RHEL, CentOS, Amazon Linux (6以前) /etc/localtime を /usr/share/zoneinfo 以下から上書きしたりシンボリックリンク張ったりという手法が横行していますが、 /etc/localtime は glibc パッケージに含まれるためパッケージを更新すると上書きされてESTとかに戻ってしまうわけです。 当然ながら、ディストリビューションとして正しい設定方法が用意されているので、こちらを使います。 /etc/sysconfig/clock にタイムゾーンを書きます。*1sudo sed -i -e "s/^ZONE/#ZONE/g" -e "1i ZONE=\"Asia/Tokyo\"" /etc/sysconfig/clock tzdata-update を実行します。sudo /usr/sbin/tzdata-update これだけで
紛失リスクに備える みなさん、こんにちは! B-CHANです。 iPhoneを紛失して、誰か悪い人に拾われたら、勝手に電話をかけられたりメールを使われたりアドレス帳の個人情報を見られたり、とにかく被害が甚大になる可能性があります。 それを防ぐため、iPhoneを買ったら必ずと言っていいほど設定しておいて欲しい項目があります。 パスコード 「設定」アプリの「Touch IDとパスコード」内から設定できます。 パスコードを設定することで、iPhoneを使うためにロック画面でパスコードの入力が必要になり、万が一iPhoneを紛失した時にも他人が勝手に使えなくなります。 Touch ID iPhone5s以降の機種なら、「設定」アプリの「Touch IDとパスコード」内から設定できます。 パスコードの代わりに指紋認証でロックを解除できるようになります。 iPhoneを探す 「設定」アプリの「iCl
※ src: 画像の場所を指定する属性。相対パスではなくURLで書けば、他のドメインにある画像を表示することも可能。つまりURLに対してGETリクエストを行う(閲覧者に行わせる)お手軽な手段とも言え、これを用いてなんらかの攻撃が行われることもしばしば。 まとめ このように、imgタグなどによって、閲覧者のブラウザからどこかのURLへ任意のリクエストを「送らせる」ことは簡単にできてしまいます。しかも、それで発生するリクエストは、閲覧者自身がリンクをクリックしたときとなんら変わりはありません。では、これを攻撃として用いられた場合(つまりCSRF)、Webプログラム側ではどのように防げばよいのでしょう。 きっとまっさきに思いつくのは、「POSTリクエストを使うようにする」、あるいは「リファラヘッダ(リンク元が記載されているヘッダ行)のチェックを行う」などでしょうか。しかしそれだけでは不
シャドーITというと和製英語かと思われるかもしないが、実はれっきとした英語(Shadow IT)である。また、個人所有デバイスを業務利用する「BYOD」(Bring Your Own Device)と混同されることもあるが、シャドーITは対象がデバイスに限らず、「会社で承認されていない」という点がBYODとは異なる。 個人が使い慣れたデバイス/サービスを企業でも取り入れようとする「コンシューマライゼーション」の流れや、ワークスタイルの多様化などを背景に、企業におけるシャドーITは年々広がっている。では、シャドーITは具体的にどのようなリスクをもたらし、企業はそれにどう対策すればいいのだろうか。 本連載では「総論」「事例」「対策」の流れで、日本企業に求められるシャドーITとの向き合い方を考えていきたい。今回はまず、シャドーITがもたらす3つの代表的な脅威を紹介しよう。 ケース1 会社に持ち込
MD5-Password-Cracker.jsはJavaScriptを使ってMD5のハッシュ値から元テキストを検索するソフトウェアです。 パスワードをハッシュ化して保存しておくのは基本と思われますが、その際によく使われるのがMD5ではないでしょうか。SHA-1/SHA-2のが良いと思うのですが、それをまざまざと知らしめてくれるのがMD5-Password-Cracker.jsです。 パスワードクラック開始!Web Workersが8つ使われています。 パスワードはheyaでした。1ワーカーあたり1秒間に約7万の解析が行われています。4文字のパスワードに対して23秒で解析されました。 網羅的に文字列を試しているので時間は要しますが、4文字程度のパスワードであればあっという間に解析されてしまうというのが分かるかと思います。パスワードの取り扱いについてはくれぐれもご注意を。 MD5-Passwo
ライフハッカー編集部様 私の会社やいくつかのウェブサイトが、パスワードを定期的(たとえば3カ月おき)に変えるように強制してきます。基本的にパスワードはどれくらいの頻度で変えるべきなのでしょうか? 使い古しのパスワード(Stale Passwords)より 使い古しのパスワードさん、こんにちは。 多くの組織がユーザーにパスワードの変更を強制しています。長い間、それがセキュリティーの「ベストプラクティス」だと考えられてきたからです。しかし、実際には賛否両論のテーマなのです。以下にパスワードの変更が「有効であるケース」と「有効でないケース」について解説します。■なぜ企業はパスワードに有効期限を設けているのか? パスワードを定期的に変える利点は、パスワードが盗まれた場合に、犯人がシステムに侵入できる期間を制限できることです。もし、パスワードに有効期限がなく、またパスワードが盗まれたことにも気づかな
ここ数年、ありとあらゆるセキュリティ侵害が起こっていることからも分かるように、もはやパスワードだけでは安全とは言えません。最近では、ソーシャルエンジニアリングで、本当に簡単にアカウントにアクセスされてしまいます。 「WIRED」のライターで、セキュリティ関連の情報に詳しいMat Honanさんが、パスワードが使えないような時はどのようにして身を守るべきか、について書いていました(Honanさんは、ギズモード・ジャパンのこちらの記事にもあるように、自身のiCloudアカウントを乗っ取られた経験をもっています)。個人情報を守る方法のひとつとして、パスワードを取り戻すための専用メールアドレスを使うのがおすすめです。 ハッカーがあなたのパスワードをリセットする方法を知ってしまったら、アカウントへの攻撃は止まりません。そんなときのために、メールのやりとりや連絡手段として一切使っていない、パスワード用
Github に脆弱性。やった人は Rails に有りがちな脆弱性を issue に挙げていたが相手にされず、実際にそれを突いてきた。一見 childish だが、それだけ簡単に脆弱な実装がなされてしまうということだ。週明けの今日、Rubyist はまず関連情報に一読を。 — Yuki Nishijima (@yuki24) March 4, 2012 気になって調べたのでメモ。自分も気をつけないとなー。 Public Key Security Vulnerability and Mitigation - github.com/blog/ github に脆弱性があってそれが突かれたらしい。 Rails アプリにありがちな脆弱性の一つ、Mass assignment とかいうタイプの脆弱性である。 mass assignment 脆弱性とは mass assignment 脆弱性とは何か、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く