Appleの製品セキュリティ解説が面白い
Appleは自社の製品セキュリティについて割と詳細に解説したホワイトペーパーを公開している。何故か日本語版もある。 (PDF版) https://manuals.info.apple.com/MANUALS/1000/MA1902/ja_JP/apple-platform-security-guide-j.pdf EDIT: 日本語版は無くなったようだ (PDF版) https://help.apple.com/pdf/security/ja_JP/apple-platform-security-guide-j.pdf EDIT: 新しいURLで公開された (PDF版) https://help.apple.com/pdf/security/en_US/apple-platform-security-guide.pdf このドキュメントは言わば ユーザのプライバシで商売をすることの決意表明
ヤフーのIE11 サポート終了の進め方
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。第11代黒帯(Webフロントエンド/ヤフー内のスキル任命制度)の伊藤(@koh110)です。 普段はCTO室にあるWebフロント技術室で、全社のフロントエンドに関わる仕事をしています。 最近の仕事のひとつとして、IE11 の非推奨の案内 がありました。 Yahoo! JAPANでは、Internet Explorer 11を推奨ブラウザーとしていましたが、Microsoft社のInternet Explorerサポート終了に伴い、2021年9月7日をもってYahoo! JAPANにおけるInternet Explorer 11でのご利用を非推奨とさせていただきます。 この案内についてTwitterや記事などで触れていた
以下の文章は、コリイ・ドクトロウの「Google reneged on the monopolistic bargain」という記事を翻訳したものである。 Pluralistic 驚くべきことに、かつてAltavistaやYahooをふっと飛ばし、魔法の検索ツールで世界を驚かせたGoogleが、突如クソの山になってしまった。 Googleの検索結果はひどいものだ。ページの上部はスパム、詐欺、広告だらけだ。始末に終えないのは、その広告も詐欺だらけなのだ。時には、資金力のある敵対者がGoogleを出し抜いて大金を稼ごうと大掛かりな詐欺が試みることもある。 https://www.nbcnews.com/tech/tech-news/phone-numbers-airlines-listed-google-directed-scammers-rcna94766 しかし通常、こうした詐欺を働くのは
![かくしてGoogleはスパマーに敗北した | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/a3e1fdf42c7dd4fc729644f9cd286ef877f95066/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2024%2F04%2Fgoog-sleeping-watchdog.jpg)
大企業は無償利用せず金銭的支援を行えと警告したのに改めないので作者がついに激怒、毎週2000万回以上ダウンロードされるcolors.jsとfaker.jsを破壊し使用不能に
人気オープンソースライブラリ「colors.js」と「faker.js」の開発者であるMarak氏が、これらのnpmライブラリを意図的に破壊しました。colors.jsおよびfaker.jsに依存しているプロジェクトは多数存在しているため、その影響が懸念されています。 Dev corrupts NPM libs 'colors' and 'faker' breaking thousands of apps https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/ Open source developer corrupts widely-used libraries, affecting tons of projects
ジョージ・フロイドの死 - Wikipedia
ジョージ・フロイドの死(ジョージ・フロイドのし、英: Murder of George Floyd)は、アフリカ系アメリカ人の黒人男性ジョージ・フロイド(George Floyd)が、2020年5月25日にミネアポリス近郊で、警察官のデレク・ショーヴィンの不適切な拘束方法によって殺害された[3]事件である。 この事件以降、全米でBLM運動と暴動が多数発生した[4]。 事件概要[編集] 2020年5月25日当日、警察官デレク・ショーヴィン(Derek Chauvin)を被疑者とする告訴状によると、偽ドル札の使用容疑により手錠をかけられたフロイドが、「呼吸ができない、助けてくれ」と懇願していたにもかかわらず、8分46秒間フロイドの頸部を膝で強く押さえつけ、フロイドを死亡させた。その時間の中で、フロイドの反応が見られなくなった後の2分53秒間においても当該警察官はフロイドの頸部を膝で押さえつけて
23新卒技術研修で実施したセキュリティ研修の講義資料です。 資料の利用について 公開している資料は勉強会や企業の研修などで自由にご利用頂いて大丈夫ですが、以下の形での利用だけご遠慮ください。 ・受講者から参加費や授業料などを集める形での利用(会場費や飲食費など勉強会運営に必要な実費を集めるのは問題ありません) ・出典を削除または改変しての利用
NTT Comの不正アクセス事件の第2報が出ていました。内容を見るといわゆる裏口から不正侵入されていた事も書かれており、正直驚きました。 japan.zdnet.com 公式発表 当社への不正アクセスによる情報流出の可能性について(第2報) NTTコミュニケーションズは7月2日、5月28日に公表した同社設備への不正侵入と一部情報の外部流出の可能性について、新たにBYOD端末からのリモートアクセスを通じた経路での侵入も判明したと発表した。情報の外部流出の可能性についても83社分が新たに判明したとしている。 同社によると、調査で新たにVDIサーバーを経由して一部の社内ファイルサーバーへの不正アクセスが確認され、社内ファイルが閲覧された可能性があることが5月26日に判明した。リモートアクセスを利用したBYOD端末からの不正アクセスが判明し、全てのBYOD端末とシンクライアント専用端末のリモートア
Google Cloud、無料で生成AIを学べる教材「The Arcade」を公開。ゲーム感覚でポイントを稼ぎ、賞品も獲得可能
提供される教材を順に学んでいくことで、Google Cloudの生成AIツールであるVertex AIや Generative AI Studio を実際に体験できると説明されています。 教材はテキスト形式のチュートリアル The ArcadeのWebサイトを見る限り、シューティングゲームのような楽しい要素が含まれているのかなと思ったのですが、実際に試してみると、解説を読みつつ実際のツールを操作しながらチュートリアルをこなしていくテキスト形式の実践的な教材のようでした。 下記は実際の教材画面の一部です。 教材をこなしていくとポイントを獲得することができるので、これがゲーミフィケーションの要素となっているようです。また、ポイントを獲得すると賞品としてノベルティがもらえるとされています。 公開されている教材は下記のレベル1とレベル2の2つ。これから毎月教材が追加されていく予定です。 Level
マイクロサービスでの認証認可 - Qiita
複数のクラウドサービスを利用している(マルチクラウド)など、単純には閉域網を構築できない環境でマイクロサービスアーキテクチャを採用する場合には、サービス間の認証認可が必要となる。この場合のサービス間の認証認可方式を決める参考となる、OSSやSaaS、Webサービスで採用方式ついて整理した。 Istio サービスメッシュの実装として有名なIstioではサービス間通信を以下のように制御できる。 Istioの認証認可では認証主体がService Identityというモデルで抽象化され、KubernatesやIstioで定義するService Accountに加えて、GCP/AWSのIAMアカウントやオンプレミスの既存IDなどをService Identityとして扱うことができる。 サービス間の認証 (Peer Authentication) は、各サービス (Pod) に設置するSideca
はじめに こんにちは。株式会社Flatt Securityのセキュリティエンジニアの冨士です。 本稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っているエンジニアの多くの方が知っている脆弱性です。ですが、私はWebアプリケーションの脆弱性診断を行ってきた経験の中で多くのXSSを目にしてきましたし、依然として検出率の多い脆弱性の一つだと感じています。 その認知度や、一般的な対策方法のハードルの低さ(設計や仕様によっては対策工数が大きい場合もありますが)にも関わらずXSSの検出率が多いのは、直感的にリスクがわかりづらく、アラートをあげるだけの紹介が多いことが一つの要因ではないかと考えています。 すなわち、興味範囲が「どのよう
画像提供元 photo AC様 ごきげんよう ※2022年1月22日追記 本記事を無償電子書籍にしました。 技術書典12にて頒布中です。 surumegohan.hatenablog.com 今回は掲題の通り 個人事業主(フリーランス)である私が株式会社に対して訴訟を起こし、事実上勝訴となった話を記載します。 裁判所からの和解調書の一部 この記事の最大の目的は相手方に対してどうこうではなく、世の中の個人事業主(フリーランス)が企業と契約した際のトラブルにおいて、少しでも泣き寝入りをする人を減らすためです。 しかしながら、私自身は法律の専門家ではないので、本記事中に不正確な面も含まれている可能性もあるため本記事をそのままご自身の立場等に照らし合わせることはもちろんできません。 本記事に関することで何かしら問題が発生しても責任はとれません。 また、本記事において説明の不足点があることは重々承知
書籍「ゲームの歴史」について(12/終) | Colorful Pieces of Game
このテキストは岩崎夏海・稲田豊史両氏による、先日絶版・返本になると発表があった『ゲームの歴史』の1、2、3の中で、歴史的に見て問題があり、かつ僕が指摘できるところについて記述していくテキストだ。 (12)は3巻の第22-24章とあとがきを扱ったものになり、今回で最後になる。 いつもの2倍ぐらいの長さがあるので、覚悟して読んでいただきたい。 該当の本の引用部は読みやすさを考慮してスクリーンショットからonenoteのOCRで文字の書きだしをしたものを僕が修正したものになっている。なので校正ミスで本文と若干ずれたり、誤植がある場合があるかも知れないが、そこは指摘いただければ謹んで修正させていただく。 シリーズは以下のリンクを読んでいただきたい。 『ちょっとは正しいゲームの歴史』を国会図書館に納本しましたゲームレジェンド新刊『ちょっとは正しいゲームの歴史』できました書籍「ゲームの歴史」について(
一見普通のUSBケーブルなのにキーボードで打ち込んだ内容をすべてWi-Fi経由で外部に送信してしまう「O.MGケーブル」が登場
一見すると普通のUSBケーブルですが、実際にPCに挿すと悪意のある挙動をしてハッキングの手助けをするというのが「O.MGケーブル」です。これまでも通常のUSBケーブルと見分けがつかないO.MGケーブルが発表されていたのですが、新たにPCのキーボードに打ち込んだ内容を保存するキーロガーを内蔵し、Wi-Fi経由で入力内容を外部に送信してしまうという新バージョンが登場しています。 O.MG Keylogger Cable https://mg.lol/blog/keylogger-cable/ This Seemingly Normal Lightning Cable Will Leak Everything You Type https://www.vice.com/en/article/k789me/omg-cables-keylogger-usbc-lightning Security R
はじめに - 秘密のミッションfreeeのような若い会社にも定年制度があると知ったら、驚かれるかも知れません。しかし、上場を期に整備された就業規則には、以下のような条文が存在していました。 第21条(定年) 従業員の定年は満60歳とし、定年に達した日の属する賃金締切日をもって退職とする。 定年に達した従業員のうち、本人が引き続き勤務を希望する者については、定年に達した日の属する賃金締切日の翌日から1年間、嘱託として再雇用することとし、その後最⻑で満65歳に達する日の属する賃金締切日まで同様とする。 freee株式会社 就業規則より日本の伝統的な企業にはたいていある、典型的な定年に関する条文です。今日は、この条文を抹殺すべく(?)freeeに入社し、みごと公約を果たしたというお話をします。 というわけでこんにちは。freeeのPSIRT (Product Security Incident
「Windows Virtual Desktop」正式サービスとして提供開始、マイクロソフト純正のVDI環境。Azureの東西日本リージョンからも利用可能に
「Windows Virtual Desktop」正式サービスとして提供開始、マイクロソフト純正のVDI環境。Azureの東西日本リージョンからも利用可能に マイクロソフトはクラウドサービスとしてWindows 10の仮想デスクトップ環境を提供する「Windows Virtual Desktop」を正式サービス化したと発表しました。 パブリックプレビュー版は米国リージョンからのみ提供されていましたが、正式サービス化に伴い、東日本と西日本リージョンを含む全世界のMicrosoft Azureのリージョンから提供されるようになりました。 Windows Virtual DesktopはMicrosoft Azureのクラウドサービスとして提供されるため、Azureのクラウドコンソールから容易にプロビジョニングが可能。 クライアントとしてWindowsマシンは当然のこと、シンクライアントやiPa
IAM ロールの PassRole と AssumeRole をもう二度と忘れないために絵を描いてみた | DevelopersIO
コンバンハ、千葉(幸)です。 皆さんは、 PassRole と AssumeRole についてきちんと理解ができていますか?どちらも IAM ロールに関するものですね。 私はカラダ(ボディ)の調子がいい時は思い出せるのですが、雨が降っている日や、ちょっと疲れて気を抜いた時にはすぐ分からなくなってしまいます。 ということで、イメージとして脳に刻み付けることによって忘れられなくしてやろうと思いました。 そこで出来上がったのが以下です。 間違えました。以下です。 あ、でもやっぱり忘れづらいのはこちらかもしれませんね。 どうですか?もう忘れられなくなりましたね? 先にまとめ IAM ロールには以下ポリシーを設定できる アイデンティティベースポリシー Permissions boundary 信頼ポリシー AWS リソースに IAM ロールを引き渡す際には PassRole の権限が必要 PassR
【年末年始】2021年の「年間総合はてなブログランキング」トップ100と「はてな匿名ダイアリー」トップ50、一挙公開! - 週刊はてなブログ
みなさんにとって2021年はどんな一年だったでしょうか? 週刊はてなブログでは、毎週月曜日にはてなブログ・はてな匿名ダイアリーの記事を対象としてはてなブログ独自の集計を行い、「今週のはてなブログランキング」を公開。ランキングにはそのときどきの注目記事が集まっています。 今回は、その総決算として2021年にもっとも注目を集めた「年間総合はてなブログランキング」トップ100の記事と、「はてな匿名ダイアリー」トップ50の記事を発表します!*1。集計期間は2021年1月1日~同12月22日です。 # タイトル/著者とブックマーク 1 東大が無料公開している超良質なPython/Data Science/Cloud教材まとめ (*随時更新) - Digital, digital and digital by id:touya_hujitani 2 高卒新人に資産運用を説明する - やしお by id
極右勢力が使っている北欧神話のシンボルについて(議事堂乱入男のタトゥーを読み解く)※今日は英文法はお休み - Hoarding Examples (英語例文等集積所)
【追記】本稿には続きがあります。そちらも併せてお読みください。 hoarding-examples.hatenablog.jp 本稿を書いたことで、改めて、英語で情報を入れている人とそうでない人の基本的な了解事項の格差(ギャップ)を知らされました。少しでも埋めたいので、当ブログはしばらくこの話題でこんな感じで続けます。受験シーズンに英文法から離れてしまって申し訳ないです。英文法の実例・解説が必要という方は、過去記事をあさってみてください。【追記ここまで】 今回は、英文法の実例とはちょっと方向性の違う内容で。 現地時間1月6日の米国会議事堂乱入についての報道で、やたらと目立っていた人物がいる。角のついた毛皮の帽子をかぶり、槍にくくりつけた星条旗を持って、顔にも星条旗の模様をペイントした男だ。とても目立つので取材陣のカメラにもよく写っていて、この日のために現地に入っていたというフリージャーナリ
クラスメソッドでは、定期的にエンジニアから営業向けの勉強会を行なっています。先日、セキュリティに関する勉強会を行いました。せっかくなので、皆さんにも資料を共有します。 クラスメソッドでは、定期的にエンジニアから営業向けの勉強会を行なっています。先日、セキュリティに関する勉強会を行いました。せっかくなので、皆さんにも資料を共有します。 セキュリティはなぜ難しいのか? セキュリティに関するAWSサービスはたくさんあり、またパートナー製品も数多くリリースされています。 セキュリティのために何をすればいいのかよくわらない方も多いかと思います。 なぜセキュリティは複雑で難しいのでしょうか? 私たち自身のセキュリティについて考えてみる AWSのセキュリティを考える前に、私たち自身のセキュリティについて考えてみましょう。 私は今、会社の会議室に同僚といます。 皆さんも会社の会議室にいるシチュエーションを
![[社内資料公開]営業向けAWSセキュリティ勉強会 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/6f1fde3cff7767965729d2d96d3e31da5b8a643d/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2018%2F11%2Feyecatch_developers.io_1200x630.jpeg)
サンフランシスコベイエリアでのITエンジニアの給料は東京より高いが、税金や物価も高いと言われている *1 。ではどちらに住む方がより多くの金が手元に残るのだろうか。 僕がベイエリアに移住してからちょうど1年が経ったので、僕が東京とベイエリアそれぞれにいた頃の出費やタイトルでどのくらい家の収支に差が出るのかということをまとめてみる。なお、この記事を書いている時点で 105.60 円/ドル なので、ドル円の変換をする際はこのレートを用いる *2 。 収入 基本給 ベイエリア 東京 $153,600 913万円 GitLabは同社の世界各地での待遇計算基準を 公開 しており、地域間の差異を公平に計算するには割とよくできたベンチマークなのでここの年収をそのまま使う。計算に使われる location_factors.yml では、日本の給与はサンフランシスコの 56.3% になっている。 Calcu
learning-webrtc_2023-05.md 時雨堂 WebRTC 入門 (講師資料) v2023-05 これは時雨堂が開催しているオンラインイベントである WebRTC 入門の 講師用 の資料であり、 参加者用の資料ではありません。 時雨堂 WebRTC 入門 オンラインイベント 概要 ChatGPT がある今、学ぼうと思えば好きなだけ学べる時代がきています。 ただ「正しい情報」をなんとなく知っている事はとても重要だと考えています。 進め方 今回の WebRTC 入門はまず最後まで大まかに話をしていきます。 その後、残り時間を利用して、細かく話をしていきます。 資料表示用の画面と iPad を画面共有してホワイトボード的な使い方をしていきます。 お願い 是非 Discord にメモを残していってください。 後から振り返るとき、参加者の皆に有用だと思います。 ライセンス Creat
OS Xの終焉
STRATECHERYより。 2002年5月6日、スティーブ・ジョブズはWWDCでClassic Mac OSの葬儀を行いました。 18年後の昨日、OS Xはついに自ら終焉を迎えました。macOSの次のバージョンは10.16ではなく11.0です。 葬儀はありませんでした。 OS Xファミリー OS Xは、テクノロジーの中でも最も魅力的な系統樹を持っています。その重要性を理解するには、それぞれの先人を理解する必要があります。 Unix: Unixは、AT&Tのベル研究所(その著作権はノベルが所有)に由来する特異なオペレーティング・システムを指しますが、米国政府との和解のおかげで(電気通信の巨人を大目に見ることになり、広く批判されました)、Unixは特に大学に広くライセンスされています。結果として最も人気のある亜種の1つは、カリフォルニア大学バークレー校で開発されたBerkeley Softw
在宅勤務のラーメンが獣臭い
中小企業たる弊社もようやく今週から在宅勤務になったので、自炊生活を楽しみながら仕事するかと思い、朝の空いている時間にスーパーへ行った。 うどんやそばの麺が冷蔵で売っているコーナーでちょっといい袋ラーメンを買い、チャーシューでもたっぷり入れてやるかと思って探すと、あまりの高さに驚いた。普段はラーメン屋に食べに行くだけなので知らなかったが、既製品のチャーシューを単品で買うと、これほど高いものだとは。 これは高すぎる、かといって肉なしのラーメンも寂しいと思い、肉コーナーに行って豚バラ肉を200g買ってきた。同じ豚肉なのだから、ラーメンの汁に入れてしまえば、チャーシューとほとんど味は変わらないだろう、量が多いだけお得だ、という計算だった。 麺と一緒に豚肉を1パック全部茹でて、最後にスープと混ぜて、肉を頬張ったのだが、あまりの獣臭さにゴフッ、ゴフッ!!と咳き込んでしまい、鼻から麺が出た。 肉は臭すぎ
社内用GitHub Actionsのセキュリティガイドラインを公開します | メルカリエンジニアリング
この記事は、Merpay Tech Openness Month 2023 の4日目の記事です。 こんにちは。メルコインのバックエンドエンジニアの@goroです。 はじめに このGitHub Actionsのセキュリティガイドラインは、社内でGithub Actionsの利用に先駆け、社内有志によって検討されました。「GitHub Actionsを使うにあたりどういった点に留意すれば最低限の安全性を確保できるか学習してもらいたい」「定期的に本ドキュメントを見返してもらい自分たちのリポジトリーが安全な状態になっているか点検する際に役立ててもらいたい」という思いに基づいて作成されています。 今回はそんなガイドラインの一部を、社外の方々にも役立つと思い公開することにしました。 ガイドラインにおける目標 このガイドラインは事前に2段階の目標を設定して作成されています。まず第1に「常に達成したいこと
元記事はこれです https://note.com/yoshiaono/n/n4cd37820faf0 ・そもそもマイナンバーカードの目的がよくわからない。身分証明のためなら運転免許証や健康保険証でよくね?そもそも何が問題なの? 身分証明だけなら運転免許証で良いが(健康保険証は顔写真が無い)、誰でも取得出来る顔写真付き身分証明書は必要(追記) マイナンバーカードのICチップによる身分証明と正しいマイナンバーの検証が同時に確認できるのが肝 ・カードに書かれたマイナンバーが漏れるとまずいらしい。漏れるとまずいのに印刷するの?みんなで便利に使うための番号じゃないの? ここは政府の雑な説明がほぼ悪いのだが、青野社長レベルで「漏れるとまずいらしい」という認識なのか… 「みんなで便利に使うための番号じゃないの?」その議論もあったがマイナンバー法で目的外利用が厳しく制限された。アメリカでのSocial
sudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedit) - SIOS SECURITY BLOG
OSSに関するセキュリティ・ツールの使い方・脆弱性等を紹介しています。 SELinux/Capability/AntiVirus/SCAP/SIEM/Threat Intelligence等。 OSS脆弱性ブログ01/27/2021にsudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedit)が公開されています。どのローカルユーザでもパスワード認証を経ずに特権昇格が出来るため、一度ローカルユーザのターミナルを開くことが出来れば権限昇格できてしまうという強烈なものです。今回はこちらの脆弱性の概要と、各ディストリビューションの対応について簡単にまとめてみます。 【01/27/2021 10:30更新】Amazon Linuxのリンク(ALSA-2021-1478)も加えました。また、詳細情報を追記しました。 【01/27/2021 14:30更新】O
OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を
OpenSSLに重大度「CRITICAL(致命的)」の脆弱(ぜいじゃく)性が発見されました。脆弱性への対応は迅速に行われており、日本時間の2022年11月1日22時~2022年11月2日4時の間に修正版の「OpenSSL 3.0.7」が公開予定です。OpenSSLに重大度「CRITICAL」の脆弱性が発見されたのは、2014年に報告されて世界中を騒がせた「Heartbleed」に続いて史上2回目。修正版のリリース後には、速やかにアップデートを適用する必要があります。【2022年11月2日追記】その後の分析の結果、OpenSSL 3.0.7で修正された脆弱性の重大度は「HIGH(CRITICALの1段階下)」に修正されました。 Forthcoming OpenSSL Releases https://mta.openssl.org/pipermail/openssl-announce/202
自分のパスワードやMFA(多要素認証)の管理方法についてまとめた記事です。 パスワード管理とTOTP(Time-based One-time Password)の管理として1Passwordを使い、MFA(多要素認証)の2要素目としてYubiKeyを2枚使っています。 パスワード管理とMFA管理を安全で使いやすくするのはかなり複雑で難しいため、完璧にやるのが難しいです。 そのため、その難しさから二要素認証を設定するべきアカウントも手間などから設定を省いてしまったり、管理方法に一貫性がありませんでした。 この記事では、パスワード管理/MFA管理の戦略を決めることで、どのサイトのどのアカウントのパスワード管理をあまり頭を使わなくてもできるようにするのが目的です。利便性と安全性のバランスを意識はしていますが、この記事のやり方が正解ではないので、各自の目的に合わせて読み替えると良いと思います。 用
Tediumより。 AppleがPowerPCからIntel CPUに移行した時を振り返り、なぜ今、インテルが15年前のPowerPCと同じ立場にあるのかを考えてみよう。 アーニー・スミス Today in Tedium: おそらく、今日私が状況を説明しようとしている待望の瞬間は、ある意味で完全に避けられないでしょう。何年もの間、AppleはARMプロセッサ・アーキテクチャの知識を利用してデスクトップやノートパソコンにARMを持ち込むという噂がありました。来週の仮想ワールドワイド・デベロッパーズ・カンファレンスで、iPhoneの巨人がまさにそれを行うことを期待されています。もちろん、多くの人は失敗したパートナー、つまりAppleの垂直統合への動きにつながったビジネスの失恋相手であるインテルに焦点を当てることでしょう。しかし、私は、インテルがAppleを買収する途中で打ち負かしたプラットフォ
本文の内容は、2022年8月29日にAlejandro Villanuevaが投稿したブログ(https://sysdig.com/blog/26-aws-security-best-practices/)を元に日本語に翻訳・再構成した内容となっております。 Well-architected フレームワークの最も重要な柱の1つは、セキュリティです。したがって、AWSセキュリティベストプラクティスに従って、不測なセキュリティの事態を防止することが重要です。 さて、あなたは問題を解決するために、ソリューションを構築してホストする目的でAWSに着目しました。アカウントを作成し、コーヒーを淹れてワークステーションに座り、設計、コーディング、ビルド、デプロイをする準備はすべて整いました。しかし、そうではありません。 ソリューションの運用性、安全性、信頼性、パフォーマンス、費用対効果を高めるには、多く
読んでみたら最高だった「クラウド系オススメ技術同人誌」を7冊紹介します #技術書典 - 憂鬱な世界にネコパンチ!
2020年4月5日に閉幕した技術書典 応援祭では、たくさんの技術同人誌が頒布されました。 本記事ではAWS・コンテナ・CICDをテーマにしたオススメの技術同人誌を紹介します。 個人的な趣味趣向から、特定領域について広く網羅している本ばかりになりました。 なお本記事で紹介している本はすべてBOOTHから購入できます。 リンクも貼ってあるので、気になる本はぜひ買いましょう。 どの本も1000円か1500円でとってもお安いので、全部買ってもいいぐらいですよ! クラウド破産を回避するAWS実践ガイド いきなり自著の紹介からスタートしますが、『クラウド破産を回避するAWS実践ガイド』ではAWSアカウントのセキュリティについて解説しています。「AWSなんか怖い…」を「AWSなど恐るるに足らず!」に変える本です。AWSは気になってるけど勇気が出ないという人・AWSアカウントは持ってるけどセキュリティが放
Container Security Book ⚠️この文書は製作中のものです About これから Linux コンテナのセキュリティを学びたい人のための文書です。 普段からコンテナを扱っているが、コンテナの基礎技術やセキュリティについては分からないという人が、それらを理解できる足がかりになるように書かれています。 誤字脱字や間違いなどあれば https://github.com/mrtc0/container-security-book に Issue もしくは Pull Request を立ててください。 ご意見、ご感想等は Twitter ハッシュタグ #container_security でツイートをお願いします。 License この書籍に記述されているすべてのソースコードは MIT ライセンスとします。 また、文章は Creative Commons Attribution
英語の「Authentication」を整理する ここからは先ほどの分類で言うところの「ユーザ認証」としての「認証」、つまり英語の「Authentication」に該当する「認証」について、さらに整理を進めていきます。 先ほど、「ユーザ認証」を「システムを利用しようとしているユーザを、システムに登録済みのユーザかどうか識別し、ユーザが主張する身元を検証するプロセス」と説明しました。「ユーザの識別」と「身元の検証」はユーザ認証に欠かせませんが、実際は他にも「ユーザの有効/無効状態の確認」や「検証に成功した場合の身元の保証(アクセストークンの発行等)」などの処理も一般的にユーザ認証のプロセスには含まれます。 ここで冒頭の「○○認証」を振り返りましょう。パスワード認証、SMS認証、指紋認証、顔認証は実はここで言うユーザ認証には該当せず、ユーザ認証中の一処理である「身元の検証」を担っていることがお
「情報セキュリティ10大脅威 2024」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2024 [組織編](3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](一般利用者向け)(6月中旬公開予定) 情報セキュリティ10大脅威 2024 [組織編](英語版)(7月下旬公開予定) 「情報セキュリティ10大脅威 2024」簡易説明資料(脅威個別版) 情報セキュリティ10大脅威 2024 [組織編](脅威個別版)(3月下旬公開予定) 情報セキュリティ10大脅威 2024 [個人編](脅威個別版)(3月下旬公開予定) 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利用いただいて構いません。 ご利用に際しまして、当機構より以下をお願いしており
サイバー攻撃が高度化し被害が深刻化するにつれ、その防御には専門的なスキルが不可欠となっています。セキュリティ担当者の深い知識と豊富な実務経験が求められているのです。 そのスキルを証明するものにセキュリティ資格があります。セキュリティ資格の種類も多数あり、受験者の増加傾向も見られるようになってきました。これらセキュリティ資格には、どのような職種向けに、どのようなものがあるのでしょうか。また、取得することで、個人や企業にどのようなメリットがあるのでしょうか。 ここでは、主にセキュリティ資格の取得メリットと選択ポイントを2回に分けて紹介します。 セキュリティ資格は多くの種類があり、その数も増えつつあります。国が制度として実施しているものもあれば、ベンダーが展開しているセキュリティ資格もあります。中間に位置するものとして、団体が提供するセキュリティ資格もあります。 さらに、日本国内のみならず、海外
3大クラウドと呼ばれてる(はず)のAWS、Azure,GCPについて、それぞれ一番中心となるだろうアーキテクト試験を取得してきたので、個人的な感想や比較を書きたいと思います。 AWS Solution Architect Professional Azure Solutions Architect Expert GCP Professional Cloud Architect 3つを受けてみると、各社の色が現れていて面白かったです。 以下、個人的かつ定性的な評価となります。 ※3大クラウドのDevOps試験についてはこちらに記事書きましたので良かったらどうぞ https://qiita.com/yomon8/items/4c223b51a04d0b1feeeb 3試験で共通していること IaaSが半分、残りをPaaSをSaaSを組み合わせたような出題分野で、所謂インフラ寄りですね。開発知識
By Brad Duncan August 21, 2020 at 6:00 AM Category: Tutorial, Unit 42, Unit 42 Tags: tutorial, Wireshark, Wireshark Tutorial This post is also available in: English (英語) 概要 本シリーズは、疑わしいネットワークアクティビティの調査やネットワークトラフィックのパケットキャプチャ(pcap)の確認を業務で行っておられるセキュリティ専門家を読者として想定しています。このため本稿での手順説明は読者の皆さんがWiresharkの使いかたをご存知であることを前提としています。また、本稿にて利用するWiresharkのバージョンは主に3.xとなります。 昨今、対象となる疑わしいネットワークアクティビティのトラフィックが暗号化されているこ
ドイツでベーシックインカム実験始まる…3年間、毎月15万円を支給。イギリスなどでも議論がスタート(BUSINESS INSIDER JAPAN) - Yahoo!ニュース
スコットランド自治政府のニコラ・スタージョン首相は5月、新型コロナウイルスのパンデミックにより壊滅状態となった経済を立て直す解決策として、ユニバーサル・ベーシック・インカムに言及した。 ドイツ経済研究所によるユニバーサル・ベーシック・インカム(UBI)研究の一環として、120人のドイツ人が3年にわたって毎月1200ユーロ(約15万円)を受け取る。 UBIは国民あるいは居住者に対して最低限必要な所得を保障する政策で、通常は政府から現金の支給という形で行われる。 暫定的なUBIは、すでにアメリカ、スペイン、デンマークなどいくつかの国で実施されている。 ドイツの研究者グループが、ユニバーサル・ベーシック・インカム(UBI)の効果を明らかにするための実験を開始した。UBIは、国民あるいは居住者に対して最低限必要な所得を保障する政策で、通常は政府から現金の支給という形で行われる。 ドイツ経済研究所が
はじめに ◆この記事は何? IPA高度資格「情報処理安全確保支援士」のシラバスに掲載されている用語の備忘録です ◆対象は? 情報処理安全確保支援士の試験勉強をされる方 ◆この記事のねらい 試験範囲の用語の階層を整理します 試験勉強の一助となれば幸いです ◆この記事について シラバスの用語を参考書等を読みながら自分なりに整理した私の暗記用のノートです 試験に向けて高頻度で更新しています ご助言、誤り等あればご指摘いただけると幸いです 試験範囲全体 試験範囲の分解 暗号 認証 ネットワークセキュリティ データベースセキュリティ クライアントセキュリティ httpセキュリティ メールセキュリティ 攻撃と対策 注目技術 ※参考文献の目次をベースに、試験範囲を分解 暗号技術 共通鍵暗号方式 ブロック暗号 ECBモード CBCモード CTRモード(Counterモード) ストリーム暗号 公開鍵暗号方式
前から思ってたことをちょっと書かずにいられなくなったのでポエムを書きました。 背景 問題 検知している方が正しいように見えがち 条件を揃えるのが難しい 環境の再現が難しい 検知数が多い方が良さそうに見える 正解かどうかの判断が難しい カバー範囲の正確な見極めが難しい 検知されないほうが嬉しい まとめ 背景 お前誰だよってなるかもしれないので書いておくと、Trivyという脆弱性スキャナーのメンテナをやっています。 github.com とある有名な方による以下のツイートがありました。 I just discovered, during @cloudflare #SecurityWeek no less, that Trivy (the vuln scanner) doesn't detect known issues in Alpine images. Including a critica
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
かくしてGoogleはスパマーに敗北した | p2ptk[.]org
セキュリティ研修【MIXI 23新卒技術研修】
NTTコミュニケーションズは裏口も攻められた - Fox on Security
開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog
個人事業主として株式会社に訴訟して事実上勝訴した話 - するめごはんのIT日記
60歳が近づいてきたので会社の定年制度を廃止した。自分で。|ただただし
[社内資料公開]営業向けAWSセキュリティ勉強会 | DevelopersIO
ベイエリアは東京より儲かるのか - k0kubun's blog
時雨堂 WebRTC 入門 (講師資料) v2023-05
サイボウズ青野社長のマイナンバーカード批判に指摘する
パスワード管理/MFA管理の戦略
Appleが、PowerPCとインテルを見捨てた理由
本番環境で実践したいAWSセキュリティのベストプラクティス26選
About · Container Security Book
「認証」を整理する | IIJ Engineers Blog
情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
セキュリティ資格一覧|セキュリティ資格の解説とその取得メリット・選択ポイント(上)
AWS,Azure,GCPの3大クラウドのアーキテクト試験に合格してみての個人的比較 - Qiita
Wiresharkによるパケット解析講座 8:HTTPSトラフィックの復号
IPA高度資格「情報処理安全確保支援士」暗記すべき用語を体系整理 - Qiita
セキュリティツールの評価は難しい - knqyf263's blog