HTTPSを使っているのにCookieに「secure」属性を設定していない危険なサイトが話題に | スラド セキュリティ
最近SSL関連の脆弱性がたびたび話題になったが、これに関連してか、HTTPSを利用しているのにCookieのsecure属性を設定していないサイトについてが話題になっているようだ(セキュリティ研究家高木浩光氏によるTogetterまとめ)。 Cookieのsecure属性については、2004年に高木浩光氏がまとめた「安全なWebアプリ開発の鉄則 2004」の「CookieにSecure属性を」以下が分かりやすいが、この属性をセットしておくと、HTTPSでの通信時にのみそのCookieが送信される、というもの。secure属性が設定されていない場合、HTTP通信の際にもそのCookieが送信されるため、通信内容を傍受するなどでセッションIDなどが盗まれる可能性がある。 高木氏が検証したところ、secure属性が設定されていないサイトとしては全日空やニコニコ動画、OCNメールなどがあった模様。
OpenSSLの脆弱性(CVE-2014-0160)関連の情報をまとめてみた - piyolog
HeartBleed(CVE-2014-0160)関係のリンク集、自分のメモ用なので不正確です。 HeartBleedの影響対象となるOpenSSLバージョン 以下のバージョンが影響を受けます。但し、システムによっては原因となっているheartbeat機能が無効化されている場合もあるため、バージョンが一致しただけで当該脆弱性の影響を受けるかは確定しません。 (1) OpenSSL 1.0.1系 バージョン名 リリース時期 CVE-2014-0160 OpenSSL 1.0.1 2012/03/14 脆弱性あり OpenSSL 1.0.1a 2012/04/19 脆弱性あり OpenSSL 1.0.1b 2012/04/26 脆弱性あり OpenSSL 1.0.1c 2012/05/10 脆弱性あり OpenSSL 1.0.1d 2013/02/05 脆弱性あり OpenSSL 1.0.1e
Chrome などで保存したパスワードが丸見えだから危険とか言われている件について
Google Chrome では設定画面からブラウザに保存してあるパスワードを簡単に見ることができて危ないっていう件について誤解されていそうな点をまとめてみたいと思います。 ソフトウェア開発者の Elliott Kember 氏が自身の Blog に「Chrome's insane password security strategy」 というタイトルで指摘する記事を書き、日本ではギズモード・ジャパンで翻訳記事が上がったことで話題になった、「Google Chrome では設定画面からブラウザに保存してあるパスワードを簡単に見ることができて、マスターパスワードの設定もないから危ない」 っていう件。 Chromeでは自動保存のパスワードが丸見え。サーッと血の気が引いたわ : ギズモード・ジャパン Chromeブラウザの「パスワード丸見え」問題にGoogleが釈明 : ITmedia ニュース
玄関のU字ロックもチェーンロックも外から簡単に外せるので、ちゃんと施錠しましょう|男子ハック
U字ロックとチェーンロックは"おまじない"程度のセキュリティです。暑くても玄関は施錠を!先日あった事件でもU字ロックのみしていて、玄関の鍵はしていなかったようです。 実際に下記の動画を見てもらえばわかりますが、理屈がわかれば馬鹿みたいに簡単にロックを解錠することができます。 チェーンロックも同様で、輪ゴムを使って簡単に外せちゃうそうです。 最近はエントランスが「オートロック」のマンションが増えているため、敷地内に不審者は入ってこないだろう…と考えている人もいるようですが、そんなことは全くありません。 いくらエントランスがオートロックであろうと、なんであろうと玄関のドアは施錠をしっかりとしておくべき。特に今回の事件で被害にあわれたのは皆さん女性です。女性の一人暮らしの方は必ず施錠することをおすすめします。
さくらVPSで使っているコマンドリストやサーバーの初期設定 |https://wp.yat-net.com/name
さくらVPSを契約して色々サーバーを弄ってるんですが、今までSSHに触れて来なかったのでまずそこで四苦八苦してました。軽く覚えるためにもコマンドリストを作ったので公開しておきます。これで自分の見たい時に見れるし編集出来て便利ですね。 あとそれらを使って最初に設定する初期設定も記述しておきます。 1.コマンドリスト 2.さくらVPSでひとまずやったこと。初期設定 3.ログイン→作業用のユーザー作成 4.vimのインストール 5.SSHのポート番号を変更 6.パスワード認証から公開鍵認証(RSA認証)に切り替える7.システムの更新 7.CentOSの環境を日本語化 8.システムの更新 9.まとめ 1.コマンドリスト ・ファイル操作 ・ファイル検索 ・セキュリティ ・解凍・圧縮 ・システム関連 コマンド 概要
Twitterの大量流出したパスワードに自分のものが含まれているかどうか一発でわかる「WIWA TWIPASS」
「TwitterのアカウントPASSが流出していないかどうか確認するサイトを作った。30分で」ということで、本日明らかになったTwitterのパスワード大量流出(延べ5万5000件、重複しているものを除いて約3万5000件)について、自分のTwitterアカウントのパスワードが漏れていないかどうかが分かるサイトが登場しています。 Twitterのパスワードが流出していないか確認:WIWA TWIPASS http://twipass.wiwa.jp/ 使い方は簡単、空欄に自分のアカウント名を入れて「チェックする」をクリック 漏れていない場合はこうなります、大丈夫 漏れている場合はこのように表示されます、アウト。パスワードを変更し、同じパスワードをほかのサービスやアプリなどでも流用してしまっている場合はすべて変更しておきましょう。 2012/05/10 9:40追記 Twitterの公式ブロ
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
メール・FTP・ベーシック認証のパスワードを表示するフリーソフト「SniffPass」 - GIGAZINE
通信内容をキャッチすることによって、POP3・IMAP・SMTP・FTP・HTTPのパスワードを表示することができるフリーソフトがこの「SniffPass」です。「このメールアドレスのパスワードなんだったっけ?」という場合や「FTPのパスワードがわからないので実際に使っているFTPソフトの設定を見たが***になって表示されない」という場合に便利です。 パケットキャプチャ用のドライバは「WinPcap」と「Microsoft Network Monitor」が使用可能となっており、「Microsoft Network Monitor」のドライバを使えば無線LANからもパスワードを抜き出すことが可能となります。 というわけで、ダウンロードと使い方は以下から。 ◆有線LANの場合 まずは下記サイトから「WinPcap」をダウンロードします。 WinPcap, the Packet Capture
サイトを公開する際に最低限抑えておきたい Apache の設定 | バシャログ。
こんにちは nakamura です。最近トルシエさんテレビ出すぎじゃありません?ウィイレヤロウヨ。オフサイドダヨ! さてさて今回は意外と知られてないけど、サイトをインターネットに公開する際には知っておいた方が良い Apache の設定をいくつかご紹介します(一部 PHP の設定もありますが)。この設定をしていないからといって即危険にさらされるという訳でもありませんが、リスクの芽は摘んでおくに越した事はありませんよね。 無駄な HTTP ヘッダを返さない ディストリビューションにより異なるかもしれませんが、CentOS デフォルトの設定の場合 Apache が返してくる HTTP ヘッダは以下のようなものです。 HTTP/1.1 200 OK Date: Mon, 05 Jul 2010 01:01:14 GMT Server: Apache/2.2.3 (CentOS) X-Powered
WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
IPA、PDF資料「安全なSQLの呼び出し方」を公開 SQLインジェクション攻撃への具体的な対策書
IPA(独立行政法人情報処理推進機構)は18日、Webアプリケーションの安全な実装方法を解説した資料「安全なSQLの呼び出し方」(PDF)を公開した。全5章(計40ページ)および付録からなり、冊子「安全なウェブサイトの作り方」(PDF)の別冊として、公式サイトより入手できる。 「安全なSQLの呼び出し方」では、SQLインジェクション攻撃にどのような対策を取れば安全であるかの要件を検討し、安全なSQL呼び出しを実現する考え方を製品によって整理しながら、具体的なケースの調査結果を示している。 特に第5章では、5種類のプログラミング言語とデータベースの組み合わせ(JavaとOracle、PHPとPostgreSQL、Perl/JavaとMySQL、ASP.NETとSQL Server)における安全な実装方法とソースコードの書き方を解説しているほか、付録には、文字コードに関する問題など特定のデータ
定番ソフトが惨敗!ウイルスソフト最強決定戦は意外な結果に | 教えて君.net
ニコニコ動画で、有名セキュリティソフトを使って実際にマルウェアを検出できるかどうかを実験した動画が話題となっている。対象となっているのは国内外の有料・無料ソフトのほぼ全て。注目の結果は、実に驚くべきものになっているぞ。 この動画の投稿主は、100体のマルウェアに感染した状態のパソコンで、各社セキュリティソフトを使ってスキャンを行い、検出力を比較したとのこと。結果は以下の通りだ。 1位 F-secure internet security 94/100 2位 kaspersky 93/100 3位 a-squared Free 89/100 4位 BitDefender 86/100 5位 ウイルスバスター 85/100 6位 GDATA 84/100 6位 COMODO Internet Security 84/100 8位 Mcafee トータルプロテクション 83/100 9位 Avi
脆弱性対策情報共有フレームワーク - MyJVN
MyJVN にようこそ MyJVN は JVN iPediaの情報を、利用者が効率的に活用して頂けるように、 脆弱性対策情報を効率的に収集したり、利用者のPC上にインストールされたソフトウェア 製品のバージョンを容易にチェックする等の機能を提供する仕組み(フレームワーク)です。
MyJVN API
MyJVN API とは MyJVN API は、JVN iPedia の情報を、Web を通じて利用するためのソフトウェアインタフェースです。誰でも、MyJVN が提供する API を利用して様々な脆弱性対策情報を取得し、脆弱性対策情報を利用したサイトやアプリケーションを開発することが可能となります。 現在、MyJVNで提供中のAPIは次のとおりです。詳細については各ページを参照のうえ、利用上の規約を踏まえてご利用ください。 また、本サービスを利用して開発したアプリケーションによって表示される情報には、MyJVN API により提供されたものである旨を表示していただくご協力をお願い致します。 ■MyJVN API に関するお問い合わせ 宛先: (問合せ様式) MyJVN API (HND/ITM) バージョン
情報処理推進機構:情報セキュリティ:脆弱性対策 : 脆弱性対策情報データベースのソフトウェアインタフェースを公開
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、さまざまなソフトウェアが脆弱性対策情報データベース「JVN iPedia」(ジェイブイエヌ アイ・ペディア)の情報を取得できるインタフェースとして「MyJVN API」(マイ・ジェイブイエヌ エーピーアイ)を2010年2月25日(木)から公開しました。 URL:http://jvndb.jvn.jp/apis/index.html 「有名企業や公共機関などのウェブサイトが改ざんされ、そのサイトを閲覧した利用者がウイルスに感染した可能性がある」という報道が2009年末から相次いでいます。一般的に「ガンブラー」と呼ばれているこの一連の攻撃の被害を受けないためには、利用しているソフトウェア製品の脆弱性対策情報を入手し、いち早く脆弱性を解消することが重要です。 IPAでは、国内で利用されるソフトウェア等の製品(OS、アプリケーション、ラ
IPA、脆弱性対策データベースのAPIを公開
IPAは、脆弱性対策データベース「JVN iPedia」の情報をソフトウェア開発者が利用できるようにするAPI「MyJVN API」を公開した。 情報処理推進機構(IPA)は2月25日、脆弱性対策データベース「JVN iPedia」の情報をソフトウェア開発者などが利用できるようにするAPI「MyJVN API」を公開した。 同APIは、JVN iPediaで公表しているソフトウェア製品などの脆弱性対策情報を、ベンダーなどが自社製品で利用できるようにするもの。ソフトウェア開発者から脆弱性対策の管理ツールや検査ツールなどで利用したいという要望が寄せられていたという。 APIを利用することで、JVN iPediaに登録されたベンダー一覧や製品一覧、脆弱性対策情報の概要一覧、詳細情報を取得できるようになる。 企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック 過去のセキュリ
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
SSH トンネルを使った安全な TCP/IP 接続
謝辞: Gene Selkov,Jr.(<selkovjr@mcs.anl.gov>)から Eric Marsden の質問に対する返事として1999-09-08 に書かれた 電子メールからアイデアを頂きました。 sshをクライアントと Postgresサーバ間のネットワークを 暗号化するために使うことができます。正しく行えば、 これで十分に安全なネットワーク接続を行うことができるようになるばずです。 まずsshサーバが Postgresと同じマシン上できちんと起動していて、 sshを使ってログインできるユーザが存在することを確かめて下さい。 そうすると、次に示すコマンドでクライアントマシンから安全なトンネルを確立することができます。 > ssh -L 3333:foo.com:5432 joe@foo.com -L 引数の1番目の数字、3333、はトンネルのローカル 側のポート番号で、自
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
