上記の「トランプ氏の実績」というツイートと全く同じものがいくらか出回っています。よくやるものだと思うのですがそれはともかくこれらの事の真偽でも。 黒人達の失業率を過去最低に これは在任期間中に過去最低を記録したのは確かです。たとえば以下記事。 ニューヨーク(CNNMoney) 米労働省は7日までに、アフリカ系(黒人)米国人の失業率は昨年12月、6.8%となり、少なくとも1972年以降では最低水準を記録したと報告した。 ただ、他の人種と比べればはるかに高い水準に依然あるとも指摘。白人の昨年12月の失業率は3.7%、アジア系は2.5%、ヒスパニック系は4.9%だった。米国全体では4.1%と、過去17年間では最低水準に匹敵していた。 CNN.co.jp : 黒人の失業率が過去最低水準に、昨年12月は6.8% 米 ただし上記記事にもある様にその水準がほかの人種と比べればはるかに高いことは変わりませ
はじめにこの記事は、放送大学の(主に情報コースを中心とする)学生さん向けに、私の履修済み科目の感想と主観的評価を共有して、履修計画の参考にしていただくことを目的に作成しました。下記の記事の通り、2019年-2020年の2年間で情報コースの科目を8割方履修したのでそれなりの網羅性があるかと思います。 (2023年2月追記)その後、選科履修生として履修した他コースの科目や大学院科目などを追加して112科目掲載しています。試験難易度については履修時期によって会場試験・在宅ペーパー試験・在宅Web試験が混在しているので参考程度でお願いします。 タイトルは私が現役生の時に通っていた大学の似たような評価システムから拝借しました。 以下の科目は基本的にナンバリングが低い順に並べています。閉講済みの科目も混じっていますが、記録と後継科目の参考のために残しておきます。あくまで全て(上記の記事にある通り、文系
Amazon Web Services (以下AWS)の利用開始時にやるべき設定作業を解説します。AWSの利用開始とは、AWSアカウントの開設を意味しますが、より安全に利用するため、AWSアカウント開設直後にやるべき設定がいくつかあります。この連載ではその設定内容を説明します。 AWS Organizationsを使用することで、複数のアカウントに自動的にこういった初期設定を行うことも可能ですが、この連載では新規で1アカウントを作成した場合を前提とします。複数アカウントの場合も、基本的な考え方は同じになります。 設定作業は全19個あり、作業内容の難しさや必要性に応じて以下3つに分類しています。 少なくともMUSTの作業については実施するようにしましょう。 MUST :アカウント開設後に必ず実施すべき作業 SHOULD :設定内容の検討または利用方法を決定のうえ、可能な限り実施すべき作業 B
CORSの仕様はなぜ複雑なのか
Webアプリケーションを実装していると高確率で CORS の問題にぶつかります。CORSがどのようなものかはリンクしたMDNなど既存の解説を読むのが手っ取り早いと思いますが、「なぜそのように設計されたのか」という観点での説明はあまり見ないため、昔の資料の記述や現在の仕様からの推測をもとに整理してみました。 CORSとは 現代のWebはドメイン名をもとにした オリジン (Origin) という概念 (RFC 6454) をもとに権限管理とアクセス制御を行っています。その基本となるのが以下のルールです。 Same-origin policy (同一生成元ポリシー): 同じオリジンに由来するリソースだけを制御できる。 上記Wikipedia記事によるとSOPの概念は1995年のNetscape 2.02に導入されたのが最初のようです。当時のドキュメンテーションを読む限り、これはウインドウ越しに別
Google、セキュリティスキャナー「Tsunami」をオープンソースで公開。ポートスキャンなどで自動的に脆弱性を検出するツール
Google、セキュリティスキャナー「Tsunami」をオープンソースで公開。ポートスキャンなどで自動的に脆弱性を検出するツール Announcing the release of the Tsunami security scanning engine to the open source communities to protect their users’ data, and foster collaboration.https://t.co/qrvmilHm1r — Google Open Source (@GoogleOSS) June 18, 2020 Tsunamiは、アプリケーションに対してネットワーク経由で自動的にスキャンを行い、脆弱性を発見してくれるツールです。 Googleは、現在では攻撃者が自動化された攻撃ツールへの投資を続けており、ネット上に公開されたサービスが攻
はじめに 今年のエンジニア研修の担当をしたkurotakyとtokkyです。ペパボのエンジニア研修2021がはじまっていますという記事を書いてあっという間に時が経ち、先日研修が終わったので研修資料を公開します。各研修の講師からコメントをもらっているので、ぜひ読んでいってください! 研修を実施するにあたって、専門的な内容を学んでから現場に入る方法や、幅広い技術層に触れてから現場に入る方法など、さまざまなスタイルがあります。ペパボでは最新の技術の幅広く触れてOJTに入っていくやり方を選択しています。それはなぜかというと、GMOペパボのわたしたちが大切にしている3つのことの中で、「みんなと仲良くする」ということ話がありますが、みんなと仲良くするというのは、エンジニアという職種だけでも100人以上になり、そのみんなと仲良くするのは実際は結構難しいと思います。過去にCTOのあんちぽさんが2017年の
2022年のエンジニア新人研修の講義資料を公開しました - Cybozu Inside Out | サイボウズエンジニアのブログ
People Experienceチーム*1の酒井(@sakay_y)です。 2022年もエンジニア新人研修を行いましたので、軽い紹介と、講義資料および一部講義動画を公開いたします。 2022年のエンジニア研修について 講義資料公開(2022年版) モバイルアプリ開発 サイボウズのアジャイル・クオリティ MySQL - テストデータが偏るということ モブに早く慣れたい人のためのガイド テクニカルライティングの基本 ソフトウェアテスト セキュリティ ソフトウェアライセンス 社内限定の講義や昨年と同じ講義について 最後に 2022年のエンジニア研修について 研修のコンセプトは例年とほぼ同じです。 誰に 新入社員メンバーに 何と言ってもらう 基礎的な知識/技術/ツールを学べた! 開発/運用本部のチーム/人を知ることができた! スケジュールは以下のとおりです。(一部は、予定になります。) 講義期間
Note 本記事の内容は Linus 氏の発言が人を傷つける場合に筆者がそれを良しと考えるといった意図はございません 少し古い記事になるが、 Linus Torvalds 氏 の GitHub に対する苦言が記事になっていた。 LinuxカーネルにNTFSドライバーが追加、トーバルズ氏はGitHub経由のマージに苦言 - ZDNet Japan Linus 氏が GitHub について苦言を呈するのは今に始まったことではない(後述)が、 別に GitHub のすべてを否定しているわけではない。[1] では一体何が不満なのか。Linus 氏の理想とする git の開発フローを考察した上で、整理してみたい。 Linus 氏の理想 結論からいうと、 「意味あるコミットを作れ」「コミットを大事にしろ」 という思想が伺える。 では 「意味あるコミット」「大事にされたコミット」 とは何なのか。 筆者な
AWSのインフラを運用・監視する上で使いやすいと思ったサービスを組み合わせて構成図を作成しました。それぞれのサービスの簡単な説明と類似サービスの紹介、また構成の詳細について説明していきます。 (開発で使用するようなサービスも紹介しますが、あくまでも運用・監視だけの構成です。) 各個人・企業によって環境は違うと思いますし、使いやすいと思うサービスは人それぞれだと思うので、これが正解という訳ではありませんが、参考にしてただければ幸いです。 参考になった教材を紹介した記事も作成しました。是非読んでみてください! 【AWS】さいきょうの運用・監視構成を作成するのに参考になった書籍 インフラエンジニア1年生がプログラミングを勉強するのに使った教材 全体図 こちらがAWSにおける"ぼくのかんがえたさいきょうの"運用・監視構成です。複雑で分かりづらいかと思うので、詳細に説明していきます。最後まで読めばこ
One of the key elements of Google's software engineering culture is the use of design docs for defining software designs. These are relatively informal documents that the primary author or authors of a software system or application create before they embark on the coding project. The design doc documents the high level implementation strategy and key design decisions with emphasis on the trade-of
(令和5年2月更新版)何故ロシアによるウクライナ侵攻は長期化したのか~戦史に残る軍事的大惨事~|botamoti´・⊿・`日本怪文書開発機構(CV.ゆっくり魔理沙(Softalk:女性2))
1.ウクライナ紛争っていう2014年から続く紛争があるんですけど背景情報~ソ連とかいうクソデカ国家の崩壊~ 昔々あるところに、ソヴィエト社会主義共和国連邦っていうクソデカ国家(東京ドーム479093145四億七千九百九万三千百四十五個分の大きさ)がありました。 デェェェェェェェェェン♪ この国家は我々西側との競争の結果崩壊してバラバラになっちゃったんですけど、どれぐらいバラバラになったかというと15個に割れました。 連邦っていう位なので構成国家が独立しちゃって構成国家がゼロになったんですね。 ソ連崩壊(イメージ) で、今回の紛争は偉大なるソ連の復活を目指す第一位と、過去と決別し新たな道を歩みたい第二位との間で行われた『ソヴィエト崩壊 round2』みたいなモンだと解釈していだだければ良いと思います。今回はコレについてお話をしていこうと思います。ゆっくりしていってね! クリミア併合という軍
Googleがネットショップなどの決済時に自分の所持するクレジットカード番号とは別の番号を生成するサービス「Virtual Cards」を発表しました。Virtual Cardsを用いることで、ユーザーはクレジットカード番号の流出を心配することなくネットショッピングを楽しめるようになります。 How we make every day safer with Google https://blog.google/technology/safety-security/how-we-make-every-day-safer-with-google/ ネットショップで買い物をする際はクレジットカードを利用すればスムーズな決済が可能ですが、クレジットカード番号がネットショップから流出してしまうリスクに不安を感じることもあります。Google PayやApple Payといった決済手段を使えばクレジッ
Windows 7のサポートは2020年1月14日に終了し、それ以降もセキュリティパッチの提供を受けるには、マイクロソフトとボリュームライセンス契約を結んだ企業のみが延長サポートを有償で購入できる、というのが、これまでのマイクロソフトの方針でした。 米マイクロソフトはこの方針を転換。ボリュームライセンス契約を結んでいるかどうかにかかわらず、あらゆる企業がWindows 7の延長サポートを購入できるようにすると発表しました。 「Announcing Paid Windows 7 Extended Security Updates」から引用します。 today we’re announcing the availability of paid Windows 7 Extended Security Updates (ESU) through January 2023 for businesse
第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | デジタル・フォレンジック研究会
第595号コラム:上原 哲太郎 副会長(立命館大学 情報理工学部 教授) 題:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 皆さんの組織でも、重要な情報を含むファイルをメールで外部に送付する際に、その漏洩防止等のため、何らかのルールを設けておられるところが多いのではないかと思います。その中で非常によく見かける方式に、このようなものがあります。 ①添付するファイルをあるパスワードを使って暗号化zipファイルにする。 ②そのファイルをメール添付して送信する。 ③続いてそのパスワードをメール送信する。 私が見聞きする限り、多くの日本企業や組織がこのようなファイル送信法をセキュリティ強化策と信じて」内規で義務づけたり、自動化システムを導入したりしています。しかしこの種のメール、少し考えるだけでセキュリティの観点からは効果がないことは明らかです。同一経路でファイルとパスワードを送
開発者の年功レベル
Kamran Ahmedのブログより。 ジュニア、中堅レベル、またはシニア開発者としてステップアップするには? カムラン・アーメッド (Kamran Ahmed) 私はロードマップのやり直しに取り組んでいます —— 年功レベルに基づいてスキル一式を分割し、新しい開発者に理解しやすくし、怖がらせないようにします。ロードマップは技術的な知識についてだけになるので、私が繰り返し、様々な年功の役割について考えていることについて記事を書くのは良い考えだと思いました。 私は、多くの組織が長年の経験を本来あるべきものよりも重要視することで開発者の年功を決定しているのを目にしてきました。私は、「ジュニア」とラベル付けされた開発者がシニア開発者の仕事をしており、「シニア」と呼ばれる資格さえない「主任(lead)」開発者を見てきました。開発者の年功は、彼らの年齢、経験年数、または彼らが持っている技術的知識だけ
情報セキュリティ 10 大脅威 知っておきたい用語や仕組み 2023 年 5 月 目次 はじめに......................................................................................................................................................... 3 1 章. 理解は必須! ...................................................................................................................................... 5 1.1. 脆弱性(ぜいじゃくせい) .............................
■ 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む IPAの「安全なウェブサイトの作り方」(改定第7版2015年、初版2006年)のHTML版が出ている。項目別にページが作られている。 1.1 SQLインジェクション 1.2 OSコマンド・インジェクション 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル 1.4 セッション管理の不備 1.5 クロスサイト・スクリプティング 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) 1.7 HTTPヘッダ・インジェクション 1.8 メールヘッダ・インジェクション 1.9 クリックジャッキング 1.10 バッファオーバーフロー 1.11 アクセス制御や認可制御の欠落 というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の
Ankerの家電ブランド「Eufy」がプライバシーに関する約束をウェブページからこっそり削除、勝手に監視カメラ映像をアップロードしていた問題発覚の直後
Ankerのスマートホームブランド「Eufy」のカメラ付きインターホンが、撮影した映像をユーザーの許可なく、暗号化していない状態でアップロードしていたことが、2022年11月に発覚しました。さらに、問題が明るみに出た後に、Eufyのページからプライバシーに関する文言が削除されていることが分かりました。 Anker’s Eufy deleted these 10 privacy promises instead of answering our questions - The Verge https://www.theverge.com/2022/12/16/23512952/anker-eufy-delete-promises-camera-privacy-encryption-authentication Eufy has removed privacy-focused language
はじめに 今回の記事では、個人の独断と偏見で2022年~2023年で必ず確認するべきGitHubのリポジトリを紹介する。私のTwitterでこれまで紹介したものもあれば、そうではないものもある。 GitHubはプログラマーにとって、普段の学習・開発を進めるうえでもっとも重要な情報源の1つである。本記事では、分野ごとに確認するべきGitHubリポジトリを紹介する。 なお、今回の記事で紹介するGitHubリポジトリの分野は以下の通り。内容はWeb開発に特化している。 確認必須 Web Python JavaScript TypeScript ちなみに、「確認必須」は分野を問わずすべてのプログラマーに役立つGitHubリポジトリを紹介している。 今回の記事を通して、年末年始の学習・開発に大いに役立ててもらえたら幸いだ。 確認必須 freeCodeCamp 世界最大規模のプログラミングメディア「f
私のセキュリティ情報収集法を整理してみた(2020年版) - Fox on Security
新年あけましておめでとうございます。早いものでこの記事を書くのも3回目になります。毎年年頭に更新している「私の情報収集法」について、今年も更新UPします。 ※私の方法はpiyokangoさんが2013年に書かれた「私のセキュリティ情報共有術を整理してみた。」、およびその記事の元となった根岸さんの2011年の「私のセキュリティ情報収集術」の影響を強く受けて、自分なりに試行錯誤しているものです。必ずしも多くのセキュリティ担当の方に向いている情報収集のやり方ではないかも知れません。 ■インプットに使っている情報ツール 情報収集に使っているツールはそんなに変わってません。忙しいセキュリティ担当の方は、いかにRSSをうまく使いこなすかがカギになるのかと思います。 ツール キタきつね寸評 備考(リンク) RSS Reader 去年から海外ニュースを拾うのに使い勝手が良かったので、このソフトを使っていま
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
この記事は、 Rails を主戦場としている自分が今後学ぶべき技術について(随筆) | うなすけとあれこれ についてのアンサー記事です。 うなすけ君が Ruby on Rails で育ってきたように、僕も JavaScript とともに育ってきたという自覚があります。なので、これについて書くことは、ポジショントークは避けられない、という感覚があります。 冷静に比較しようとも思いましたが、やっぱり開き直って思いっきりポジショントークをすることにしました。そっちのほうが面白いと思うので。 自分の基本的な主張は、こちらの記事にあるとおりです。 Frontend Study #1: 基調講演 - Frontend 領域を再定義する 自分と Ruby on Rails 僕は、キャリアとしては Rails の会社で JavaScript を書いてきたことが多かったです。学生の頃は socket.io
On the 11th of January 1982 twenty-two computer scientists met to discuss an issue with ‘computer mail’ (now known as email). Attendees included the guy who would create Sun Microsystems, the guy who made Zork, the NTP guy, and the guy who convinced the government to pay for Unix. The problem was simple: there were 455 hosts on the ARPANET and the situation was getting out of control. This issue w
安全で、誰にも手頃でアクセスしやすく、ユーザーを尊重したWebを作るためのHTTPヘッダーのプラクティス [UI/UX]原文 HTTP headers for the responsible developer - Twilio (English) 原文著者 Stefan Judis 原文公開日 2019-04-23 翻訳依頼者 翻訳者 meiq 翻訳レビュアー doublemarket msh5 原著者への翻訳報告 1475日前 メールで報告済み 編集 This article was originally published on twilio.com, and translated with the permission of Twilio and the author. 当記事の原文はtwilio.comにて公開されたものであり、Twilio社および原著者の許可を得て翻訳しています
サマリ DNSリバインディングが最近注目されている。Google Chromeは最近になってローカルネットワークへのアクセス制限機能を追加しており、その目的の一つがDNSリバインディング対策になっている。Googleが提供するWiFiルータGoogle Nest WiFiはデフォルトでDNSリバインディング対策機能が有効になっている。 DNSリバインディング対策は、攻撃対象アプリケーションで行うべきものであるが、ブラウザ、PROXYサーバー、リゾルバ等でも保護機能が組み込まれている。本稿ではそれら対策機能の状況と対策の考え方について説明する。 DNSリバインディング(DNS Rebinding)とは DNSリバインディングはDNS問い合わせの時間差を利用した攻撃です。DNSのTTL(キャッシュ有効期間)を極めて短くした上で、1回目と2回目の問い合わせ結果を変えることにより、IPアドレスのチ
中山です ソリューションアーキテクトとして、AWS環境の利活用をお手伝いするお仕事をしています。 まれによく見るAWS環境 とりあえずこれを見てほしい。 これが絶対にだめと言いたいわけではないです。 一時的な検証環境だったり、とにかくスピード重視でサービスをデリバリーさせる必要があったり、サービスの提供者側が何ら責任を負わない・障害時のビジネスインパクトが無い(そんな状況あるのか?)という前提があったり、状況次第ではこれで十分な時もあると思います。 しかし、一般的な業務システムやサービスの場合にはいろんな意味で不十分でしょう。 では、このような環境をどのように育てていくとよいでしょうか。 この記事では、そんな育てかたの一例を紹介していきたいと思います。 なお、本記事はくっそ長いです。 ちなみに、最終的にはこうなります。 文字が小さすぎて読めない! ちょっとそこのハ○キルーペ貸してくれーw
この記事では、Webフロントエンド開発において役に立つと思われるサービスやツールをまとめます。 全般 Can I use 指定した特定の機能が、どのブラウザのどのバージョンで利用可能かを確認するためサービスです。新しいJavaScriptのAPIやCSS3の機能を使ってモダンなWeb開発を行う場合、必須とも言えるくらい利用することになります。 指定した国におけるブラウザのシェア情報をもとにして、特定の機能が何割のユーザーで使用可能かを調べることもできます。 npm / webpack BUNDLE PHOBIA 指定したnpmパッケージのサイズを調べるサービスです。近年のWebではページの表示速度が非常に重要視されており、Webサービスにバンドルするパッケージのサイズも極力小さくすることが求められています。パッケージのサイズを調べる方法は多々ありますが、このツールの場合はパッケージ自体のイ
こんにちは、いちび( @itiB_S144 )です。 2021年12月25日にWindowsイベントログ解析ツールとして「Hayabusa」がリリースされました🎉 Hayabusaは事前に作成したルールに則ってWindowsイベントログを調査し、インシデントや何かしらのイベントが発生していないか高速に検知することができるツールです。 私も開発を微力ながらお手伝いさせていただきました。 本記事では多くの方にHayabusaを触っていただきたいため、簡単な使い方を紹介していきます。 We just released two Windows event log analysis tools: Hayabusa and WELA: https://t.co/nFHxSgUl2q #yamasec— Yamato Security Tools (@SecurityYamato) 2021年12月2
Copyright © 2024 Information-technology Promotion Agency, Japan(IPA) 法人番号 5010005007126
This is The Entire Computer Science Curriculum in 1000 YouTube Videos
This is The Entire Computer Science Curriculum in 1000 YouTube Videos In this article, we are going to create an entire Computer Science curriculum using only YouTube videos. The Computer Science curriculum is going to cover every skill essential for a Computer Science Engineer that has expertise in Artificial Intelligence and its subfields, like: Machine Learning, Deep Learning, Computer Vision,
7/14/20232023年7月14日よりTBS金曜ドラマ『トリリオンゲーム』の放送が始まりました。弊社エンジニアチームは、1話のハッキングシーン作成にIT・セキュリティ技術協力として携っています。本記事では、その背景と詳細を解説します。 『トリリオンゲーム』は起業家とエンジニアの成長物語で、原作からドラマに至るまで、Flatt Security様による的確な技術監修がなされています。このたび弊社は、原作と台本のシナリオに基づいて、 現実的に可能なハッキングシナリオの具体化 詳細が設定されていなかったプログラムの作成 実際のプログラム・コマンドに合わせたセリフ・演技指導 セキュリティチャンピオンシップのルール設定、画面作成支援 を行いました。 金曜ドラマ『トリリオンゲーム』|TBSテレビ 以降、作成した資料や作成の舞台裏をピックアップして紹介します。 ■ 免責事項 本記事は、ドラマ中の技術
数百万件残っていたHTTPのはてなブログを4年越しにすべてHTTPS化させた話 - Hatena Developer Blog
こんにちは id:cohalz です。はてなブログでは2021年4月の公式ブログで、すべてのブログをHTTPSに一本化していくことを案内しました。 ▶ 「HTTPS配信」への切り替えと、ブログの表示の確認をお願いいたします この時点でまだ数百万件のHTTPのブログが残っている状態でしたが、2021年8月には上記の案内に追記したように、全ブログでHTTPS化を完了できました。 完了までに行ってきたことをこの記事で振り返ってみようと思います。 はてなブログのHTTPS化のこれまで はてなブログのHTTPS化は、2017年9月に最初のお知らせを行ってスタートしました。 当初の予定より時間がかかりましたが、2018年2月にHTTPS配信の提供を開始し、これ以降に作成されたブログは最初からHTTPSのみで配信されています。また、それ以前に作成されたブログでも、ユーザ側で設定を変更することで自分のブロ
NECサイバーセキュリティ戦略本部セキュリティ技術センターの日下部です。 エンジニアの方にとって、システムのネットワーク構成を設計する機会は多々あるかと思います。 ネットワーク構成を検討する際、機器の役割や設置場所によって異なるネットワークアドレスを付与するネットワーク分割を実施することになります。ネットワーク分割の方法はファイアウォールやルータといった装置での分割の他に、サーバやPCに二枚のNIC(Network Interface Card)を使用してネットワークを分割するいわゆる”NIC二枚挿し”という方法もあります。しかし、この方法はセキュリティ上推奨しないという考え方があります。 本記事では、セキュアな産業制御システム(ICS : Industrial Control System)を構築するためのガイドであるNIST SP800-82を参考にNIC二枚挿しによるネットワーク分割
これは、Let's Encryptを支えるこの二人のルートCAと OpenSSLの物語である。 DST Root CA X3 (2000-2021) ISRG Root X1 (2015-2035) 〜2021年1月〜 ISRG Root X1「いままで一緒にやってきたDST Root CA X3さんの寿命が間近・・・このままだと僕を信頼してくれていないベテランの(具体的にいうと2016年くらいまでの)古いクライアントたちは Let's Encryptさんを信用してくれなくなっちゃう・・・どうしよう」 DST Root CA X3「どれ、わしが死ぬ前に(有効期限が切れる前に)お前が信頼に値する旨を一筆書いて残せばいいじゃろう。サラサラ」 Issuer: O = Digital Signature Trust Co., CN = DST Root CA X3 Validity Not Bef
Jacopo Jannoneのブログより。 Appleが発表したmacOS Big Surがリリースした直後にサーバの問題が発生し、ユーザが自分のコンピュータでサードパーティ製のアプリを実行できなくなってしまいました。Twitter上の人たちはすぐに回避策を見つけましたが、他の人たちはその問題に関連してプライバシーの懸念を表明しています。 Jeff Johnson @lapcatsoftware Appleユーザの皆さん、 もし、あなたがMacでアプリの起動がハングアップしているなら、私はLittle Snitchを使って問題を特定しました。 それは、http://ocsp.apple.comに接続しているtrustdです。 OCSPはソフト障害なので、接続を拒否すると修正されます。 (インターネットの切断も修正) OCSPとは? OCSPは、Online Certificate Stat
TCPとQUICの比較
ジェフ・ヒューストンのブログより。 QUICトランスポート・プロトコル(RFC 9000)は、オリジナルのTCPトランスポート・プロトコルを改良したものに過ぎないという一般的な見解があります[1][2]。私は、この意見に同意し難く、私にとってQUICは、通信のプライバシー、セッション制御の完全性、柔軟性の面で、アプリケーションが利用できるトランスポート機能における重要な変化を象徴しています。QUICは、より多くの形式のアプリケーションの動作に本質的に役立つ、異なる通信モデルを体現しています。そうです。TCPよりも高速です。私の意見では、公衆インターネットは、いずれQUICがTCPに取って代わると思っています。ですから、私にとってQUICは、TCPに少し手を加えただけのものではありません。ここでは、TCPとQUICの両方について説明し、QUICがトランスポート・テーブルに加えた変更について見
10 10 1990 2018 NPR2018 PGM 1 1 tailored-damage 1 2008 2008 2 1999 1 2 CNA -1 2 CNA 3 1999 4 NATO 1991 4 2000 2006 MD MAD 5 PGM 6 7 10 CSIS 2016 8 PGM PGM PGM A.V. CNA Michael Kofman, Anya Fink, and Jeffrey Edmonds, Russian Strategy for Escalation Management: Evolution of Key Concepts, CNA, 2020, p. 20. <https:// www.cna.org/CNA_files/PDF/DRM-2019-U-022455-1Rev.pdf> -2 1993 2000 2010 2014 PISM 9 2
Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog
※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。 通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なることが知られており、攻撃者が異なる値の種類でパラメータを渡すと、最終的に予期せぬ動作を引き起こす可能性があります。予期せぬ動作とは、バグのような動作やSQLインジェクションなどです。 ほぼすべてのオンラ
男性器をBluetooth経由でロックできるスマート貞操帯に「攻撃者によってリモートから完全にロックされる脆弱性」が判明
Bluetoothを介してスマートフォンと接続してリモート操作が可能な男性向けのスマート貞操帯に「セキュリティ上の欠陥」が発見され、悪意ある攻撃者がリモートで制御すると、着用したら二度と外れないようにできてしまうことが判明しました。 Smart male chastity lock cock-up | Pen Test Partners https://www.pentestpartners.com/security-blog/smart-male-chastity-lock-cock-up/ Locked In An Insecure Cage https://internetofdon.gs/qiui-chastity-cage/ Internet-enabled male chastity cage can be remotely locked by hackers - The Ve
JAWS-UG 初心者支部 #22 ハンズオン用の資料です。 目的 AWSアカウントを不正利用されないために、アカウントを作成したらまずやるべきセキュリティ周りの設定を行います。 前提 AWSアカウントを作成済みであること AWSアカウントにログインしていること リージョンは東京リージョンを利用します ハンズオン手順 アカウント周りの設定 ルートアクセスキーの削除 ※ルートアカウントのアクセスキーは、デフォルトでは作成されておりません。アクセスキーを作成済みの方を対象とします。 ルートアカウントは全てのサービスへのアクセスが出来てしまうため、ルートアカウントは使用せず、IAMユーザーを使用しましょう。 CLI等のプログラムアクセスも不要なため、アクセスキーを削除します。 https://console.aws.amazon.com/iam/home#/security_credential
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ツイッターで出回っている「トランプ氏の実績」について - 電脳塵芥
放送大学マイルストーン('23)|lumpsucker
AWSアカウント作成時にやるべきこと - NRIネットコムBlog
GMOペパボのエンジニア研修2021の資料を公開します - Pepabo Tech Portal
Linus Torvalds 氏の理想の git 運用と GitHub
【AWS】ぼくのかんがえたさいきょうの運用・監視構成 - Qiita
Design Docs at Google
Googleが仮のクレジットカード番号を生成して安全に買い物できるサービス「Virtual Cards」を発表
マイクロソフトが方針転換。Windows 7の2023年までの延長サポート、あらゆる企業が購入可能に
IPA情報セキュリティ10大脅威 知っておきたい用語や仕組み2023年5月.pdf
高木浩光@自宅の日記 - 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む
【決定版】2022年~2023年で必ず確認するべきGitHubリポジトリ 40選
XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
Re: Rails を主戦場としている自分が今後学ぶべき技術について
The History of the URL | The Cloudflare Blog
責任ある開発者のためのHTTPヘッダー | Yakst
DNSリバインディング(DNS Rebinding)対策総まとめ
冴えないAWS環境の育てかた α | DevelopersIO
Webフロントエンド開発で役立つサービスまとめ - Qiita
Windowsイベントログ解析ツール「Hayabusa」を使ってみる - itiblog
情報セキュリティ10大脅威 2020年版 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
TBS金曜ドラマ『トリリオンゲーム』のハッキングシーン舞台裏 - 株式会社リチェルカセキュリティ
NIC二枚挿しによるネットワーク分割はなぜ危ないのか:NIST SP800-82より考察
Let's EncryptのルートCA期限切れで OpenSSL 1.0.2が思わぬ事故を起こす件
Appleは本当にあなたが実行するアプリをログに記録しているのか?
ロシアの核・非核エスカレーション抑止概念を巡る議論 の動向 小泉 悠
AWSアカウントを作成したら最初にやるべきこと -セキュリティ編- - Qiita