tzccinctのブックマーク - はてなブックマーク

マイナンバー通知カードの紛失や番号流出などが相次ぐ | スラドセキュリティ
記憶が確かなら、当初の想定ではマイナンバーの大本は国民には通知せずに、マイナンバーと照合可能な個別のID(アクセストークン)を必要なサービスごとに発行して、万一漏洩してもトークンを発行し直せばOK、大本の番号は漏洩しても紐付け情報を補完してるDBは受け付けないというアクセストークン方式 [takagi-hiromitsu.jp]で検討が進んでいたはず。万が一、どれかひとつのサービスのアクセストークンが漏洩しても、そのサービス内でID再発行すればよし、マスターとなるナンバーはキーには使えないので漏れても大丈夫、そもそも行政サービス内部でしかDBにアクセスできないから業者はナンバー入手しても情報を引き出せない、というかなり安全な仕組みだった。それが、いつの間にやら民間業者である銀行もシステムにアクセスできるようになってるわ、漏洩しても変更できない大本の番号を直接国民に通知してキーとして使用
tzccinct 2016/03/21
マイナンバー

セキュリティ
リンク
サーバー証明書を無料発行する「Let's Encrypt」がパブリックベータに移行 | スラドセキュリティ
Internet Security Research Group(ISRG)は3日、無料でSSL/TLSサーバー証明書を発行する「Let's Encrypt」のパブリックベータ移行を発表した。今後は招待されるのを待つことなく、ドメイン名の所有者は誰でも無料で証明書を取得できるようになる(公式ブログでのアナウンス、和訳)。 Let's EncryptはWeb全体をHTTPS(TLS)化し、安全性を高めることを目的として証明書を無料で発行している。発行される証明書は米大手認証局(CA) IdenTrust社のルート証明書とクロスルートしているため、すべての主要ブラウザが標準で対応している。具体的な証明書の取得方法については「Let's Encrypt の使い方」が参考になる。細かなコマンドラインオプションなどを知りたい場合には「Let's Encrypt client documentat
tzccinct 2015/12/06
セキュリティ

SSL
リンク
30桁の複雑なパスワードで暗号化されたTrueCryptの隠しボリューム、FBIが復号に成功？ | スラドセキュリティ
米空軍の機密情報漏えい事件の裁判で、容疑者から押収したハードディスクに保存されていたTrueCryptの隠しボリュームをFBIが復号したと、米軍の諜報活動対策専門家が証言したそうだ(The Registerの記事、 Sun Sentinelの記事)。容疑者は機密文書へのアクセスを認められた米空軍のシステム管理者。ホンジュラスの空軍基地でWindows 7のインストール作業をしていた際、中東関連の機密文書などをコピーして持ち出したという。容疑者は逮捕・起訴され、7月30日にフロリダの連邦地裁で有罪判決を受けている。この諜報活動対策専門家によると、TrueCryptの隠しボリュームは30桁の複雑なパスワードで暗号化されていたが、FBIが復号に成功して流出した機密情報を確認したという。ただし、Open Crypto Audit Project(Is TrueCrypt Audited Yet
tzccinct 2015/08/08
セキュリティ
リンク
「沖縄機密文書」の公開を求める裁判、最高裁が上告を棄却 | スラドセキュリティ
変な最高裁判決だと思う。アメリカはお国に都合の悪い機密文書でもちゃんと保管していて、期限が切れたらどんなに国に不利な文書でも公開される。ここで、沖縄密約を示す文書がみつかった。さらに民主政権時に、一部政府筋が存在を認めた。そして日本側の沖縄密約を示す機密文書の開示請求を西山氏が起こした。地裁判決は「情報を開示しろ」高裁は「機密文書はあったかもしれないが今は無いので開示請求は却下」そして一番変なのが最高裁判決で、「開示請求をするなら請求者が機密文書があるという証拠を示せ」と開示請求を却下。よくスラドで出てくる「悪魔の証明」ってやつを最高裁が請求者に求めたってこと。国が機密にしている文書があるという証拠を民間人が示すことなんか不可能でしょ。「機密文書があるのか証拠を示せ、ただし証拠を探すことはならん」ってことだし。本当に機密文書を秘密裏に廃棄していたなら、高裁判決が妥当に
tzccinct 2014/07/21
社会

政治

法律
リンク
RLO 対策していますか? | スラドセキュリティ
RLO (Unicode の制御文字 U+202E) はアラビア語など右から左に向けて記述する言語のための制御文字であるが、これを利用した拡張子偽装方法がまた広まっているようだ (IPA の記事) 。この方法は、2007 年に /.J 記事でも取り上げられていたように新しいものではない。当時は P2P ネットワークと絡めて記事になったが、より一般的なインターネット利用においても出くわす可能性がある。IPA の記事ではメールに添付された zip アーカイブ内に PDF ファイルに偽装された実行形式ファイルがあったことが報告されている。対策としてアンチウィルスのアップデートのほか、セキュリティポリシーを利用してファイル名に RLO が入ったファイルに実行許可を与えない方法などが紹介されている。みなさんは、RLO 対策は万全でしょうか。そして Home Edition の Windows に
tzccinct 2011/11/10
Windows

セキュリティ

ToDo
リンク
1

はてなブックマーク

タグ

ブックマーク / security.srad.jp (5)

お知らせ

今週のはてなブックマーク数ランキング（2024年9月第4週）

今週のはてなブックマーク数ランキング（2024年9月第3週）

今週のはてなブックマーク数ランキング（2024年9月第2週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス

タグ

ブックマーク / security.srad.jp (5)

マイナンバー通知カードの紛失や番号流出などが相次ぐ | スラド セキュリティ

サーバー証明書を無料発行する「Let's Encrypt」がパブリックベータに移行 | スラド セキュリティ

30桁の複雑なパスワードで暗号化されたTrueCryptの隠しボリューム、FBIが復号に成功？ | スラド セキュリティ

「沖縄機密文書」の公開を求める裁判、最高裁が上告を棄却 | スラド セキュリティ

RLO 対策していますか? | スラド セキュリティ

お知らせ

今週のはてなブックマーク数ランキング（2024年9月第4週）

今週のはてなブックマーク数ランキング（2024年9月第3週）

今週のはてなブックマーク数ランキング（2024年9月第2週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス

マイナンバー通知カードの紛失や番号流出などが相次ぐ | スラドセキュリティ

サーバー証明書を無料発行する「Let's Encrypt」がパブリックベータに移行 | スラドセキュリティ

30桁の複雑なパスワードで暗号化されたTrueCryptの隠しボリューム、FBIが復号に成功？ | スラドセキュリティ

「沖縄機密文書」の公開を求める裁判、最高裁が上告を棄却 | スラドセキュリティ

RLO 対策していますか? | スラドセキュリティ