QRコードにセキュリティー上の弱点 不正サイトに誘導も | NHKニュース
電子決済や広告などに広く利用されている「QRコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかりました。この弱点を悪用すると、利用者を一定の割合で不正なサイトに誘導することも可能で、グループではセキュリティー対策の強化が必要だとしています。 このQRコードのセキュリティについて、神戸大学の森井昌克教授らのグループが検証したところ、コードを作成する際に不正な操作を加えると、本来の情報に加えて、偽の情報を仕込むことができることがわかったということです。 これはコードを読み取る際のエラーを修復する機能を悪用したもので、こうして作られたQRコードを読み取ると、多くの場合は本来のサイトに誘導されますが、100人に1人といった一定の割合で、別のサイトなどに誘導することができるということです。 このため、金融機関などにつながると偽装したQRコードが表
SambaでIPアドレスのアクセス制限をしたい
Sambaを使用していて特定のマシンからのアクセスを制限したいことがあるだろう。このような場合には,IPアドレスで制限させることができる。まず最初にSambaの設定ファイルを見つけよう。 ソースからのインストールであれば,/usr/local/samba/lib/smb.conf,RPMパッケージであれば/etc/samba/conf/smb.confとして確認できるはずだ。 smb.confの中でhosts allowオプションを使うことで可能となる。例えば,「hosts allow = 192.168.」と記述しておけば「192.168.xxx.xxx」に該当するマシンからのアクセスのみ許可する。
Windows 8 の共有で SMB 暗号化をオンにする
Windows 8 および Windows Server 2012 の SMB 3.0 では、SMB 暗号化という新機能がサポート されます。これは、SMB プロトコル自身に組み込まれた暗号化機能を利用して、エンド・ツー・エンドでSMBセッションを暗号化できるもの。EFS(暗号化ファイルシステム)はファイルを暗号化するものですが、SMB暗号化は通信を暗号化します。SMB暗号化は、SMB 3.0 対応のサーバー(共有を提供する側という意味) で有効化でき、SMB 3.0 対応のクライアントのみが SMB 暗号化が有効になっている共有に接続できます。共有する側で SMB 暗号化をオン/オフするだけで、面倒な設定はありません。クライアント側は SMB 3.0 をしゃべれれさえすればよし。SMB 暗号化を利用すれば、IPSec を使用しなくても簡単に盗聴を防止できます。 さて、この SMB 暗号化
TCPDFでセキュリティー設定をしたPDFを作る – 大阪のシステム開発・WEBシステム開発会社技術担当スタッフの覚書き、子だぬきの技術習得ノート
印刷禁止、文字等コピー禁止、編集禁止、パスワード // PDFオブジェクト作成 $pdf = new TCPDF(PDF_PAGE_ORIENTATION, PDF_UNIT, PDF_PAGE_FORMAT, true, 'UTF-8', false); // 第1引数 // print:印刷禁止 // copy:文字等コピー禁止 // modify:編集禁止 // 第2引数 閲覧パスワード // 第3引数 セキュリティ変更パスワード(引数なしはランダムパスワード) $pdf->SetProtection(array('print', 'copy', 'modify'), 'password', 'password2'); // フォント設定 $pdf->SetFont('arialunicid0', '', 16); // 新規ページ作成 $pdf->AddPage(); // 文字表
存在しない大学、なぜだまされた? 「URL」でWebサイトの安全性が分からない時代
“国際信州学院大学”の職員がうどん店に対して50人の貸切予約をしたにもかかわらず、無断でキャンセルしたという事件が5月に話題になりました。ドタキャン被害を訴えるツイートは数万リツイートされたのですが、実はこの大学もうどん店も、ましてやこの事件自体も全て架空だったというのがそのオチ。この顛末は下記の記事にも詳しいので、ぜひ一読ください。 うどん屋「ドタキャン受けた」とTwitter投稿 「気の毒」と拡散したが、店も加害者も架空(ITmedia NEWS) 無断キャンセルした大学職員にうどん店「二度と来ないで」と激怒→実は架空の大学でツイート自体も壮大な釣りだと話題に(ねとらぼ) これは釣りなのか、悪質な詐欺なのか、それとも“現代アート”のようなものなのかというのは、皆さんの判断におまかせします。その観点とは別に、個人的にこの一件で気になった「とあるポイント」を掘り下げたいと思います。 ドメイ
上原 哲太郎/Tetsu. Uehara on Twitter: "うわー!証明書がLet‘s Encrypt!東証一部上場企業のサイトとしては衝撃的やな…この会社の情シスのレベルとか、この会社がサイバーでの信用というものをどう考えているかとか、色々考えさせられるわ… https://t.co/9UMVfA6BUl"
うわー!証明書がLet‘s Encrypt!東証一部上場企業のサイトとしては衝撃的やな…この会社の情シスのレベルとか、この会社がサイバーでの信用というものをどう考えているかとか、色々考えさせられるわ… https://t.co/9UMVfA6BUl
指紋認証を悪用した悪質広告が話題に 広告タップ → 指紋認証起動 → 触ってしまうと週5500円の定期購入発生
スマートフォンの指紋認証を悪用した、悪質な広告がTwitterで確認され、話題になっています。投稿者によると、広告をタップし、ホームボタンに触れただけで指紋認証が行われ、5500円のアプリを購入したことになってしまったとのこと。しかもアプリは1週間ごとの継続課金になっており、放置しておけば毎週ごとに5500円が請求され続ける仕組みになっていたようです。 画像提供:えぴたん(@epitan25)さん 問題のアプリは「Dora - Photo Editor」というアプリとみられています。投稿者によると、広告をタップしたところすぐに指紋認証画面が立ち上がり、スクリーンショットを撮るためにホームボタンに触れたところ、すぐに課金完了になってしまったとのこと。編集部ではこの広告を発見することができませんでしたが、投稿者はTwitterで1回、Instagramで10回程度確認したといいます。 【訂正:
クラウド間のファイル共有はSMBで暗号化しよう。
はじめに くどうです。 最近は、クラウド間でファイル共有を行う場合が増えています。 当然気になるのは、経路の暗号化です。 わざわざVPNを張りますか?そんなの面倒ですよね。 Windows Server 2012/Windows 8 以降ではSMB3.0に対応しており、暗号化に対応しています。 詳しくはココ https://msdn.microsoft.com/ja-jp/library/dn551363(v=ws.11).aspx 気になってくるのは暗号化によるパフォーマンス低下です。 そこで、ベンチマークツールを使い計測してみました。 Windows Server 2012 R2での計測になります。 暗号化は「データアクセスの暗号化」にチェックを入れるだけです。 また、実際に暗号化が有効になっているか確認するにはWin7sp1(SMB2)でアクセスすると拒否されます。 ベンチマーク 結
Alexaが夫婦の会話を勝手に録音して部下に転送 非常に珍しいが対処するとAmazon
米Amazon.comのAIアシスタント「Alexa」がユーザーの会話を録音し、それをユーザーの連絡先の1人に送ったと、シアトルのメディアKIRO 7が5月24日(現地時間)、被害者の報告に基づいて報じた。 シアトル在住のダニエルさんは、自宅のすべての部屋にEchoシリーズを置いて利用していたが、ある日夫の部下から電話で「今すぐAlexa端末の電源を切ってください。盗聴されていますよ」と連絡があったという。この部下は夫の連絡先リストに載っており、電話でダニエルさん夫妻の会話を受信したと説明した。 日本ではまだ使えないが、Echoシリーズでは、登録してある連絡先を指定して相手にメッセージを送ることができる。 ダニエルさんがAmazonにこの件を問い合わせたところ、Amazon側での調査結果も報告と一致したと認め、「30分の会話で15回謝罪した」が、原因などについての説明はなかったという。 (
Googleの「reCAPTCHA」を5分で実装する
公開したサイトについているメールフォームから30分に1度通知が来るようになりました。 残念ながら見込客などといったコンバージョンではありません。ロボットによるスパムの投稿です。 そのままでも良いのですが、せっかくなのでGoogleの「reCAPTCHA」を導入してスパムによる投稿を撃退したいと思います。 本記事はreCAPTCHA v2の実装方法になります。reCAPTCHA v3の実装方法はこちらに記載しています。 Googleの「reCAPTCHA」実装までの3ステップ 1 GoogleへWEBサイトの登録&APIキー取得 2 Webサイトへの実装 3 サーバーサイドでの実装 GoogleへWEBサイトの登録&APIキー取得 方法 まずは、1のGoogleへWEBサイトの登録&APIキー取得を行ないます。 こちらのGoogleのサイトへアクセスし、右上の「Get reCAPTCHA」を
SPF + DKIMを設定して、Postfixでメールを送信(CentOS)
Postfixを使ってメール送信できるように設定をする手順です。 素のPostfixでもメール送信はできますが、SPFやDKIMといったメールの信頼性を高める認証技術を利用してメールを送信できるようにします。 実は、Amazon SESにSPF + DKIMを設定してメール送信をしようとしていたのですが、Yahooメールにテストメールを送信したところ、迷惑メールに振り分けられていたりしてAmazon SESの使用を断念した経緯がありました。メールヘッダを見ると一部のAmazon SESメールサーバのIPアドレスがYahooのフィルタでブロックされている記述がありました。これでは、使いものにならないので、EC2上にMTAを構築してメール送信をすることにしました。[AWSイスターシリーズ] Amazon Simple Email Service の選択肢 1 です。 [AWSマイスターシリーズ
Gmailでスパム扱いされるときの対処方法(迷惑メールフィルタ) - Qiita
まえがき EC2(CentOS 7)からメールを送信すると、なぜかスパムメール扱いされてしまう。 これからWEBサービスを提供するのに、スパム扱いは困る。困るし怒られる。 メール受信者にスパム扱いから外してもらえばいい・・・って違うんだよなぁ。 友達にメールするわけじゃなく、こっちはサービス提供者なんだよ。そんなことできないです。 でも何をやってもスパム扱い。 どう頑張ってもスパム扱い。 昔は多少悪いことしたけど、今はメールを送信しようとしているだけです。 でもスパム扱い。 そりゃぁ、いじけます。ちょっとGoogleが嫌いになります。 でも健気にGoogle先生に検索という形で聞いてみます。 みんな似たようなことしか書いておらず、結局スパム扱い。 ちなみにスパム!スパム!!とこんなメッセージが表示されています。 詳細が詳細じゃなく、途方にくれる・・・・。「詳細」という言葉の意味を調べたい。
高木浩光氏の通信の最適化と通信の秘密についての議論 - 続・はてなポイント3万を使い切るまで死なない日記
3年前に高木浩光氏が携帯電話会社の「通信の最適化」が「通信の秘密」違反であるという問題提起をして、ネット上で大変な話題を集めた。その際に私も議論に参加をし、通信の最適化の批判に通信の秘密を持ち出すのはスジが悪いということで異論を唱えて、高木氏とやりあった。 その当時の私の主張はいまも変わってなく、当時も間違ったことは、言ってなかったつもりですが、残念ながら、ネットで論争をみていたネットユーザーの大半は高木氏の主張が圧倒的に正しいと判断したようだ。 今回、改めて高木氏が同様の問題提起をしたブログを書かれている。高木氏も3年前の議論の論争相手として、私の名前と、それと後から参戦してきて私の会社の元社員でもあるshi3z氏の名前を今回の記事で挙げていた。 高木浩光@自宅の日記 - 優良誤認表示の「通信の最適化」(間引きデータ通信)は著作権侵害&通信の秘密侵害、公正表示義務を 今回は高木氏もご自身
ウェブサイトにキャプチャを導入する方法【reCAPTCHAの使い方】
ウェブサイトにCAPTCHA機能を実装してスパムロボットを防ぐ方法。GoogleのreCaptureの使い方。
NTTによるブロッキングの何が許せないのか - Software Transactional Memo
注意: この記事は私の所属する組織の意思も意見も絶対に断固として欠片すらも表明する事を意図して書いていません TL;DR;今回のサイトブロッキングは私見ではダメだと思ってるけど、国の言うロジックは一応わかるし勘違いベースで応援するのも叩くのも止めて欲しい 前提知識 まず大前提として、日本には憲法というものがあり、その21条にはこのように明記されている。 憲法第二十一条 集会、結社及び言論、出版その他一切の表現の自由は、これを保障する。 検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。 憲法に沿った国の運営をするためここから派生して制定されている法律のうち、今回の件に関係が深いのは電気通信事業法である。 電気通信事業法 (検閲の禁止)第三条電気通信事業者の取扱中に係る通信は、検閲してはならない。 (秘密の保護)第四条電気通信事業者の取扱中に係る通信の秘密は、侵してはならな
いよいよパスワードから解放か グーグル、マイクロソフトなど「WebAuthn」実装開始
Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。 ITジャーナリスト/Publickeyブロガー。大学でUNIXを学び、株式会社アスキーに入社。データベースのテクニカルサポート、月刊アスキーNT編集部 副編集長などを経て1998年退社、フリーランスライターに。2000年、株式会社アットマーク・アイティ設立に参画、オンラインメディア部門の役員として2007年にIPOを実現、2008年に退社。再びフリーランスとして独立し、2009年にブログメディアPublickeyを開始。現在に至る。 多くのWebアプリケーションは、ユーザーの認証にユーザー名とパスワードの組み合わせを用いています。 しかしユーザー名とパス
GoogleのreCAPTCHA、セキュリティリサーチャーに破られる
GoogleのreCAPTCHA技術は、スパムを防ぐ手段として多くのWebサイトで利用されていますが、reCAPTCHAの脆弱性が、コロンビア大学のセキュリティリサーチャーによって発見されました。 まず、「CAPTCHA」という言葉の由来から始めましょう。この言葉は、「Completely Automated Public Turing test to tell Computers and Humans Apart」(コンピューターと人間を区別するための完全に自動化された公開チューリングテスト)の略語です。CAPTCHA技術も本来のチューリングテストも、背後にあるコンセプトはシンプルです。CAPTCHAは人間であれば合格できるテストですが、オンラインボットには無理です。歪んだ文字が埋め込まれた画像を表示し、その文字を正しく入力させることによって応答者がコンピューターでないことを確認する、と
Googleの新たなreCAPTCHAは文字入力も画像選択も不要な「不可視」仕様
相手が人間なのか機械(ボット)なのかを判断する認証システムとして広く用いられているのが「CAPTCHA」で、その中にGoogleの提供する「reCAPTCHA」があります。人間からすると、わざわざウェブサイトへのログイン時にわけのわからない文字列を入力させられたり、画像を選ばされたりと面倒な仕組みですが、新たなreCAPTCHAはもはや「目に見えない」ものとなります。 reCAPTCHA: Easy on Humans, Hard on Bots https://www.google.com/recaptcha/intro/invisible.html Google's new reCAPTCHA system is so great, you can't even see it | Android Central http://www.androidcentral.com/googles
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
dkim.jp
reCAPTCHA: Easy on Humans, Hard on Bots