ゲームの最速クリアを目指す動画(RTA)では、よく理解を超えた謎のバグを利用してありえないクリアタイムを叩き出すことがあります。 実はこの特殊なバグは、専門的な情報分野でもかなり注目に値するものだったようです。 イギリスのブリストル大学(UoB)で行われたスーパーマリオシリーズを対象にした研究により、RTA走者のバグを利用しようとする情熱が、一般のソフトウェアのセキュリティーを向上させたり、バグから守ってくれる可能性が示されました。 研究では4本のレトロなスーパーマリオ(初代、3、ワールド、64)のバグ技が調べられており、一般的なソフトウェアのバグとの関連性が調べられました。 結果、既存の分類に属さない7種類のバグが含まれていたことが判明します。 研究内容の詳細は2024年4月23日にプレプリントサーバーである『arXiv』にて「スーパーマリオ・イン・ザ・ペニシャス・キングダム:古いゲーム
ゼネラルモーターズ(GM)がユーザーの運転データをデータ収集企業に販売していたことが、ニューヨーク・タイムズのカシミール・ヒル記者の調査によって判明しました。販売されたデータは保険会社によって参照され、保険料の決定などに使われていたそうです。 Florida Man Sues G.M. and LexisNexis Over Sale of His Cadillac Data - The New York Times https://www.nytimes.com/2024/03/14/technology/gm-lexis-nexis-driving-data.html How G.M. Tricked Millions of Drivers Into Being Spied On (Including Me) - The New York Times https://www.nytim
LayerX Fintech事業部(※)で、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 ※三井物産デジタル・アセットマネジメントに出向しています。 今回は、AWS IAMポリシーの条件における「ForAllValues」の仕様を誤って理解していたことから、安全でないアクセス制御を実装していたという内容です。もし同様の勘違いをされている方がいたら参考になれば幸いです。 ユースケース AWS IAMユーザーを、ロールの trust policy がユーザーのタグで制御するケースで考えます。 具体的には、「Group A あるいは Group B」に所属し、且つ「Admin」権限のあるユーザーのみが行使できる役割「AdminABRole」があるとしましょう。 この場合、Group と Admin のタグが存在し、下記のようなパターン(※)が考えられます。
はじめに NIST(National Institute of Standards and Technology、米国立標準技術研究所)のサイバーセキュリティフレームワーク(以下、CSF)は、組織がサイバーセキュリティリスクを適切に管理するための手引きとなるベストプラクティスを提供しています。 2024年2月に発表されたCSF バージョン2(以下、CSF 2.0)では、バージョン1.1(以下、CSF 1.1)から重要な改定が行われました。これまで「国家や経済の重要なインフラに対するサイバーセキュリティ」を目的としていたものから、「全ての規模・全てのセクターの組織で利用される目的」にその対象を拡大しました。 今回、PwCコンサルティング合同会社はNISTから翻訳の許可を取得し、日本語訳を公開することになりました。以下よりダウンロードいただけます。 グローバルにビジネスを展開する組織は、最新の
マイナカードで不正に機種変更 ソフトバンク宮川社長「一部の店舗で本人確認が不十分だった」 目視ではなくIC読み取りが求められる
マイナカードで不正に機種変更 ソフトバンク宮川社長「一部の店舗で本人確認が不十分だった」 目視ではなくIC読み取りが求められる 民放が「何者かがソフトバンク契約者本人になりすまし、偽造したとされるマイナンバーカードを使って、ソフトバンクの携帯端末を機種変更し、端末にひも付けられていたクレジットカードで高級腕時計を購入した」事例を報じている。これに関し、ソフトバンクの宮川潤一社長兼CEOは5月9日の決算会見で、「現状、店舗でのオペレーションでは、マイナンバーカードの原本の確認と、本人確認の二重チェックを行う」とし、「一部の店舗でそのプロセスが不十分であった」と述べた。 宮川社長は「ご迷惑をおかけして申し訳なかった」と陳謝し、「二重チェックの再徹底をする」とした上で、「同じようなことが起こらないようにする」とした。その上で、再発防止の具体策は「明かせない」としつつも、「今のシステムの中で、少し
スマホなどで中国語の入力に使うキーボード・アプリ(IME)のほとんどに入力内容を傍受される脆弱性が存在することが分かった。ファーウェイをのぞくほぼすべての端末にプリインストールされているアプリで見つかったという。 by Zeyi Yang2024.05.11 37 5 世界中の中国語話者が使っているキーボード・アプリ(IME)のほぼすべてに、ユーザーの入力内容を盗み取れるセキュリティの抜け穴が存在することが明らかになった。 この脆弱性は、キーボード・アプリがクラウドに送信するキーストローク・データの傍受ができてしまうというものだ。何年も前から存在し、サイバー犯罪者や国家の監視グループに悪用された可能性があるとトロント大学のテクノロジー・セキュリティ研究機関、シチズン・ラボ(Citizen Lab)の研究チームは指摘している。 漢字入力を楽にできるこうしたアプリは、中国語話者が使用するデバイ
スポーツ用品店「KISHISPO」などを展開する岸和田スポーツ(大阪府岸和田市)は5月14日、同社が運営する「Kemari87KISHISPO公式通販サイト」が第三者による不正アクセスを受けたと発表した。2021年2月24日から24年1月17日までに、同サイトで商品を購入した顧客のクレジットカード情報1万3879件および、個人情報3万8664件が漏えいした可能性があるという。 漏えいした可能性があるクレジットカード情報は、期間中に同サイトでクレジットカード決済をした顧客のカード名義人名、クレジットカード番号、有効期限、セキュリティコード、メールアドレス、住所、電話番号など。個人情報は、期間中に同サイトで商品を購入した顧客の氏名、メールアドレス、住所、電話番号などが含まれる。どちらもメールアドレスのパスワードの漏えいはないという。 該当する利用者には5月14日から個別にメールで連絡する。同社
ダイキン工業は開発案件における再々委託先の作業者が取引先情報を私用目的でダウンロードしたと発表した。同社は2023年12月24日、取引先情報が不正にダウンロードされたことを検知した。ダウンロードされた取引先情報には、取引先担当者の氏名と住所、電話番号、振込先情報など、個人情報が約2万2000件含まれていた。 ダウンロードしたのは、同社から開発委託を受けたダイキン情報システムが発注したNEC(再委託先)の委託先事業者(再々委託先)の作業者。不正なダウンロードを把握した後、当該作業者の情報機器は全て回収し、詳細に調査した結果、第三者への漏洩の痕跡がないことを確認したという。 今回の件を受け、個人情報へのアクセス権限の設定を見直し、社内のネットワークセキュリティー対策や委託先の選定基準のセキュリティーチェックの強化に取り組むとしている。 https://www.daikin.co.jp/tais
AWS Security Hubの導入からうまく運用を回すまでのTips / 開発者向けブログ・イベント | GMO Developers
こんにちは、GMOインターネットグループ株式会社 システム統括本部 ホスティング・クラウド開発部 アプリケーション共通チーム(技術推進チーム/AWS運用チーム)の井本です。 弊社では、AWS環境におけるセキュリティ強化の取り組みを随時実施しております。今回は、直近で実施したセキュリティ統制の取り組みである「AWS Security Hubの導入」について、ご紹介させていただきます。 はじめに みなさんは、Security HubやGuardDuty, Trusted Advisorなどを導入したものの、「各チームにご対応いただけない」、「通知が来すぎてしまう」など、うまく運用を回すことができないという状況に直面したことはないでしょうか? 今回は、Security Hubの横断導入に際して、得られた知見をご共有させていただき、ぜひみなさんが導入・運用改善される際の参考にしていただければと思い
※こちらは「かいサポ(お買いものサポーターチーム)」が編集・執筆した記事です。 ※この記事は2023年11月13日に公開された記事を編集して再掲載しています。 パスワードは、ネットワーク経由のサービスに欠かせないもの。ところが、“簡単なパスワードはNG” 。しかも、“パスワードを使い回すとリスクが高まる” ため、もはや記憶に頼った運用は、実質的に不可能になっています。 そこで、強固にガードされたパスワード管理サービスを利用するのが、現状の最適解となっているところですが、実は、アナログな手法に回帰するという手段もあるのです。 「PassCard」は、完全にネットワークから遮断された環境でパスワードを管理できるセキュリティツールです。 アナログを経由すればハッキングは怖くない イタチごっこを繰り返すセキュリティ対策を単純化できる最も効果的な手段は、ネットワークとは隔離された環境でパスワードを管
タピオカを買ったら銀行預金200万円が消えた…世界各地で急増中の「QRコード詐欺」の卑劣な手口 「アンケートで1杯無料」は詐欺の入り口だった
米CNNの記事によると、3月17日、米ユタ州のソルトレイク国際空港で26歳の男がチケットを持たずにデルタ航空便(テキサス州オースティン行き)に搭乗し、逮捕された。男は他人のチケットに記載されたQRコードをスマホで撮影し、その写真を搭乗ゲートにかざす手口で不正に搭乗したという。 米ABCニュース・ロサンゼルス局は、犯行の瞬間をとらえた防犯カメラの映像を報じた。空港ロビーのベンチに掛けた男が立ち上がりざま、上体をやや背後に反らし、左隣に座っていた男性の背後を取る。男は被害男性の肩越しに、このチケットをスマホで撮影した。大胆にも去り際、被害男性を含む周囲の男性と笑顔で握手し、何事もなかったかのように搭乗ゲートへ向かった。 @abc7la A #Texas man is accused of trying to sneak on board a #flight by taking a photo
【ヒューストン=花房良祐】航空機大手の米ボーイングの中型機「787」の品質検査に不備があったとして、米連邦航空局(FAA)が調査していることが明らかになった。主翼と胴体の接合部で必要とされる検査を複数の担当者が実施せず、検査記録を改ざんしていたという。4月に社内通報で発覚し、同社がFAAに報告した。同社の「787」担当幹部は同月末、社内向けメールで「複数の社員が必要な検査を実施していないのに実
Microsoftは、Windows10用セキュリティ更新プログラムKB5034441の不具合の修正を諦めました。 KB5034441とは、2024年1月10日にWindowsUpdateに配信されたWindows10用セキュリティ更新プログラム。多くのPC環境で0x80070643エラーが表示されてインストールに失敗する不具合が発生しており問題となっています。 この更新プログラムは、KB5034439というKB番号でWindows Server 2022にも配信されていて、こちらも同様の不具合が発生しています。 0x80070643エラーを回避してKB5034441やKB5034439をインストールする方法もあるにはあるのですが、手動でパーティションサイズを変更する必要があるため、一般的なPCユーザーには難易度の高いものとなっています。そのため、Microsoftは、何かしら別の手段で簡
多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第10弾。今回のテーマは「なぜパスワードレスは進まないのか? 普及停滞を打開する認証手法『パスキー』への期待と導入のステップ」です。古くから使われているパスワード認証は便利で使いやすい手法ですが、それゆえの欠点や脅威も多く、パスワードレスへの移行が長いこと求められ続けています。とはいえ、なかなか進んでいないのが現実です。なぜ進まないのか。パスワード認証に代わる手法を1つずつ例に挙げながら、最後には徳丸氏が期待を寄せている「パスキー」が持つ可能性を解説します。 パスワード認証に限界が見えてきた はい、「パスワードレス」というのはもうずいぶん長いこ
中国がアメリカに禁じられたはずのNVIDIA製AIチップをDell・Gigabyte・Supermicro製サーバーから取得していたことが明らかに
中国が高性能チップをAI搭載兵器やサイバー攻撃ツールなどに軍事転用することへの懸念から、アメリカ政府はNVIDIAなどの半導体メーカーに対し、中国への高性能チップ輸出を規制しています。しかし、中国国内の一部の研究機関や大学では、NVIDIA製チップが搭載されたDellやGigabyte、Supermicro製のサーバーを再販業者から仕入れることでこの規制を回避していることが指摘されています。 China acquired recently banned Nvidia chips in Super Micro, Dell servers, tenders show | Reuters https://www.reuters.com/world/china/china-acquired-recently-banned-nvidia-chips-super-micro-dell-servers-
Amazon S3 will no longer charge for several HTTP error codes
Amazon S3 will make a change so unauthorized requests that customers did not initiate are free of charge. With this change, bucket owners will never incur request or bandwidth charges for requests that return an HTTP 403 (Access Denied) error response if initiated from outside their individual AWS account or AWS Organization. To see the full list of error codes that are free of charge, visit Billi
お酒とエナジードリンクを一緒に飲むとカフェインの過剰摂取による健康被害につながりかねないとして、農林水産省が注意喚起している。5月8日に問い合わせが相次いだことを受けての対応で、同省は直前に人気YouTuberがお酒とエナジードリンクを一緒に飲む動画を投稿した影響とみている。 農水省は5月8日、「カフェインは、コーヒーや茶のほか、エナジードリンクにも入っており、過剰摂取すると、めまい、震えなどが起こる可能性があります」と公式Xに投稿。お酒とカフェイン入り飲料を一緒に飲むことで、「カフェインだけでなくアルコールの取り過ぎにつながります」と注意を呼びかけ、カフェインの過剰摂取による影響などをまとめた同省の公式サイトを案内した。 公式サイトでは、エナジードリンクの多用により中毒死した例もあるとして、カフェイン濃度の高い飲料などを紹介し、過剰摂取にならない飲み方を提示。一方で、適切に摂取すれば健康
漏えいした可能性があるのは、セガ フェイブの取引先情報、同社従業員と家族、セガサミーグループの一部従業員の個人情報、フェニックスリゾートを2012年9月~13年2月に利用した顧客の情報、同リゾートの取引先情報、従業員情報など約4740件。氏名や住所、メールアドレスや電話番号などの連絡先が含まれる。 セガ フェイブのメールシステムのセキュリティを管理するセガサミーホールディングス(東京都品川区)が、4月4日に不正アクセスを検知した。不正アクセスを受けたアカウントが保有する情報に、取引先や従業員などの個人情報が含まれていることを4月9日に確認し、個人情報保護委員会へ報告したという。 その後4月17日に、当該アカウントが保有する情報に、アカウントを保有する従業員が過去に従事していたフェニックスリゾートの顧客情報などが含まれることが判明した。漏えいの可能性がある個人情報にクレジットカード情報は含ま
楕円ElGamal暗号の変種とその安全性
初めに 『暗号技術のすべて』(IPUSIRON)を読んでいたら、私が知ってる楕円ElGamal暗号と少し違う方式(変種)が紹介されていました。 「なるほど、そういうのもあるのだな」と思ったのですが、よく考えると安全性が損なわれているのではと思って考えたことを書いてみます。 単に、不勉強な私が知らなかっただけで大昔からの既知の事実だと思いますが、探してもあまり見当たらなかったのでまとめておきます。 楕円ElGamal暗号 まずは『現代暗号の誕生と発展』(岡本龍明)でも紹介されている、私が知っていた方式を、記号を変えて紹介します。用語は楕円ElGamal暗号も参照してください。 記号の定義 0 以上 r 以下の整数の集合を [0, r], そこからランダムに整数 x を選ぶことを x ← [0, r] と書くことにします。 G を楕円曲線の点 P を生成元とする素数位数 r の巡回群 \lan
みなさん、こんにちは。えんピぐらしです。 Linuxでの構築経験がある方を対象としていますので、前回よりも少しレベルが高くなりますが、今回はSELinuxという機能について見ていきたいと思います。 Linuxの構築経験がある方は分かると思いますが、SELinuxは必ずと言っていいほど、「無効」にします。デフォルトで有効になっている機能なのですが、わざわざ無効にします。私は今までSELinuxを有効にしているシステムを見たことがありません。(周りにもいませんでした) 今回は、そんなSELinuxについてのお話です。 SELinuxとは? そもそもSELinuxとは何なのでしょうか。 Wikipediaでは、こう書かれています。 “SELinux(Security-Enhanced Linux : エスイーリナックス)は、アメリカ国家安全保障局がGPL下で提供しているLinuxのカーネルに強制
大塚食品滋賀工場(滋賀県湖南市)で製造する食品に異物混入があったと公益通報をした後、部署を異動させられ不利益な扱いを受け鬱病を発症したなどとして男性従業員が13日、同社に220万円の損害賠償を求めて大津地裁に提訴した。 訴状によると令和3年11月、粉末状の食品を入れていたポリ袋から黒いほこりや緑色の樹脂片などを検出。男性が所属する品質管理課が調査した結果、食品の包装に使ってはいけないポリ袋を使用していたことが判明し、4年6月に滋賀県食品安全監視センターへ公益通報した。 県は工場などに立ち入り調査し再発防止を指導したが、社内で問題に関する処分は実施されなかった。男性は5年4月に別の部署へ異動となり、業務を与えられず監視カメラが自分の席に向け設置されるなどの扱いを受け、同年8月に鬱病と診断されたとしている。 提訴後に大津市内で記者会見した男性は「会社は内部通報者に対し報復しないとうたっているが
尹徳敏(ユン・ドクミン)駐日韓国大使が26日、韓日国交正常化60周年を迎える来年を契機に「(韓日関係を)両国国民が体感できる恩恵を受ける協力関係にアップグレードする必要がある」と強調した。 全体在外公館長会議に出席するために帰国した尹大使はこの日、ソウル都染洞(ドリョムドン)外交部庁舎で記者懇談会を開き、「正常化した(両国)関係を決して後退しない強固な協力関係にするためのアイデアを集める時」と述べた。 尹錫悦(ユン・ソクヨル)政権の初代駐日大使の尹大使は「日本との協力が縮小して過去10年間に両国間の投資が3分の1以下に落ち、貿易も減ったが、最近、韓日関係が改善したのが5兆ドルに達する新しい市場を発見することになったのではないかと考える」とし、両国間の経済協力が活発になる雰囲気に注目した。また「韓日間の人的交流が1000万人を超えて1200万人、1300万人時代に進んでいる」とし、変わった韓
続いて、上記説明文を受けての設問内容です。 設問5 [S/MIMEの調査と実施策] について答えよ (1) 表4中の下線⑨の電子署名データの作成方法を,25字以内で答えよ。 (2) 表4中の下線⑩のハッシュ値 aを取り出す方法を,20次以内で答えよ。 (3) 表4中の下線⑪について,どのような状態になれば改ざんされていないと判断できるかを,25字以内で答えよ。 不備の内容 S/MIMEについての基礎 ここで、不備の説明に移る前に、S/MIMEに関する基本事項について触れておきます。 S/MIMEは公開鍵暗号(守秘/署名/鍵共有)を用いてメールの暗号化や署名を行う技術およびその規格です。 最新はRFC8551のv4(2019年)ですが、アプリの対応状況は不明なところがあるので、一つ前のRFC5751のv3.2(2010年)を参照した方が無難かも知れません。 そして、S/MIMEで使用するデー
【画像注意】この混じりっけの多いちりめんが店頭から消えた、好きだったのに…→最近チリモン減ったと思ったら、企業努力だったんですね
猫ひさし @nekohisashi919 ちょっと言葉足らずで誤解を招いてしまい申し訳ないです。 この混じりっけの多いちりめんが1枚目の名前を伏せてあるスーパーに置いてあり、何度も足を運んで買っていました。 他のスーパーにも同じレベルのちりめんが有れば良かったのですが、店頭で探した方はわかると思いますが 2024-05-15 07:11:05 猫ひさし @nekohisashi919 このレベルの混じりっけのあるちりめんはなかなか置いてありません。 実際、今でもゾエアやメガロパやタコやイカはシラスなどでは見つかります。 前のポストに書いた通り、このスーパーにちりめんだけは置かれなくなりシラス・メザシなどだけが置いてある状況だったのでこのポストをしました。 2024-05-15 07:15:03
「今度はなんて言い訳する」太陽光発電がハッキングされて不正送金…再エネ年1万円負担増であふれる河野太郎氏への憤慨(SmartFLASH) - Yahoo!ニュース
5月1日、太陽光発電施設の監視機器約800台がサイバー攻撃を受け、一部がネットバンキングによる不正送金に悪用されていたことがわかった。同日、共同通信が報じた。中国のハッカー集団が関与した可能性があるという。 報道によると、電子機器メーカー・コンテック(大阪市)が製造した監視機器が悪用された。ハッカーは外部からの操作を可能にするプログラム「バックドア」を仕掛け、ネットバンクに不正接続。金融機関の口座からハッカー側の口座に送金して金銭を窃取した。 ハッカーは身元を隠すため、乗っ取った監視機器を悪用したとみられる。機器のハッキングにより、発電を止めるなど大きな影響を与えかねない状態だったことになる。 太陽光発電施設への「ハッキングの危険性」は、4月8日の参院行政監視委員会で、自民党の青山繁晴参院議員がこう指摘していた。 「太陽光発電について、複数の電気主任技術者から内部告発をいただいた。ある程度
アクセサリーパーツを販売する「Parts Club」など、アクセサリー関連事業を手掛けるエンドレス(東京都台東区)は4月24日、自社のサーバがランサムウェア「LockBit」に感染したと発表した。原因について、セキュリティソリューションを導入したスターティア(東京都新宿区)のミスによるものだと説明している。 「FortiGate(統合型セキュリティアプライアンス)の設置を昨年に依頼しましたスターティア株式会社が、設置の際に使用していたtestアカウントを削除せずそのまま放置し、悪意のある第三者がtestアカウントを使用して弊社のサーバーに侵入した」(原文ママ) サーバに顧客情報は保存しておらず、社内情報のみを保存していた。発表時点では、情報の流出も確認していないとしている。サーバはネットワークから遮断しており、全部署もPCも検査中。今後は外部の助力を得ながら情報漏えいの有無を確認するという
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 --><!--株価検索 中⑤企画-->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">
GitHub - HexaCluster/pgdsat: PostgreSQL Database Security Assessment Tool
PGDSAT is a security assessment tool that checks around 70 PostgreSQL security controls of your PostgreSQL clusters including all recommendations from the CIS compliance benchmark but not only. This tool is a single command that must be run on the PostgreSQL server to collect all necessaries system and PostgreSQL information to compute a security assessment report. A report consist in a summary of
平成初頭、不法滞在と犯罪という不名誉な行為ばかりが注目された人々がいた。中東から来たイラン人だ。東京の代々木公園や上野公園は彼らの姿で埋まり、変造テレホンカードや薬物の密売が横行した。彼らは日本政府の政策転換の結果、数年後には激減した。 「ジパング」を目指してイラン人が日曜ごとに代々木公園に集まり始めたのは1990(平成2)年。92年には一日に約6千人が詰めかける日もあり、若い男ばかりがたむろする様子は当局から「蝟集(いしゅう)」と呼ばれた。「蝟」はハリネズミを意味し、その毛のように多く寄り集まる状態を表す。 日雇い仕事などの情報交換のほか、磁気情報を不正に改ざんした変造テレカが1枚数百円~千円程度で売られ、ハシシと呼ばれる大麻など薬物の密売、盗品の貴金属の転売など悪質なものもあった。 当時のイランは79年のイラン革命、翌80年から88年まで続いたイラン・イラク戦争で社会が混乱。ちまたに失
オープンソースソフトウエア(OSS)が曲がり角というか、何か変えるべきタイミングに差し掛かっているような気がする。「Netscape Communicator」のオープンソース化やエリック・レイモンド氏の「ハロウィーン文書」が公開されるなどOSSが盛り上がった当初から、付かず離れず的な距離で接してきた。首まで深くどっぷり漬かってコミュニティーに愛された今は亡き同僚のT記者とは異なり、残念ながら筆者の顔は売れなかったがそれなりに気にはかけていた。 OSSは大いに浸透し、今やどこの企業システムをとってもOSSがまったく使われていないということは考えにくい。そもそもアプリケーションを動かすサーバーの多くがLinuxであり、OSSが関わっている。 サプライチェーン攻撃はOSS故なのか 最近、「OSSにとっての危機」と一部で指摘されている事件が起きた。Linuxでよく使われるファイルの圧縮/展開用ソ
Intro Referrer-Policy は、送信される Referer の値を制御することが可能だ。 このヘッダの副次的な効果をよく理解していないと、「no-referrer にして送らないのが最も安全だ」という誤解を生むことになる。 では、複数あるポリシーの中でどのような観点で、どのディレクティブを採用するのが良いのだろうか? 前提として前回の記事の「リクエストの出自をチェックすることは現代の実装のベースプラクティスである」という点を踏まえて考えてみる。 令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io https://blog.jxck.io/entries/2024-04-26/csrf.html Referer とアナリティクス Referer は、リクエストに対してその前のページの URL を送るところから始まった。 GET / H
なぜ「味の素」は“体によくない”と批判されたのか…日本人が「うま味調味料」を使わなくなった意外な経緯(文春オンライン) - Yahoo!ニュース
1909年の発売以来、賛成派と反対派による論争が続いている、うま味調味料の「味の素」。いったいなぜ、うま味調味料にネガティブなイメージを持つ人が増えたのだろうか? 【画像】味の素を使って批判された「超人気料理研究家」を写真で見る ここでは、戦後日本の歴史を“味覚の変遷”から読み解いた、澁川祐子氏の著書『 味なニッポン戦後史 』(集英社インターナショナル)より一部を抜粋して紹介する。(全2回の1回目/ 2回目 に続く) ◆◆◆ 「中華料理店症候群」の後遺症 引き金になったのは、1968年にイギリスの医学雑誌「The New England Journal of Medicine」に掲載された「チャイニーズ・レストラン・シンドローム(中華料理店症候群)」と題する報告だった。 その内容は、中華料理を食べたあとに頭痛や発汗、しびれなどの症状が多数起きているというものだった。さらにその原因の1つとし
多くのプログラミング言語の処理系に、攻撃者が任意のコマンドを実行できる深刻な脆弱性が見つかった。JPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構(IPA)が共同運営する脆弱性対策情報ポータルサイト「JVN(Japan Vulnerability Notes)」で2024年4月15日に公開された。 脆弱性が確認されたのは「PHP」「Rust」「Haskell」の各言語処理系とJavaScript/TypeScriptの処理系「Node.js」、音声や動画をダウンロードできる高機能なコマンド「yt-dlp」である。ただし、この脆弱性の影響を受けるOSはWindowsだけで、LinuxやmacOSなどの他のOSには影響しない。 多くのプログラミング言語は、プログラムの中からOS上でコマンドを実行する機能を持つ。Windowsでは言語処理系が「CreateProces
どうも、freee でエンジニアリングマネージャー をやっている sentokun です。 以前に私の所属しているチームで開発している権限管理基盤マイクロサービスの記事を書いたのですが、そういえば「権限制御ってなに?」という説明をしていないと思ったので、今回記事にしました。 権限制御とは? freee の権限管理基盤が行なっている権限制御とは?を一文でまとめると以下となります。 アクセス制御ポリシーを元に、ユーザーの属性に合わせた適切なアクセス制御を行うこと というわけで、この記事は権限制御について説明しました。ありがとうございました! … とはなりませんよね。ちゃんと一文の中の要素を分解してそれぞれ解説していきます。 ユーザーの属性 適切なアクセス制御 アクセス制御ポリシー ユーザー属性とは? freee ユーザーが持っている、様々な属性のことです。例えば以下が挙げられます。 管理者やメ
最小権限の原則に一歩近づく - Entra ID の "Just-in-time application access with PIM for Groups" 機能の紹介 - LayerX エンジニアブログ
LayerX Fintech事業部(※)の piroshi です。 ※三井物産デジタル・アセットマネジメント (MDM)に出向しています。 沖縄からリモートワークで働いており、蒸し暑い日が続いています。クーラーをつけないと寝苦しくなってきました。 ところでみなさん、特権 (ちから) が欲しいですか?ここでの権限はシステム上の各種権限です。私は小心者で、大きすぎる力は持ちたくない派です。特権をもっていると「オレは今、セキュリティリスクの塊だ...」と気になってしまい、輪をかけて夜も眠れません。 さて、Microsoft の IdP サービスである Entra ID には Privileged Identity Management (PIM) という特権管理機能があります。PIM により「必要最低限の権限」を「必要な期間」に限定して付与することが可能です。ユーザは特権へのエスカレーションを自
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
RTA走者が利用するバグ技がセキュリティ分野で注目され始める! - ナゾロジー
GMがユーザーの同意を取らずに運転データを勝手に販売し保険料が釣り上がっている実態が判明
AWS IAM PolicyのForAllValuesを勘違いしてた件 - LayerX エンジニアブログ
NISTサイバーセキュリティフレームワークバージョン2移行のポイントと日本語訳
【山田祥平のRe:config.sys】 LINEが読んだ総務省指導の行間
人気の中国語キーボード・アプリ、ほぼすべてに脆弱性が存在
約1.4万人分のクレカ番号・セキュリティコードなど漏えいか 約3.9万人分の個人情報も 大阪のスポーツ用品店
ダイキンから情報流出2万件超 再々委託先が私的にアクセス
パスワードの管理、生成はこの不思議なカードにおまかせ。複雑な文字列でも忘れないようになるよ | ROOMIE(ルーミー)
ボーイング「787」品質検査で不正行為 FAAが調査 - 日本経済新聞
「Git」に深刻度「Critical」の脆弱性 ~「Git for Windows 2.45.1」などが公開/リモートコード実行などにつながるおそれ
Microsoft、KB5034441の不具合の修正を諦める | ニッチなPCゲーマーの環境構築Z
パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
「お酒のエナジードリンク割りは危険」農水省が注意喚起 原因はYouTuber? 問い合わせ相次ぐ
セガ子会社で、約4740件の個人情報漏えいの可能性 メールシステムに不正アクセス
rootを越えろ!スルーされがちなSELinuxの秘密-前編-
公益通報後に「監視カメラが自分の席に…」 従業員が大塚食品を提訴
風間ゆたか 東京都議会議員 立憲民主党 世田谷区選出 on X: "昨日昼頃、スマホにPayPay通知が表示され「1000円チャージしました」と。自動チャージ設定?なんだろうとアプリを確認してもよくわからず放置。(この時にPayPayに確認すべきだった!)午後にメールチェックをしていると画像のようなメールが突然届き、これはおかしい、とパスワード再設定しようと... https://t.co/z81IF167aP" / Twitter
韓国、旅券なく日本入国が可能になるのか…「韓日出入国手続きの簡素化を」(中央日報日本語版) - Yahoo!ニュース
IPA試験問題不備(令和6年春期ネットワークスペシャリスト午後2) - Qiita
鍵は一度も失ってないのに…男が合鍵作って女性宅に侵入 その手口に恐怖、鍵メーカーも対策強化 全国で被害続出|まいどなニュース
アクセサリー販売事業者がランサムウェア感染 “委託先名指し”で原因説明 「Parts Club」など運営
「甘く見過ぎ」怒りの総務省 迫られたLINEヤフー、委託ゼロ表明:朝日新聞デジタル
「代々木公園のイラン人」はなぜ激減したか ビザ免除停止の陰に入管幹部の英断 「移民」と日本人の平成史②
オープンソースソフトは何かの節目を迎えているのではないか
Referrer-Policy の制限を強めると安全になるという誤解 | blog.jxck.io
マイナンバーカードの電子証明書の更新に行ってきた ~いたって簡単、青色申告の個人事業主は注意~
PHPやNode.jsなどに任意コマンド実行の脆弱性、原因はWindows仕様の理解不足
権限制御とは? を freee の権限管理基盤で説明 - freee Developers Hub