「世界最悪のログイン処理コード」を解説してみた
概要 ところでこのツイートを見てほしい。このソースコードをどう思う? 世界最悪のログイン処理コード。 実際のサービスで可動していたものだとか……https://t.co/C2bG93ZCkj pic.twitter.com/EfVNAEslrn — はっしー@海外プログラマ🇳🇿元社畜 (@hassy_nz) 2018年8月10日 すごく……セキュリティーホールです…… 一応は動いていますが、あまりに問題がありすぎるため、Twitterでも話題になっていました。 問題点は片手に入り切らないぐらいある気がしますが、一つづつ解説していきます。 ※元記事のタイトルに記載されていますが、このコードはイントラネット内で動作していたものです。 問題点リスト 1. クライアント上のJavaScriptで書かれている 他の問題点を全部ぶっ飛ばすぐらいの重大な不具合です。 クライアントと言うのはこの場合、
NEM のコールドウォレットの自作は難しいのか検証してみた - Qiita
まえがき Coincheck(コインチェック) の XEM盗難騒動で 技術的に難しかった というお話があったようだ。 今回はコールドウォレットを自作してみて、本当に難しいのかを検証してみた。 設計 ネットワークにつながっていない端末で PrivateKey を保有する(または入力する) 上記端末で署名済みのトランザクションを生成する 署名済みのトランザクションを ネットワークにつながっている端末でNEMネットワークに送信する こうすることで PrivateKey がネットワーク上に露出することがなくなる ここで検討しないといけないのが 署名済みのトランザクション をどのようにネットワークにつながっている端末 に受け渡すか 最も単純な方法として、 QRコード に変換して画像として渡してしまえば、 カメラが有る端末で容易に送金できる まとめるとこんな感じ ネットワークにつながっていない端末 オ
メモリのビット反転エラーとセキュリティの話|Rui Ueyama
ハードウェアのエラーでメモリの内容が化けてしまうことが稀にある。大抵のDRAMエラーはせいぜいプログラムがクラッシュする結果になるだけだが、データ破壊になることもありえるし、悪意のある使い方をすればセキュリティ破りに使うこともできてしまう。ここではメモリエラーとセキュリティの話をしようと思う。 メモリのエラー率は意外なほど高い。データセンターで大規模なマシン群を対象に実際に観測したところ、1年間に1回以上のエラーが発生したDIMMモジュールは全体の8%にのぼったそうだ。DIMM 1枚に数百億個のメモリセルが実装されているといっても、このエラー率はちょっとびっくりするくらい大きな数字ではないだろうか? サーバでは普通はエラー訂正付きのDIMMを使うので1ビットのエラーは問題にならないが、エラー訂正のないコンシューマ機器ではこれは実際的な問題になりえる。 メモリエラーを利用したセキュリティ破り
test.comやaaa.comをテストデータに使うのはやめましょうという話 – 打つか投げるか
2018/02/13追記:「サンプル用のドメインを使おう」の説明に “.example” と “.test” の使い分けについて追記しました。 Web システム開発時のテストデータを作成する時、また各種ドキュメントを書いている時など、サンプルの URL を使う場面は多いと思いますが、その時に適当なドメイン名を使うのはやめましょう、という話です。 知っている方には当たり前レベルの話ですが、意外と IT 企業のシステム開発現場等でも普通に見かけることがまだまだありますので・・・。 よく見かける例 例えば、こんなドメインの URL で開発中システムのテストデータを作っていたり、仕様書に説明が書かれていたりする場面をよく見かけませんか? test.comaaa.comabc.comsample.comdummy.comhoge.com でも、これらのドメインって存在していて、また実際に利用されてい
孫社長「訪日外国人向けの無料Wi-Fiはなくすべき」
「2020年の東京オリンピックに向けて、ぜひ訪日外国人向けの無料Wi-Fiスポットを充実させてほしい」 6月21日のソフトバンクグループ株主総会で挙がった株主からの質問に対して、孫正義社長の答えは「やりましょう」でも「検討しましょう」でもなく、「無料Wi-Fiのサービスは、むしろなくすべきだと思っている」だった。 「オリンピックのたびに、無料Wi-Fiではさまざまな被害が起きている。具体的にはセキュリティの問題。Wi-Fiスポットのセキュリティの穴を突いた被害が大量に発生している。無料Wi-Fiよりも、世界中の携帯事業者とデータローミングをする方がいい。例えばアンリミテッドな(無制限の)ローミングなど。日本のLTEは世界で最も優れたカバー率と容量を持っているし、(ローミングの方が)セキュリティを保てて手間も掛からない。Wi-Fiスポットがいいというなら、別途セキュリティの問題を解決できるか
全銀協、広域IP網版の「全銀プロトコル」公開--ISDNなどの終了を視野
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 全国銀行協会(全銀協)は5月16日、企業や銀行間のオンラインデータ交換の新たな標準通信プロトコル「全銀協標準通信プロトコル(TCP/IP手順・広域IP網)」の仕様書を公開した。広域IP網をベースとした新たな全銀プロトコルとなる。 全銀協は、2016年秋にNTT東西が一般公衆電話網(PSTN)から広域IP網への移行とISDNサービスの廃止時期について具体的な検討を開始したことを受け、これらの廃止後に必要となる広域IP網に対応したプロトコルの制定を進めていた。 新たな全銀プロトコルは、既存の全銀プロトコルが企業と銀行や銀行間だけでなく、企業間のデータ交換にも使用されている実態を踏まえ、全銀プロトコル(TCP/IP手順)で規定された電文シーケ
弊社役員のGyazoアカウントおよびTwitterアカウントへの不正アクセスに関するお詫びとご報告 - Gyazo Blog
平素よりGyazoならびにScrapboxをご利用いただきありがとうございます。この度、弊社CTO増井俊之(以下当人)のTwitterアカウントとGyazoアカウントが不正利用されているとのご指摘をユーザーのみなさまよりいただき、事実関係を調査いたしましたところ、不正利用の事実が判明いたしました。 アクセスログ等の確認ならびに当人への聞き取り調査により、当人がGyazoアカウントに他のWebサービスと同じパスワードを設定しており、このパスワードが漏れたために第三者に不正利用されたものと確認しております(いわゆるパスワードの使い回し)。また、当人がGyazoアカウントにTwitterアカウントのIDとパスワードを含むスクリーンショットを保存しており、その画像を元にTwitterアカウントも不正利用されたことが、アクセスログ等の確認ならびに当人への聞き取り調査により判明しました。現在、当人にパ
【暫定対応済み】日産レンタカー、メールアドレスと氏名と電話番号があれば全個人情報にアクセスできる事が発覚! - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 レンタカーの予約ならいつも笑顔の日産レンタカー 何の変哲もない日産のレンタカーのページ ところが、パスワードを忘れたときのページにアクセスすると…。 ログインID(メアド) と 氏名(カナ)と電話番号を聞いてくるのです これを入れると、メールアドレスにパスワード送ってくれるんだとふつう思うじゃないですか? パスワード生で表示!! なんと、メアドと電話番号と名前の読み方だけわかっていたらパスワードがゲットできてしまうのです。 そして、このパスワードでアクセスすると? ▂▅▇█▓▒
高木浩光@自宅の日記 - 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか
■ 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか 残念なニュースが入ってきた。 都税のサイトに不正アクセス 67万件余の個人情報流出か, NHKニュース, 2017年3月10日 このサイトについては、今年の正月早々に以下の件で話題になっていた。 「国税クレジットカードお支払サイト」は誰が運営するサイトなのか, togetterまとめ, 2017年1月5日 このとき、タイトルには「国税……」とあるが、「国税クレジットカードお支払サイト」と「都税クレジットカードお支払サイト」の両方を話題にしていた。 これは、GMOペイメントゲートウェイ株式会社とトヨタファイナンス株式会社が組んで、東京都への都税の納税代行と、国税庁への国税の納税代行をする「クレジットカードお支払いサイト」を運営している*1のだが、サイトの画面構成からして、誰が運営主体なのか不明だということが問題となっていた
新型MacBookProに絶望、情シス視点でしか見てないから
シンジです。日本時間では深夜2時から行われたApple社の発表会、いろんな期待をしながら見てました。まぁただね、Appleさんは事前に情報を小出しでリークさせる謎マーケティングが行われるが為に、なんだかんだでリーク通りの発表会となったわけですが。 Skype音声しながらWCS見ながらApple見てました WCSは「StarCraft II World Championship Series」の略で、ゲームの世界大会なんですが、Appleの発表会と時間が被ってしまったのでやむを得ず2画面同時視聴。 シンジ「お、Appleきたよー!みるよー!」 Skype相手「しかたねーみるかー」 まぁ深夜2時前までStarCraft IIやってたんですが。 ティムクックのメガネ野郎がドヤ顔し始める もはやどうでもいい。 「Apple TVにTVが付いたぜ!」 HAHAHAとでも言えばいいのか。いいからさっさ
Appleのマーケティングに騙されてはいけない
Appleがアメリカで容疑者のコンピューターの暗号解除に協力するよう裁判所命令を出されたかどで、Appleは顧客のプライバシーとセキュリティを脅かす命令だとして反対する公開声明をだしている。世間はAppleの顧客のプライバシーとセキュリティを守るようにみえる姿勢を賞賛しているようだ。 しかし騙されてはいけない。これはAppleのマーケティング戦略に過ぎない。Appleは顧客のプライバシーとセキュリティを守る技術的な最善の努力を一切果たしていないので、プライバシーとセキュリティを気にかける人間はApple製品を使ってはならないのはもちろんである。 そもそも、Appleは国家政府に秘密裏に協力していた前科がある。今更顧客のプライバシーを守る云々などと言い出したのは、アメリカ政府による監視の実態を告発した真のアメリカの愛国者Snowdenの登場以降である。顧客のプライバシーとセキュリティをないが
【詐欺】NTTを騙ったソフトバンク光の入れ替え工事【証拠は残さない】 - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 『Flet's光です。この度、NTT法の改正によって、NTTとソフトバンクで、回線品質を改善してお値段を安く提供できるようになったため、その機材の変更手続きをしたいと思います』 契約が80%くらいまで進んだところで名刺を求めたところ、快く名刺を提供してくれた NTT関係ない! ベイシスイノベーション株式会社 詐欺2. 無意味な機材接続で高速化を謳う 業者『ルーターを送りますので、お客様の根っこの機械に、それを接続してください』 私『え、うちのVDSL 100Mbps しか出ない
IIJ SmartKey|スライド認証・ワンタイムパスワード管理
IDとパスワードによる認証だけではなく、IIJ SmartKeyで認証することで、両方の認証が成功した場合にログインできます。 万が一、パスワードが流出してしまっても、あなたのスマートフォンを持っていない限り、第三者はログインすることができません。 利用するWebサイトごとにワンタイムパスワードトークンを持つ必要はありません。あなたのスマートフォンがすべてのWebサイトのたった1つの “鍵” になります。 第三者があなたのスマートフォンを操作しようとしても、Touch IDやパスコードによるアプリロックを設定しておけば、IIJ SmartKeyを起動できません。 意図しない誤操作や不正操作を防ぐ、安心機能です。 スマートフォンを機種変更するときに、サービスの登録をやりなおす作業は面倒です。 IIJ SmartKeyなら、設定をQRコードでエクスポートできるので、それを新機種からスキャンする
年金機構のウイルス感染問題、2ch書き込み者を告発へ
日本年金機構の個人情報流出事件で、掲示板サイト「2ちゃんねる」(2ch)に公表前の内部情報とみられる書き込みがあったことについて、日本年金機構の水島藤一郎理事長は6月17日、「告発に向けて当局と打ち合わせを行っている。告発に向けて具体的な作業を開始している」と述べた。 衆院厚生労働委で、中島克仁氏(民主党)が「守秘義務違反ということになるのではないか」とただしたのに答えた。 水島理事長は「機構職員のみが知りうる内部情報が2ちゃんねるに書き込まれていたという報告があった。事実であるとすれば絶対にあってはならないことだと考える」と述べ、「万一、仮に当機構の職員であったとすると、日本年金機構法に違反する可能性がある」として、告発に向けて準備していることを明らかにした。 書き込みは、2ch「公務員板」などのスレッドに、情報流出について公表する前の5月28日以降に投稿された。「ウィルス感染しましたの
年金情報CD-ROM廃棄されてない可能性|日テレNEWS NNN
日本年金機構から個人情報が流出した問題で、職員が個人情報を入れて作業していたCD-ROMが廃棄されていない可能性があることが分かり、情報管理のずさんさがまた明らかになった。 日本年金機構・水島藤一郎理事長「廃棄とルールになっているのにもかかわらず、廃棄ができていないもの(CD-ROM)があるかもしれないということでございます」 日本年金機構では、職員が個人情報を使った作業をする場合、年金額など重要な情報が入る基幹サーバーから、必要な情報のみをCD-ROMにコピーして職員のパソコンで作業することが認められていたが、規定では情報漏えいを防ぐために作業後にCD-ROMを廃棄することになっていた。しかし、そのCD-ROMが廃棄されていない可能性があることが分かった。 日本年金機構は、9日付で職員に対し、廃棄の徹底を指示したとしている。日本年金機構を巡っては、個人情報のファイルに必要なアクセス制限や
年金機構、職員の電子メールを禁止 外部向け「当面の間」
流出を受け、6日と7日は「休日年金相談」を全国の年金事務所で行う。 各紙の報道によると、データは東京都、和歌山県、沖縄県の3拠点から流出していたことが分かったという。 関連記事 年金機構のウイルス感染、公表前に2chに書き込みか 「感染しました」「月曜日には公表するのかな?」 「ウィルス感染しました」「月曜日には公表するのかな」――年金機構の個人情報流出について、公表前に2chに書き込みがあったことが分かった。 ウイルス入り「標的型攻撃メール」どう見分ける? 「高度な“だまし”のテクニック」、IPAが対策指南 年金流出問題は、機構の職員が不審なメールを開いたことが原因とされている。標的型攻撃メールには「高度なだましのテクニック」が使われているとし、見分ける際の着眼点をIPAが指南している。 甘利大臣「マイナンバー導入予定は変更なし」 セキュリティ懸念否定 甘利社会保障・税一体改革担当相は、
年金番号の流出の話 - ビスケットのあれこれ
プログラミングから脱線すると色々と言いたくなるという. 年金番号がウイルスにかかって流出してしまって,想定される被害は年金番号の成り済ましが怖いので,流出してしまった人たちに番号を再発行して郵送するとかニュースで言ってました. 実は,僕の学位論文の一部で,オープンシステムにおける名前付けの問題について議論しています.ちゃんと論文にもなっています.そのときの議論の延長線上に今回の年金番号流出もからんでいるので,その話をしましょう. 当時の話題の中心は,インターネットでした.世界のコンピュータにそれぞれ一意の番号をつけて(つまり,全部のコンピュータが違う番号をもっている),その上で,ある番号のコンピュータにメッセージを送りたければ,どうやってそのコンピュータを探すか(ルーティング)という問題を解けば良い,ということにしていました.その後に出てきたIPv6も色々と修正してますが同じです. ルーテ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
破った紙の画像、割り符に - 日本経済新聞
BLOGOS サービス終了のお知らせ
りそな銀行、関ジャニ大倉忠義さんの個人情報を漏洩させた件を大慌てでお詫び : 市況かぶ全力2階建
