HTTP自体には、物理的にセッションを維持する仕組みはないが、セッションを識別するための値(セッションID)を、クライアントとサーバとの間で連携することで、論理的にセッションを維持する仕組みが提供されている。
HTTP自体には、物理的にセッションを維持する仕組みはないが、セッションを識別するための値(セッションID)を、クライアントとサーバとの間で連携することで、論理的にセッションを維持する仕組みが提供されている。
背景 Dockerコンテナを立てたらマルウェアに感染したのでサイバーセキュリティの啓蒙を兼ねてメモ書きしてみました。 注意事項 マルウェアに感染した被害の対処方法を記述しています。マルウェア自体の機能や解析の解説ではなく一般利用者ユーザーの視点から感染経路と対応方法についての記述になります。 マルウェア感染状況 症状 Dockerコンテナを稼働させたホストのロードアベレージ(CPU負荷)が常時4を超える状況になっていました。つまり400%でホストがフル回転してた訳ですな。 例えるならエヴァンゲリオン初号機が暴走してマヤちゃんがコンソール画面に向かって叫んでいるところです(違) こうなるとクラウドサービスのAWSとかだと英文で警告アラートが飛んで来ますし毎日課金されで膨大な利用料金請求が来ることになります。恐ろしい!! 状況の調査 CPUの利用状況やメモリの使用量などを調査するツール類があり
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 石橋啓一郎 2021-03-02 06:30 「Windows」の重大なセキュリティ問題が毎週のように発見されている一方で、Linuxのセキュリティ問題は、詳しく見れば無能なシステム管理者によって引き起こされている場合が多い。しかし、Linuxがこの状況に安心することはできない。Linuxにも対応すべき重大なセキュリティの懸念はあるからだ。GoogleとThe Linux Foundationは、Linuxカーネルのセキュリティ開発を担当する2人のフルタイムで働くメンテナーの費用を負担することにした。Gustavo Silva氏とNathan Chancellor氏だ。 Silva氏とChancellor氏は、カーネルセキュリティのメンテナンスと改善、およびLinuxのセキュリティ
NSA(国家安全保障局)およびNCSC(国家サイバーセキュリティセンター)による調査により、特定のVPN(仮想プライベートネットワーク)サービスがAPT ( Advanced Persistent Threat )として知られるサイバー犯罪グループからの攻撃を受けている可能性があることが明らかになりました。ただし、さまざまなハッカーチームが脆弱なVPNの攻撃にも関心を持つ可能性があります。その結果、そのようなサービスを使用する多くの国際企業が危険にさらされる可能性があるため、サイバーセキュリティの専門家は直ちに行動を起こすことを推奨しています。このブログ投稿では、どのアプリケーションが対象であり、VPNを脆弱にするものについて説明します。また、読み続ければ、会社が脆弱なVPNサービスの1つを使用している場合に何をすべきかを知ることができます。議論されたVPNの欠陥について質問がある場合は、
【2021/10/15 追記】 この記事は更新が停止されています。現在では筆者の思想が変化している面もありますので,過去の記事として参考程度にご覧ください。 予備知識 PHPはフォームから送信された値などをコード実行開始に自動的に変数として使えるようにしてくれる非常に便利なプログラミング言語です.しかし,それをそのまま用いるとエラーが発生したり,脆弱性になってしまったりするケースがたくさんあります.使う前には適当なチェック処理が必要です. どういった変数が対象になるか 以下に挙げられた変数は,ユーザーが勝手に値や構造を書き換えたり,送信をそもそも行わずにアクセスしたりすることが可能な信用できない変数だと思ってください.例え,ラジオボタンで選択肢を限定していたり,隠し要素として埋め込んでいたりしたとしても,これに該当してしまいます.
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Randall Degges - Please Stop Using Local Storage 原文公開日: 2018/01/26 著者: Randall Degges 日本語タイトルは内容に即したものにしました。 画像は元記事からの引用です。 初版公開: 2019/10/19 追記更新: 2024/04/05 -- リンク情報を記事末尾に移動しました 本気で申し上げます。local storageを使わないでください。 local storageにセッション情報を保存する開発者がこれほど多い理由について、私にはさっぱり見当がつきません。しかしどんな理由であれ、その手法は地上から消えてなくなってもらう必要がありますが、明らかに手に負えなくなりつつあります。 私は毎日のように、重要なユーザー情報をlocal storageに保存す
For information on how to properly disclose an Electron vulnerability, see SECURITY.md. For upstream Chromium vulnerabilities: Electron keeps up to date with alternating Chromium releases. For more information, see the Electron Release Timelines document. PrefaceAs web developers, we usually enjoy the strong security net of the browser — the risks associated with the code we write are relatively
2018年初めにIntelのCPUで発見された脆弱性の「Spectre」「Meltdown」や、同年8月に見つかった脆弱性「Foreshadow」などを悪意のあるアタッカーが利用すると、PCや一部のスマートフォンのプロセッサにアクセスし、パスワードや秘密鍵といった情報を盗み出すことが可能です。また、この攻撃は従来のセキュリティでは検出または防御することができないということで、大きな問題となりました。「Spectre」や「Meltdown」、「Foreshadow」と同様に、既に流通しているIntel製CPU上に存在する新しい脆弱性「Portsmash(CVE-2018-5407)」の存在をセキュリティ研究者が公表しており、Intel以外のチップメーカーにも影響を及ぼす可能性があるとしています。 GitHub - bbbrumley/portsmash https://github.com/
エラーを無視しがちなPHPで安心ガードする、または「require strict;」 - uzullaがブログという記事を見ていて、エラーが発生した時に必ずエラーを表示する次のようなコードを見かけた。 <?php // strict error bailout function strict_error_handler($errno, $errstr, $errfile, $errline) { die ("STRICT: {$errno} {$errstr} {$errfile} {$errline} ".PHP_EOL); } set_error_handler("strict_error_handler"); これだと、スクリプト内で発生したエラーがdieで本番でも必ず表示される。開発環境でエラーを表示するのはいいが、これでは本番環境でもPHPのエラーが直接表示されてしまう。これは、
インターネットのパスワード設定を“定期的に変更”すべきかどうかについて、総務省が方針を「定期的に変更すべき」から「定期的な変更は不要」へと転換したことが、日本経済新聞Web版の記事をきっかけに注目を集めています。総務省サイバーセキュリティ課に確認したところ事実で、公式サイトでは2017年11月から「定期的な変更は不要」という文言を掲載していたと説明しました。 方針が記載されている総務省「国民のための情報セキュリティサイト」 総務省ではネットを安全に利用するための情報を発信する「国民のための情報セキュリティサイト」を運営しており、企業や団体からネットセキュリティの参考にされてきました。以前は「設定と管理のあり方」項目において、「安全なパスワードを作成し、パスワードの保管方法も徹底したとしても、同一のパスワードを長期間使い続けることは避けなければなりません。定期的にパスワードを変更するようにし
成人が合意の上でセックスをしているのなら、それを見ること自体に問題はない。ただし、アダルトサイト、特に無料「ビデオ」サイトには多くのリスクがある。ここでは、基本的な事前対策を紹介しよう。 ストリーミング配信アダルトサイトの危険性を重々承知している人もいるだろうが、ポルノをネットで初めて見る経験の浅いネットユーザーだと、つい好奇心に逆らえず悪質なサイトを利用し、各種データや個人情報を危険にさらす可能性がある。 そこで、オンラインポルノを見る際にどんな危険があるのか、知っておくべきことをまとめた。 大半のアダルトサイト、特に無料「ビデオ」サイトは、安全なウェブ通信プロトコルであるHTTPSを採用していない。HTTPSは、アクセスしてきたユーザーを守るために、セキュリティ層を追加で設ける仕組みだ。 HTTPSと違って、基本的なプロトコルであるHTTPだと、ウェブブラウザーとウェブサーバーのあいだ
by Jeremy A.A. Knight 2018年初頭から問題となっている、Intel製CPUに設計上の欠陥として存在する脆弱性「メルトダウン」とすべてのマイクロプロセッサーに影響を及ぼすと考えられる構造的脆弱性「スペクター」について、Microsoftをはじめとする各社が順次対策を行っています。 How to protect your PC from the major Meltdown and Spectre CPU flaws | PCWorld https://www.pcworld.com/article/3245810/security/how-to-protect-your-pc-meltdown-spectre-cpu-flaws.html PCWorldでは、ユーザーができることとして「OS更新」「ファームウェア更新を確認」「ブラウザ更新」「アンチウイルスソフトを使う
Intelプロセッサの設計上の欠陥によって機密情報が盗み出される可能性があり、対策ソフトウェアでのアップデートが必要でパフォーマンスのダウンが避けられないと報じられて大きな問題となっています。Intelプロセッサ固有の問題と思われている脆弱性については大きく2種類あり、その1つはAMDやARMなどのプロセッサも影響を受けるとされていることが明らかになっています。 Critical "Meltdown" and "Spectre" Flaws Breaks Basic Security for Intel, AMD, ARM Computers | WIRED https://www.wired.com/story/critical-intel-flaw-breaks-basic-security-for-most-computers/ Researchers Discover Two Ma
アメリカ国家安全保障局(NSA)が開発したとされるサイバー攻撃ツールを、2017年4月にハッカー組織「Shadow Brokers」が盗み出した主張し、それ以降数回にわたってツールが公開されてきました。セキュリティ研究者がその中の一部の攻撃について、ペネトレーションツール「Metasploit」に移植しました。 NSA Exploits Ported to Work on All Windows Versions Released Since Windows 2000 https://www.bleepingcomputer.com/news/security/nsa-exploits-ported-to-work-on-all-windows-versions-released-since-windows-2000/ Shadow BrokersがNSAから盗み出したと主張するハッキング
ファイル共有ソフト「Winny」とその開発者、故・金子勇氏を巡る「Winny事件」の映画化企画が進んでいます。CAMPFIREで脚本開発費を募るプロジェクトが始まると、まもなく約45万円以上の出資が集まり、目標額の10万円を大きく上回りました。 Winnyは2002年に金子氏が開発した、P2P技術によるファイル共有ソフト。不特定多数のユーザーが匿名でファイルを共有できる利便性から流行したものの、結果的には違法ファイルが流通する場として成長してしまいました。 その後、金子氏が著作権法違反ほう助容疑で逮捕・起訴されたのが事件の始まり。当時は「ソフトを開発しただけで逮捕されるのは不当では」「後進の開発者を萎縮させかねない」など議論を呼びました。約7年に及ぶ裁判の末、2011年に金子氏は最高裁で無罪と判決されましたが、その2年後に42歳の若さで世を去っています。 プロジェクトを主導するのは、Web
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
毎年年末になるとセキュリティベンダー各社が、翌年のセキュリティ脅威動向についての予測レポートを発表する。昨年(2017年)末にも、多くのベンダーが2018年(そしてそこからの数年間)に関するセキュリティ脅威と対策に関するレポートを発表した。 各社のレポートには濃淡の違いがあるものの、まとめて見ると一定の「脅威の方向性」を読み取ることができる。本稿では、昨年発生した事件も振り返りつつ、2018年に企業が警戒すべき脅威のキーワードをまとめてみたい。まず前編では、昨年(2017年)の脅威状況も振り返りつつ、引き続き脅威となる幾つかを取り上げる。 2017年はランサムウェアが劇的に進化、「ランサムワーム」の猛威 まずは昨年の脅威動向について振り返っておこう。やはり目立つのは、次々に大規模な被害をもらたした「ランサムウェア」の脅威だ。この脅威が2018年も続くことを、多くのベンダーが予測している。
速度制限にかかった時などに役立つ駅やコンビニ、ファストフードで利用できる無料Wi-Fiだが、なんと言っても接続がメンドクサイ。その面倒をすべて解消してくれるアプリが「タウンWi-Fi」だ。 タウンWi-Fiは無料Wi-Fiにつきまとう不安なセキュリティを解消するVPNも提供する。これまでは1ヶ月・1GBまでといった制限があったが、別アプリに切り離されるとともに完全無制限に変更された。 タウンWi-Fi、VPNを完全無制限に タウンWi-Fiの最新版でWi-Fiの通信内容を保護するVPN機能が完全無制限化されると共に別アプリに切り離された。アプリのアップデード後、VPNを利用するには「Wi-Fiプロテクト」をダウンロードする必要がある。 「Wi-Fiプロテクト」をダウンロードしてセットアップすると、無料Wi-Fiに接続した時に自動でVPNが有効になって通信内容が保護される。VPNは公衆の無料
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く