メモ:EV証明書でブラウザのURLバーを緑色にするのもうやめない?という話 - Technically, technophobic.
またSleeviさんがなんかぶっこんでいるのでメモ。 https://groups.google.com/d/msg/mozilla.dev.security.policy/szD2KBHfwl8/kWLDMfPhBgAJ 「EV証明書でもフィッシングサイトつくれるよ」という報告 2017年9月の記事。 EV証明書を取得するには実在の団体の登記が必要だけど、そんなものDark Webで買えるよね、と*1。 So what does an attacker do? Well they can purchase a valid stolen ID for a few pounds from the so called "Dark web" and just use, a service address as the address of the company and the director
npmjs.com で著名ソフトウェアによく似た名前のマルウェアが大量に発見された - Islands in the byte stream
Malicious packages in npm. Here’s what to do | Ivan Akulov’s blog People found malicious packages in npm that work like real ones, are named similarly real ones, but collect and send your process environment to a third-party server when you install them 訳: 悪意のあるパッケージがnpmで発見された。それらは、実際のパッケージによく似た名前で同じように動くが、パッケージのインストール時にプロセスの環境変数を外部のサーバに送信する。 発見されたパッケージの一覧は元エントリをどうぞ。このようなマルウェアである偽パッケージの一例をあげると、 ba
「パスワードは定期的に変更してはいけない」--米政府
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはずだ> 米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの規格標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。 ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。 【参考記事】パスワード不要の世界は、もう実現されている?! 実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。なぜな
Panic Blog » ソースコードの盗難について
先週、動画変換ファイルアプリ HandBrake のMac版によってマルウェアに感染との報道がありました。(日本語記事参考: 動画変換ソフト「HandBrake」Mac版にマルウェア感染の危険性 | CNET Japan)2つの配信サーバのうちの片方で、感染したHandBrakeアプリが3日間公開された状態になっており、ダウンロードして起動するとそのコンピュータは攻撃者による遠隔操作が可能な状態になる、というものです。 運が悪く、さらにコンピュータ運にも恵まれず、公開されていた3日の間に感染したHandBrakeをダウンロード、起動したためにプログラマのMacが感染してしまいました。 その結果、どこかの、誰かに、私たちのアプリのソースコードが盗まれました。 続けて、以下の大切な3つについてお知らせします: ・今回の攻撃者がユーザ情報にアクセスした兆候はまったくありませんでした。 ・さらに、
大学「時間割アプリ利用に注意」 個人情報の流出懸念 - 日本経済新聞
学生IDやパスワードを利用して大学の時間割などを管理できるスマートフォン向け無料アプリを巡り、各地の大学が相次いで「利用しないで」と注意喚起している。個人情報流出の恐れがあるほか、大学の内規に違反するケースもある。新学期を迎えたばかりの各大学は「利用は危険で軽率な行為」と警告している。「第三者にID、パスワードを提供する行為は個人情報の流出に直結する。非常に危険な行為です」。上智大(東京・千代
暮らしに役立つITコラム ChromeやSafariの自動入力機能が、なぜ「悪いデザイン」なのか
autofill_ui.md 見た目の上で、隠されているフィールドに対しても自動入力してしまうという問題が話題になっている(2017年1月) https://github.com/anttiviljami/browser-autofill-phishing のだけれど、この問題の歴史はとても古い。自分も調査したり問題を報告したりしているので、振り返ってみる。 2012年の話 2012年4月のShibuya.XSS #1 https://atnd.org/events/25689 で、Hamachiya2が発表した http://hamachiya.com/junk/x-autocompletetype.php この問題に関連して「手の込んだクリックジャッキング」を使って情報を盗み出すデモを作った。 https://plus.google.com/112675818324417081103/
社内のセキュリティ対策としてUSB充電器を大量に買った | ロードバランスすだちくん
シンジです。cloudpackのセキュリティ対策の一環として、USB充電器を大量買いした、そしてなぜこの製品を買ったのかという話の経緯です。 あくまでも抑止力 業務性質上、スマホやタブレットを社内に持ち込ませないということが出来ません。むしろ、お客様がリリースされたゲームやアプリが正常にAWSと通信できているかを確認するためなどなどで、日常的に利用されています。 会社が支給するデバイスについては、別途MDMを行うなどの対策を行うものの、個人のデバイスについては「充電目的でパソコン・Macに接続される」ことが多々あります。 シンジチームではiPhoneなど全てのデバイス接続を検知している 会社のネットワークに接続される全業務端末では、Thunderboltも含め、USBデバイスが接続されると、全ての通信が記録されます。同時に、デバイスへの通信制御も自動的に行う仕組みとなっています。ついでにア
スマホ暗証番号を「8376」にした時から運命は変わる!
スマホ暗証番号を「8376」にした時から運命は変わる!スマホアンショウバンゴウヲハチサンナナロクニシタトキカラウンメイハカワル フジテレビ系『突然ですが占ってもいいですか?』で話題沸騰の琉球風水式“スマホ占い”!! あなたのケータイ&スマホ番号「下4ケタ」だけで、恋もお金も仕事も「過去」「現在」が丸わかり!! さらに自分にぴったりの「守護ナンバー」を暗証番号にするだけで、あなたの「未来」大開運!! 「あなたが何気なく使っている、選んでいるひとつひとつの数字には意味がある!」 「数字の持つ“パワー”と“意味”を正しく知って使うだけで運命は変えられる!」 5万人以上の悩める人々を幸せに導いてきた琉球風水志・シウマが提唱する数字を使った開運術“数意学”を わかりやすく解説。面倒な模様替えや掃除は必要なし! 暗証番号やログイン番号、SNSのアカウント……等々、 普段スマホやケータイで何気なく使って
HTTPS 化する Web をどう考えるか - Block Rockin’ Codes
Update 2015/5/8: 指摘頂いたタイポや誤訳などを更新しました。 2015/5/8: 構成を一部修正しました。 Intro 4/30 mozaiila のセキュリティブログに下記のようなエントリが投稿されました。 Deprecating Non-Secure HTTP | Mozilla Security Blog エントリはそこまで長くないので、ここに翻訳の全文を記載します。 そして、元エントリのライセンスである CC BY-SA 3.0 に則り、 本エントリも同じく CC BY-SA 3.0 とします。 Deprecating Non-Secure HTTP 原文: Deprecating Non-Secure HTTP 今日は、 non-secure な HTTP から、徐々に廃止していくという方針についてアナウンスします。 HTTPS が Web を前進させる手段である
【衝撃事件の核心】生徒に破られた高校サーバー、流出したクラス替え案・980人分の成績…脆すぎる「学校のITセキュリティ」と「生徒のモラル」(1/4ページ) - MSN産経west
教師のパソコンから新年度のクラス編成案や入試成績が抜き取られ、一部がスマホを介して生徒たちに流された。“犯人”の男子生徒は「軽い気持ちでやった」といい、学校での情報管理やモラル指導のあり方が問われる事態に 新年度のクラス表が春休み中に生徒たちの間に出回っていた-。滋賀県内にある県立高校の男子生徒が今年3月、教諭のパソコンのユーザーIDとパスワードを盗み見して学校のサーバーに不正アクセスし、クラス編成案や休み明けのテスト問題、入試や定期試験など生徒980人分の成績を入手。このうち、クラス編成案は無料通信アプリ「LINE(ライン)」で同級生ら35人に送信した結果、情報があっという間に300人以上の手元へ拡散した。学校現場にパソコンが普及する中、個人情報に対する学校の管理体制や生徒たちの「情報モラル」が問われる事態になった。(桑波田仰太)付箋に書かれた教諭のパスワード 卒業式を前日に控えた2月2
blog.bulkneets.net : 他に何も持たないこと
よそのサービスのidやパスワードを入力させる、ってのは基本的にやっちゃいけないんだけれども。 例えば、 del.icio.usはブックマークしか預からない。 twitterは今何をしてる、しか預からない。 なので、あなたのdel.icio.usアカウントと連携したいのでidとパスワード教えて、とか、twitterアカウントと連携したいのでidとパスワードを教えて、なんてのが、比較的気軽に出来る。色々まずいこともあるけど、ユーザーが十分にリスクを承知してidとパスワードを預けるのであれば、それはアリだと思う。 それ以外に何も出来ないサービスであるということにメリットがある。面倒くさい住所入力、メールアドレス認証、なんてのを通り越して捨てアカウントを作れる。お金が絡まない。犯罪に使われたりしない。他に何もないんだから悪用されようがない。 もしこれが、yahooのidとパスワード入れてくれ、go
高反発マットレスの選び方 | アフィブログに騙されない為の高反発マットレス手記
ウレタン系高反発マットレスでよく言及されるのが密度です。それを頑張って分かりやすく説明してみます。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
