FacebookやTikTokなど多くのiPhoneアプリが「通知」を本来とは違う目的で使用してデータ収集を行っているという指摘
iOSアプリはプライバシーとパフォーマンスに関連する理由からバックグラウンドでの実行が許可されていませんが、プッシュ通知はバックグラウンドでも許可されています。この通知を好きなようにカスタマイズし、データを収集しているアプリが数多くあることが指摘されています。 ???????? Privacy Concerns about Apple Push Notifications TL;DR: data-hungry apps use push notifications as a trigger to send app analytics and device information to their remote servers, even if the apps aren't running at all on your iPhone. Such apps include TikTok, F
Gmailの新スパム規制対応全部書く
[2024年1月10日、19日追記] GmailとYahoo!側のアップデートに合わせていくつか細かい説明を追加しています(大筋は変わっていません)。変更点だけ知りたい方は「追記」でページ内検索してください。 2023年10月3日、Googleはスパム対策強化のため、Gmailへ送るメールが満たすべき条件を2024年2月から厳しくすると発表しました。また米国Yahoo!も、2024年2月 第一四半期[1] から同様の対策を行うと発表しています。端的に言えば、この条件を満たさないと宛先にメールが届かなくなるという影響の大きな変更です。 この記事では、Gmailや米国Yahoo!の規制強化への対応方法を解説します。ただし米国Yahoo!にメールを送る人は多くないと思うので、フォーカスはGmail寄りです。また、メール配信サービス(海外だとSendGridやAmazon SES、国産だとblas
どうしてもドメインを永久保持できない企業向け 企業はどうドメインを捨てるべきか - web > SEO
コロナ禍中に取得された地方自治体のドメインがオークションで高値売買され、中古ドメインとして悪用されるなど、公的機関のドメイン放棄問題が注目されています。 11月25日のNHKニュース7でドメイン流用の件が報じられました。私も取材を受け少しご協力をしています。 www3.nhk.or.jp 公的機関のドメイン放棄問題の理想の解決は、今後は lg.jp、go.jp などの公的機関しか使えないドメインだけを使うようにすることです。 ただ今回の問題はコロナ禍初期の大混乱時、非常にスピーディにサイト立ち上げが求められていた時の話です。 信頼が求められる lg.jp などのドメインの利用には厳格なルールがあるのも当然です。あの混乱時期にルール改定も難しかったと思います。新規ドメインが選ばれた事は仕方がない事と思っています。 ただ、コロナ禍が落ち着いた今、無責任に放棄されるのは明らかな問題です。 今回の
FBIがみんなに広告ブロッカーを使って欲しい理由
FBIがみんなに広告ブロッカーを使って欲しい理由2023.11.15 16:3598,228 Thomas Germain - Gizmodo US [原文] ( Kenji P. Miyajima ) 2022年12月26日の記事を編集して再掲載しています。 みなさんは広告ブロッカー、使ってますか? 凶悪犯罪の捜査で忙しいはずの米連邦捜査局(FBI)が、公式サイトで広告ブロッカーを使用するように呼びかけました。 広告ブロッカーはネット詐欺防止に効果的GoogleやBingなどの検索結果にブランドや企業の広告が表示されるじゃないですか。インターネット犯罪苦情センターによると、広告のブランドになりすました犯罪者が何の疑いも持たないユーザーを本物そっくりの偽サイトに誘導して、ランサムウエアやフィッシング攻撃の餌食にするそうです。FBIは、対応策として広告ブロッカーが効果的としています。 FBI
短縮URLサービス利用時に表示された悪質な広告についてまとめてみた - piyolog
2023年11月9日、いなげやは同社一部店舗で掲示していたポスターなどに記載されたQRコードへアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表し注意を呼びかけました。ここでは関連する情報をまとめます。 短縮URLサービス中の広告表示を起因とした事案か いなげやはネットスーパーの入会案内として、入会用サイトへアクセスさせるため店頭展示していたポスターや配布していたチラシにQRコードを掲載していた。このQRコードを読み込んだ際に、予期せぬ不正なサイトに誘導する広告が表示される場合があり、今回この不正なサイトを通じてクレジットカード情報を盗まれる事案が発生したとして顧客に対して注意を呼び掛けた。また万一クレジットカード情報を誤って入力するなどしてしまった際はカード会社に連絡を取るようあわせて案内を行っている。*1 同社が公表した資料中
素性のよくわからない検温カメラから画像を取り出す手口 - honeylab's blog
ここまで散々体温計付きカメラを分解してきましたが、久しぶりに面白い案件にぶち当たってしまいました。 これにどれだけの何が残ってるかまだわかんないけど、このラベルが貼ってあるガラクタを、「これが検温カメラの型番だと思ってヤフオクに出品するレベルの人間の手に渡ってる」の何かしらの問題だと思う どっかのショップ店頭の備品を誰か売ったんかな、と思ってたんだけど... https://t.co/XN1g9XVBwQ pic.twitter.com/vv8Ja9VFL5 — ひろみつ (@bakueikozo) 2023年8月8日 大元の所有者に連絡を投げたつもりですが、お盆進行なのか全然返事が来ませんね。 つまんないので、今回入手した検温カメラからどうやって画像を取り出したかを記録しておきましょう。 このカメラ、普通に立ち上げるだけで、ネットワークインターフェイスは有効化され、 192.168.1.
中国軍、日本の最高機密網に侵入 情報共有に支障―米報道:時事ドットコム
中国軍、日本の最高機密網に侵入 情報共有に支障―米報道 2023年08月08日07時08分配信 ポッティンジャー前米大統領副補佐官(国家安全保障担当)=2022年7月、ワシントン(EPA時事) 【ワシントン時事】米紙ワシントン・ポスト(電子版)は7日、中国人民解放軍のハッカーが日本の防衛省の最も機密性の高い情報を扱うコンピューターシステムに侵入していたと報じた。2020年秋に米国家安全保障局(NSA)が察知し、日本政府に伝達した。しかし、日本のサイバー対策は依然として十分ではなく、日米間の情報共有の支障となる可能性が残っている。 米大使らのメール流出か 中国発サイバー攻撃で―報道 同紙によると、中国軍によるネットワーク侵入は「日本の近代史上、最も有害なハッキング」となった。元米軍高官は「衝撃的なほどひどかった」と語ったという。 報道では、米政府は20年秋、当時のポッティンジャー大統領副補佐
悪名高きスワイプ広告を解析する - Qiita
この記事の概要 ユーザーから嫌われている広告の1つに「スワイプ広告」というものがある。 誤タップをしやすいことが理由だが、あまりにもこの広告だけ誤タップするため調べたところ 実は誤タップしたように見せかけて意図的に広告先に遷移させる広告であるということがわかった。 スワイプ広告とは、左右にスワイプすると画像がついてくるタイプの広告である。 スワイプ広告とは スワイプ広告とは、主にアフィリエイトサイトで見られる広告形式の一つである。 ユーザーは指で画面上の広告を左右にスワイプすることで、広告画像を切り替えることができる。 スワイプによるインタラクティブ性を活かし、複数のメッセージやメディアを使い、魅力的な広告体験を提供することが特徴である。 なぜ悪名高いのか しかし、スワイプ広告はユーザーから嫌われている。その理由は、誤タップを誘発しやすいからである。 誤って広告をタップして画面が遷移してし
旧日本海軍、乱数表を使い回し 山本巡視電は指示に反する運用 米が暗号解読、長官機撃墜・機密解除史料:時事ドットコム
旧日本海軍、乱数表を使い回し 山本巡視電は指示に反する運用 米が暗号解読、長官機撃墜・機密解除史料 2023年08月04日08時00分配信 旧日本海軍の山本五十六連合艦隊司令長官(AFP時事) 太平洋戦争中の1943年4月18日、前線巡視に向かう山本五十六連合艦隊司令長官の搭乗機が撃墜され、長官が戦死した事件で、その2カ月前に旧日本海軍が異なる暗号書の間で乱数表の使い回しを命じていたことが分かった。機密解除された米軍史料を収集した戦史研究家の原勝洋さん(81)が、時事通信の取材に明らかにした。長官の行動予定を記した暗号電が、乱数表変更の指示に反する形で作成されたことも判明。暗号は米側に正確に解読され、撃墜を招く結果となった。 長官の死から80年、真実が今 機密情報、日米で懸け離れた認識 旧海軍の暗号を巡り、機密保全上、極めて問題のある使用法を中央が命じ、出先も不適切に運用したことが文書で裏
「ウェブの世界のDRM」と悪名高い「Web Environment Integrity」はなぜ・どのように危険なのかをVivaldiが語る、Apple製品には同様の仕組みがすでに導入済み
Googleが新たなウェブ標準として、Web Environment Integrity(WEI)の策定を進めています。WEIは「信頼できる第三者が正当な利用者であることを認証する仕組み」で、認証していない人をウェブの世界から追い出すものだとしてVivaldiブラウザの開発元が公式ブログで批判しました。 Unpacking Google’s new “dangerous” Web-Environment-Integrity specification https://vivaldi.com/blog/googles-new-dangerous-web-environment-integrity-spec/ WEIがどんな仕組みなのかは以下の記事で詳しく解説しています。 Google従業員が「信頼できる第三者」による認証でBotや改造ブラウザを排除して「健全なインターネット」を作るべく新たな
ASCII閲覧中、偽サイトに飛ばされる問題 情報入力しないよう注意喚起
角川アスキー総合研究所・ASCII編集部は7月10日、同社メディア「ASCII.jp」で、閲覧中に外部の偽サイトに遷移してしまう現象が発生しているとして注意喚起した。 問題が発生したのは7月初頭。閲覧中に「○○名様当選のロイヤリティプログラムに選ばれました」とする偽サイトが表示され、アンケートへの回答や個人情報の入力を求められるという。同社は「絶対に個人情報などの入力をせず、サイトを閉じていただくようお願いします」と案内している。 広告配信システムを悪用されたのが原因。問題の広告は遮断済みで、今後は再発防止に向けて調査と回収を進めるとしている。 関連記事 日本最大級のビーズ・アクセサリーパーツ通販サイトで個人情報漏えい クレカ不正利用の可能性も 「Beads&Parts通販サイト」を運営するビーピークラフトは16日、第三者による不正アクセスを受け、個人情報2821件が漏えいした可能性がある
OSINTのすてきな乱れ - 切られたしっぽ
2023/06/18 騒動の元凶となったTweetについては本人から掲載許可をいただいております。あくまで本記事の目的は知識・用語の整理および以後の混乱を避けるための一提案であるため、本人への突撃などはご遠慮ください。 2023/05/08 AIをArtifact Intelligenceと誤表記していたので修正 tl;dl 筆者が"OSINT"について言及した結果、炎上にガソリンを撒いてしまった恐れがあるため用語の整理と筆者なりの考えをまとめた OSINTという単語は『インターネットを使ってほにゃほにゃした』という非常に漠然としたコンテキストの元で使用される場面が散見され、聞き手にそのコンテキストが共有されていない場合は解釈に不一致が生じる 少なくとも単発のアクティビティや公開情報からの情報収集という行為においては、OSINTという専門用語を持ち出さずとも適切な日本語を使用したほうが聞き
パスキーとは何か、そしてその課題
パスキーはフィッシングに強く、テクノロジーに詳しくないユーザーでも使いやすい新しい認証方式で、いずれパスワードを置き換えると言われています。この記事では、パスキーの基本と、これからのウェブにとってパスキーがどういう意味を持つのかについてまとめてみます。 パスキーとは何か # 2022 年 12 月 9 日に Google が Android 版 Chrome でパスキーがサポートされたとのアナウンスが出ました。Apple もすでに最新版の macOS Ventura、iOS / iPadOS 16 で Safari がパスキーに対応しています。 パスキーは Apple、Google、Microsoft が協調して使う FIDO クレデンシャルの名前です。エンドユーザーのみなさんがパスワードの代わりとして認識し、直感的にログインできるよう「パスキー」というブランドとアイコンが決まりました。ウ
一般ユーザに払い出すと危険なサブドメインやメールアドレス - ASnoKaze blog
ユーザに対して、そのユーザ名のサブドメインやメールアドレスを払い出すWebサービスがあります。 しかし、特定のサブドメインやメールアドレスは特別な用途で使われているものもあります。そのようなサブドメインやメールアドレスを一般ユーザに払い出してしまうと危険です。 現在、IETFでは仕様上利用用途が決められている、それらのラベルをとりまとめる「Dangerous Labels in DNS and E-mail」というdraftが提出されています。 今回はそれを眺めていきます。 (あくまでIETFの取り組みであり、仕様上定義されているものをとりまとめています。クラウドサービスや特定ベンダーで特別利用しているものは現在含まれていません。) サブドメイン ここでとりあげるサブドメインは、利用用途が決まってるため一般ユーザに払い出すべきではありません。(例: mta-sts.example.com)
サブドメインをユーザーホスティングサイトに使うときのパターン(Same Origin/Cookie/Public Suffix List)
README.md サブドメインをユーザーホスティングサイトに使うときのパターン hoge.example.com でユーザが作成したサイトをホスティングして、任意のJavaScriptを実行できる状態にしたいケース。 サブドメインを分けることで、Fetch APIなどはSame Origin Policyを基本にするため、別のサブドメインや example.com に対するリクエストなどはできなくなる。 一方で、CookieはSame Origin Policyではない。 デフォルトでは、hoge.example.com から example.com に対するCookieが設定できる。 これを利用したDoS(Cookie Bomb)やこの挙動を組み合わせた別の脆弱性に利用できる場合がある。 The Cookie Monster in Your Browsers - Speaker Dec
SSH and Git, meet 1Password 🥰 | 1Password
1Password now includes full support for SSH keys, providing the easiest and most secure way for developers to manage SSH keys and use Git in their daily workflow. The magic of 1Password has always been making the secure thing to do the easy thing to do. Today I’m thrilled to announce that we’re bringing this magic to development teams everywhere with the all-new 1Password SSH Agent. 🦄 In today’s
“政府認定クラウドサービス”から自主的にサービス取り下げ 辞退企業に理由を聞いた
日本政府が定めるクラウドサービスの認定制度「政府情報システムのためのセキュリティ評価制度」(ISMAP)。政府は3月29日にリストを更新し、官公庁や自治体向けSaaS群「Graffer Platform」を削除した。理由については、提供元のグラファーから取り下げの申し出があったと説明している。 Graffer Platformは、役所向けのWeb予約サービス「Graffer 窓口予約」など、同社のサービス3種をまとめたものだ。ISMAPは認定を受けることで政府調達の対象になれる制度。官公庁や自治体をターゲットにしているのであれば、登録するメリットこそあれ、取り下げはデメリットが大きそうにもみえる。なぜ登録を自主的に取り下げたのか、グラファーに真相を聞いた。 同社が登録を取り下げたのには、大きく分けて2つの理由があるという。一つは、リストへの登録を維持するために掛かるコストだ。 グラファーに
If you’re not using SSH certificates you’re doing SSH wrong
If you’re not using SSH certificates you’re doing SSH wrongUpdated on: June 8, 2023 SSH is ubiquitous. It's the de-facto solution for remote administration of *nix systems. But SSH has some pretty gnarly issues when it comes to usability, operability, and security. You're probably familiar with these issues: SSH user experience is terrible. SSH user on-boarding is slow and manual. Connecting to ne
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
渋谷100台プロジェクト | IDEA(イデア)
ITエンジニアを悪の道へ誘う「LockBit3.0」とは何者か | NHK
