非アクティブ状態のタブを一時停止してくれる拡張機能「The Great Suspender」が、新たな所有者のもとで不審な更新が行われたということが指摘されており、ソフトウェア開発者のデビッド・フォスター氏が対策を示しています。 I no longer trust The Great Suspender | DaFoster https://dafoster.net/articles/2021/01/20/i-no-longer-trust-the-great-suspender/ I no longer trust The Great Suspender | Hacker News https://news.ycombinator.com/item?id=25846504 [Open Source Development] The Great Suspender Saga, or, “I
日立製作所が2021年度から電子メールへの暗号化ファイルの添付を社内で禁止することが明らかになった。子会社の日立ソリューションズが「秘文」ブランドで販売していたメールの添付ファイルを自動で暗号化するツールも、2017年に販売を終了していた。同様の動きは他の大手ITベンダーでも進んでいる。 暗号化ファイルをメールに添付して送付した後に、別のメールでパスワードを送付する手順、いわゆる「PPAP」については、平井卓也デジタル改革担当大臣が2020年11月に、内閣府と内閣官房でこれを廃止すると発表したことから、脱PPAPがここに来て盛り上がっている。 社内ルールを改定しPPAPを禁止 日本のITベンダーは自らが社内でPPAPを行うだけでなく、PPAPの手順を自動化するツールを顧客に販売するなど、これまでは強力な「PPAP推進派」だった。しかしPPAPがメール誤送信対策として不十分であるだけでなく、
Let's Encrypt にバグが発見されました。利用ドメイン全体の 2.6% のサイトに影響があるとの事です 有効な証明書の 2.6% に影響があるとの事です。影響があるサイトは 2020/3/4 までに対応が必要です。すでに期限は過ぎています。該当サイトには個別にメールが届きますが、メールが届かない場合もあるとの事なので注意して下さい。 この記事では問題の概要と該当するかどうかの確認方法、および対応方法について記載しています。 記事の修正を行いました(2020/3/6 追記) この記事は筆者の予想をはるかに超えて多くの方に読んで頂きました。ありがとうございます。改めて読み返してみると不完全な部分も多かったため、以下の修正を行いました。 2.6% の意味が不正確だったので修正 バグの概要と、その影響について以下の項に追記 問題の概要 どんな影響があるのか? 確認方法の詳細、補足説明、注
概要 ところでこのツイートを見てほしい。このソースコードをどう思う? 世界最悪のログイン処理コード。 実際のサービスで可動していたものだとか……https://t.co/C2bG93ZCkj pic.twitter.com/EfVNAEslrn — はっしー@海外プログラマ🇳🇿元社畜 (@hassy_nz) 2018年8月10日 すごく……セキュリティーホールです…… 一応は動いていますが、あまりに問題がありすぎるため、Twitterでも話題になっていました。 問題点は片手に入り切らないぐらいある気がしますが、一つづつ解説していきます。 ※元記事のタイトルに記載されていますが、このコードはイントラネット内で動作していたものです。 問題点リスト 1. クライアント上のJavaScriptで書かれている 他の問題点を全部ぶっ飛ばすぐらいの重大な不具合です。 クライアントと言うのはこの場合、
Googleの「常時SSL」の推奨とか、Let'sEncryptの発足とか、 常時httpsページ化に対する波が来ているので、 提案する為の材料とか、メリットデメリットとか、対応方法とかまとめてみた。 常時SSLとは 常時SSLとはウェブサイトの全てのページをHTTPS化するセキュリティ手法。多くの大手サイトの対応が増えている(FacebookやTwitter、YouTube、Netflix等)。 httpsに対応していれば、そのサイトが偽物の場合は警告がでるし、通信が暗号化される。 参考サイト * 常時SSL * 「HTTP」前提が崩れる――早く「常時SSL」にすべき理由 * Webサイト全体HTTPS化(常時SSL)の流れはもう止まらない 世の中の状況、やった方がいいわけ https通信により通信が暗号化される SSL対応によりhttps通信で通信が暗号化される。従来は個人情報を含むペ
ハードウェアのエラーでメモリの内容が化けてしまうことが稀にある。大抵のDRAMエラーはせいぜいプログラムがクラッシュする結果になるだけだが、データ破壊になることもありえるし、悪意のある使い方をすればセキュリティ破りに使うこともできてしまう。ここではメモリエラーとセキュリティの話をしようと思う。 メモリのエラー率は意外なほど高い。データセンターで大規模なマシン群を対象に実際に観測したところ、1年間に1回以上のエラーが発生したDIMMモジュールは全体の8%にのぼったそうだ。DIMM 1枚に数百億個のメモリセルが実装されているといっても、このエラー率はちょっとびっくりするくらい大きな数字ではないだろうか? サーバでは普通はエラー訂正付きのDIMMを使うので1ビットのエラーは問題にならないが、エラー訂正のないコンシューマ機器ではこれは実際的な問題になりえる。 メモリエラーを利用したセキュリティ破り
2018/02/13追記:「サンプル用のドメインを使おう」の説明に “.example” と “.test” の使い分けについて追記しました。 Web システム開発時のテストデータを作成する時、また各種ドキュメントを書いている時など、サンプルの URL を使う場面は多いと思いますが、その時に適当なドメイン名を使うのはやめましょう、という話です。 知っている方には当たり前レベルの話ですが、意外と IT 企業のシステム開発現場等でも普通に見かけることがまだまだありますので・・・。 よく見かける例 例えば、こんなドメインの URL で開発中システムのテストデータを作っていたり、仕様書に説明が書かれていたりする場面をよく見かけませんか? test.comaaa.comabc.comsample.comdummy.comhoge.com でも、これらのドメインって存在していて、また実際に利用されてい
世界140カ国以上の地域に100以上配置されているマイクロソフトのデータセンター(DC)。ここで、Microsoft Azureのほか、Office 365、OneDrive、Bingなど同社のクラウドサービスが運用されている。今回は、思わず誰かに話したくなる「Azureデータセンターのトリビア」を集めてみた。教えてくれるのは、マイクロソフトテクノロジーセンター センター長の澤円さんだ(聞き手、アスキー羽野三千世)。 AzureのDCは・・・「知られざる謎の組織」が運用している 澤さん:AzureのDCは“知られざる謎の組織”によって構築、運用されています。この組織は「MCIO(Microsoft Cloud Infrastructure and Operations)」という名称で確かにマイクロソフト社内に存在しているのですが、MCIOに誰が所属しているのかは、社員にも知らされていません
平素よりGyazoならびにScrapboxをご利用いただきありがとうございます。この度、弊社CTO増井俊之(以下当人)のTwitterアカウントとGyazoアカウントが不正利用されているとのご指摘をユーザーのみなさまよりいただき、事実関係を調査いたしましたところ、不正利用の事実が判明いたしました。 アクセスログ等の確認ならびに当人への聞き取り調査により、当人がGyazoアカウントに他のWebサービスと同じパスワードを設定しており、このパスワードが漏れたために第三者に不正利用されたものと確認しております(いわゆるパスワードの使い回し)。また、当人がGyazoアカウントにTwitterアカウントのIDとパスワードを含むスクリーンショットを保存しており、その画像を元にTwitterアカウントも不正利用されたことが、アクセスログ等の確認ならびに当人への聞き取り調査により判明しました。現在、当人にパ
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 レンタカーの予約ならいつも笑顔の日産レンタカー 何の変哲もない日産のレンタカーのページ ところが、パスワードを忘れたときのページにアクセスすると…。 ログインID(メアド) と 氏名(カナ)と電話番号を聞いてくるのです これを入れると、メールアドレスにパスワード送ってくれるんだとふつう思うじゃないですか? パスワード生で表示!! なんと、メアドと電話番号と名前の読み方だけわかっていたらパスワードがゲットできてしまうのです。 そして、このパスワードでアクセスすると? ▂▅▇█▓▒
IDとパスワードによる認証だけではなく、IIJ SmartKeyで認証することで、両方の認証が成功した場合にログインできます。 万が一、パスワードが流出してしまっても、あなたのスマートフォンを持っていない限り、第三者はログインすることができません。 利用するWebサイトごとにワンタイムパスワードトークンを持つ必要はありません。あなたのスマートフォンがすべてのWebサイトのたった1つの “鍵” になります。 第三者があなたのスマートフォンを操作しようとしても、Touch IDやパスコードによるアプリロックを設定しておけば、IIJ SmartKeyを起動できません。 意図しない誤操作や不正操作を防ぐ、安心機能です。 スマートフォンを機種変更するときに、サービスの登録をやりなおす作業は面倒です。 IIJ SmartKeyなら、設定をQRコードでエクスポートできるので、それを新機種からスキャンする
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く