Rivian offers (up to) $5,000 discount if you trade in your gas-powered truck
Engadget | Technology News & Reviews
Rivian offers (up to) $5,000 discount if you trade in your gas-powered truck
Steamウォレットの残高増殖バグにValveが対応、発見者に80万円の報奨金
PCゲームプラットフォーム・Steamで、ウォレットの残高を不正に増やすことができるバグが見つかりました。バグは発見者がSteamを運営するValveに連絡したことで速やかに対処され、発見者には7500ドル(約82万円)の報奨金が支払われました。 #1295844 Modify in-flight data to payment provider Smart2Pay https://hackerone.com/reports/1295844 Steam security: Valve promptly resolves ‘unlimited funds’ gaming wallet cheat | The Daily Swig https://portswigger.net/daily-swig/steam-security-valve-promptly-resolves-unlimite
「アプリで開閉するレンタカーが山奥で開かず」の人、その後の顛末を語る(前編) トヨタの担当者と再検証した結果、どうなったのか
米Quoraのエバンジェリスト、江島健太郎(@kenn)さんが旅先で遭遇したレンタカーのトラブルに関するツイートが大きな話題になり、Twitterのトレンドにもなった。その顛末を、ポッドキャスト番組「backspace.fm」にゲスト出演した江島さん自身が詳しく語った。 「山奥で車のドアが開閉不能に」──トヨタの無人レンタカーでトラブル、“その場に置き去り”仕様に物議 トヨタ「案内ミスだった」 江島さんが使ったのは、トヨタ自動車の無人レンタカーサービス「チョクノリ!」。Bluetoothを使い、スマートフォンアプリで車の鍵を開閉する仕組みだが、飛騨の山奥で車のドアが開かなくなり、締め出されてしまうというトラブルに見舞われた。「アーリーアダプターとして初期のバグは踏んでおかないといけない星の下に生まれてきたので」と江島さんは笑うが、一つ間違えば命に関わるトラブルでもある。 締め出されてしまっ
Firefoxは危険なJavaScriptに対応しない - Qiita
Firefox / Safari MozillaはMozilla Specification Positionsというリストを公開しています。 IETFやW3C、TC39などが提唱しているWeb技術に対して、Mozillaはどのように評価しているかという立ち位置を表明したものです。 あくまで現時点での評価であり、もちろん今後の仕様変更などに伴い評価は変わる可能性があります。 Mozilla's Positions Mozillaはどのように評価しているかの分類。 under consideration 評価の検討中。 important 優れた概念であり、Mozillaにとっても重要である。 worth prototyping 優れた概念であるが、プロトタイプを作成し、フィードバックを得て磨きをかける必要がある。 non-harmful 有害ではないが、良いアプローチではなく、取り組む価値
OAuthにおける認可コード横取り攻撃とその対策
OAuthにおける認可コード横取り攻撃とその対策 Jul 5, 2021 前回の記事で示したように、カスタムURLスキームを偽装した不正アプリは正規アプリへのディープリンクを乗っ取れる。この挙動の悪用シナリオとして、正規アプリと認可サーバー間のOAuthフローにおける認可コード横取り攻撃が知られている。この攻撃への対策を把握するためにiOS環境でシナリオを再現し、PKCEの有効性を確認した。 要約 OAuth 2.0の拡張機能であるPKCEを導入することで認可コード横取り攻撃を無効化できる。OAuth 2.0の仕様では、認可サーバーはネイティブアプリをクライアント認証できない。そのため、認可サーバーは認可コードを横取りした不正アプリと正規アプリを識別できない。しかし、PKCEの仕組みにより認可サーバーは正規アプリを識別できるようになり、認可コード横取り攻撃の検知が可能となる。 ネイティブア
日本オリンピック委員会のランサムウエア感染事案についてまとめてみた - piyolog
2021年6月25日、日本オリンピック委員会(JOC)が昨年4月下旬にサイバー攻撃による被害を受けていたと報じられました。ここでは関連する情報をまとめます。 1年前のランサムウエア感染 2020年4月下旬、JOCがランサムウエアによりデータが一部暗号化される被害を受け、事務局内のサーバー、PCに一時アクセスできない状況が発生していたと報じられた。*1 JOCはこの影響により業務停止は部分的に発生したが、定常業務全体が停止する事態は起きていないとしている。*2 JOC事務局がランサムウエアに感染した原因や経緯は不明。またランサムウエアの種類名は報じられていない。 今回の事案では犯行声明や身代金要求が行われていないが、専門家の調査結果よりランサムウエアに感染したとJOCは判断している。 被害に遭ったサーバーには日本国内の競技団体強化選手に関する個人情報等が保管されていたが流出は確認されていない
NIC二枚挿しによるネットワーク分割はなぜ危ないのか:NIST SP800-82より考察
NECサイバーセキュリティ戦略本部セキュリティ技術センターの日下部です。 エンジニアの方にとって、システムのネットワーク構成を設計する機会は多々あるかと思います。 ネットワーク構成を検討する際、機器の役割や設置場所によって異なるネットワークアドレスを付与するネットワーク分割を実施することになります。ネットワーク分割の方法はファイアウォールやルータといった装置での分割の他に、サーバやPCに二枚のNIC(Network Interface Card)を使用してネットワークを分割するいわゆる”NIC二枚挿し”という方法もあります。しかし、この方法はセキュリティ上推奨しないという考え方があります。 本記事では、セキュアな産業制御システム(ICS : Industrial Control System)を構築するためのガイドであるNIST SP800-82を参考にNIC二枚挿しによるネットワーク分割
史上最大規模のパスワードが漏洩 | Ubergizmo JAPAN
時々、パスワード漏洩を引き起こすデータ流出について聞くことがあります。これが多くの人に影響を及ぼすのは明らかですが、最新の流出はこれまでで最大のパスワード漏洩となる可能性がありそうです。CyberNewsからの報告によると、100GBに及ぶテキストファイルが有名なハッカーフォーラムに投稿されたようです。 テキストファイルそのものは非常に小さい容量なので、それが100GB分となると、84億個ものパスワードが含まれることになり、非常に心配されます。これほど多くのユーザーを抱えるサービスは単体で存在しない(Facebookでも20億人強)ことを考えると、これは過去のデータ漏洩や流出で盗まれたものも合わせたパスワードの数であると考えて間違いありません。 あなたがこの影響を受けるかどうかについては、その可能性が十分にあるでしょう。Have I Been Pwnedのように、Eメールアドレスにデータ侵
Web Application開発に10080番ポートは使ってはいけない
要約 現在最新のGoogle Chormeで10080番ポートが使用できなくなった Firefoxではすでにブロック済み NAT Slipstreaming v2攻撃への対応のため ブラウザからアクセスするサーバを建てる場合は10080以外のポートにするべき 回避方法は一応ある Chrome 91以降は10080番ポートがブロックされる Google Chormeの91 (2021/05/25 リリース)から10080番ポートへのサーバに接続できなくなります。 例えば Google Chrome 90だと以下のように10080番のポートを受け付けるサーバにアクセスできますが、91以降だとアクセスできなくなります % python -m http.server 10080 Serving HTTP on 0.0.0.0 port 10080 (http://0.0.0.0:10080/) .
CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog
本日コーポレートサイトでお知らせした通り、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明して修正が完了しております。また、個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡させていただきました。 お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。 本エントリでは技術的観点から詳細をお伝えさせていただきます。 2017年6月27日 CDNのキャッシュの動作について、CDNプロバイダと仕様について確認し検証を行いました。その結果一部記述に実際と異なる箇所があり、加筆修正いたしました。 概要 メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行いました。 その際本来キャッシュされるべきでない
「Codecov」への第三者からの不正アクセスによる当社への影響および一部顧客情報等の流出について
(2022年9月26日追記) 本件に関する、セルフチェックページとお問合せ窓口の提供を終了いたしました。 この度は、お客さまをはじめ多くの関係者の皆様に多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。 株式会社メルカリは、当社が利用している外部のコードカバレッジツール※「Codecov」に対する第三者からの不正アクセスにより、当社のソースコードの一部および一部顧客情報(フリマアプリ「メルカリ」で2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報17,085件、2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報217件、2013年5月に実施したイベントに関連した情報6件、「メルカリ」および「メルペイ」の一部取引先等に関する情報7,966件、当社子会社を含む一部従業員に関する情報2,615件)が外部流
認証用トークン保存先の第4選択肢としての「Auth0」
iCARE Developer Meetupは、月次で開催している株式会社iCAREが主催するエンジニア向けのLT勉強会です。18回目の今回は、Ruby on Railsをテーマに行いました。サーバーサイドエンジニアの越川氏からはToken認証機能について。 Rails APIモードで開発するときの認証用のトークンはどこに保存すればいいの問題 越川佳祐氏:私からは、「Rails APIモードにおけるToken認証機能について」というテーマでLT(ライトニングトーク)をしようと思っていたんですが、スライドを作っていて「あれ、これ別にRailsだけの話じゃなくない?」と思ってしまいました。みなさんの中にも、そう思う方がいるかもしれないんですが、もうこれで作っちゃったのでご了承ください。 私は株式会社iCAREで、サーバーサイドエンジニアをしている、越川と申します。Twitterは@kossy0
三井住友カードから重要なお知らせ「カード差し替えに関するご協力のお願い」が送られてくる → 問い合わせた結果ゾッとした
» 三井住友カードから重要なお知らせ「カード差し替えに関するご協力のお願い」が送られてくる → 問い合わせた結果ゾッとした 特集 詐欺怖い。絶対に引っかかりたくないものだ。本サイトでも何度も注意喚起をお伝えしているが、それほどに詐欺があふれかえる世の中である。気をつけて気をつけすぎることはないだろう。 そう思っていたところ、三井住友カードから重要なお知らせの封筒で「カード差し替えに関するご協力のお願い」なるものが送られてきた。なんでも「カード情報が第三者に流出した可能性がある」ため、「カード番号変更」をする必要があるのだとか。 大変だ! 直ちに記載されているURLにアクセスしてカード番号を変更しないと!! と、その時ふと思った。これって詐欺じゃね? ・封筒の内容 書面によると、三井住友カードの調査の結果、過去に利用した加盟店から、カード情報が第三者に流出している可能性があることが判明したら
Let's Encryptのルート証明書切替周り(完結編) | おそらくはそれさえも平凡な日々
tl;dr 驚くべきハックにより旧Androidも引き続き証明書エラーなくサイトを閲覧できそうです いよいよ5/4に標準の証明書チェーンが切り替わります 前回までのおさらい Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる Let's Encryptの証明書切替周りその後 Let's Encryptはルート証明書を自身(ISRG)の認証局のルート証明書(ISRG Root X1)に切り替えようとしています。現在は、IdenTrustのルート証明書(DST Root CA X3)が使われています。 正確に言うと、ISRGは新しい認証局なのでそのルート証明書の普及率も当然低く、中間証明書はIdenTrustのルート証明書でクロスサインされており、それが標準で使われています。標準がDSTになっているだけで、ISRGのルート証明書のチェーンの証明書も指定すれば今で
とほほのSELinux入門 - とほほのWWW入門
SELinux の有効化状態を調べるには getenforce コマンドを使用します。 # getenforce Enforcing:検知して拒絶する Permissive:検知してログに書き込むが、拒絶まではしない Disabled:無効。検知も拒絶もしない SELinux の有効化状態を一時的に切り替えるには setenforce コマンドを使用します。OS を再起動すると元の状態に戻ります。 # setenforce 0 # 一時的にpermissiveモードに変更 # setenforce 1 # 一時的にenforcingモードに変更 恒常的に変更するには /etc/selinux/config を書き換えて OS を再起動します。/etc/sysconfig/selinux を編集と紹介されてたりしますが、これは /etc/selinux/config へのシンボリックリンクで
HomebrewのCaskリポジトリを介した任意コード実行
English version is available here: https://blog.ryotak.net/post/homebrew-security-incident-en/ (公式インシデント報告はこちらから読むことができます: https://brew.sh/2021/04/21/security-incident-disclosure/) はじめにHomebrewプロジェクトはHackerOne上で脆弱性開示制度(Vulnerability Disclosure Program)を設けており、脆弱性の診断行為が許可されています。 本記事は、当該制度に参加し、Homebrewプロジェクトのスタッフから許可を得た上で実施した脆弱性診断行為について解説したものであり、無許可の脆弱性診断行為を推奨することを意図したものではありません。 Homebrewに脆弱性を発見した場合は、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[みんなのケータイ]スマートロックが解除できず遂に締めだしにあってしまった話![[みんなのケータイ]スマートロックが解除できず遂に締めだしにあってしまった話](https://cdn-ak-scissors.b.st-hatena.com/image/square/bd5800de752485e6209554415c2666e2f129bff0/height=288;version=1;width=512/https%3A%2F%2Fk-tai.watch.impress.co.jp%2Fimg%2Fktw%2Flist%2F1340%2F971%2Feyecatch.jpg)
エレコム製ルーターに脆弱性。修正はなく使用中止を勧告
3,000万台のデル製PCのBIOS機能に脆弱性。更新または機能無効化を推奨
WindowsとChromeのゼロデイ脆弱性を悪用した攻撃「PuzzleMaker」 ~Kasperskyが注意喚起/いずれも修正パッチを適用することで対策が可能
