Keep your internet use safe and private and your devices running smoothly with one of our award-winning, easy-to-use security plans.
ファジング本に関わった身としては、ファジングレポがいろいろ出てきてくれて嬉しいよ。てか、開発プロセスに普通に入れていくべきと思うんだけどね>ファジング。コスト安いし、脆弱性などの発見効率も良いし。 IPAのファジング関連資料はこちら↓にすべてあるけど、個別にも貼っておこうかな。 脆弱性対策:ファジング:IPA 独立行政法人 情報処理推進機構 一番新しい資料:スマートテレビの脆弱性検出に関するレポート http://www.ipa.go.jp/security/vuln/documents/fuzzing-smarttv.pdf IPAテクニカルウォッチ 製品の品質を確保する「セキュリティテスト」に関するレポート:IPA 独立行政法人 情報処理推進機構 FFRさんの「制御システムセキュリティと EDSA認証適合ファジングツールの開発」 http://www.jpcert.or.jp/ics/
XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記を書いていて思ったけど、いまいちXHRを使ったCSRF(というかクロスオリジン通信)について理解されていないような感じだったので、ちょっと書いておきます。とりあえず日本語のリソース的には、HTTP access control | MDN が詳しくて、それを読めばだいたい事足りるんで、あとはCSRFに関連しそうな話題だけ。 Q. そもそも「クロスオリジン」って何? スキーム、ホスト、ポートの3つの組み合わせが一致している場合を同一オリジン(same-origin)、いずれか一つでもことなる場合をクロスオリジン(cross-origin)と言います。つまり、XHRでドメインを超えて通信している場合は典型的なクロスオリジン通信となります。 Q. え? XMLHttpReuest って他のドメインにリクエストを発行できないんじゃ い
もし、ジェームズ・ボンドがコンピューターにログオンしたとしたら、ファイル、Cookie、IPアドレスなど、コンピューターを使った痕跡は何一つ残さないはずです。極端に聞こえるかもしれませんが、これくらい慎重になったほうがいい場合もあるでしょう。 この記事では、DVDやUSBを使って、一切の痕跡を残さずコンピューターを使う方法をご紹介します。 「痕跡を残さない」とは文字通りまったく何も残さないという意味です。LinuxベースのLive OS『Tails』を使えば、どんなコンピューターも痕跡を残さず利用できます。Tailsは強固なセキュリティ機能を備えたポータブルOSで、DVDやUSBにインストールが可能。インストール手順は後ほどご説明しますが、まずはTailsの概要をざっと見ていきましょう。 Tailsの概要 Tailsを使うのはとても簡単です。起動ディスクを作成するだけで、完全に匿名かつ一切
米国:顧客データ追跡・分析し第三者に提供する業務を遂行していることが違法であるとしてFTCから訴追を受けていた企業が,追跡により収集した顧客情報を削除または匿名化することに同意 下記の記事が出ている。 Web tracking firm settles charges it collected passwords, financial data ars technica: October 23, 2012 http://arstechnica.com/tech-policy/2012/10/web-tracking-firm-settles-charges-it-collected-passwords-financial-data/ FTC settles charges with Web analytics company Compete the Hill: October 22, 20
本報告では 2009 年上半期のアイデンティティ管理技術に関する動向として、OAuth 仕様の動きを概観する。 2.1 概要 OAuth [1] は、Web サイトや非 Web アプリケーション(「コンシューマ」)がWeb サービス(「サービス・プロバイダ」)内のデータやサービス(「リソース」)に対して Web API 経由のアクセスを行う際の、そのアクセスの認証を行うためのプロトコルである。 コンシューマとサービス・プロバイダが OAuth に対応することにより、ユーザはコンシューマに対してサービス・プロバイダでのクレデンシャル(ログインID /パスワードなど)を開示することなく、ユーザのリソースへのアクセスを、コンシューマに許可することができるようになる。 ユースケースの一例として、写真共有サイトと写真加工アプリケーションとの間でのデータ共有が挙げられる。前者がサービス・プロバイダ、後
RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O
AWS の CISO である CJ Moses が、クラウドセキュリティ業界の今後の展望と、ビジネスの準備方法を共有します。これらの予測は、クラウドセキュリティおよびより広範なテクノロジー業界で目にしている状況、お客様とのやり取り、およびマクロ経済の傾向に基づいています。企業が急速にイノベーションを推進する中、進化するクラウドセキュリティ環境の先を行く方法を理解することが重要になります。 組織の中核となる強力なセキュリティは、デジタルトランスフォーメーションとイノベーションを可能にします。AWS は、組織がセキュリティ、アイデンティティ、コンプライアンスを発展させ、主要なビジネスを実現する支援をします。AWS では、セキュリティが最優先事項です。 AWS は、アプリケーションとワークロードを構築、移行、管理するための最も安全なグローバルクラウドインフラストラクチャとして設計されています。こ
Metasploitは、コンピュータセキュリティに関するオープンソースのプロジェクトで、脆弱性、ペネトレーションテスト、侵入検知システム、シェルコードのアーカイブ、アンチフォレンジクス(コンピュータ・フォレンジクスによる解析への対抗技術)などを主な守備範囲としている。また、本プロジェクトのその成果ソフトウェアとしてよく知られるMetasploit Frameworkの省略名としてもしばしば用いられる[2]。本項では、Metasploit Frameworkを中心に説明する。 概要[編集] Metasploit Framework(単にMetasploitと略記されることもある)は、exploitコードの作成や実行を行うためのフレームワークである。セキュリティ業界ではよく知られたツールであり、ペネトレーションテスト目的で使用可能な1DVDタイプのLinuxであるBackTrackに収録されて
スタックスネット (W32/Stuxnet) は、Microsoft Windowsで動作するコンピュータワームである。インターネット接続が無いスタンドアローンのコンピュータシステムも、USBストレージを経由して感染する。ネットワーク経由の攻撃に対して比較的安全とされていた産業用制御システムに感染して実害[1]を及ぼし、イランの核施設を標的とした攻撃[1]で広く知られた。2011年秋に出現したトロイの木馬型マルウェアであるドゥークー(英語版)やフレイムは、スタックスネットから派生した[2]と推察される。 概要[編集] 2010年6月17日にベラルーシのVirusBlokAda(英語版)社が初めて報告し、ユーラシア圏を中心に世界で報告が続いた。感染に地域的な偏りがあることが特徴で報告例の6割弱がイランに集中している[1]。 インターネット経由で伝播し、接続したコンピュータに感染して潜伏する。
■ なぜソニーが駄目でアップルやマイクロソフトは良いのか 8月14日の日記を書いた翌週のこと、なんとなく「hiromichu」でググってみたところ、以下のページが見つかり、魂消た。 hiromichu - PlayStation®Home オフィシャルサイト, http://playstationhome.jp/community/mypage.php?OnlineID=hiromichu このページで「トロフィー」のところをクリックすると、なんと、私がどんなゲームで遊んでいたかまで表示されてしまう。URLの「OnlineID=」のところに任意のIDを指定することで、全ての人のゲームプレイ状況を閲覧できてしまう。(このサイトにログインしていなくても。) プレステ3を買ってPlayStation Networkを使い始めてかれこれ何年にもなるが、これまで、全くこのことに気付かないまま、いくつ
結城浩 RFIDなどの、固有IDの問題を考えるためのシンプル・シナリオを提示します。 シンプルなシナリオと具体例を通して、固有IDの注意点がどこにあるかを明確にしましょう。 目次 はじめに このページについて このページの構成 わたしについて 「固有IDのシンプル・シナリオ」 時刻(A): 場所(A)にて 時刻(B): 場所(B)にて ボブが知りえたこと シンプル・シナリオ適用例 適用例1: メンバーズカード 適用例2: IDの自動読み取り 適用例3: 読取機を持ち歩く人 適用例4: ダイヤの密輸 適用例5: 徘徊老人の命を救う 適用例6: 遊園地の迷子探し 適用例7: 携帯電話 固有IDに関連するQ&A 固有IDのシンプル・シナリオで、何を言いたいのか? メンバーズカードの例は問題なのか IDには個人情報が盛り込めないのではないか? 暗号化すれば大丈夫? 強固なセキュリティでデータベース
TwitterやFacebookなどの人気サイトで他人のアカウントを乗っ取ることができてしまうという。 TwitterやFacebookなどの人気サイトで他人のアカウントを乗っ取ることができてしまうFirefoxの拡張機能「Firesheep」をセキュリティ研究者が公表した。大手のWebサイトがユーザー保護の責任を果たしていない実態に警鐘を鳴らすのが狙いだとしている。 Firesheepは米国のWebアプリケーション開発者、エリック・バトラー氏が先の週末にセキュリティカンファレンスのToorcon 12で披露した。同氏はその背景について「Webサイトは一般的に、ログインの際にはパスワードを暗号化してユーザーを保護しているが、それ以外のものは何も暗号化されていないのが普通だ。攻撃者がHTTPセッションの乗っ取りによってユーザーのcookieを入手してしまえば、特定のWebサイトでそのユーザー
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
はてなブックマークのブックマーク数が多い順に記事を紹介する「はてなブックマーク数ランキング」。2024年2月のトップ50です*1。 順位 タイトル 1位 マンションリフォーム虎の巻 2位 死ぬほど嫌でした|佐藤秀峰 3位 「面倒なことはChatGPTにやらせよう」の全プロンプトを実行した配信のリンクを整理しました|カレーちゃん 4位 管理職必読 順番に読むと理解が深まる「マネジメントの名著」11冊 | 日経BOOKプラス 5位 メルカリで値段の「¥マーク」を小さくしたら購入率が伸びた理由、ペイディがサービス名を「カタカナ表記」にする理由など、プロダクトのマーケ施策まとめ30(2023)|アプリマーケティング研究所 6位 7年適当に自炊してきて調味料について思ったことを書く 7位 ウクライナ軍に入隊したアジャイルコーチが、さまざまなメソッドを駆使して中隊長としてのリーダーシップを実現した話(
Location-Aware Browsing Websites that use location-aware browsing will ask where you are in order to bring you more relevant information, or to save you time while searching. Let’s say you’re looking for a pizza restaurant in your area. A website will be able to ask you to share your location so that simply searching for “pizza” will bring you the answers you need... no further information or extr
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く