HTML5のLocal Storageを使ってはいけない(翻訳)|TechRacho by BPS株式会社
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Randall Degges - Please Stop Using Local Storage 原文公開日: 2018/01/26 著者: Randall Degges 日本語タイトルは内容に即したものにしました。 画像は元記事からの引用です。 初版公開: 2019/10/19 追記更新: 2024/04/05 -- リンク情報を記事末尾に移動しました 本気で申し上げます。local storageを使わないでください。 local storageにセッション情報を保存する開発者がこれほど多い理由について、私にはさっぱり見当がつきません。しかしどんな理由であれ、その手法は地上から消えてなくなってもらう必要がありますが、明らかに手に負えなくなりつつあります。 私は毎日のように、重要なユーザー情報をlocal storageに保存す
7pay不正アクセスの原因は「リスト型攻撃の可能性が高い」 7iDパスワードを一斉リセット
セブン&アイ・ホールディングスは、7月30日に7iDのパスワードを一斉にリセットした。不正アクセスを受けた「7pay」のセキュリティ対策のため。同社によると、不正アクセスの原因は、リストが攻撃の可能性が高いという。 セブン&アイ・ホールディングスは、不正アクセスを受けたコード決済「7pay」のセキュリティ対策の一環で、7月30日に7iDパスワードの一斉リセットを行った。 同社によると、7payの不正アクセスの原因は、あらかじめ入手したIDとパスワードを用いて不正アクセスをする「リスト型攻撃」の可能性が高いという。そのため、パスワードとIDの情報が第三者に取得されていたとしても、パスワードをリセットすることで、リスクを最小化できると考えたとのこと。 7iDを利用するサービスは、7pay、セブン-イレブンやイトーヨーカドーなどのネットショッピングに利用するオムニ7、セブン-イレブンやイトーヨー
ngrokよりserveoがすごい。0秒で localhostを固定URLで公開 - Qiita
注意 serveoがサービス停止中です。 みんな大好きcloud functionには欠点があります。 それは、実際にコードをデプロイしないと、httpsで公開できないこと。 そのため、slackのコマンドを作ったり、ラズベリーパイとかを開発するのに不便だったりします。 以前私はngrokというcliアプリを使っていました。 とても使いやすく、ユーザー登録+ngrokのインストール+セットアップだけで使い始めることができます。 お金を払えば固定URLもゲットできます。 しかし、今回もっと良いものを見つけたので紹介します。 serveoです。 なんとこのserveoインストールもセットアップも不要です。 ターミナルで、以下のように ssh -R 80:localhost:3000 serveo.net と打つだけで自分のPCのlocalhost:3000を、固定URLでhttpsとして公開し
セキュリティ診断で防げない事故 | クロスイデアblog
ITコーディネータの吉田聖書(よしだみふみ)です。 前回、前々回と、 7payのセキュリティ事故を取り上げましたが、 今回はもう一つの側面を取り上げたいと思います。 特に前々回の記事について タイムリーな話題ということもあってか 予想以上に反響があり少々驚いています。 それだけ皆さんの関心が高い ということなのかもしれません。 実は前々回の記事を掲載してから、 一つ書き忘れたことに気が付きました。 それはセキュリティ診断(審査)のことです。 7payの記者会見では、 「セキュリティ審査を行ったが 脆弱性の指摘は無かった」 という内容の言葉を述べたことで 少々騒ぎになったようです。 システム構築に関わったことのない方は あまりご存じないかもしれませんが、 ITサービスを開始する前に システムにセキュリティ上の問題がないか 外部の専門会社に調べてもらう セキュリティ診断を実施することがあります
崩壊する「HTTPS神話」、鍵マークはもはや信頼の証しではない
個人情報を入力するWebサイトでは、Webブラウザーに鍵マーク(錠マーク)が表示されているのを確認する――。セキュリティーのセオリーとして、筆者が何度も記事に書いたフレーズだ。 だが、「鍵マークが表示されていれば安全」というHTTPSの神話は崩壊した。常識が変わったのだ。 米国の政府組織であるインターネット犯罪苦情センター(IC3)は2019年6月、「Webブラウザーのアドレスバーに、鍵のアイコンあるいは『https』という表示があるという理由だけでWebサイトを信頼しないでください」と注意を呼びかけた。
狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由
7payの新規登録停止を知らせる張り紙。全国津々浦々のフランチャイズ店舗にまで掲出を行き渡らせるのは簡単なことではない。 撮影:7pay取材班 7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。 一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。 Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。 不正アクセス犯はどんな手口で侵入したのかを探る。
7pay 問題におけるデマ - どさにっき
■ 7pay 問題におけるデマ _ えーと、7-11 が盛大にやらかした件について、いろいろデマが飛びかってたようで。 社長が SMS と SNS の区別がついてなかったとか、 7/11 に再開できるようベンダーのケツを叩いてるとか。まあ、後者はもし万が一デマじゃなかったとしてもハイそうですなんて答えるわけないんだが。 _ で、デマなのにいまだ否定されていないものがもうひとつある。つーか大手メディアもがんがん流布してる。いちおう 日経ビジネスがそれを示唆する記事を上げてるけど、それ以上に踏みこんだ記事がいつまで待っても出てこない。 _ 具体的には、「パスワードリマインダの脆弱性が悪用されてアカウントを乗っ取られた」というデマ。まず断わっておくと、リマインダの作りが雑で、乗っ取られる危険性が高かったことは否定しない。が、その危険があったからといって、今回の事件で実際にそれが利用されたとはかぎ
重大事故の時にどうするか?|miyasaka
ヤフー時代の部下から突然メッセンジャーが。 「以前宮坂さんが緊急対応時に残して頂いた言葉を今度セミナーで使っていいですか?」 と。 リーダーの仕事はいっぱいあるけどなかでも大きな仕事の一つは重大事故の発生の時の陣頭指揮。平時は部下で回せるようにするのがマネジメントだけど、危機の時まで部下にまかせるわけにはいかない。 お恥ずかしながらヤフー在職中の22年で何度か重大事故を起こし関係者の人に多大な迷惑をかけてしまった。その度にその陣頭指揮をとった。 結果的にヤフーのなかでもっとも深刻な事故対策をやった人の一人じゃなかろうか。そのなかからノウハウ的なものがたまってきたものを部下にメモしておくってあげたものを彼は覚えていてくれたらしい。 彼いわく危機対応の時にすっごく役にたって指針になったといってくれて送ってくれた。 ひょっとしたら他の人にも参考になるかとおもって(若干訂正してますが)ここに残して
7payの失敗、もし自分が構築・運用してたら防げていたか?/なお『7Payの脆弱性は基本情報技術者試験の過去問にほぼ同じ事例があった』というネットユーザからの報告も
丹治吉順 a.k.a.朝P, Tanji Yoshinobu @tanji_y 7pay会見に関する反応をタイムラインで見ているわけだけれど、日本の大企業の中で、テクノロジーを理解している人が(特に役員レベルの意思決定や権限を持つ層で)どれほど冷遇されているか、その結果としていかに無残なことが起きるか──その決定的なモデルケースになったようだ。 2019-07-04 15:29:30 Yuta Kashino @yutakashino (´-`).。oO( 7Payの釈明会見,決済会社なのに「二段階云々」発言をみるに,自社のコアの周辺テクノロジーを理解できない脳死のシニアを上に持つというのは,ビジネス継続上の大きなリスクですよね….理解できない勉強できないシニアを組織から排出する仕組みが必要になっていくかも… ) 2019-07-04 20:46:49
ねこ吸い on Twitter: "omni7のパスワード再設定の送付先メールアドレス。やっと消えたっていうけど、どうせコメントアウトしてるとかだろう?って思ったらまさかのCSSでdisplay:none;にしてたwww こ れ は 大 草 原 が 広 が るwww… https://t.co/Cj4QSOjvz6"
omni7のパスワード再設定の送付先メールアドレス。やっと消えたっていうけど、どうせコメントアウトしてるとかだろう?って思ったらまさかのCSSでdisplay:none;にしてたwww こ れ は 大 草 原 が 広 が るwww… https://t.co/Cj4QSOjvz6
7pay(7iD)のあまりに酷い仕様が判明したので不正利用されないように整理しておく【更新:二段階認証など小手先では解決できない、かなり深い問題の可能性】 - こぼねみ
7payの不正利用の問題が大きな話題となっています。 セブンイレブンは不正利用されたクレジットカードからのチャージは停止していますが、7payによる決済機能はまだ利用できる状態。 まだ7Payを利用していない方は、とりあえず利用開始をしないで不正利用の原因が判明し、完全に解決するまで待ちましょう。 すでに7payに登録してしまった方は、現時点分かっている問題点を確認し、パスワード変更やアカウント変更などで対処するしかなさそうです(むしろ退会してしまっても、とさえ思う)。僕も登録済みだったので調べてみました。 問題点については次の記事が詳しく、 7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) - 個人 - Yahoo!ニュース その中で指摘されているのは、 7iDのパスワードリセット(再発行)がセキュリティ上最悪な仕様に なっていることです。 メールア
マルウェア感染によるPayPayアカウントの不正利用についてまとめてみた - piyolog
2019年5月23日、愛知県警はPayPayを不正に利用した詐欺事件で被疑者を逮捕(その後不起訴)したと発表しました。また2019年6月6日、日本経済新聞はこの事件で不正利用されたPayPayアカウントがマルウェア感染を通じて作成されたものであったと報じました。ここでは関連する情報をまとめます。 PayPayアカウント 不正利用事案の概要 日時 出来事 2018年12月4日 PayPayで100億円あげちゃうキャンペーンが開始。 2018年12月*1 偽佐川急便のSMSを通じて男性Aがマルウェアに感染。 感染から1時間以内 何者かが男性Aの電話番号を使ってPayPayのアカウントを作成。 2018年12月9日~11日 栃木県の男の所有するPayPayアカウントで約1000万相当の購入記録。 2018年12月10日 栃木県の男が愛知県名古屋市でPayPayを使って約35万円分を不正購入。 2
「世のエンジニア卒倒レベル」宅ふぁいる便が480万件の情報漏洩、暗号化もされてませんでした→ユーザー宛のメールも無茶苦茶
宅ふぁいる便 @takufailebin ファイル転送サービス「宅ふぁいる便」におきまして、一部サーバーに対する不正アクセスにより、お客さま情報のデータが外部に漏洩したことを確認いたしました。詳しくはこちらをご参照ください。 filesend.to 2019-01-26 03:08:26
CWE-20入門
サマリ この記事の想定読者は、企業等の脆弱性ハンドリング担当者です。脆弱性情報にしばしば出てくるCWE-20の読み解き方を説明します。 CWEとは CWEはCommon Weakness Enumerationの略で、日本語では「共通脆弱性タイプ一覧」と訳されています。この訳からも分かるように、脆弱性をタイプ毎に分類しているものです。つまり、SQLインジェクション、XSS、バッファオーバーフロー等に、CWE-XXXという「分類番号」をふったものと考えるとわかりやすいでしょう。以下は、IPAが公表しているCWEの解説記事からの引用です。 1999年頃から米国政府の支援を受けた非営利団体のMITRE(*2)が中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.
アカウント削除機能に意味はない - Qiita
Webサービスでアカウント削除機能を要求するユーザの話はよく聞くわけですが、これには残念ながら全く意味が無いと、1Webエンジニアであるぼくは思っているのですが、その理由をだらだらと書いてみようと思います。非エンジニアでも分かるように書いたつもりですが、作者が特にそういう能力に秀でているわけでもないので難しいかもしれません。 技術的な問題 現代の多くのWebサービスはデータの保存をRDB(SQL)に依存しています。これには色々特徴があるわけですが、実際の実装を想定して説明していきましょう。 ユーザがいます。ここではUserというTableとしましょう。RDBで定義したTableは同じ形式の物を沢山保存することができます。なので、作られた沢山のUserは1箇所のTableに纏めて配置されます。 Twitterみたいなサービスを想像すると、ここでTweetできる必要がありますね。TweetはT
2018/11/27に判明したnpmパッケージ乗っ取りについて - Qiita
概要 event-streamというnpmパッケージに攻撃コードが混入されました。攻撃コードはflatmap-streamというパッケージに含まれており、event-stream パッケージはこの flatmap-stream への依存性を追加される形で間接的に攻撃コードの実行を行う状態になっていました。 攻撃コードが分析された結果、copayというBitcoinウォレットからクレデンシャルを盗むことを目的とされていたことが確認されています。 参考リンク 調査が行われているGitHub Issue HackerNewsスレッド Details about the event-stream incident - The npm Blog 影響をうけたパッケージ event-stream@3.3.6 flatmap-stream@0.1.1 flatmap-stream@0.1.1 パッケージ
イオン270万回来店装う ポイントだまし取った男逮捕 | NHKニュース
ショッピングセンターの「イオン」で、1回の来店につき2円分のポイントがもらえるサービスを悪用してポイントをだまし取ったなどとして、29歳の無職の男が逮捕されました。警察によりますと、パソコンの位置情報を偽装するなどして、九州の店舗に270万回近くにわたって訪れたように装っていたということです。 警察によりますと、菅野容疑者は、イオンの公式アプリで1回の来店につき2円分のポイントがもらえるサービスを悪用し、ことし、自分のパソコンのGPSの位置情報を偽装して店で使えるポイント140円分をだまし取ったほか、およそ538万円分のポイントをだまし取ろうとしたとして、詐欺や詐欺未遂などの疑いがもたれています。 九州各地の店舗に270万回近くにわたって訪れたように装っていたということです。来店回数が異常に多いことに会社側が気付き被害届けを出していました。 警察によりますと調べに対し容疑を認め、「ポイント
「捕まえる」存在から「寄ってくる」存在に――JapanTaxiが目指すタクシーの未来(前編) (1/3) - ITmedia Mobile
最近「JapanTaxi」というタクシー配車アプリが注目を集めている。このアプリを開発したJapanTaxiとは、どのような会社なのか。アプリによってタクシーの利用動向に変化はあったのか。同社のCMO(最高マーケティング責任者)に話を伺った。 皆さんは「JapanTaxi(ジャパンタクシー)」というスマートフォンアプリをご存じだろうか。名前から察せる通り、タクシーを呼び出せるアプリだ。 →Android版アプリ →iOS版アプリ このアプリには一部の対応タクシー事業者で使える「JapanTaxi Wallet」というコード決済機能も備えている。支払い方法(クレジットカード、Google Pay、Apple Payに対応)を事前登録し、車内のタブレット端末でQRコードを読み込めば、降車前に運賃の支払いが完了してしまう。 Walletを使えるタクシー事業者なら、呼び出し・乗車から降車までスマホ
MS&Consultingで会員情報6000件流出か、WAF設定ミスでSQLインジェクション攻撃防げず
市場調査・コンサルティングを手掛ける東証マザーズ上場のMS&Consultingは2018年5月14日、不正アクセスを受け6119人分の会員情報が流出した可能性があると発表した。原因はWAF(Webアプリケーションファイアウオール)の設定ミスとしている。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セブンイレブンアプリ乗っ取りにより7payで30万円不正利用された人のツイート
