ソーシャルニュースサイト「楽天Social News」がオープン。投稿した記事の評価が高いユーザーには削除権限を与える。 楽天は2月2日、ネット上のニュースやブログ記事をコメント付きで登録し、ほかのユーザーと共有できるソーシャルニュースサイト「楽天Social News」β版を開設した。 ユーザーが「リポーター」となって、ニュースやブログ記事をコメント付きで登録する。登録された記事に、ほかのユーザーがコメントを追加したり、「VOTE」ボタンで評価を伝えることも可能だ。 自分が登録した記事の評価が上がるとリポーターレベルが上がる仕組み。リポーターは「ノーマル」から「神」まで5段階に分かれており、上位レベルのリポーターには利用規約に反する記事を削除する権限などを与える。 関連記事 楽天がソーシャルカレンダー ワンクリックでイベント情報取得 楽天がスケジュールを管理・共有できるソーシャルカレンダ
立憲民主、共産、国民民主の3党国対委員長が18日、国会内で会談し、野党が求めている臨時国会の召集について、赤羽一嘉国土交通相がツイッターに「内閣には何の権限もない」と投稿したことを批判した。立憲の安住淳国対委員長はその後、自民党の森山裕国対委員長に申し入れ、森山氏は官房副長官を通じて赤羽氏側に伝えると回答した。 赤羽氏は16日、「臨時国会の開催は国会が決めることで、内閣には何の権限もない」などと投稿。憲法53条が「内閣は、国会の臨時会の召集を決定することができる」と定めていることなどを理由に反論が相次ぐと、「お騒がせし、スミマセン」と謝罪し、「臨時国会の開催時期や期間などについては与野党の国対委員長間で話し合いが行われ、実施されてきたのが慣例」と釈明した。
「GingerMaster」は、Android 2.3のroot権限を取得して、端末から情報を盗み出したり別のマルウェアを呼び込んだりする。 米ノースカロライナ州立大学の研究者が、Googleのスマートフォン向けOS「Android 2.3」(Gingerbread)のroot権限を奪う初のマルウェアを発見したとブログで伝えた。 それによると、研究チームはセキュリティ企業のNetQinと共同で、危険度が高い新手のマルウェア「GingerMaster」を発見した。これまでに見つかったroot権限を悪用するマルウェアは、Android 2.2までのバージョンにしか対応しておらず、Android 2.3のroot権限を奪うマルウェアが見つかったのは初めてだという。 GingerMasterは正規のアプリケーションに組み込む「リパッケージ」の手口で配布され、インストールされるとAndroidのro
Amazon Web Services ブログ 最小権限実現への4ステップアプローチ 前編 AWS のセキュリティベストプラクティスを実現するに当たり、「最小権限の原則」に戸惑ったことはありませんか? AWS の利用では AWS Identity and Access Management (IAM)サービスを避けて通ることは出来ません。そのベストプラクティスとして掲げられているのが、最小権限の原則です。特に強固なセキュリティを求めるユースケースではこの原則の実現が課題になることが多いかと思います。本ブログでは、この最小権限の原則をシステマチックに検討するアプローチの一例をご紹介します。 はじめに 「最小権限を適切に運用する」ことを計画する際、まず思いつくのはシステムの運用や開発の視点で「必要」となる操作の権限のみを人やアプリケーションに付与するというアプローチです。シンプルですが、権限が
野党(立憲民主党)と統一教会の関わり「関係性の濃淡と線引きの基準が必要」 日本テレビと統一教会の関わり「人的濃淡ではなく職務権限(権力性)の考慮が必要」 紀藤正樹弁護士らの自民党のみ問題となるような基準作りに関する様々な意見
立憲民主党の多数の議員が統一教会と関わりがあったと報じられた際の発信(その前に杉田水脈氏や高市早苗氏が関わりがあったと報道された際は厳しく追及していた ※下記togeter参照) 紀藤正樹 MasakiKito @masaki_kito そろそろ政治家と統一教会との関係の濃淡/線引きの基準を作るべき時期ではないか。個別取材ではなく記者会見で世界日報から取材を受けて記事になった程度は避けようがなく問題ないと思います。超党派で基準作りをするなら協力したい>紀藤正樹弁護士、超党派での基準作成求めるdaily.co.jp/gossip/2022/08… 2022-08-25 14:53:09
「Stack Clash」と命名された脆弱(ぜいじゃく)性は、悪用されればメモリ破損を誘発され、任意のコードを実行される恐れもあるという。 セキュリティ企業のQualysは6月19日、LinuxなどのUNIX系OSに存在するメモリ管理の脆弱(ぜいじゃく)性に関する詳細を公開した。同社はこの脆弱性を「Stack Clash」と命名。攻撃に利用されればメモリ破損を誘発され、任意のコードを実行される恐れもあると解説している。 Qualysによると、Stack Clashの脆弱性は、Linux、OpenBSD、NetBSD、FreeBSD、Solarisの各OSで影響が確認されており、他のOSも影響を受ける可能性がある。 Stack Clashという名称は、各プログラムがコンピュータ上で利用するスタックと呼ばれるメモリ領域に由来する。各プログラムが必要とするスタックメモリが増えると、この領域は自動
Androidアプリセキュリティ 〜Webサイト閲覧でroot権限を取得されてしまう脆弱性(1)〜 | Remote TestKit
Androidのブラウザ(図中ではWebkitと記載)の脆弱性を利用して相手の端末の管理者権限を取得されてしまうのはどういった仕組みで起きるのかについて解説します。 「○○○の脆弱性により任意のコードが実行される可能性があります」といった文章を一度は見たことがあると思います。 しかし、実際にどのような流れで任意のコードが実行されるのか?読者の皆さんはイメージできるでしょうか? 今回説明するのは、Androidのブラウザ(図中ではWebkitと記載)の脆弱性を利用して相手の端末の管理者権限を取得する、という少し過激な内容です。 読者の皆様、特にAndroidアプリケーション開発技術者の方々に、今回の記事を通して少しでもセキュリティに興味を持っていただき、セキュアなアプリケーション開発のヒントになればと思います。 1.全体の流れ 遠回りになっていまいますが、まずは、「Android端末からWe
意図せず公開しているS3バケットはありませんか?〜S3アクセス権限設定を見直そう〜 | DevelopersIO
西澤です。S3のアクセス権は適切に管理されていますでしょうか?大変恥ずかしながら私はお客様のS3バケットに対するアクセス権について不適切な設定をしてしまったことがあります。 先日、素晴らしいアップデートがありましたので、それをご紹介しつつ、この記事をご覧になった方がS3バケットのアクセス権を見直すきっかけになればと思い、自戒の意味もこめて、まとめ記事を書いておこうと思います。 S3への不適切なアクセス権限設定が招く事故 つい先日も下記のような記事がありましたが、S3へのアクセス権限が不適切な状態だった為に、意図しない情報が外部に漏洩してしまうというニュースを目にすることがあります。 相次ぐAmazon S3の設定ミスによる情報漏えい事故(大元隆志) - 個人 - Yahoo!ニュース 誤解の無いように声を大にしてお伝えしたいのですが、これらについてAWSサービス側には何ら問題はありません。
You can read about these vulnerabilities in English at https://ec0.io/post/hacking-cloudflare-pages-part-2/ 免責事項Cloudflareは、HackerOne上で脆弱性報奨金制度(Bug Bounty)を実施しており、脆弱性の診断行為を許可しています。 本記事は、当該制度を通して報告された脆弱性をCloudflareセキュリティチームの許可を得た上で公開しているものであり、無許可の脆弱性診断行為を推奨することを意図したものではありません。 また、Cloudflareは脆弱性調査において他の研究者との協力を許可しており、脆弱性調査を目的とした他の研究者との脆弱性情報の共有が許可されています。 Cloudflareが提供する製品に脆弱性を発見した場合は、Cloudflareの脆弱性報奨金
【Dockerの最新機能を使ってみよう】Dockerコンテナで利用できるリソースや権限を制限する | OSDN Magazine
新たなサーバー環境構築ツールとして普及が始まっているDockerは、その開発も積極的に行われている。そこで本連載記事では、4回に渡って最近Dockerに実装された新機能について紹介していく。今回は、コンテナに割り当てるリソースの制限やDockerが持つ権限分離機構について紹介する。 Dockerが備えるリソース制限機構 仮想化技術を利用するメリットの1つに、柔軟にリソースを管理できる点がある。Dockerでは古くからコンテナに割り当てるCPUリソースやメモリ容量を指定する機能があったが、Docker 1.6以降では割り当てるCPUリソースやメモリをより詳細に指定できるようになった。また、Docker 1.10ではブロックI/Oに関する制限も設定できるようになっている。以下では、これらコンテナに向けたリソース制限機能について紹介する。 稼働中コンテナのリソース使用状況を確認する リソースの制
ユーザ権限の確認・追加 - Qiita
しょっちゅう忘れるのでメモ。 mysqlに切り替え USE mysql 登録されているユーザを確認 SELECT user, host FROM user; 権限を表示 SHOW GRANTS for 'hoge'@'%'; ユーザを作成 CREATE USER user_name; CREATE USER user_name IDENTIFIED BY [PASSWORD] 'password'; ※ユーザ指定の書式例 user_name@host_name ※ワイルドカードをホストに使うときはシングルクォートでくくる user_name@'%' 'username'@'192.168.128.%' 権限付与 GRANT ALL PRIVILEGES ON `DB名`.テーブル TO 'ユーザ名'@'ホスト名'; GRANT SELECT,UPDATE,INSERT,DELETE ON
GitHub Apps + GitHub Actionsで必要なアクセス権限のみ付与した一時的なアクセストークンを発行する | DevelopersIO
GitHub Apps + GitHub Actionsで必要なアクセス権限のみ付与した一時的なアクセストークンを発行する こんにちは、CX事業本部 IoT事業部の若槻です。 今回は、GitHub Apps + GitHub Actionsで必要なアクセス権限のみ付与した一時的なアクセストークンを発行してみました。 なぜGitHub Appsを使うのか GitHubではPersonal access tokensを使えばアクセストークンを簡単に発行することが出来ますが、スコープの粒度が粗く、操作可能なRepositoryの制限も出来ないため、必要以上のアクセス権限を付与してしまいがちです。 一方で、GitHub Appsを使用すれば、アクセス権限を細かく設定したアクセストークンを発行することが可能です。 About GitHub Apps - About apps - GitHub Doc
正規アプリを装って2万本が流通しているという。アドウェアはroot権限を取得してシステムアプリケーションとして組み込まれ、インストールすると、削除はほぼ不可能になる。 Android端末にインストールされると自動的にroot権限を取得してトロイの木馬と化す進化型のアドウェアが、Facebookなどの正規アプリを装う手口で出回っているという。セキュリティ企業のLookoutが11月4日のブログで伝えた。 従来のアドウェアは広告をプッシュ配信する目的で使われていたが、ユーザーが削除すれば問題は解決されていた。しかしLookoutによると、今回見つかった進化型のアドウェアはroot権限を取得してシステムアプリケーションとして組み込まれ、インストールすると削除はほぼ不可能になる。 作者はGoogle Playで配信されている人気アプリをリパッケージして不正なコードを挿入し、サードパーティーのアプリ
switch_themes バージョン 2.0 より導入 以下の管理画面設定へのアクセスを許可。 外観 外観 > テーマ edit_themes バージョン 2.0 より導入 外観 > テーマエディターへのアクセスを許可し、テーマを編集できるようにします。 edit_theme_options バージョン 3.0 より導入 以下の管理画面設定へのアクセスを許可。 外観 > 背景 外観 > ヘッダー 外観 > メニュー 外観 > ウィジェット またテーマにオプションのページが含まれていれば、ページヘのアクセスを許可 install_themes バージョン 2.0 より導入 以下の管理画面設定へのアクセスを許可。 外観 > テーマの新規追加 activate_plugins バージョン 2.0 より導入 以下の管理画面設定へのアクセスを許可。 プラグイン edit_plugins バージョン
一時的にほかのユーザー権限でプログラムを実行する方法(runasコマンドを利用する方法) ― @IT
普段サインインしているユーザーアカウントとは異なる、別のユーザーの設定情報を知りたい、あるいは設定を変更したい、ということはないだろうか? もちろん、そのユーザーアカウントでサインインし直せば簡単に実現できることだ。しかし、サインインにはそれなりの時間がかかるし、別のユーザーの環境だと不慣れで作業しにくく、効率が悪くなりがちだ。 そこで活用したいのが、Windows OS標準装備の「別のユーザーとして実行」という機能だ。これだとサインインしているユーザーを変えることなく、別のユーザーの権限で指定のプログラムを起動できるので、サインインし直すより速やかに情報取得や設定変更などの作業がこなせる。 本Tech TIPSでは、「runas」というコマンドを利用して、別のユーザー資格情報によるプログラム実行をコマンドラインで実現する方法と注意点を説明する。 この機能をGUIで実現する方法については、
Windows 10にはアップデート実施時に「Shift+F10」キーで管理者権限ゲット&暗号化保護を回避可能な危険性あり
Windows 10ではアップグレードは従来の更新プログラムにあたる「Servicing Update」と機能追加を伴う「Feature Upgrade」の2種類のモジュールで構成されますが、この「Feature Upgrade」には小さいながらも「正気ではない」と専門家が指摘するバグがあることが指摘されています。 Win-Fu Official Blog: Every Windows 10 in-place Upgrade is a SEVERE Security risk http://blog.win-fu.com/2016/11/every-windows-10-in-place-upgrade-is.html Sami Laihos氏が指摘するのは、Windows 10でアップデートを行って新たなビルドに更新される際、シフトキー+F10キーを押しているとコマンドプロンプトに入れる
県知事選を巡り、候補者の一人が掲げる公約「携帯電話料金の4割削減」について、有識者やジャーナリストから「知事にその権限はない」などとするSNSの書き込みが拡散している。携帯電話会社など通信事業者を所管する総務省によると、携帯電話料金を引き下げる法律や国の権限はなく、地方自治体の長である知事にも権限はない。書き込みは適正な内容だった。 この候補者は公約となる政策集で「携帯電話利用料の4割減を求める」と記載している。ただ本人のユーチューブやツイッターでは「携帯料金の4割削減を進め家計を助けます」「携帯代4割削減」と記載しており、不特定多数が目にするインターネットでは「求める」という表現は省かれ、知事の権限で実現できるかのように書かれている。16日に那覇市内で街頭演説した菅義偉官房長官も、この候補者が公約に掲げていることを歓迎し「4割程度引き下げる。そうした方向に向かって実現したい」と主張してい
Unix,Linuxのファイル、ディレクトリは個々にファイル権限が付けられており、その設定により誰もが、自由に読み書き削除出来ないようになっています。その仕組みをパーミッションと呼んでいます。 実際のファイルの設定されているパーミションを見る場合は、リスト命令でオプション -l 付きで表示させます。 $ ls -l 合計 16 -rwxr-x--x 1 user1 group1 33 6月 4 12:48 test1.txt -rw------- 1 user1 group1 33 6月 4 12:48 test2.txt デスクトップでは、以下のように表示できます。もし、パーミションが表示されていない場合は、「ファイル管理の設定」内の表示2、一覧の項目を参照して表示設定を変更してください。 リスト項目左側の -rwxr-x--x の部分がパーミションを示し、次の3つの順位で設定さ
ある研究者が、Windowsにユーザーの権限昇格を許してしまうバグを見つけたそうだ。これだけじゃ新しい話じゃないね。ところが、今回のバグは仮想DOSマシン(VDM)に影響を及ぼすもので、しかも全ての32ビット版Windows、つまりNT以降全てのバージョンに影響がある。17年もWindowsを続けてきた甲斐があったもんだ。 (元記事より)「このVDM用のコードを使うと、権限を持たないユーザーでも任意のコードをシステムのカーネルに挿入できる。つまり、OSの最もビンカンな所に変更を加えられる。(中略)この脆弱性は1993年以降にリリースされた全ての32ビット版のマイクロソフト製OSに存在していて、実証コードはXP、Server 2003、Vista、Server 2008、7で動作する。」
ロシア旗艦の不明者情報、開示の「権限なし」 大統領府
ロシアのミサイル巡洋艦「モスクワ」(2013年8月29日撮影、資料写真)。(c)Vasiliy BATANOV / AFP 【4月19日 AFP】ロシア大統領府は19日、黒海(Black Sea)艦隊旗艦のミサイル巡洋艦「モスクワ(Moskva)」沈没を受け、乗組員の家族が行方不明者に関する情報開示を求めていることについて、「権限がない」としてこれに応じなかった。 巡洋艦「モスクワ」は先週、爆発と火災に見舞われた後、沈没した。ウクライナ軍はミサイルで撃沈したと主張しているが、ロシア側は弾薬が爆発したためだと発表している。 ロシア当局は定員680人の同艦から乗組員を避難させたと発表したが、それ以外の詳細は明らかにしていない。 同艦が沈没して以来、徴集兵を含む乗組員の親や家族がソーシャルメディア上で、自分の子どもが行方不明になっており、情報開示を求めると訴えている。 この状況についてコメントを
はじめに Hudsonを標準状態のままで使用した場合、Hudsonにアクセスできる全てのユーザが、Hudsonの全ての機能を制限なく利用できてしまいます。 Hudsonの機能を熟知しているチーム内でHudsonを使用するのであれば、この標準状態の方が設定に煩わされない分、簡便に運用できるので都合が良いかもしれません。 しかし一般的には、間違った操作によってHudsonが動作しなくなることを防ぐために、「Hudsonの管理者」と「Hudsonの利用者」くらいの最低限の区別をした方が良いのではないかと思います。 そこで、この記事では、Hudsonのユーザーデータベースを使用して、Hudsonの操作権限を制御する方法について説明したいと思います。 なお、説明を簡素化するために、Hudsonの公式サイトにはない用語や分類を用いて説明していますので、その点はご了承ください。 操作権限を制御する前に
こんにちは!技術部の小池です。 この記事は Tech Kayac Advent Calendar 15日目の記事です。気付いたらもう12月も半分じゃないですか…もう今年の営業は終わりにしてお酒飲んで年越しを迎えたい気分ですね〜。 今回はマルチテナントなサービスにおける認証と権限管理についてのお話です。 要件 今回お話するサービスはカヤックグループ全体に提供する予定のマルチテナントのサービスです。カヤックの文化を支える 360度フィードバック、スマイル給 などの複数のサービスが協調して動作するというサービス指向的なアーキテクチャで、既存のカヤック社内サービス群のリニューアルプロジェクトでもあります。 カヤックグループ向けに提供するサービスなので、認証をしないことには利用することはできません。また、カヤックの社員が他のグループ会社の情報を見れてしまうというのも困ったことになってしまうので、組織
TwitterでOAuth認証するアプリケーションのアクセスレベルに「DMへのアクセス権限」が追加された - F.Ko-Jiの「一秒後は未来」
これまでTwitterのOAuth認証にはアクセスレベルが「Readのみ」「ReadとWrite」という2段階しかなく、認証を許可してしまうとダイレクトメッセージの内容までアプリケーション側から読めてしまうという問題がありましたが、ようやくこの問題が解決するようです。 Beginning today, we’re giving you more control over what information you share with third-party applications. Apps that you use to access your direct messages will ask for your permission again. » Twitter Blog: Mission: Permission 公式にアナウンスされているように、Twitterアプリケーションのア
ユーロ on Twitter: "そうだ、今は、国難だ。 例外なく、公務員の給与の2割カットを! 当然、賞与は100%カット!! 国難なのだ、国として安定するまでは、痛みを分かち合わなければ!! もちろん、議員と言われる人々は、全員が無給。国難なのだ!! 沈静化させる権限を持っているのだし、当然である。"
そうだ、今は、国難だ。 例外なく、公務員の給与の2割カットを! 当然、賞与は100%カット!! 国難なのだ、国として安定するまでは、痛みを分かち合わなければ!! もちろん、議員と言われる人々は、全員が無給。国難なのだ!! 沈静化させる権限を持っているのだし、当然である。
「業務上、管理者権限が必要だから」と依頼をもらって管理者権限を付与することがあります。ただ、いろいろ悩みがあって。自分なりの対応をまとめてみました。 権限の種類権限付与特定の管理センターでしか付与できない権限権限外す依頼はまずもらえない/権限の棚卸管理者アカウントのセキュリティ権限の種類多い。とりあえず多い。Microsoft 365 管理センター - 役割 - 役割の割り当てから確認できる権限の種類は、おすすめの権限だと8種類だけど、展開すると65種類!それぞれで、何ができるなんて、覚えるのも大変ですね。 Azure AD 管理センター - ロールと管理者からだと、もっとあります。 権限の付与どちらの画面からも、ユーザーやを割り当てできます。少人数だったら、GUIで割り当てるのも一つの方法です。グループの割り当てはメニューに表示されているものの、この記事を書いている2022年2月4日時点
OS X をパスワード無しで管理者のユーザー権限をroot化できる脆弱性「rootpipe」の概要が公開され、2011年からOS Xに隠れていたバックドア APIも明らかに。
話が話しだけに脆弱性の検証も出来ませんが、TLDRだけ読むと「OS XのAdmin frameworkには(管理者がパスワード無しに)rootへなれる隠れたバックドア APIがある。このバックドアは数年前から(少なくとも2011年から)存在し、私は2014年の10月にこれを発見し、これを使用すればシステム中の任意のユーザーがrootへ昇格することが可能です。このAPIの目的はシステム環境設定アプリとコマンドラインツールの”systemsetup”の為にだと思われますが、任意のユーザープロセスも同じ機能が使えてしまいます」とコメントしており、 TL;DR The Admin framework in Apple OS X contains a hidden backdoor API to root privileges. It’s been there for several years (
本当はこういう話、恥ずかしくて記事にしたくないのですが… BANされた時、下記の記事に助けられたので私も記録として残しておこうと思います。 Twitterアカウント,appsの凍結で生きた心地のしない正月7日間を過ごした話 何がダメだったのか 結論から言うと、下記の自動化ルールに違反していました。 2.自動化された@ツイートや返信の投稿 返信と@ツイートは、Twitter利用者が簡単にコミュニケーションをとれるように用意されている機能です。この機能を自動的に利用して、不特定多数の利用者に一方的にメッセージを送ることは不適切な行為であり、禁止されています。たとえば、単純にキーワード検索にヒットしただけのツイートに対して自動的に返信を送ることは許可されません。@ツイートや返信をスパムとして利用したり、同一内容の@ツイートや返信を繰り返し投稿したりした場合、検索結果からの該当ツイートの除外や、ア
※この投稿は米国時間 2023 年 2 月 18 日に、Google Cloud blog に投稿されたものの抄訳です。 Cloud Run を使用すれば、デベロッパーは、Google のスケーラブルなインフラストラクチャ上で実行されるサーバーレス環境に本番環境のウェブ アプリケーションと API を簡単にデプロイできます。開発チームは Cloud Run を活用して開発のアジリティを向上させ、迅速に反復処理できますが、多くの場合、インフラストラクチャのセキュリティ体制が見落とされています。十分な注意が払われていないセキュリティの側面として特に注目すべきなのが、アクセス管理と最小権限の原則です。 最小権限の原則とは、あるリソースに対してその機能に必要なリソースのみへのアクセスを許可することを示します。この原則は、ID の侵害によって攻撃者に幅広いリソースへのアクセスが許可されるリスクに対応
TL;DR Web applicationを書いてると,たいてい業務ロジック実装のための分岐処理でコードが汚くなり,また色々な場所に同様な処理のコピペが発生する 権限管理用ライブラリであるPunditを使って業務ロジックにおける分岐処理を1箇所にまとめるときれいに整理できるケースがある 複雑なUser Roleベースの権限管理をするときはcancancanなどを使うべきで,目的に応じた使い分けが大事 書いていないこと Punditの詳しい使い方(コードベースが非常にシンプルでdocも充実しているので自分で読んだ方が早い) 他の権限管理ライブラリの使い方(筆者より優秀なエンジニアが書いた記事が沢山あるのでググった方がいい) 前置き Web applicationがある程度大きくなった時に生じる2大問題 ビジネスロジックの条件分岐でコードが汚れる問題 以下のようなビジネスロジックを実装するため
PushSubscription を取得してサーバーに保存した後の自然なステップは、push メッセージをトリガーすることですが、1 つお伝えしただけではっきりしないことが 1 つあります。push メッセージの送信許可をユーザーに求めたときのユーザー エクスペリエンス。 残念ながら、ユーザーに許可を求める方法を細かく考慮しているサイトはほとんどありません。少し脇に置いて、良い UX と悪い UX の両方を見てみましょう。 一般的なパターン これまでに、ユーザーとユースケースにとって最適なものを判断するための指針となる一般的なパターンがいくつかあります。 価値提案 メリットが明白なタイミングでプッシュする購読をユーザーに促します。 たとえば、ユーザーがオンライン ショップで商品を購入し、購入手続きを完了したとします。サイトでは、配送状況に関する最新情報を提供できます。 このアプローチが機能
Linuxカーネルに10年以上前から存在していた脆弱性に関する情報が公開され、悪用を狙う攻撃の発生が報告されている。Linuxディストリビューション各社がセキュリティ情報を公開し、米セキュリティ機関US-CERTも10月21日、ユーザーや管理者に対応を促した。 脆弱性は、Linuxカーネルのメモリサブシステムでcopy-on-write(COW)を処理する方法に起因し、バージョン2.6.22以降が影響を受ける。Linuxカーネルのパッチは10月20日に公開されており、リーナス・トーバルズ氏はこの問題について、「11年前に修正を試みたがうまくいかなかった」と明かしている。 COWに問題が存在することから「Dirty COW」と命名され、専用情報サイトが公開された。同サイトや米セキュリティ機関CERT/CCによれば、この脆弱性を悪用された場合、特権を持たないローカルユーザーによるリードオンリー
OS X 10.10.4までに存在するroot権限昇格の脆弱性を使用してYosemiteを「rm -rf /」してみた。
OS X 10.10.4までに存在する権限昇格の脆弱性を使用してYosemiteを「rm -rf /」してみました。詳細は以下から。 ドイツのセキュリティ企業”SektionEins”がOS X Yosemiteのdynamic linker dyldに非rootユーザーがroot権限を使用できる権限昇格の脆弱性が存在すると発表し、多くの関連した話題が報じられてきましたが、 関連記事 OS X YosemiteのDYLD_PRINT_TO_FILEに権限昇格の脆弱性が発見され、OS X 10.10.4でも実行可能なExploit Codeも公開される OS X YosemiteのDYLD_PRINT_TO_FILEに存在する権限昇格脆弱性を利用して、1行でsudoersファイルを書換え誰もがrootユーザー昇格できる実行コードが考案される OS X 10.10 DYLD_PRINT_TO_
Railsの権限管理のPunditのソースコードを読んでみてまとめました。 本体のコード量的には300行程度なので比較的簡単に読めるかと思います。 1. 目的 2. 基本情報 対象バージョン コード量 ディレクトリ構成 クラス図 ドキュメント 3. Punditの権限管理の実装する方法 4. 権限管理機能をRailsと統合する方法 5. RailsのGeneratorの作り方 5.1. pundit:install 5.2. pundit:policy [model] まとめ 1. 目的 下記のようなこと中心にソースコードを見ていきたいと思います。 権限管理の実装方法 権限管理の仕組みをRailsに組み込む方法 RailsのGeneratorの作り方 2. 基本情報 対象バージョン 2018/7/22に作られたv2.0.0で確認します。 Pundit v2.0.0 コード量 全体のruby
山極寿一 新総長 「権限集中より合意形成を」(2014.10.01) | 京都大学新聞社/Kyoto University Press
[編集部まえがき] 「大学改革」はいつまで続き、どこに行きつくのか。この終わりなき改革は、一体誰のために行われているのか。政府の主導する改革は、大学ひいては国家の国際的地位の向上という目的に終始しており、そこにあるのは国家の従属物としての大学である。国家への包摂が強まるなか、対して大学は自らのあり方を構想できているのだろうか。残念ながら、まかれた餌に飛びつくことしかできない大学がほとんどのようである。 京大も例外ではない。松本前総長の下で京大はありとあらゆる餌に飛びついてきた。その松本氏はお上の意向にそって教授会の権限にも手をつけた。対しては教授会自治の擁護が叫ばれる。それが大学改革の対抗軸であるかのように。しかし一方で、大学改革の一端である「単位の実質化」は、まさにその教授会の下で進められている。たとえ本意でなくとも、それが事実である。教授会自治とは、一体誰のためにあるのか。 さて、この
By public domain コンピューターのソフトウェアにまつわる脆弱性は常にユーザーを惑わせる問題ですが、セキュリティ関連企業の調査によると、Windowsに関する脆弱性の大部分はOSやアプリケーションの管理者権限を編集することで回避できることが明らかになっています。 94% of Microsoft vulnerabilities can be easily mitigated | Computerworld http://www.computerworld.com/article/3173246/security/94-of-microsoft-vulnerabilities-can-be-easily-mitigated.html この件を指摘したのは、セキュリティ関連企業のAvectoです。同社によると、2016年に発見されたMicrosoft製品にまつわる脆弱性は530件
追加したユーザーには権限グループとして「管理者」「編集者」「投稿者」「寄稿者」「購読者」の 5 つの中から 1 つを設定します。それぞれの権限グループ毎に WordPress のブログで行うことができることが異なります。ここではそれぞれの権限グループを設定したユーザーがどのようなことができるのかについて解説します。 購読者ユーザー 権限グループ「購読者」が設定されたユーザーでログインします。管理画面には次のように表示されます。 「購読者」の画面左側に表示されているメニューは「プロフィール」のみで、記事を投稿したりすることはできません。 ブログへのコメントの投稿をユーザーだけが行えるように設定している場合に、「購読者」もコメントを投稿することができます。「投稿者」はブログに対して行える権限がありませんので、コメントの投稿だけを許可したい場合などに便利な権限グループです。(コメントの投稿をユー
文科省:教授会の役割、法で制限を検討 学長権限強化 - 毎日新聞
Windows Vistaから導入されたUACに邪魔されて、使いたい常駐アプリがWindowsのスタートアップで起動できないという体験をした人もいるかと思います。これは管理者権限で起動できずに失敗するためです。この問題を回避するためには、タスクスケジューラを利用します。 タスクスケジューラの呼び出し スタートメニューからアクセサリ内のシステムツールにあるタスクスケジューラを開きます。 もしくは、スタートメニューを開き、プログラムとファイルの検索にtaskもしくはタスクと入力して、タスクのスケジュールを開いてください。 タスクの作成 上部にあるメニューバーの操作からタスクの作成を選ぶか、右側のメニュー一覧からタスクの作成を選びます。すると次のような画面が表示されるはずです。 まず全般タブでは、名前の欄には登録したいアプリケーションの名前など、実行するものがわかるようなものを記載します。タスク
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
楽天がソーシャルニュースサイト 高評価のユーザーに削除権限も
赤羽国交相、国会召集「内閣には何の権限もない」投稿 野党批判 | 毎日新聞
Android 2.3のroot権限を奪う初のマルウェア見つかる
最小権限実現への4ステップアプローチ 前編 | Amazon Web Services
Linuxなどにローカル権限昇格の可能性、管理者権限取得に利用される恐れも
Cloudflare Pagesにおける権限昇格と任意ページの改竄
各社のWindows用デバイスドライバに権限昇格の脆弱性
root権限奪取のAndroidアドウェア、削除ほぼ不可の進化版
ユーザーの種類と権限 - WordPress Codex 日本語版
沖縄県知事選 公約「携帯料金を削減」 → 知事や国に権限なし - 琉球新報 - 沖縄の新聞、地域のニュース
ファイルのパーミッション、アクセス権限について (Unix Linux)
NT以降の全ての32ビットWindowsバージョンでユーザー権限昇格を許すバグが見つかる | スラド セキュリティ
Hudsonの操作権限をユーザ/グループ/ロール別に制御する - ふぞろいのGENGOたち
マルチテナントなサービスにおける認証と権限管理 - KAYAC engineers' blog
Microsoft 365 管理権限の管理を確実に行うために
Twitter APIのWrite権限を凍結された2019夏 - Qiita
最小権限の原則による Cloud Run のデプロイ保護 | Google Cloud 公式ブログ
Punditから考えるDRYな権限管理の設計方針 - Qiita
権限の UX | Articles | web.dev
Linuxカーネルに脆弱性「Dirty COW」発覚、管理者権限を取得される恐れ
楽天がソーシャルニュースサイト開設、「神」ユーザーは記事の削除権限も
Railsの権限管理Punditのソースコードリーディング - Rails Webook
Microsoft製品の脆弱性の94%は管理者権限をオフにすることで回避可能であることが判明
権限グループ(管理者/編集者/投稿者/寄稿者/購読者)の違い
管理者権限が必要な常駐アプリはタスクスケジューラでスタートアップさせる