電子メールの送信元ドメインが詐称されていないかを検証する送信ドメイン認証 (Sender Domain Authentication)。 本記事では、各送信ドメイン認証の簡易的なまとめや、各記事へのリンクを記載します。 SPF、DKIM、DMARC、ARCが対象です。参考までに関連技術としてBIMIも挙げます。 基本 背景 送信ドメイン認証は、電子メールを安心して使う上で重要な技術です。 メールの受信者にとっては “迷惑メール対策” の1つのような役割ですが、メールの送信元ドメインの所有者にとっては “第三者が自分のドメインを詐称してメール送信できないようにするもの (※)” です。つまり、”自ドメインを守る“ことにつながります。 これは、自ドメイン所有者 (=自組織) の社会的信頼の確保にもつながります。逆に、詐称メールを簡単に送られてしまうと、ドメイン所有者の社会的信頼を低下させるリス
送信先で迷惑メール扱いされない?DKIM機能って何? 迷惑メールをたくさん受信して困っている方はとても多いと思いますが、特にビジネスユースの方は「自分が送ったメールが相手の迷惑メールフォルダに入ってしまう」という問題で困っている方もいらっしゃいます。今回は、そんな迷惑メールにまつわる機能をご紹介します。 迷惑メール振り分けの仕組み 迷惑メールフォルダには「勝手に入る場合」と「自分で入れる場合」があります。一度自分で迷惑メールに振り分けると次から同じメールアドレスから受信したメールは自動的に迷惑メールフォルダに入るという場合もあります。一体どのような仕組みで動作しているのでしょうか?迷惑メールフィルタは様々な種類があるため、今回は一般的なものを例に挙げて説明していきます。 迷惑メールフィルタはウィルス対策ソフトのような「アプリケーション」の一種ですが、一般の人がPCにインストールして使うより
さくらのレンタルサーバ ライト スタンダード プレミアム ビジネス ビジネスプロ マネージド メールボックス このマニュアルでは、DKIM署名およびDMARCの設定についてご案内しています。 ※「さくらのマネージドサーバ」のOSがFreeBSD9.1のサーバーは、OSの仕様により対象外となります。対象外のサーバーは、リプレースによるOSアップデート後に対応いたします。
しばたです。 昨年10月にGoogle(Gmail)および米国Yahoo!においてスパム対策の強化がアナウンスされました。 この件に関してつい先日まで他人事でいたのですが、実は全然他人事では済まないことが発覚し突貫で知識を仕入れています。 アナウンスに対する具体的な対応策についてはこちらのZennの記事を見れば全部わかる感じです。 最高ですね。 また、メール送信にAmazon SESを使っている場合はAWSのブログを確認すると良いでしょう。 「これらの記事を読み解けば万事解決!」という感じではあるのですが、私自身が学んだなかで予め知っておくと良さそうに思えた点がいくつかありました。 本記事ではその辺を共有するのと、実際にAmazon SESの環境を作って動作確認をしたのでその結果も合わせて共有します。 はじめに覚えておくと良い基礎知識 Zennの記事でも詳細な解説がありますが、個人的に「最
不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認
pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog より引用 これに関連してMD5ハッシュやソルトに関するツイート(post)を観察したところ、どうもソルトの理解が間違っている方が多いような気がしました。
If you’re not using SSH certificates you’re doing SSH wrongUpdated on: June 8, 2023 SSH is ubiquitous. It's the de-facto solution for remote administration of *nix systems. But SSH has some pretty gnarly issues when it comes to usability, operability, and security. You're probably familiar with these issues: SSH user experience is terrible. SSH user on-boarding is slow and manual. Connecting to ne
こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut
数か月前、ゲームのコミュニティなどで人気のチャットアプリ「Discord」のデスクトップ用アプリケーションに任意のコードを実行可能な問題を発見し、Bug Bounty Programを通じて報告しました。発見したRCEは、複数のバグを組み合わせることによって達成される面白いものだったので、この記事では、その詳細を共有したいと思います。なお、現在脆弱性は修正されています。 調査のきっかけElectronアプリの脆弱性を探したい気分だったので、Electronアプリで報奨金が出るアプリを探していたところ、Discordが候補にあがりました。Discordは自分自身が利用者で、自分が使うアプリが安全かどうかをチェックしたいという思いもあったので、調査をすることにしました。 発見した脆弱性私は主に次の3つのバグを組み合わせることでRCEを達成しました。 contextIsolationオプションの
リモートでコンピューターにアクセスするためのプロトコルであるSSHは、コンピューターの認証を行うために公開鍵暗号を利用しています。公開鍵暗号の方式には「RSA」「DSA」「ECDSA」「EdDSA」があり、それぞれの仕組みと「SSHに適した方式」についてソフトウェア企業「Gravitational」のVirag Mody氏が解説しています。 Comparing SSH Encryption Algorithms - RSA, DSA, ECDSA, or EdDSA? https://gravitational.com/blog/comparing-ssh-keys/ 公開鍵暗号は、暗号化と復号に別々の鍵を用いる暗号方式のこと。例えば、ボブとアリスがやり取りを行う時、アリスは秘密鍵と公開鍵を作成し、公開鍵をボブに渡しておきます。ボブはアリスの公開鍵でメッセージを暗号化してアリスに送信。暗号
2023/07/22 『初めてのマルウェア解析』を追加しました。 2022/12/25 『実践バイナリ解析』を追加しました。 2021/8/22 『詳解セキュリティコンテスト ~CTFで学ぶ脆弱性攻略の技術』を追加しました。 2021/2/20 Web Security Academyの紹介を追記しました。 2021/1/1 一部の参考書を刷新いたしました。 2020/5/3 記事を書いて1年以上経ったので、大幅に加筆&修正いたしました。 どうも、きなこです(´・ω・`) 先日ツイートしたCTF初心者についての内容がちょっとばかり反響があったこと、そして、私自身がCTFに関して右も左も分からない状態から、ある程度経験を積んだことにより、簡単な問題なら解けるようになったので、今日はCTF初心者から考えた、CTF初心者向けの学習の道筋を書こうと思います(´・ω・`) ちなみに私はSECCON等
記事を開いてくださったみなさんようこそ。 ぴーよです(*- -)(*_ _)ペコリ 年末年始にかけて異様になぜかモチベーションが高くて勢いで前から気になっていたCTFを始めてしまいました。 初心者だった時の気持ちは脱初心者すると忘れてしまうとよく聞くので、覚えているうちにわかったこととか参考にしたものとかを時系列順でまとめておこうと思います。 CTFとは おそらくこの記事を目にしている方の大半は知っていると思いますが一応。 CTFは"Capture The Flag"の略で、『与えられた問題からFlag(旗)をゲットすることを目的とした競技です』みたいなことがググると出てきます。 旗ってなに.....??? 旗っていうのはほんとに旗があるわけじゃなくて、決まった形の答えの文字列*1がいろんな方法で隠されててそれを旗と呼ぶっぽいです。 例えば"FLAG{~}"みたいな形式の文字列がどこかに隠
サイバーセキュリティにおいてLANケーブル(有線LAN)からの侵入について考えたことがあるでしょうか?本稿では、LANケーブルをニッパーで切断してネットワークへ侵入・盗聴した実験結果を紹介します。切断してから何秒で侵入・盗聴できたのでしょうか? 本記事は、ケーブルを切断してネットワークへ侵入・盗聴されるリスクがある事を知っていただく事を目的としています。 ご自身の環境以外では試さないようお願いします。 なぜLANケーブルからの侵入? 技術部の安井です。長年制御システムを開発してきた経験から制御システムセキュリティ向上に取り組んでいます。制御システムの業界では、近年外部ネットワークを経由しての侵入や内部に持ち込まれたUSBメモリからの侵入が注目されています。一方で、なぜかネットワークを構成する大きな要素であるLANケーブルや光ケーブルからの侵入への注目度は低いようです。制御システムに関わらず
IT関連にとどまらず、多種多様なビジネスにおいて、データを集め、活用することが命題化した現在において、“データの集積地”であるデータセンターはインフラのひとつといえるでしょう。そしてインフラであるからには、いついかなる場合も、「当たり前のように動いている」ことが求められます。 さくらインターネット社が北海道 石狩に建設した「石狩データセンター」は、2011年の稼働開始以降、のレンタルサーバーやクラウド、大規模ハウジング(サービス)など、同社の多くのサービスの提供基盤であり、まさに「落としてはいけない」データセンターです。では、そんなデータセンターの安定を支える運用とは。 障害発生を未然に防ぎ、ときに大地震という災禍に遭遇しつつも、石狩データセンターを当たり前のように稼働させる運用の裏側を、石狩データセンター センター長の玉城智樹さんとハードウェアグループ 部長の小林潤さんに聞きました。 ※
[Update 2020-03-05: The most up-to-date summary is at 2020.02.29 CAA Rechecking Bug] Due to the 2020.02.29 CAA Rechecking Bug, we unfortunately need to revoke many Let’s Encrypt TLS/SSL certificates. We’re e-mailing affected subscribers for whom we have contact information. This post and thread will collect answers to frequently asked questions about this revocation, and how to avoid problems by r
これで防げると思ってたんだけど 実際 pingback.ping は呼び出せた。WordPressのソースを確認したら xmlrpc_enabled フィルタでチェックしているのは認証が必要なパターンのときだった。pingback.pingは防げない・・・ というわけでPinbackを無効にするにはやっぱりxmlrpc_methodsフィルタを使うのが良い。 if ( function_exists( 'add_filter' ) ) { add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' ); } function remove_xmlrpc_pingback_ping($methods) { unset($methods['pingback.ping']); return $methods; } しかしながら xmlr
2015.11.12 Alice, Special Cyber Service Team XML-RPC is a remote procedure call over HTTP formatted with XML. WordPress exposes XML-RPC APIs via xmlrpc.php. Some of the APIs have been abused in various ways by attackers. This entry is about the security of the implementation of XML-RPC by WordPress. First, let's see a simple example of XML-RPC call. Below is an XML-RPC request and response that li
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く