滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。 考えていると結局のところ、サービス提供側が意図していることとは全然違うことが起きている気がするので、この辺はしっかり考えて実装したいところですね。(実装ミスは問題外として) カテゴリ滅びてほしいもの実装側がやりたいこと利用者が感じること実際に起きていること代替手法認証CAPTCHAbot避けぐにゃぐにゃ文字が読めない バイクと自転車の違いとは?ユーザの離脱、カゴ落ちパスキーの利用 新しいタイプのCAPTCHA(通常は画面に出ない) リスクベース認証との組み合わせによる抑制認証パスワード誰でも使える認証手段の用意忘れる。複雑なパスワードをそれぞれのサービス毎に管理するのは無理パスワードの使い回し。パスワード
PCで乱発する謎のバグは同一ネットワークに接続されているHiSense製Android TVが原因であることが明らかに
サウンドデザイナーでコンポーザーのプリシラさんが、長期間にわたって苦しんできたPC上で発生する謎のバグが、PCと同じネットワークに接続されているHiSense製Android TVが原因だったと報告しており、「HiSense製TVは買うな」と警告しています。 cohost! - "DO NOT BUY HISENSE TV'S LOL (Or at least keep them offline)" https://cohost.org/ghoulnoise/post/5286766-do-not-buy-hisense-t プリシラさんが自宅で使用しているWindows 11搭載PCは、長らく問題を抱えていたそうです。その問題のひとつが「ディスプレイ設定を開けない」というものでした。そのため、プリシラさんはディスプレイの表示を調整するために、Windows 11のディスプレイ設定ではなく
広く使用されている「xz」にssh接続を突破するバックドアが仕込まれていた事が判明。重大度はクリティカルでLinuxのほかmacOSにも影響 | ソフトアンテナ
Red HatやDebianを含むLinuxディストリビューションで広く使用されている圧縮ツール「xz」の最新版に悪意のあるバックドアが含まれていた事がわかりました(Ars Technica)。 発見した開発者のAndres Freund氏は、xz version 5.6.0と5.6.1に悪意のあるコードが含まれていることが分かったと指摘しています。幸い、このバージョンは主要なLinuxディストリビューションの製品リリースでは使用されていませんが、Fedora 40やFedora Rawhide、Debian testing/unstable/experimentalなどのベータ版リリースには含まれていたそうです。 macOSのHomebrewでは、複数のアプリがxz 5.6.1に依存している事が判明し、現在xz 5.4.6へのロールバックが行われています。 悪意のある変更は難読化され、バ
社内の盗聴者を見つけ出す---フリーツール「PromiScan」の使い方(中)
ARPのメカニズム EthernetとTCP/IPの間で,アドレス解決を行うプロトコルにARP(Address Resolution Protocol)がある。このプロトコルは,IPアドレスから該当するノードのMACアドレスを調べるために用いるプロトコルである。企業内ネットワークのようにEthernet+TCP/IPのネットワークで,常に使われているものだ(ARPプロトコルの詳細はRFC0826を参照してほしい)。 ご存知のように,TCP/IPではIPアドレスに基づいてすべてのデータ通信が行われている。例えば,メールの送受信,WebアクセスもすべてIPアドレスで表したアドレスを基に行われている。 しかし,実際の物理的なネットワークはEthernetである。EthernetはIPアドレスがわからない。Ethernet上は,MACアドレスに従って実際のパケットは送受信される。例えば,IPアドレ
【お願い】広告ブロッカーの除外設定をお願いします。 - すまほん!!
広告ブロッカーの除外設定に、ドメイン「smhn.info」を追加するようお願いいたします。 お願いするに至った背景と、解除方法について解説します。 広告ブロッカーの浸透は「現状、やむを得ない部分がある」 すまほん!!は、主に広告掲載収入によって日々の取材、レビュー、記事更新を行っています。 最近、アプリストアのランキング上位に広告ブロッカー(Adblock)が表示される例が見られ、浸透している様子がうかがえます。弊誌の広告収入も減少しています。 確かに、最近では日本の各種大手媒体が「画面を埋め尽くすほど異常に大量の広告を表示する」「記事タイトルのリンクをクリックしても、記事ではなく利用者の意図しない全画面広告を表示する」「バックキーの操作を乗っ取って広告を表示して戻るのを妨害する」などの極めて悪質な手法を取るようになっています。 Google、広告業者、大手メディアの著しい劣化であり、この
[各サービスの仕様] 信号認証サービス
QZSS航法メッセージ(LNAV, CNAV, CNAV2)を認証の範囲とします。 - LNAV (L1C/A信号、L1C/B信号) - CNAV (L5信号) - CNAV2 (L1C信号) また、地上システムの監視局で受信したGPS及びGalileoの航法メッセージも認証の範囲とします。
![[各サービスの仕様] 信号認証サービス](https://cdn-ak-scissors.b.st-hatena.com/image/square/9224345fb7c535d1ff59d2e8b361832de5c6e4d2/height=288;version=1;width=512/https%3A%2F%2Fqzss.go.jp%2Ftechnical%2Fsystem%2Fisos7j000001tl3p-img%2Fisos7j000001tl7a.jpg)
海外を中心に「街中のQRコードを不正利用して個人情報を抜き取る」という「クイッシング詐欺」が流行しているらしい
🐰まおまお🐰 @OllieTheUsagi うちの旦那は銀行屋に務めているのだけど、詐欺アラートの中で最近増えてるのがQRコードを使った詐欺。レストランのメニューとかお店の情報とか最近QRコードでサイトにアクセスしてねって物が多い。詐欺師がそれを偽物にすり替えて、誰かがアクセスしたら全部個人情報流れるようになってるらしい。 2023-12-01 19:00:51 🐰まおまお🐰 @OllieTheUsagi 長い間ネザーランドドワーフ🐰の下僕で、今はギズモさんに仕えてます。 アートと音楽とゆるい笑いが好きで頑張り過ぎずに生きてます。ナチュラル・ボーン・怠け者。楽する事ばかり考えてます。イギリスと言う島に住んでる🇬🇧。 調べてみると、海外を中心に「クイッシング」と呼ばれる詐欺手口が増えているとのこと。日本でも数年前から「ステッカー型詐欺」など同じような手口のフィッシング詐欺は増え
物理カード「PassCard」を使えば、複雑なパスワードを何パターン作っても、忘れることなく安全に管理できる! | ライフハッカー・ジャパン
パスワードは、ネットワーク経由のサービスに欠かせないもの。ところが、“簡単なパスワードはNG” 。しかも、“パスワードを使い回すとリスクが高まる” ため、もはや記憶に頼った運用は、実質的に不可能になっています。 そこで、強固にガードされたパスワード管理サービスを利用するのが、現状の最適解となっているところですが、実は、アナログな手法に回帰するという手段もあるのです。 「PassCard」は、完全にネットワークから遮断された環境でパスワードを管理できるセキュリティツールです。 アナログを経由すればハッキングは怖くないImage: TITLEincイタチごっこを繰り返すセキュリティ対策を単純化できる最も効果的な手段は、ネットワークとは隔離された環境でパスワードを管理することです。 「PassCard」は、物理的な暗号・復号化ツール。このカードの現物を盗難し、かつ復号するためのパターンを入手する
認証情報がダークWebで爆売れ “ドーナツ1ダース分”払えばクラウドに侵入可能
IBM Security X-Forceが2022年の1年間に観測したクラウド侵入の3件に1件以上で、漏えいした認証情報が使用されており、クラウドセキュリティインシデント全体で最も一般的な侵入経路となっている。 IBM Security X-Forceが2023年9月13日(現地時間)に発表したクラウドの脅威状況に関する報告書によると(注1)、クラウドへの最初の侵入経路として認証情報を使用した割合は、2022年の9%から2023年には36%に急増した。 “ドーナツ1ダース分”で認証情報を購入できてしまう この調査によって、過剰なアクセス権利を持つ認証情報がしばしば漏えいしたまま放置されており、攻撃者がクラウド環境に深く入り込む手段を提供してしまっていることが明らかになった。IBMは2022年6月までの1年間にレビューした侵入経路の3分の1で、暗号化されていない認証情報を発見した。 最初の侵
SSDをSecure Erase機能で安全に消去する - Qiita
注意 この記事ではSSDのデータ消去について扱います。 データの消去はディスクを他人に譲渡する際などにやるべきことですが、当然データは消えてしまうので操作ミスに注意してください。 誤った手順での消去や、消去の失敗はSSDがロックされることに繋がり、アクセス不能になってしまう場合もあるようです。 言うまでもないことですが、自己責任でお願いします。 SSDにおけるデータ消去の問題と解決策 SSDはフラッシュメモリによってデータを記録していますが、従来のHDDとは違った特徴を持ちます。 そのため、単純にddコマンド等でデータを上書きするのがデータ消去における最適な方法とは言えません。 現在流通している大半のSSDでは、データを安全に消去するためのSecure Erase機能が用意されています。 これによって容易にSSDのデータ消去を行うことができ、かつ消去後のパフォーマンス低下を抑えることができ
ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita
pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog より引用 これに関連してMD5ハッシュやソルトに関するツイート(post)を観察したところ、どうもソルトの理解が間違っている方が多いような気がしました。
世界初の持ち主以外使用できないスマートガンが間もなく登場
世界初の「登録されたユーザーしか発砲できないスマートガン」が、2023年12月に出荷される予定です。間もなく市場に登場予定のスマートガンとは一体どんなものなのかについて、ウォール・ストリート・ジャーナルがまとめています。 The First Smart Gun Is Finally Coming to Market. Will Anyone Buy It? - WSJ https://www.wsj.com/articles/the-first-smart-gun-is-finally-coming-to-market-will-anyone-buy-it-67314e0 アメリカでは持ち主しか発砲することができない「スマートガン」と呼ばれる技術の開発が、1990年代から進められてきました。「誤射や銃器の盗難を減らすことにつながる」としてスマートガンを支持する人と、「政府がスマートガン以外
不正アクセス行為の禁止等に関する法律 | e-Gov法令検索
施行日降順 刑法等の一部を改正する法律の施行に伴う関係法律の整理等に関する法律(令和四年法律第六十八号)R04.06.17 公布 / R07.06.01 施行刑法等の一部を改正する法律の施行に伴う関係法律の整理等に関する法律(令和四年法律第六十八号)R04.06.17 公布 / R04.06.17 施行(平成27年8月1日(基準日)現在のデータ)※これ以前の沿革は、日本法令索引を 参照してください。
Cache Storage がめちゃくちゃ肥大化する問題について調べる | ぴんくいろにっき
Cache Storageがめちゃくちゃ肥大化する問題 TBSのニュースサイト、TBS NEWS DIGがめちゃくちゃブラウザのストレージを消費しているという話がはてブや増田で話題になっています。 TBSのニュースサイトヤバない? – はてな匿名ダイアリー 同・はてなブックマーク 確かに、手元でも同様の状況を観測できる。 当該サイトのストレージ使用状況 はたして、これは真実なのだろうか。本当に1.4GBも食うことがあるのだろうか…… そんなわけない、ということで調査 まずは再現性を確認するためにChromeのゲストモードで当該のサイトのDevtoolを開いてましょう。すると、StorageのUsageは386MBになっていました。(適当なページを開き、リロードした時点で340MB程度であった) 当該サイトのストレージ割合 上記のスクリーンショットをよく見ていただけるとわかると思いますが、こ
PHPのリリース日とサポート期限 - Qiita
PHP 7.0 は2018年12月3日に公式のセキュリティサポートが終了し、その前の2018年9月13日に 7.0 系最終リリースとなるはずだった 7.0.32 が公開された。しかし、セキュリティサポート終了後の2018年12月6日に 7.0.33 が公開された。 PHP 5.6 の公式のセキュリティサポートは当初2017年8月28日まで 4 だったが、5系最後のリリースであることを理由に 5 2016年始めに2018年末まで延期された。6 2018年12月6日にリリースされた 5.6.39 が最終リリースになるはずだったが、セキュリティサポート終了後の2019年1月10日に 5.6.40 がリリースされた。 7 PHP 5.5 は2016年7月10日に公式のセキュリティサポートが終了し、その前の2016年6月23日に 5.5 系最終リリースとなるはずだった 5.5.37 が公開された。し
やはりお前らの「公開鍵暗号」はまちがっている。
※タイトルの元ネタは以下の作品です。 はじめに この記事は、公開鍵暗号の全体感を正しく理解するためのものです。数学的な部分や具体的なアルゴリズムは説明しません。気になる方は最後に紹介するオススメ書籍をご覧ください。 少し長いですが、図が多いだけで文字数はそこまで多くありません。また、専門的な言葉はなるべく使わないようにしています。 ただしSSHやTLSといった通信プロトコルの名称が登場します。知らない方は、通信内容の暗号化や通信相手の認証(本人確認)をするためのプロトコルだと理解して読み進めてください。 公開鍵暗号の前に:暗号技術とは 公開鍵暗号は暗号技術の一部です。暗号と聞くと、以下のようなものを想像するかもしれません。 これは情報の機密性を守るための「暗号化」という技術ですが、実は「暗号技術」と言った場合にはもっと広い意味を持ちます。まずはこれを受けて入れてください。 念のため補足して
ロボット掃除機・スマートホーム家電・ルーターなどさまざまなIoT・デバイスを全部まとめて接続し管理&自動化も可能な「Home Assistant」を使ってみた
IoT(Internet of Things=モノのインターネット)化が盛んになり、テレビや電灯、エアコン、玄関の鍵、掃除機などあらゆるモノをインターネットを経由して管理できる時代になりつつあります。しかしながら、これらのモノはそれぞれメーカーごとに別個のアプリで独自のネットワークを構築していることが多く、すべてを一元管理するのはなかなか難しいもの。その一元管理を可能にしてタスクの自動化なども設定可能な「Home Assistant」を実際に使ってみました。 Home Assistant https://www.home-assistant.io/ GIGAZINE編集部では3階まであるフロアのすべてに計5台のロボット掃除機を設置し、毎日自動的に掃除するよう設定しています。かつては5台ともiRobotの「ルンバ」だったのですが、世代交代の末に記事作成時点ではルンバ1台、ECOVACSの「D
女子学生「帰ったら男の人が入っていた」と110番…管理会社の26歳男、スペアキーで侵入疑い(読売新聞オンライン) - Yahoo!ニュース
発表では、13日午後9時35分頃、10歳代の女子学生が一人で住む東区のアパートの部屋に侵入した疑い。容疑を認めている。男の勤務先がアパートを管理しており、スペアキーを使って室内に入ったという。 女子学生から「家に帰ったら男の人が入っていた」と110番があった。男は玄関から逃走したが、13日夜に現場に戻ってきたという。車を近くに止めており、署員がスペアキーを持っているのを確認した。
“役立たず”だったMicrosoft Defenderが大人気の謎
過去の「Windows Defender」と同一視していると、「Microsoft Defenderウイルス対策」の実力を正しく評価することはできない。もはや“別物”となったMicrosoft Defenderウイルス対策の真実に迫る。 MicrosoftのクライアントOS「Windows 10」「Windows 11」には、無料で利用できるセキュリティ対策ツール「Microsoft Defenderウイルス対策」が付属している。前身となる「Windows Defender」の登場は、2006年にさかのぼる。それ以来、MicrosoftはWindows DefenderおよびMicrosoft Defenderウイルス対策の機能強化を続けてきた。 Windows Defenderの登場当初、その保護力を不十分だと考える向きがあった。後継であるMicrosoft Defenderウイルス対策
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
本物のサイトの文字を入れ替えて偽サイトに誘導する「ホモグラフ攻撃」の例を作ったら「そこじゃない」とツッコミが殺到する「凄腕ハッカーだ」
