「他のセキュリティ対策ソフトはもういらない」とアピールするWindows Defenderの現状:鈴木淳也の「Windowsフロントライン」(1/4 ページ) Windows標準のセキュリティ対策機能は“オマケ程度”という認識はもう過去のもの。Windows 10の世代では、Microsoftがセキュリティ対策を大幅に強化しており、最新のセキュリティ動向を考慮したアップデートも続けているのだ。
DoS攻撃は、標的となるコンピューターに対してネットワークを通じて大量の処理負荷を加えることでサービスを機能停止状態に追い込む攻撃で、中でもマルウェアなどを利用して攻撃するマシンを分散型にした「DDoS攻撃」が日夜を問わず世界中で行われています。「Digital Attack Map」は、世界中で常に発生し続けているDDoS攻撃をリアルタイムで地図上に表示するサービスです。 Digital Attack Map http://www.digitalattackmap.com/#anim=1&color=0&country=ALL&list=0&time=17113&view=map Digital Attack Mapでは、現在DDoSアタックが行われている様子が地図上に表示されます。 地図上の線は攻撃者と被害者を結んでいます。線にマウスカーソルをあてると、「Source(攻撃者)」と「D
IPAによる情報セキュリティスペシャリスト(=セキュスペ,SC) の試験に独学で合格するための,Web上の教科書や過去問解答。 「セスペ」とか「セキスペ」とも呼ぶ。 午前/午後の対策・解説は,両方ともWeb上で無料で入手できる。 オンラインの対策資料が充実しているので,高い参考書を買わなくてすむ。 (1) セキュスペのオンライン教科書 (2) セキュスペのキーワード用語集 (3) セキュスペ午前Iの解答解説 (4) セキュスペ午前IIの解答解説 (5) セキュスペ午後Iの解答解説 (6) セキュスペ午後IIの解答解説 ※ネスペのまとめと,応用情報のまとめも参照。 (1)セキュスペのオンライン教科書 「情報セキュリティスペシャリスト」はメジャーな試験なので, 教科書や要点のまとめは,うまく集めればWebだけで済ませることが可能。 Web上で読める教科書: SE娘の剣 情報セキュリティスペシャ
「セキュリティ人材」って、何ですか?――本当に必要なセキュリティ教育を考える:セキュリティ教育現場便り(1)(1/2 ページ) 昨今「情報セキュリティ人材の不足」がしきりに叫ばれていますが、本当に人材は不足しているのでしょうか。そもそも、「セキュリティ人材」とは一体どのような人材を指すのでしょう? セキュリティ教育に現場で携わってきた筆者が、今求められる人材育成について考えます。 連載目次 2020年開催の東京オリンピックを目前に控え、情報システムの維持管理や情報の保護、自動車などのモノをネットワークに接続するIoT(Internet of Things)の保護など、さまざまな観点から情報セキュリティの必要性が訴えられています。また、それに伴って情報セキュリティ人材の育成が急務だともいわれています。 しかしながら、この「情報セキュリティ人材の育成」というテーマに関しては、まだまだ議論が不十
cloudpackエバンジェリストの吉田真吾(@yoshidashingo)です。 昨日、DevLOVE現場甲子園2014東日本大会に参加して現場目線でのAWSセキュリティあるある的な話をして来ました。 その際にAWSのセキュリティ全般について知りたい場合に何を読めばいいか質問されたので、こちらで紹介しておきたいと思います。 AWSセキュリティセンター 1. AWSセキュリティ概要 ストレージデバイスの廃棄**の章では、ストレージデバイスが製品寿命に達した場合に、DoD 5220.22-M または NIST 800-88 に記載されている技術を用いてサニタイズを行ってから廃棄されるということが書かれています。 2. AWSセキュリティのベストプラクティス AWSの共有責任モデルを知る (1) Infrastructure servicesにおける共有責任モデル (2) Container
公開日:2013年9月 5日 カテゴリ:Web制作に役立つネタ ぱくたそサーバー(Pleskなど)のヘルプデスクをお願いしているエンジニアの方と『サーバーを借りる際、「サポートだけにはしっかり費用が払える」を目安にしたいですよねー。』などと、安さ爆発のロリポップをつまみに盛り上がっていたら、『いやぁ、あのトラブルは本当に大変でした・・・』っという苦労話が実によくあるケースだったので、警鐘を兼ねて寄稿していただきました。('A')ノ ロリポップ大規模DB改ざんについて 寄稿のお話の前に、今回発生したロリポップ大規模DB改ざんを簡単にまとめると。 【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます | More Access! More Fun! サイトが改竄されている → WPサイトが乗っ取られてる?脆弱性か? → ロリポップ公式から「ハッキングされ
(2013/08/29)追記 ロリポップ上のWordPressが不正アクセスされる事例が増えているようです(参考)。現時点で侵入経路等は明らかでありませんが、以下に説明する方法で、公開ページに対するSQLインジェクション攻撃や、管理コンソールに対する不正ログインに対しては、かなり効果があると考えられます。ユーザーの参考になれば幸いです。また、タイトルを変更しました。 追記終わり 今年の9月27日から、ロリポップのレンタルサーバーの全プランで、WAF(SiteGuard Lite)が標準装備されるようになりました。 WAF(ウェブアプリケーションファイアウォール)を導入いたしました ロリポップ!レンタルサーバーはWAF標準装備です。 http://lolipop.jp/waf/より引用 これは大変良いことですね。インターネット上のすべてのサイトが攻撃の対象ですし、被害も増えている印象がありま
FINDJOB! 終了のお知らせ 2023年9月29日にFINDJOB!を終了いたしました。 これまでFINDJOB!をご利用いただいた企業様、求職者様、様々なご関係者様。 大変長らくFINDJOB!をご愛顧いただき、誠にありがとうございました。 IT/Web系の仕事や求人がまだ広く普及していない頃にFind Job!をリリースしてから 約26年間、多くの方々に支えていただき、運営を続けてまいりました。 転職成功のお声、採用成功のお声など、嬉しい言葉もたくさんいただきました。 またFINDJOB!経由で入社された方が人事担当になり、 FINDJOB!を通じて、新たな人材に出会うことができたなど、 たくさんのご縁をつくることができたのではないかと思っております。 2023年9月29日をもって、FINDJOB!はその歴史の幕を下ろすこととなりましたが、 今後も、IT/Web業界やクリエイティブ
ENTREPRENEURS + EXPERIENCE IT ALL ADDS UP We know what it takes to make the numbers work. With over 200 transactions under our belts, we are one of the most seasoned investors in the MENA region, funding bright talent that are bringing the next generation of tech-enabled companies over the last 10 years. Apply Now BUILT TO HELP YOUR STARTUP GROW FIRST SLOW, THEN FAST We are truly founder focused;
iptablesでサーバを守るときに知っておくと良いことを3つ紹介します 1. 接続回数を制限する(IPアドレスごと) hash_limitを使います これにより特定ホストからの大量アクセス、DoS攻撃を緩和することが可能です 例 2. 接続回数を制限する(サービスごと) limitを使って制限します これにより多数のホストからの攻撃、DDoS攻撃を緩和します limitを使った制限は全ホストが等しく制限を受けるため、ssh等に設定すべきではありません。 (攻撃を受けている間は自分たちも制限されるため) Webサーバが大量アクセスで落ちそうな場合は使えるんじゃないでしょうか? 例 3. 接続IPアドレスを限定する IPアドレスの国別割り当てをAPNIC等から取得してコマンドを作ります この手のルールは長くなるので、ユーザー定義チェインにしたほうが見やすくなります 例 あとはこんな感じのスク
,、,, ,、,, ,, ,, _,,;' '" '' ゛''" ゛' ';;,, (rヽ,;''"""''゛゛゛'';, ノr) ,;'゛ i _ 、_ iヽ゛';, ,;'" ''| ヽ・〉 〈・ノ |゙゛ `';, ,;'' "| ▼ |゙゛ `';, ,;'' ヽ_人_ / ,;'_ /シ、 ヽ⌒⌒ / リ \ | "r,, `"'''゙´ ,,ミ゛ | | リ、 ,リ | | i ゛r、ノ,,r" i _| | `ー――----┴ ⌒´ ) (ヽ ______ ,, _´) (_⌒ ______ ,, ィ 丁 | | | 前回のエントリ で軽く触れましたが、ARPスプーフィングを用いると、サブネット内からデフォルトゲートウェイを通って外に出て行くはずのパケットを、自分のホ
初心者はPHPで脆弱なウェブアプリをどんどん量産すべし ↑のブックマーク うん。増田くんはいつもいいこと書くね! ブックマークの方には 危険だとか迷惑だとか踏み台だとか色々かいてあるけれど(というか踏み台ってなんだろ?) そんなに大切な個人情報をたくさん扱ってるサイトなんてどれだけあるかな。 みんなそういうサービスつくってるの? なんかすごいね。 ぼくの使っている範囲だと、(提供側が気をつけていないと) 本当にまずいのは銀行と証券とカード会社のような、お金のからむサービスくらいだよ。 もちろん、他にメール内容だとか、購読しているフィードだとか、知られたくない個人情報なんてのは、人によってたくさんあるよね。 だけど、例えばぼくがメールサービス作りましたなんて言ったら誰か使う? それか無名の団体だったらどうかな。それで大切なメールやりとりしちゃうの? そう。そもそも、利用者もそれほどバカじゃな
「iPhone 5ってWi-Fiつながらないよね?」という方へ、その対応策2012.11.26 18:009,083 福田ミホ 急場しのぎの策ですが。 iPhone 5、多くの人は快適に使っています。Wi-Fiとの接続も問題ありません。でも、iPhone 5にしてからWi-Fiつながらないんですけど! という人も実はけっこう多いんです。そんな方のために、さしあたっての対策をお知らせします。 この問題は、iPhone 5と4S(または他のiOSデバイス)を両方使っていて、4SではしっかりWi-FiにつながっているのにiPhone 5ではなぜかつながらない、もしつながっても強度表示はわずかに1本というものです。 アップルのサポートコミュニティを見ると、米国でも日本でも、珍しくない現象のようです。その対策として多くの人において効果があったのは、Wi-Fiルーターの設定をWPA/WPA2からWEP
WinでVPSするのに必要なソフト 何はともあれPuTTY。PuTTYはVPSと通信する為のソフト。他にもTeraTermなどあるけど、よく分かんないならPuTTY。 Windowsのsshクライアント三強の個人的な比較 | 全自動ねじまき機 さくらのコンパネでサーバーを起動したらWinでPuTTYを起動してVPSを操作する。コンパネにある「リモートコンソール」は基本的に緊急時に使うもの。ちなみに私はサーバー起動後にさらに一回再起動しないとPuTTYで入れませんでした。 PuTTYでVPSのコンソールを表示するのが、Macにおける「ssh root@IP.ADD.RE.SS」と同じです。これでドットインストールをガシガシ進めます。 ドットインストールの該当範囲 さくらのVPSへ接続してみよう 作業用ユーザーを設定しよう 日本語確認で化けます。PuTTYの文字コードをEUCからUTF-8に変
遂にリリースされたiOS6。 iPhone5よりも、Passbookよりも、地図よりも、Siriの強化よりも、最近のAppleからの発表全てを凌ぐ超ビッグニュースだと個人的に思ってるのですが、Single App Modeが遂に登場です!! キタ━(゚∀゚)━! と言わずにいられるでしょうか。特にエンタープライズの世界ではiPad登場当初からずっとずっと求められていた機能。以前のブログで「推測」という事で書いていた、 Guided Accessと呼ばれるアクセシビリティの機能拡張で、どのような使用感で扱えるのかは不明ですが、もし文言通り/想像通りの挙動をするのであれば、エンタープライズなiOSの魅力は一段と輝きを増すに違いありません。なんと、 HOMEボタンを無効にできる!! タッチパネルが反応しない領域を設定出来る!! というのです。 ってな機能がそのまんま、いぁ、それ以上に!超超理想的
2. 本日お話しする内容 • 鉄則1: PHP自体の脆弱性対処をしよう • 鉄則2: Ajaxの脆弱性対処をしよう • 鉄則3: 競合条件の脆弱性対処をしよう • 鉄則4: htmlspecialcharsの使い方2012 • 鉄則5: escapashellcmdは使わないこと • 鉄則6: SQLインジェクションの対処 • 鉄則7: クロスサイト・スクリプティングの対処 • 鉄則8: クロスサイト・リクエスト・フォージェリの対処 • 鉄則9: パスワードの保存はソルトつきハッシュ、できればスト レッチングも • 鉄則10: 他にもたくさんある脆弱性の対処 Copyright © 2012 HASH Consulting Corp. 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍
RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O
「高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」」というエントリーによってTポイントツールバーは「騙す気満々の誘導」であると指摘、その2日後にTポイントツールバーのダウンロードが一旦停止されたり、ほかにも「ダウンロード刑罰化で夢の選り取り見取り検挙が可能に」「ローソンと付き合うには友達を捨てる覚悟が必要」「武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て」「やはり欠陥だった武雄市の個人情報保護条例」というように、次々とセキュリティに関して絶大な影響を与え続けてきた独立行政法人産業技術総合研究所の高木浩光(通称:ひろみちゅ)氏によるCEDEC2012の講演が、非常に秀逸な内容となっており、ゲームに限らず、スマートフォンまでも含めてそもそも「個人情報」とは一体何か?ということから、個人情報の現在の扱い、プライバシーに関して今後あるべき方向に至るまで、縦横
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く