記事執筆次点ではACF 6.2.5です。 ※本記事は以下のACF 6.2.5 セキュリティリリース記事を元に執筆しているため、今後のアップデート状況によっては適宜加筆修正する可能性があります。 ※ACF利用者にとっては非常に大きな変更になる可能性があるため、実装者はブラウザ翻訳などを用いて一読しておくことを強く推奨します。 ACF 6.2.7以降 the_field() と the_sub_field() で出力する場合にWordPressのHTMLエスケープ関数 wp_kses() を経由するようになるACF 6.2.5では、ショートコード [ acf field="field_name"] に対してWordPressのHTMLエスケープ関数wp_kses()がデフォルトで働くようになりましたが、2024年2月以降に予定されているACF 6.2.7以降には、the_field() と t
講談社のヤングマガジン編集部は1月29日、「攻殻機動隊」公式X(旧Twitter)アカウント(@thegitsofficial)が28日朝から不正アクセスを受けて乗っ取られたため、利用を中止していると発表した。再開についてX社と調整しているという。 不正アクセスによる被害報告はないが、引き続き他の公式SNSを含めて調査し、セキュリティ強化を進めていくという。復旧予定が決まれば公式サイトなどで告知する。 関連記事 ドトール公式Twitterアカウントが乗っ取り被害に NFT関連サイトに誘導する投稿も ドトールコーヒーの公式Twitterアカウントが不正アクセスにより乗っ取られた。アイコンやヘッダ画像が削除され、アカウント名も「.」に変更されており、ドトールコーヒーとは関係のないツイートも見つかった。 公式Twitterアカウント狙うフィッシング増加 青バッジの騒乱に乗じなりすまし画策か 米セ
Gmailが「メール送信者のガイドライン」を改訂し、なりすましメールへの対策を強化する旨を発表しています。今までは原則、なりすましメール対策の有無にかかわらず、メールはいちおうは届いていました。しかし今後は、なりすましとみなされたメールは届かなくなる方向に向かいつつあります。 なりすましメールとみなされないようにするために、メール送信者には、「メール送信ドメイン認証」への対応が求められます。メール送信ドメイン認証の技術には、主に以下の3つがあります。 SPF: Sender Policy Framework (RFC 7208) DKIM: DomainKeys Identified Mail (RFC 6376) DMARC: Domain-based Message Authentication, Reporting, and Conformance (RFC 7489) SPFは従来
個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する日本情報経済社会推進協会(JIPDEC)は11月13日、8月に発表したPマークの審査関連書類が漏えいした事案について、調査結果を発表した。 8月8日、Pマークを取得した事業者1社から「ネット上でPマークの審査関連資料と思われるファイルが閲覧可能となっている」と連絡を受け、事態が発覚した。調査を行ったところ、Pマーク審査員1人が個人所有のPCに廃棄すべき審査関連書類を保存して持ち帰っていたことが明らかに。資料を保管していたNAS(Network-Attached Storage)に適切なセキュリティ対策がなされておらず、ネット上で閲覧できる状態になっていた。 その後の調査では、この1件以外にも最大888社の審査関連情報と審査員名簿が漏えいした可能性があることも判明。さらに、この審査員が2005年1
最近、定義ファイルが変わったせいか、やたらと「Virus Found」通知がくるようになりました。 本当にヤバいものだといいのですが、全然問題ないファイルをウイルス指定されてしまうとメンドクサイことになります。誤検知ですね。ClamAVではよく誤検知があるようです。 今回はRPGツクールVXaceのGame.exeファイルが誤検知扱いされて、アップロードされていたファイルを全て消去してしまうという事態になっていました。 念のため、自身のデスクトップにあるアンチウイルスソフトで検査しても検出されませんでした。 また、オンラインウイルスチェックサービス「virustotal」を使用してチェックしても、clamAV以外に検知されず、以下のようなメッセージ「Probably harmless! There are strong indicators suggesting that this fil
昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。今回はJSON等の想定外読み出しによる攻撃です。これら攻撃手法は本来ブラウザ側で対応すべきもので、やむを得ずWebアプリケーション側で対応する上で、まだ定番となる対策がないように思えます。このため、複数の候補を示することで議論のきっかけにしたいと思います。 まず、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します(同書P20の図1-23)。 前回、前々回は、(5)のHTTPレスポンスの前後で、JSON等のデータ作成(エンコード)に起因するevalインジェクションや、(5)のレスポンスを受け取った後のHTMLレンダリングの際のXSSについて説明しました。 しかし、問題はこれだけではありません。正常
NTTドコモは、個人向けインターネット接続サービス「ぷらら」と「ひかりTV」の利用者の氏名や住所などの個人情報が、最大でおよそ529万件流出した可能性があると発表しました。 NTTドコモによりますと、流出した可能性がある情報は個人向けインターネット接続サービス「ぷらら」と「ひかりTV」の利用者の氏名や住所、生年月日、電話番号などで、最大でおよそ529万件に上り、すでにサービスを解約した人の情報も流出した可能性があるということです。 情報が流出したのはきのう午後1時40分ごろで、流出した情報にクレジットカードや銀行口座の情報などは含まれておらず、現時点では不正利用などは確認されていないとしています。 業務委託先の企業が使っているパソコンから情報が流出した可能性があるということで、流出元と見られるパソコンはすでにネットワークから切り離す措置を講じたとしています。 NTTドコモは「お客さまにはご
米Twitterが2月に発表した、SMSを使った2要素認証をサブスクリプションサービス「Twitter Blue」ユーザー限定にする措置。同社は無料ユーザーに対し設定を削除するようにアプリ内で案内していたが、その期限が迫っている。 Twitterは設定を削除していない無料ユーザーに数日前から再び告知を始めている。3月19日までを期限としており、まだ設定解除していないユーザーは急いだほうが良いだろう。同社は「Twitterにアクセスできなくなることを防ぐために」と案内しており、おそらく再ログインする際にSMSで送られてくるはずのコードが受け取れず、ログインができなくなるものと思われる。 2要素認証を今後も使いたいなら認証アプリを使おう なお、認証アプリやセキュリティキーなど、SMS以外の2要素認証については引き続き対応しており、今後も無料アカウントで2要素認証を利用したい場合は、「Googl
ジャネット・ジャクソンが1989年にリリースしたヒット曲「Rhythm Nation」を再生すると、古いPCに搭載されているHDDが故障するという事態が報告されています。 Janet Jackson had the power to crash laptop computers - The Old New Thing https://devblogs.microsoft.com/oldnewthing/20220816-00/?p=106994 Old laptop hard drives will allegedly crash when exposed to Janet Jackson music | Ars Technica https://arstechnica.com/gadgets/2022/08/janet-jacksons-rhythm-nation-is-official
画像出典: 書籍...記事中に掲載した販売ページ / Webサイト...スクリーンショット はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。 突然ですが、弊社Flatt Securityは「開発者に寄り添ったセキュリティ」を標榜しています。Webアプリケーションなどに脆弱性がないか調査する 「セキュリティ診断」 においても、セキュアコーディング学習プラットフォーム 「KENRO」 においても、いかに開発者フレンドリーなサービスを提供できるかという点を大事にしています。 そんな弊社はお客様からさまざまな開発におけるセキュリティのアドバイスを求められることも多いのですが、その中で「開発に役に立つセキュリティ」という切り口では、なかなかまとまっているリファレンス集がないという課題に気付かされました。 そこで、社内でアンケートを実施して「開発者にオススメのセ
結論からいうと安全なので、「次の休日に導入してしまおう」。 セキュリティに気を使っている人が確実に使っているソフト・アプリであるため、とりあえず使っておくだけで良い。
どういうハッキングをされるのか? さて、本題です。ここ10年ちょっとWordPress専門で仕事をしていますが、自分が遭遇したり知り合いが遭遇したケースは「サーバー内のファイルが書き換えられて、アクセスすると他のサイトにリダイレクトされる」というケースです。 サーバーのファイルを見てみると概ね以下の症状になります WordPressをインストールした各ディレクトリのindex.phpなど、phpファイルの文頭に怪しげなコードを書き込まれているwp-content/uploads/ の中には通常画像ファイルなどばかりのはずが、見に覚えのないファイルを大量に置かれる通常の投稿内にいろいろ投稿される(このケースは近年は自分や周りでは遭遇していない) これらのファイルは全部キレイに駆除しない限り、該当部分を削除したり、該当ファイルを削除しても残っているファイルから再度改竄してくるので面倒です。 復
長い記事なので先に結論を書きます。 Spectre の登場で、ウェブサイトに必要とされるセキュリティ要件は増えました。具体的に必要な対策は下記の通りです。 すべてのリソースは Cross-Origin-Resource-Policy ヘッダーを使って cross-origin なドキュメントへの読み込みを制御する。 HTML ドキュメントには X-Frame-Options ヘッダーもしくは Content-Security-Policy (CSP) ヘッダーの frame-ancestors ディレクティブを追加して、cross-origin なページへの iframe による埋め込みを制御する。 HTML ドキュメントには Cross-Origin-Opener-Policy ヘッダーを追加して popup ウィンドウとして開かれた場合の cross-origin なページとのコミュニ
[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 DevelopersIO 2021 Decadeで登壇した動画や資料を掲載、解説をしています。AWSのセキュリティについて網羅的に扱っています。ちょー長いのでご注意を。 こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか?(挨拶 ついにやってまいりました、DevelopersIO 2021 Decade!私は「[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで]」というテーマで登壇しました。 動画と資料と解説をこのブログでやっていきます。 動画 資料 解説 動画はちょっぱやで喋っているので、解説は丁寧めにやっていきます。 タイトル付けの背景 今回何喋ろうかなーって思ってたら、2年前のDeve
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く