LINE DEVELOPER DAY 2016 開催のお知らせ « LINE Engineers' Blog
LINE株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。 LINEヤフー Tech Blog saegusa2017-04-16Yoshihiro was a network engineer at LINE, responsible for all levels of LINE's infrastructure. Since being named Infra Platform Department manager, he is finding ways to apply LINE's technology and business goals to the platform. こんにちは。LINEでネットワークやデータセンターを担当している三枝です。2017年1月にJANOG39で登壇する機会を頂きましたので、今回
入門! チートの解剖学 ~セキュアプログラミングでゲームのチートは防げるのか? ~
ゲームのチート対策について、技術的に見るとチートとはどういった行為であるのかを解説し、チート対策の原理や仕組みを解説します。Webアプリケーション開発におけるセキュアプログラミング等とは大きく異なるチート対策に特有のポイントを挙げ、同じく「セキュリティ」と呼ばれるものでも両者は大きく異なる技術分野であることを見ていきます。チートの多くは技術的にはそれほど難しいことをしているわけではなくチートの被害はいつでも発生しうるのだということ点を実感していただくために、Unityで作成したAndroidアプリに含まれる中間言語コードを改変する様子も紹介しています。 はじめに 情報システムが生活に欠かせないインフラとなった昨今、その開発と運用に携わるエンジニアの間にはセキュリティの意識が深く浸透しています。ソフトウェア開発の現在のメインストリームといえるWebアプリケーション開発の分野では、不特定多数の
さいきょうの二重サブミット対策 - Qiita
この記事はシステムエンジニア Advent Calendar 2015 - Qiitaの記事です。 弊社アーキ部で@kawasimaさんに教えてもらったさいきょうの二重サブミット対策について書いていきます! 二重サブミットが発生するケース 不正な更新リクエストが発生するケースとして、以下のものが考えられます。 サブミットボタンをダブルクリックする 戻るボタンで戻って、再度保存ボタンを押す 完了ページでブラウザリロードする CSRF攻撃による不正な更新リクエスト 1. サブミットボタンをダブルクリックする 確定ボタンをダブルクリックすることによって、ユーザが意図していないリクエストが発生してしまうケース。 2. 戻るボタンで戻って、再度保存ボタンを押す 処理完了画面から戻るボタンで前の画面に遷移し、再び確定ボタンを押すケース。 本来は入力➡︎確認➡︎完了の画面遷移が適切だが、その画面遷移にな
サイト訪問者がcookieを切っていても追跡可能な手法が明らかに
by Andy Arthur ウェブサイトによる行動追跡を防ぐためにcookieを削除していても、そのユーザーが以前に訪れたサイトのドメインや履歴を知ることができる手法があると、研究者が発表しました。 Unpatched browser weaknesses can be exploited to track millions of Web users | Ars Technica http://arstechnica.com/security/2015/10/unpatched-browser-weaknesses-can-be-exploited-to-track-millions-of-web-users/ これは独立系研究者のYan Zhuさんが「ToorCon: San Diego 2015」の中で語ったもの。講演時の資料のPDFファイルが以下のツイートからダウンロード可能です。
HashiCorp社が出したVaultとはどういうものなのか - 理系学生日記
HashiCorp 社から、新たなソフトウェアである Vault by HashiCorp がリリースされました。 - HashiCorp Blog: Vault この Vault について、Getting Started を一通り実施した後に Docs の一部を確認してみたので、簡単にその内容をまとめてみます。 Vault とは何なのか Vault を一言で言うと、機密情報(Secret) を管理するツールです。 これだけ IT が広がっている現在、機密情報の範囲も広がり続けており、データベースにアクセスするためのユーザ/パスワードや、連携するシステムの API キー等、多岐に渡ります。こういった情報、おまえのところのシステムではどう管理してた?XML に生で書いてる、あるよねそういうの。jdbc.properties に直書き、うんうんわかるわかる。ちょっとがんばったら crypt で
ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法
Software WebSecurity ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法※当サイトにはプロモーションが含まれています。 以前、OWASP ZAP に追加された attack mode の概要 というエントリを書きましたが、このATTACK modeを使った簡単なセキュリティ検査の手順をメモしておきます。この機能を使えば、ウェブアプリケーションの開発中にZAPが勝手に脆弱性スキャンしてくれます。 ※ この機能が追加される バージョン 2.4 はまだリリースされていないのですが、こちら から ZAP Weekly をダウンロードすれば試すことができます。 概要基本的には、ウェブアプリケーション開発時にウェブブラウザのプロキシとして ZAP を指定おくだけです。この時、ZAP 側で コンテキストというものを設定して、ATTACK mode にしておけば、アクセスし
ベンチャーでナウくなりそうなセキュリティサービス - Money Forward Developers Blog
マネーフォワードでエンジニアをしています鈴木です。 前職でセキュリティ関係の仕事に携わっていた流れで、本日は私が個人的に注目しているセキュリティサービス・ツールを紹介しようと思います。 ※ナウいはちょっと古い感じがしますが、ご容赦ください。 既存セキュリティ対策の課題 FinTech系ベンチャーがお預かりする利用者のデータは、プライベートな情報の塊です。 万が一にでも、そんな情報が漏れたら...と利用者が考えるのは当然の事です。そういった懸念を払拭するため、FinTech系ベンチャーの大きな課題の一つに、「適切な情報セキュリティ対策の実施」があります。 技術的な基本対策としては、適切な鍵長のSSLを実装する、データを暗号化して管理する、ペネトレーションテストをするなどがあり、恐らくどこの企業様でも当たり前のように実施されているでしょう。尚、弊社の取り組みについてはこちらやこちらをご参照くだ
第八回 #渋谷java にて、認証系を Java 8 で自作する話をしてきました
はじめに 毎回、他の発表者の方々が有益情報を発表してくれる中で僕一人が誰得情報をひたすら発信しているわけですが、今回もご多分に漏れず Java 8 で認証系を自作する、というニッチな話をしてきました。 昨今のパスワード流出系のセキュリティインシデントが業界内で話題になるたびに「認証系なんてものは自作するようなもんじゃない」という認識が醸成されつつあると思います。しかし、マイナー or オレオレ Web アプリケーションフレームワークなどを利用しているとそうもいってはおられず、認証系が用意されていないときはやむなく認証系の自前実装が要求されることもあるでしょう。自分自身も周りを見渡していても、過去何度かそういうことがありました。 ただ、実装者の認証セキュリティに対する認識や知識によって脆弱な認証系を作り込むことも少なくなく、そういうのをなるべく減らしたいなー、という思いを込めて今回の発表に至
Javaでパスワードをハッシュ化するのに良い方法を調べてみた - Qiita
Javaでパスワードをハッシュ化するのに良い方法を調べたのでメモしておく 要件・方針 必要な全情報が攻撃者の手に入ってオフラインで解析されても困らない。 強力なHASH関数と、アカウント毎に違うSalt、そしてストレッチングが必要。 SaltはHASH化されたパスワードと一緒に保管してOK Saltとストレッチングの処理は、独自実装ではなく既存のアルゴリズムの既存実装使う PBKDF2 とか Bcrypt, Scrypt など。 JCA(Java Cryptography Architecture) が利用出来るなら最善だろう。そうでなければ著名プロジェクトの物を使いたい 参考 http://www.f-secure.com/weblog/archives/00002095.html 日本語訳:http://blog.f-secure.jp/archives/50564743.htm *「
GumblarからDarkleech Apache Moduleまで、巧妙化の足跡
これら3つの項目は、攻撃が回を重ねていく過程の中で複雑に変化していきます。今回は、過去と現在に国内で猛威を振るったDBD攻撃の事例を取り上げ、その変化について解説します。 「Gumblar攻撃」とは何だったのか 2013年現在も、日本国内では、正規サイトが改ざんされ、リダイレクトするよう書き換えられる被害について、「『Gumblar(ガンブラー)』攻撃の被害を受けた」と称する方がいらっしゃいます。その由来は、今から4年前の2009年の事件にさかのぼります。 2009年3月初旬を境に、類似性の高い、正規Webサイトに対する改ざん攻撃と改ざんサイトの閲覧者による不正プログラム感染被害報告が相次ぎました。これが後にGumblar攻撃と呼ばれる、犯罪者が仕掛けた一連の作戦行動「攻撃キャンペーン(Attack Campaign)」でした。 犯罪者たちは国内外の脆弱なサイトに対して無差別に改ざんを行い
Basic認証とOAuth - Qiita
Basic認証とOAuthとその辺の情報について整理しておく。OAuthや認証・認可について説明しようとすると、1文字記述するたびに誤りが含まれてしまう可能性があるので、本当に緊張感を持って記述しなければならない。それでもなお、この文章にはたくさんの誤りが含まれている。 UsernameとPasswordを受け取って認証する形式の認証方法。UsernameにはEmailを使うこともある (要は全ユーザの中で一意なことが保証されていてかつ他の人がその値を知っていても特に問題がないという情報であればOK)。Passwordは本人しか知り得ない情報。 OAuthという仕様に則って提供される認可方法。古いOAuth 1.0と、OAuth 1.0の複雑なところなどを改善したOAuth 2.0がある。一般的にはOAuth 2.0を使うことが多いが、例えば幾つかのサービスの提供している認可方法はOAut
アクセストークンに有効期限を設けるべきかどうか - Qiita
OAuthプロバイダを提供することになったとして、アクセストークンに有効期限を設けるべきかどうかについて考えたい。OAuth 2.0の仕様にはアクセストークンの期限切れに関係する仕様が定義されているし、セキュリティをより強固にするためにアクセストークンは一定期間で期限切れにするべきだという主張があったと思う (確認していないので無いかもしれない)。しかしながら、例えばGitHub API v3ではアクセストークンに有効期限を設けていない。この投稿では、アクセストークンの有効期限に関係して起こり得る問題を取り上げる。 アクセストークンに有効期限を持たせておくとちょっと安全 アクセストークンが悪意のある第三者に漏洩してしまった場合、そのアクセストークンに認可されているあらゆる操作が実行可能になってしまうという問題がまず存在する。ここでもしアクセストークンに有効期限が存在していたとすれば、その操
クッキーより怖いcanvas fingerprintingって何?迂回方法は?
クッキーより怖いcanvas fingerprintingって何?迂回方法は?2014.07.28 16:009,082 satomi 問題:ホワイトハウスとYouPornが共通でもってるもの、なーんだ? こたえ:canvas fingerprinting 「canvas fingerprinting(canvasの指紋採取)」というのは、最近大手サイトで採用が広まってる新手のオンライン追跡ツールのことです。クッキーと違って、ユーザー側からは探知もブロックもできないという、とんでもない野郎です。 まさにユーザーの知らぬ間にウェブの閲覧行動がサイトに筒抜け、というマジックミラー状態。その現状をProPublicaが記事にしていますよ。 「canvas fingerprinting」を最初に発見したのはプリンストン大学と英ルーヴェン大学の研究チームです。ここが発表した「The Web Neve
新はてなダイアリーの裏側
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
gitの歴史上からpasswordを完全に削除したい - (゚∀゚)o彡 sasata299's blog
2014年05月19日10:17 Git gitの歴史上からpasswordを完全に削除したい git で管理しているプロジェクトで「あっ、しまったパスワードが紛れ込んでしまった…!」みたいなことがあって「どうしたらいいんやー><」と思っていたんですが、git filter-branch という最強のコマンドを使えばなんとかなるんですね。 今回は PASSWORD という文字列を含む行を git の歴史上から完全に削除するというのをやってみました。sed -e '/xxx/d' が xxx という文字列を含む行を削除 (delete) するコマンドです。 git filter-branch --tree-filter "find . -type f -exec sed -i '' -e '/PASSWORD/d' {} \;" そうすると PASSWORD という文字列を含む行の痕跡が奇麗
高木浩光@自宅の日記 - 緊急起稿 パーソナルデータ保護法制の行方 その1
■ 緊急起稿 パーソナルデータ保護法制の行方 その1 昨年7月からブログには書かないことにしていた*1が、緊急事態であるので、政府のパーソナルデータ保護法制(個人情報保護法改正)の議論の状況についてに書いておきたい。本当は論文や講演の形で示していくつもりだったが、それでは間に合わない状況が発生中であるので、周知の目的で取り急ぎかいつまんで書く。副政府CIOの向井治紀内閣審議官とお話ししたところ、「ブログに書いたらエエやないですか。どんどん書いてください。」とのことであったので、それ自体書くことを含めて許可を得たところで書くものである。 先週、IT総合戦略本部の「パーソナルデータに関する検討会」の第7回会合が開かれ、「定義と義務」についての事務局案が示された。資料が公開されている。事務局案は、これまでの「個人情報」についての定義と義務は変更しないものとし、新たに「準個人情報」と「個人特定性低
知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法
知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法:HTML5時代の「新しいセキュリティ・エチケット」(3)(1/2 ページ) 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。前回は、同一オリジンポリシーを突破する攻撃の代表的事例であるXSSについて、特にDOM based XSSと呼ばれるものについて解説しました。今回はその続きとして、XMLHttpRequestによるXSSを解説します。 XHR Level 2によるリモートからのコード挿入によるXSS 従来、XMLHttpRequest(以下、XHR)は、表示しているドキュメントと同じオリジン(オリジンについては第1回を参照)としか通信できませんでしたが、現在の主要なブラウザーではXHR Level 2と呼ばれる実装により、オリジンを超えて通信することが可能になっています。 これは、Jav
サードパーティCookieの歴史と現状 Part1 前提知識の共有 - 最速転職研究会
Web開発者のためのサードパーティCookieやらトラッキングやらの問題点について三回ぐらいに分けて書きます。 この文章は個人的に書いていますので、おい、お前のところのサービスがサードパーティCookieに依存してるじゃねーかというツッコミがあるかもしれないが、そういうことを気にしているといつまで経っても公開できないという問題が出てしまうので、そんなことはお構いなしに書く。ちなみに例外なく自社サービスに対してもサードパーティCookieに依存するな死ねと言っている。これはWebプログラマー観点で、自分がサービス開発に関わる上で知っておかねばならないだろう知識として十数年間だらだらとWebを見ていて自然に知っていたものと、あるいは興味を持って率先して調べたものが含まれている。ググッて直ぐに分かる程度の用語の定義的なことは書かない。あくまでWebサイト制作者側からの観点なので、ブラウザ開発関係
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://leandrob.com/2014/05/covert-redirect-facebook-and-espn-security-oh-my-god/
TechCrunch | Startup and Technology News
