Critical vulnerabilities in JSON Web Token libraries
TL;DR: If you are using node-jsonwebtoken, pyjwt, namshi/jose, php-jwt or jsjwt with asymmetric keys (RS256, RS384, RS512, ES256, ES384, ES512) please update to the latest version. See jwt.io for more information on the vulnerable libraries. (Updated 2015-04-20) This is a guest post from Tim McLean, who is a member of the Auth0 Security Researcher Hall of Fame. Tim normally blogs at www.timmclean.
badssl.com
badssl.com 🎛Dashboard Dashboard 🎫Certificate expired wrong.host self-signed untrusted-root revoked pinning-test no-common-name no-subject incomplete-chain sha256 sha384 sha512 1000-sans 10000-sans ecc256 ecc384 rsa2048 rsa4096 rsa8192 extended-validation 🎟Client Certificate Certificate Downloads client client-cert-missing 🖼Mixed Content mixed-script very mixed mixed-favicon mixed-form ✏️HTTP h
【Linux】/dev/random と /dev/urandomの違い - Man On a Mission
ごめんなさい、この記事は私により削除されました 2022/04/16 なにやら当記事へのアクセス数が急に伸びてて、なぜこんな地味記事が?と思ってたら、どうも容量無制限クラウドストレージサービスへの嫌がらせを示唆する動きがあり、その流れでアクセスされてるようです。 そういうアクセスがどのくらいの割合なのかも、実際にそのような行為に走るかどうかもわかりませんが、当記事がそれを幇助するような形になると業腹なので、いったん内容を削除しました。 真面目な目的でたどり着いた方はごめんなさい。たぶん同内容を扱った記事はネットにあふれてると思うので、そちらをご参照ください。 ほとぼりが冷めたら戻します…。 それにしても、排泄物の名称をわめいて喜ぶ小学生みたいな行動を取られる方が結構いるっぽいことに戦慄してますが、まあ、強い幼児性を持つ人が在職日数最長首相だったりする国ですので、整合しているとはいえるのかな
「システムを隠す」ことでセキュリティを高めるのは本当に悪なのか?
システムやアルゴリズムの構造を秘匿することでセキュリティを高める「隠ぺいによるセキュリティ(Security by Obscurity)」は、現代では本質的な安全性を確保できていないとされています。しかし、セキュリティの専門家であるUtku Şen氏は「隠ぺいによるセキュリティは過小評価されている」と指摘しています。 Security by Obscurity is Underrated – Utku Sen - Blog – computer security, programming https://utkusen.com/blog/security-by-obscurity-is-underrated.html 脆弱性のあるシステムを攻撃者から隠すことでセキュリティを高めようとする「隠ぺいによるセキュリティ」は、ひとたびシステムの構造が外部に漏れると攻撃を防ぐ手だてがないことから、現
ハードニング - Wikipedia
この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。(このテンプレートの使い方) 出典検索?: "ハードニング" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL(2021年9月) ハードニング(英: Hardening)とは、強化を意味する。分野によって具体的内容は異なる。 概要[編集] コンピューティングにおいて、ハードニング とは、脆弱性を減らすことでシステムのセキュリティ堅牢にすること。システムは多面的な脆弱性を抱えており、原理的には、単一の機能しか持たないシステムは、複数の機能を持ったシステムよりも堅牢である。必要のないソフトウェアの削除、不要なユーザアカウントやデーモンを停止などで、攻撃可能な側面を減らすことができる。 Uni
OWASP Top Ten | OWASP Foundation
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept The OWASP Top 10 is a standard awareness document for developers and web application security. It represents a broad consensus about the most critical security risks to web applications. Globally recognized by developers as the first step towards more secure coding. Companies should
Are HTTP cookies port specific?
The current cookie specification is RFC 6265, which replaces RFC 2109 and RFC 2965 (both RFCs are now marked as "Historic") and formalizes the syntax for real-world usages of cookies. It clearly states: Introduction ... For historical reasons, cookies contain a number of security and privacy infelicities. For example, a server can indicate that a given cookie is intended for "secure" connections,
PCI DSS 3.2.1 に対応するAWSセキュリティ対策 | DevelopersIO
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな吉井 亮です。 AWS 上で決済系システムを稼働させることはすでに珍しくありません。 今後も事例は伸びていくと想像します。 AWS で稼働させることのメリットは多くありますが、一番のメリットは 高セキュリティ だと考えています。 物理セキュリティはデータ-センター事業社のなかでもトップクラスの堅牢さではないでしょうか。 PCI DSS 要件9 「カード会員データへの物理アクセスを制限する」は AWS が取得している認定にオフロードすることが可能です。 論理セキュリティは決済事業社で担保する必要がありますが、AWS サービスをしっかり活用すればセキュアなシステムを構築可能です。 本エントリではその辺りを記述していきます。 ソース 公式が公開している情報を基に記述しています。
退職への備えが重要 - Fox on Security
データ復元サービスの法人問い合わせで多いのは「退職者PC調査」「データ復旧」「社内不正」なのだそう。消したデータを復元するニーズは非常に高いようです。 dime.jp 退職者のパソコン・スマートフォン調査では、デジタル機器に残された基本操作の履歴(ログイン・ログオフ)、USB接続履歴、インターネットアクセス履歴、ファイルの削除日等を手がかりに、退職者が退職時ないしは在職中に不正行為を行っていないかを調査。 職者調査の場合、相談を受けるなかで特に多いのは「退職者が在職中に使用していたパソコンからデータが大量に削除ないしは初期化されていた」というケースだ。 実際に対象社員が使用していたパソコンを調査すると、在職中に社内の顧客情報や技術情報を閲覧・コピーし、USBやクラウドストレージを利用して外部へ持ち出していたことが判明した事例も多数あったという。深刻なものになると、退職者が社の機密情報を持ち
Windows 10 - パソコン(画面)をロック - 離席中のセキュリティ確保
Windows 10 の画面をロックする方法を紹介します。 パソコンで作業の途中に何かしらの所用で、パソコンの前から離席する場合は他の人に画面を見られないように、操作されないようにパソコン(画面)をロックし、セキュリティを確保しておいたほうがいいでしょう。 ここでは「スタートメニュー」と「ショートカットキー」を使って、画面をロックする方法をみていきます。 スタートメニュー スタートボタンをクリックすると スタートメニューが表示されるので、ユーザーの「アイコン」をクリックしましょう。 すると、ポップアップ・メニューが表示されるので、「ロック」をクリックします。 ロック画面 すると、このようにパソコンの画面がロックされます。 ロック画面のどこかをクリックすると サインイン画面 サインイン画面が表示され、PIN(パスワード)を入力することで ロック画面を解除することができます。 ロック画面は表示
OAuth 2.0 の仕組みと認証方法
OAuth 2.0 の仕組みと認証方法について説明します。OAuth 1.0 の認証フローとそれらの問題点から、OAuth 2.0 の認証フロー、認可コード、アクセストークン、リフレッシュトークンまで網羅します。
How do I deal with a compromised server?
Want to improve this post? Provide detailed answers to this question, including citations and an explanation of why your answer is correct. Answers without enough detail may be edited or deleted. This is a Canonical Question about Server Security - Responding to Breach Events (Hacking) See Also: Tips for Securing a LAMP Server Reinstall after a Root Compromise? Canonical Version I suspect that one
一番分かりやすい OAuth の説明 - Qiita
はじめに 過去三年間、技術者ではない方々に OAuth(オーオース)の説明を繰り返してきました※1,※2。その結果、OAuth をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。Authlete アカウント登録はこちら! ※2:そして2回目の資金調達!→『AUTHLETE 凸版・NTTドコモベンチャーズ・MTIからプレシリーズA資金調達』(2018 年 2 月 15 日発表) 説明手順 (1)ユーザーのデータがあります。 (2)ユーザーのデータを管理するサーバーがあります。これを『リソースサーバ
ケルクホフスの原理 - Wikipedia
暗号技術において、ケルクホフスの原理(ケルクホフスのげんり、Kerckhoffs' principle もしくはKerckhoffs' assumption)とは、19世紀にアウグスト・ケルクホフス(Auguste Kerckhoffs)によって提案された次の原理である:暗号方式は、秘密鍵以外の全てが公知になったとして、なお安全であるべきである。 概要[編集] ケルクホフスの原理は、暗号方式は秘密にしようとしてもスパイによって設計書が盗み出されたり暗号装置ごと敵に捕獲されたりして、遅かれ早かれ敵に解析されてしまうという経験則に基づく。1883年に公表された論文に、軍用暗号に関する次の6個の条件が示されており[1]、そのうちの2番目の条件が現在「ケルクホフスの原理」と呼ばれている。 暗号方式は、現実的に(数学的に、ではなくてもよい)逆変換不能であること 暗号方式は、秘密であることを必要とせず
The Metasploit Project by H.D. Moore
The world’s most used penetration testing framework Knowledge is power, especially when it’s shared. A collaboration between the open source community and Rapid7, Metasploit helps security teams do more than just verify vulnerabilities, manage security assessments, and improve security awareness; it empowers and arms defenders to always stay one step (or two) ahead of the game.
Japan Vulnerability Notes
JVN#48443978: a-blog cms におけるディレクトリトラバーサルの脆弱性 [2024/03/08 12:00] JVNVU#91793178: Chirp Systems製Chirp Accessにおけるハードコードされた認証情報の使用の脆弱性 [2024/03/08 10:00] JVN#54451757: SKYSEA Client View における複数の脆弱性 [2024/03/07 15:30] JVNVU#95852116: オムロン製マシンオートメーションコントローラNJ/NXシリーズにおけるパストラバーサルの脆弱性 [2024/03/07 13:00] JVN#34328023: 富士フイルムビジネスイノベーション製プリンターにおけるクロスサイトリクエストフォージェリの脆弱性 [2024/03/06 16:30] JVN#82749078: ブラザー製 W
LinuxコアメンバーによるMeltdownとSpectre 対応状況の説明 (1/19更新) - Qiita
はじめに Linuxの安定カーネルのとりまとめ役、グレッグ・クラーハートマンによるメルトダウンとスペクター問題に関する1/6時点での現況の説明の訳文です。 太字は訳者が主観で独自に付加したものです。 2018/1/19: 対応状況がGreg氏によりアップデートされましたので、追記しました。 ライセンス 原文は当人のブログでby-nc-sa3.0で公開されています。 この文章のライセンスも原文に準じます。 謝辞 何よりもまず多忙な中情報をシェアしてくれた原著者のGreg氏に。 表記間違いについて指摘ありがとうございます。以下修正しました。 https://twitter.com/KuniSuzaki/status/950888858568163328 ライセンスの表記間違いを修正しました。ご指摘ありがとうございました。 @7of9 さんより明らかな誤認・誤訳・見落とし箇所への編集リクエストを
投機的実行に関する脆弱性「Meltdown」と「Spectre」について解説
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Is MD5 considered insecure?
Crowdstrike Threat Landscape: APTs & Adversary Groups
