Artificial intelligence Analytics Business automation Cloud Compute and servers IT automation Security and identity Sustainability
本稿では日本時間2014年4月8日未明に公開された HeartBleed bug について取り上げます。 本脆弱性は OpenSSL 1.0.1 から 1.0.1f および 1.0.2beta1 において Heartbeat メッセージの処理において境界チェックの問題があり、OpenSSL が動作しているマシンのメモリ情報を取得可能な状態にあったことが公表されました[1]OpenSSL Security Advisory [07 Apr 2014] TLS heartbeat read overrun (CVE-2014-0160) https://www.openssl.org/news/secadv_20140407.txt。 RFC6520 で策定されている Heartbeat プロトコルは、リクエスト-レスポンス型の 2-way で完結する簡易なプロトコルで、SSL/TLS の R
ウェブサイト上でのショッピングや金融取引における通信は一般に、SSL と呼ばれる方式で暗号化されています。この SSL を実現するソフトウェアの一つである OpenSSL に、情報漏えいの脆弱性が発見されました。https でアクセスできるウェブサイトは、この脆弱性の影響を受け、ウェブサイトから情報が漏えいする可能性があります。 図:脆弱性および、脆弱性から想定可能な影響のイメージ 漏えいした情報が悪用された結果、上図のような影響が生じる可能性があります。連鎖被害を防ぐために、下表のような対策をとることが推奨されます。 直接被害 派生(連鎖)被害 対策 ウェブサイト運営者 ウェブサイト利用者(一般ユーザ) 詳細は次節[ウェブサイト利用者(一般ユーザ)としての対応]参照 サイト秘密鍵の漏えい
各位 JPCERT-AT-2014-0017 JPCERT/CC 2014-04-16 <<< JPCERT/CC Alert 2014-04-16 >>> 2014年4月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2014/at140017.html I. 概要 Oracle 社の Java SE JDK および JRE には、複数の脆弱性があります。遠 隔の第三者は、これらの脆弱性を使用することで、Java を不正終了させたり、 任意のコードを実行させたりする可能性があります。脆弱性の詳細については、 Oracle 社の情報を確認してください。 Oracle 社が提供する修正済みソフトウエアへアップデートすることをお勧 めします。 Oracle Critical Patch Update Ad
トゥデイ 生まれつきの天才ってのは幼少期から凄いのな。漫画とかではよくある設定だが現実にもあるとは。 アホな先輩 すげえwwww 夢幻 YEAAAAAAAAA!! ふぁもっしゅ 優秀すぎるわw ふんじゃらげ イェアアアアアアアア あやちるみょん 何でも触って見る考えなんだろうね 下駄 これは純粋にすごい。子供からしてみれば、ゲームのバグ技見つけた感覚だったんだろうね。 るららる 5歳児すごすぎるwww Hornet 5歳でMSへの就職が決定したかw ホニョン 将来有望だなぁ。 biobio アカウント関連のセキュリティホールを報告してくれる善良な人間は貴重だからなあ。<ご褒美 まけびと それに付随して「不正アクセス禁止法違反で5歳の子供を補導・書類送検 ○○府警」って感じかな。 ラリホー@原宿信者 やっぱ目線を変えて見るって大切なんだなって ふぃくす_不眠/砕氷風月/流離 将来有望だな そ
JPCERT/CCでは、オープンリゾルバー(外部の不特定のIPアドレスからの再帰的な問い合わせを許可しているDNSサーバー)となっているDNSサーバーが日本国内に多く存在していることを確認しています。 オープンリゾルバーは国内外に多数存在し、大規模なDDoS攻撃の踏み台として悪用されているとの報告があります。 また、DNSサーバーとして運用しているホストだけではなく、ブロードバンドルーターなどのネットワーク機器が意図せずオープンリゾルバーになっている事例があることを確認しています。 本確認サイトでは、お使いのPCに設定されているDNSサーバーと、本確認サイトへの接続元となっているブロードバンドルーターなどのネットワーク機器がオープンリゾルバーとなっていないかを確認することが可能です。 本サイトの詳細についてはこちらをご参照ください。 ただいま処理中です。しばらくお待ちください。 ※判定処理
JAPAN REGISTRY SERVICES JAPAN REGISTRY SERVICES Copyright © 2014 株式会社日本レジストリサービス 1 ■ネットワークにおけるリフレクター リフレクター(reflector)の本来の意味は反射板です。 例えば、自動車に積まれる三角停止表示板や写真撮 影で用いるレフ板は、光を反射するリフレクターです。 インターネット上でサービスを提供しているサーバー は、利用者からの問い合わせに対応する形で応答を返 します。つまり、それらのサーバーはネットワークにおけ るリフレクターの一種であると言えます(図 1)。 利用者 (クライアント) サーバー (リフレクターとして動作) 問い合わせ 応答 図 1: インターネット上の通信 ■リフレクターを攻撃に悪用 リフレクター攻撃では、インターネットに接続されてい るリフレクター(サーバーなど)が攻撃
http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks1 comment | 0 points年初にLeague of Legends、EA.comのサーバがダウンする原因となったNTPベースのDDoS攻撃について、CoudFalreがエンジニアブログでまとめています。 DNS Reflection is so 2013 DNSベースのDDoS攻撃とNTPベースの攻撃は似ている。プロトコルの違いだけ。攻撃者が、被害者となる相手のIPアドレスを偽ってパケットを送付。事情を知らないサーバは、リクエストに応えて、被害者のIPアドレスにデータを返すという仕組み。実際の攻撃者のソースは隠されていて、トレースするのが難しい。もし大量のサーバが利用されると、相当のボリュームのパケットが、世界中から被害者
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、「脆弱性体験学習ツール AppGoatウェブアプリケーション学習版」に、新たに5タイプの脆弱性と、学習テーマ13件、およびより実践的に脆弱性を発見するための演習環境等の追加行い、2014年3月10日からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/appgoat/index.html 2013年、日本国内のウェブサイトで、ウェブサイトの脆弱性悪用が主因と思われる改ざんや情報流出事件が多数発生しました。IPAとJPCERTコーディネーションセンター(*1)で運営している脆弱性届出制度(*2)におけるウェブサイトの脆弱性報告は、2012年は671件でしたが2013年には883件と増えており、脆弱性を内包したまま運営されているウェブサイトが、国内に多数存在すること
最近のフレームワークの傾向 最近のWebアプリケーションフレームワークには、次の傾向がみられる。: 「モデル・ビュー・コントローラ」(MVC)モデルに沿って構成要素をプログラミングする 「設定より規約」(Convention over Configuration)方式で構成要素を結びつける リレーショナルデータベースアクセスのためのO/Rマッパが付属しているか、既存のO/Rマッパと親和性がある O/Rマッパ O/Rマッパ(Object-relational mapper)は、テーブルとローで構成されるリレーショナルデータベース要素へのアクセスを、プログラミング言語におけるクラスとインスタンスの操作を通じて行えるようにするライブラリである。 図3-2: O/Rマッパ 例えば、S2JDBCでは、次のようなJavaコードで検索を行うことができる。: List<Book> results jdbc
strongSwan Open-source, modular and portable IPsec-based VPN solution Latest Release Version 5.9.14, 2024-03-19 Changelog Get the latest open-source GPLv2 version now, or learn more about commercial licensing options strongSwan is a comprehensive implementation of the Internet Key Exchange (IKE) protocols that allows securing IP traffic in policy- and route-based IPsec scenarios from simple to ver
はしもとまさ@日本openSUSEユーザ会 In OpenSourceConference 2013 Kyoto 愛知県大府市在住。 日本openSUSEユーザ会の自称営業担当。 以前は名古屋某社のVPNルーターの開発に携わって いたり。(そんな会社あったっけ?) …実は文系出身のエンジニアです。。。 • 本日のお品書き。 ◦ VPNってそもそも何? どんな場面で使用されるの? どんなプロトコルが使われるの? オープンソース以外ではどんなルーターがあるの? ◦ openSUSE で VPN ルーターを構築しよう! まずは YaST でさくっとルーター構築 スマホからもつながる VPN ルーターを構築しよう! 第1章 たとえば、ちびぎーこくんはあることを思いついた。 スイッチングハブ の下にルーター 暗号化されていない ファイルサーバー ファイルサーバーを 直接WAN
総務省及び経済産業省は、CRYPTREC※1の活動を通して電子政府※2で利用される暗号技術の評価を行っており、このたび、「電子政府推奨暗号リスト」(平成15年2月20日公表)を改定した「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」を策定しましたので、公表します。 総務省及び経済産業省が、CRYPTRECの活動を通して作成した「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)」(案)について、意見募集を平成24年12月12日(水)から平成25年1月10日(木)まで実施したところ、別紙2のとおり6件の御意見を頂きました。 今般、当該意見募集の結果等を踏まえ、「電子政府推奨暗号リスト」、「推奨候補暗号リスト」、「運用監視暗号リスト」から構成される「電子政府における調達のために参照すべき暗号のリスト(CRYPTREC暗号リスト)
近年では多くの分野でWebアプリケーションが使われるようになり、大量の個人情報や重要な秘密情報を扱うようなアプリケーションも少なくない。そのため、Webアプリケーションも攻撃対象として狙われやすくなっている。今回はWebアプリケーションのセキュリティ対策として、Googleが公開しているセキュリティ調査ツール「skipfish」を使ったセキュリティスキャンを紹介する。 Webアプリケーションに特化したセキュリティ調査ツール「skipfish」 今日では、Webブラウザ経由でさまざまな操作を行えるWebアプリケーションが広く浸透している。Webブラウザは最近のほぼすべてのPCにインストールされており、専用のクライアントを用意せずにアプリケーションを操作できるというのがその浸透の理由の1つだ。しかし、Webアプリケーションでは簡単にその一部(HTMLやJavaScript)のソースコードを閲覧
Google 利用規約は 2013年11月11日に更新されました。 法律用語に詳しくない方のために、ここでは平易な言葉を使って要約しています。 変更点は次の 3 つです。 1 つ目は、プロフィール名と写真が Google サービスでどのように表示されるかについてです(レビュー、広告、その他の商業的コンテキストなどでの表示)。 共有おすすめ情報の設定で、あなたの写真や名前が広告で表示されるかどうかを管理できます。 2 つ目は、モバイル端末を安全に使用するための注意事項です。 3 つ目は、パスワードを秘密にしておくことの重要性についてです。 以下に詳しく説明します。 プロフィール名と写真の表示方法(レビュー、広告などでの表示) Google では、あなただけでなく友だちやその友だちに対しても、最も役立つ情報を提供したいと考えています。知っている人からのおすすめ情報はとても役に立ちます。そのため
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く