【特集】 スマホが鍵代わりになる「スマートロック」、まだ導入してない?
【WordPress】ACF 6.2.7以降でthe_field()やthe_sub_field()がHTMLエスケープされる仕様変更への対応方法 | Web production note
記事執筆次点ではACF 6.2.5です。 ※本記事は以下のACF 6.2.5 セキュリティリリース記事を元に執筆しているため、今後のアップデート状況によっては適宜加筆修正する可能性があります。 ※ACF利用者にとっては非常に大きな変更になる可能性があるため、実装者はブラウザ翻訳などを用いて一読しておくことを強く推奨します。 ACF 6.2.7以降 the_field() と the_sub_field() で出力する場合にWordPressのHTMLエスケープ関数 wp_kses() を経由するようになるACF 6.2.5では、ショートコード [ acf field="field_name"] に対してWordPressのHTMLエスケープ関数wp_kses()がデフォルトで働くようになりましたが、2024年2月以降に予定されているACF 6.2.7以降には、the_field() と t
「攻殻機動隊」公式Xが乗っ取り被害 不正アクセス受け
講談社のヤングマガジン編集部は1月29日、「攻殻機動隊」公式X(旧Twitter)アカウント(@thegitsofficial)が28日朝から不正アクセスを受けて乗っ取られたため、利用を中止していると発表した。再開についてX社と調整しているという。 不正アクセスによる被害報告はないが、引き続き他の公式SNSを含めて調査し、セキュリティ強化を進めていくという。復旧予定が決まれば公式サイトなどで告知する。 関連記事 ドトール公式Twitterアカウントが乗っ取り被害に NFT関連サイトに誘導する投稿も ドトールコーヒーの公式Twitterアカウントが不正アクセスにより乗っ取られた。アイコンやヘッダ画像が削除され、アカウント名も「.」に変更されており、ドトールコーヒーとは関係のないツイートも見つかった。 公式Twitterアカウント狙うフィッシング増加 青バッジの騒乱に乗じなりすまし画策か 米セ
DMARC をなめるな - 弁護士ドットコム株式会社 Creators’ blog
Gmailが「メール送信者のガイドライン」を改訂し、なりすましメールへの対策を強化する旨を発表しています。今までは原則、なりすましメール対策の有無にかかわらず、メールはいちおうは届いていました。しかし今後は、なりすましとみなされたメールは届かなくなる方向に向かいつつあります。 なりすましメールとみなされないようにするために、メール送信者には、「メール送信ドメイン認証」への対応が求められます。メール送信ドメイン認証の技術には、主に以下の3つがあります。 SPF: Sender Policy Framework (RFC 7208) DKIM: DomainKeys Identified Mail (RFC 6376) DMARC: Domain-based Message Authentication, Reporting, and Conformance (RFC 7489) SPFは従来
“プライバシーマーク認証団体”が情報漏えい 審査員が個人PCで書類保存、約3年間外部から丸見えに
個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する日本情報経済社会推進協会(JIPDEC)は11月13日、8月に発表したPマークの審査関連書類が漏えいした事案について、調査結果を発表した。 8月8日、Pマークを取得した事業者1社から「ネット上でPマークの審査関連資料と思われるファイルが閲覧可能となっている」と連絡を受け、事態が発覚した。調査を行ったところ、Pマーク審査員1人が個人所有のPCに廃棄すべき審査関連書類を保存して持ち帰っていたことが明らかに。資料を保管していたNAS(Network-Attached Storage)に適切なセキュリティ対策がなされておらず、ネット上で閲覧できる状態になっていた。 その後の調査では、この1件以外にも最大888社の審査関連情報と審査員名簿が漏えいした可能性があることも判明。さらに、この審査員が2005年1
Linuxのアンチウイルス ClamAVで誤検知によって削除されてしまうパターンを回避する方法
最近、定義ファイルが変わったせいか、やたらと「Virus Found」通知がくるようになりました。 本当にヤバいものだといいのですが、全然問題ないファイルをウイルス指定されてしまうとメンドクサイことになります。誤検知ですね。ClamAVではよく誤検知があるようです。 今回はRPGツクールVXaceのGame.exeファイルが誤検知扱いされて、アップロードされていたファイルを全て消去してしまうという事態になっていました。 念のため、自身のデスクトップにあるアンチウイルスソフトで検査しても検出されませんでした。 また、オンラインウイルスチェックサービス「virustotal」を使用してチェックしても、clamAV以外に検知されず、以下のようなメッセージ「Probably harmless! There are strong indicators suggesting that this fil
PHPのイタい入門書を読んでAjaxのXSSについて検討した(3)~JSON等の想定外読み出しによる攻撃~ - ockeghem(徳丸浩)の日記
昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。今回はJSON等の想定外読み出しによる攻撃です。これら攻撃手法は本来ブラウザ側で対応すべきもので、やむを得ずWebアプリケーション側で対応する上で、まだ定番となる対策がないように思えます。このため、複数の候補を示することで議論のきっかけにしたいと思います。 まず、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します(同書P20の図1-23)。 前回、前々回は、(5)のHTTPレスポンスの前後で、JSON等のデータ作成(エンコード)に起因するevalインジェクションや、(5)のレスポンスを受け取った後のHTMLレンダリングの際のXSSについて説明しました。 しかし、問題はこれだけではありません。正常
【速報】NTTドコモ「ぷらら」「ひかりTV」利用者の氏名・生年月日・住所などの個人情報が最大で約529万件流出の可能性と発表 決済関連情報は含まれておらず(TBS NEWS DIG Powered by JNN) - Yahoo!ニュース
NTTドコモは、個人向けインターネット接続サービス「ぷらら」と「ひかりTV」の利用者の氏名や住所などの個人情報が、最大でおよそ529万件流出した可能性があると発表しました。 NTTドコモによりますと、流出した可能性がある情報は個人向けインターネット接続サービス「ぷらら」と「ひかりTV」の利用者の氏名や住所、生年月日、電話番号などで、最大でおよそ529万件に上り、すでにサービスを解約した人の情報も流出した可能性があるということです。 情報が流出したのはきのう午後1時40分ごろで、流出した情報にクレジットカードや銀行口座の情報などは含まれておらず、現時点では不正利用などは確認されていないとしています。 業務委託先の企業が使っているパソコンから情報が流出した可能性があるということで、流出元と見られるパソコンはすでにネットワークから切り離す措置を講じたとしています。 NTTドコモは「お客さまにはご
Twitterの「SMS認証」3月19日に終了 まだ解除してない無料ユーザーは早めの変更を
米Twitterが2月に発表した、SMSを使った2要素認証をサブスクリプションサービス「Twitter Blue」ユーザー限定にする措置。同社は無料ユーザーに対し設定を削除するようにアプリ内で案内していたが、その期限が迫っている。 Twitterは設定を削除していない無料ユーザーに数日前から再び告知を始めている。3月19日までを期限としており、まだ設定解除していないユーザーは急いだほうが良いだろう。同社は「Twitterにアクセスできなくなることを防ぐために」と案内しており、おそらく再ログインする際にSMSで送られてくるはずのコードが受け取れず、ログインができなくなるものと思われる。 2要素認証を今後も使いたいなら認証アプリを使おう なお、認証アプリやセキュリティキーなど、SMS以外の2要素認証については引き続き対応しており、今後も無料アカウントで2要素認証を利用したい場合は、「Googl
ジャネット・ジャクソンのヒット曲を再生すると古いHDDがクラッシュする脆弱性が話題に
ジャネット・ジャクソンが1989年にリリースしたヒット曲「Rhythm Nation」を再生すると、古いPCに搭載されているHDDが故障するという事態が報告されています。 Janet Jackson had the power to crash laptop computers - The Old New Thing https://devblogs.microsoft.com/oldnewthing/20220816-00/?p=106994 Old laptop hard drives will allegedly crash when exposed to Janet Jackson music | Ars Technica https://arstechnica.com/gadgets/2022/08/janet-jacksons-rhythm-nation-is-official
セキュリティエンジニアが本気でオススメする開発者向けコンテンツ 20選 - Flatt Security Blog
画像出典: 書籍...記事中に掲載した販売ページ / Webサイト...スクリーンショット はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。 突然ですが、弊社Flatt Securityは「開発者に寄り添ったセキュリティ」を標榜しています。Webアプリケーションなどに脆弱性がないか調査する 「セキュリティ診断」 においても、セキュアコーディング学習プラットフォーム 「KENRO」 においても、いかに開発者フレンドリーなサービスを提供できるかという点を大事にしています。 そんな弊社はお客様からさまざまな開発におけるセキュリティのアドバイスを求められることも多いのですが、その中で「開発に役に立つセキュリティ」という切り口では、なかなかまとまっているリファレンス集がないという課題に気付かされました。 そこで、社内でアンケートを実施して「開発者にオススメのセ
【安全性の塊】パスワード管理ソフトの使用に悩む時間は不要
結論からいうと安全なので、「次の休日に導入してしまおう」。 セキュリティに気を使っている人が確実に使っているソフト・アプリであるため、とりあえず使っておくだけで良い。
WordPressが改竄された時の復旧方法と絶対に改竄されない対策
どういうハッキングをされるのか? さて、本題です。ここ10年ちょっとWordPress専門で仕事をしていますが、自分が遭遇したり知り合いが遭遇したケースは「サーバー内のファイルが書き換えられて、アクセスすると他のサイトにリダイレクトされる」というケースです。 サーバーのファイルを見てみると概ね以下の症状になります WordPressをインストールした各ディレクトリのindex.phpなど、phpファイルの文頭に怪しげなコードを書き込まれているwp-content/uploads/ の中には通常画像ファイルなどばかりのはずが、見に覚えのないファイルを大量に置かれる通常の投稿内にいろいろ投稿される(このケースは近年は自分や周りでは遭遇していない) これらのファイルは全部キレイに駆除しない限り、該当部分を削除したり、該当ファイルを削除しても残っているファイルから再度改竄してくるので面倒です。 復
Spectre の脅威とウェブサイトが設定すべきヘッダーについて
長い記事なので先に結論を書きます。 Spectre の登場で、ウェブサイトに必要とされるセキュリティ要件は増えました。具体的に必要な対策は下記の通りです。 すべてのリソースは Cross-Origin-Resource-Policy ヘッダーを使って cross-origin なドキュメントへの読み込みを制御する。 HTML ドキュメントには X-Frame-Options ヘッダーもしくは Content-Security-Policy (CSP) ヘッダーの frame-ancestors ディレクティブを追加して、cross-origin なページへの iframe による埋め込みを制御する。 HTML ドキュメントには Cross-Origin-Opener-Policy ヘッダーを追加して popup ウィンドウとして開かれた場合の cross-origin なページとのコミュニ
[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 | DevelopersIO
[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 DevelopersIO 2021 Decadeで登壇した動画や資料を掲載、解説をしています。AWSのセキュリティについて網羅的に扱っています。ちょー長いのでご注意を。 こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか?(挨拶 ついにやってまいりました、DevelopersIO 2021 Decade!私は「[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで]」というテーマで登壇しました。 動画と資料と解説をこのブログでやっていきます。 動画 資料 解説 動画はちょっぱやで喋っているので、解説は丁寧めにやっていきます。 タイトル付けの背景 今回何喋ろうかなーって思ってたら、2年前のDeve
![[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/675b9f7ba022b69269412062d62e4128f16d5b33/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F10%2F2021_aws_security_all_1200_630.jpg)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
元スペース・アイ 代表 ブログ » clamavでのPdf.Exploit.CVE_2016_4207-1誤検出問題
clamavで特定のシグネチャを除外する方法 | CentOS 7 | マイノリティでいこう
マイナンバー不保持者に別の制度用意と首相 | 共同通信
各種サービスのユーザーIDとパスワードをわかりやすく管理できる画期的なハンコが発明されてしまう
【特集】 回復キーを無くすと終わるBitLocker。自動で有効化されてしまうことも。まさかのためのBitLocker入門
