキュリティ意識の高い大手企業であっても個人情報流出を防ぐことが出来ないわけですから、対策にお金をかけられない中小企業や個人商店からの流出は、もはや星の数ほど発生してると考えるのが自然…。 酷いケースだと企業側が流出に気付けない場合すらあることを考えると、住所、氏名、電話番号、クレジットカード情報といった大切な個人情報は自分自身で守るほかないのかもしれません。 大量の情報漏えい: ニュースになるので気付きやすい&企業側からの連絡が期待できる 小規模な情報漏えい: 被害者が少ないので気付きにくい&場合によっては流出したことすら通知すらされない(そもそも企業側が流出を認識できていないことも) では、どうすれば個人情報流出から身を守ることが出来るのか? 今回は参考までに、自分が登録した個人情報がどこから流出し
OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。 たとえば、悪意あるフィッシングリンクをクリックすると、Faceboo
あなたも私たちと同類なら、Gmailの檻から逃れられなくなっているはず。せめて、下のガイドを読んでGmailを安全に使ってください。Q&Aサイト「Stack Exchange」のウェブアプリ専門家が、絶対やっておきべきGmailのセキュリティ対策を教えてくれました。 私自身、Googleアカウントを乗っ取られた人から数々の恐ろしい話を聞きました。とくにGmailを乗っ取られると悲惨です。どうすれば最悪の事態を避けられるでしょうか? アカウントを奪われる前にどのような対策をとればいいでしょうか? 以下、Al E.さんの回答から。 Googleには、アカウントを乗っ取られないための機能がいくつかあります。しかし、使うには事前に設定が必要です。 アカウント復旧オプションを設定する 携帯電話番号の登録:携帯電話番号を登録しておけば、パスワードを忘れてしまったり、アカウントの不正使用の疑いがあったと
By Joseph Holmes インターネットを利用する上ではSNSやネットショッピングなどへ、住所・氏名・年齢・生年月日・電話番号・性別・クレジットカードの番号などの個人情報をネット上に記録することがありますが、情報漏洩により流出してしまう事件もたびたび起こっています。そんな個人を特定できる情報はできるだけ登録したくないものですが、いかにもそれっぽい登録用のダミー個人情報を自動生成してくれるのが「Fake Name Generator」です。 ランダムな名前を生成する - Fake Name Generator http://ja.fakenamegenerator.com/ とりあえず偽の個人情報を作り出すには、トップページ上部の「生成」をクリック。 すると「Willis M. Smith」というアメリカ・オハイオ州在住の企業オフィスサービスのマネージャーで65歳男性の情報が表示され
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く