Wi-Fi セキュリティのことはじめ - 記憶力が無い
この記事は Cyber Security Advent Calendar 2022 の 20 日目の記事となります。 はじめに 今や Wi-Fi ルータは多くの家で利用されていますが、 どのような仕組みで安全な無線通信が実現しているかを理解して使っている人は多くはいないと思います。 私もこれまであまりわかっていないまま使ってきました。 今回は、Wi-Fi セキュリティのことはじめとして、通信の暗号化に使用する鍵を決定する手続きである 4way-Handshake について調べてたことをまとめようと思います。 4way-Handshake 家庭用の Wi-Fi ルータで広く採用されているセキュリティ規格である WPA2-PSK では、通信の暗号化に使う鍵を決定するのに 4way-Handshake と呼ばれる手続きを行います。 4way-Handshake では、下の図に示すようにアクセスポ
楕円曲線暗号に 512 bit は存在しない | はったりエンジニアの備忘録
新しい SSH 鍵を作るために ssh-keygen のマニュアルを読んでいたら、おもしろい記述を見つけました。鍵のビット長を指定する b オプションの説明です。 For ECDSA keys, the -b flag determines they key length by selecting from one of three elliptic curve sizes: 256, 384 or 521 bits. 「ECDSA キーの場合、b オプションは 3 つの楕円曲線サイズのいずれかを選択することでキーの長さを決定する」。ここまでは理解できるのですが、示された 3 つ目のビット長が 521 bit なんです。 「えっ、2^9 の 512 bit じゃなくて 521 bit なの?」エンジニアなら違和感を感じて、まずタイポを疑いますよね。自分もタイポだと思って Fedora で試
GitHubのSecret scanning alertsを有効化してセキュリティリスクを低減する - Qiita
はじめに 本記事はGitHubのSecret scanning alertsについて記載しています。 2023年2月28日、GitHubのブログでSecret scanning alerts are now available (and free) for all public repositoriesが公開されています。 上記ブログの情報を踏まえて、Secret scanning alertsがすべてのパブリックリポジトリで無料で利用できるようになりました。 従ってSecret scanning alertsを有効化することで、code, issues, description, and commentsに関するクレデンシャル情報が漏洩した場合、アラートを通知することができます。 Secret scanning alertsの設定 Secret scanning alertsを有効化する
AIモデルのsafetensors形式とは何者か?ckptと比較しつつ解説する
1,そもそもckpt形式のモデルファイルはどのようにデータを保存していたのかsafetensors形式はckpt形式の様々な欠点の改善を目的として作られたデータ保存方法であり、HuggingFaceが主導しています。 そのため、safetensorsの利点を説明するにはまず従来のckptで何がアカンかったのか、ckptのデータ保存方法から読み解く必要があります。 .ckpt拡張子とpickleの関係画像生成AI関連のモデルでよく目にする.ckptという拡張子は、「pickle」というPythonのモジュールを用いて直列化して保存されたデータに用いられる拡張子です。 データを直列化(バイト列に変換する)ことを「pickle化」・「ピクル化」と呼びます。 逆に、バイト列からデータを復元することを「非pickle化」「非ピクル化」といいます。 pickleモジュールを使って、例えば以下のようなP
Amazon Machine Images (AMI)をTrivyでイメージスキャン、を自動で実行するシステム
はじめに AWS re:Invent 2022の興奮の中、Trivyのアップデートも発表されました。 Amazon Machine Images (AMI)を対象にしたイメージスキャン!?うおおおお、我慢できねえ!早く試したいぜ。 ちなみに本リリース後の作者のTwitterをみるに、この時期に合わせるために大変だった様子が垣間見えます。 この努力に報いるためには私もハードコアにやらなくてはいけません。という訳で、アドベントカレンダー2週間前ですが、予定を変更して本記事を書くことにします。 おさらい - 機能把握 ※再掲 このブログがすべてなのですが、機能を簡単に説明すると VMイメージやファイルシステムボリュームのスキャンを実施するためのtrivy vmコマンドが追加された。 ローカルだけではなく、AWSのAMI(VMイメージ)とEBS(FileSystem)のIDを指定してスキャンできる
今流行りの投機実行脆弱性の影響を一切受けないDOOM実装が公開される
https://github.com/xoreaxeaxeax/movfuscator/tree/master/validation/doom このDOOMは条件分岐を一切使用していない。したがって今流行りの投機実行の脆弱性であるMeltdownやSpectreによる脆弱性は存在しない。 ちなみに、現代の性能のコンピューターで、1フレームの描画に7時間ほどかかるので、このDOOMで遊ぶには若干の忍耐力を要求される。しかし、脆弱性の完全な排除のためには若干のパフォーマンスの低下はやむを得ないところだろう。 このDOOM実装はオリジナルのDOOMのCコードに若干の変更を施して、M/o/Vfuscatorでコンパイルしたものだ。 https://github.com/xoreaxeaxeax/movfuscator M/o/Vfuscatorとは、IntelのMMUがチューリング完全であることを
AWS Security Hub のアラートを減らすためのCDK実装例 - 電通総研 テックブログ
こんにちは。X(クロス)イノベーション本部 ソフトウェアデザインセンター セキュリティグループの耿です。これは電通国際情報サービス Advent Calendar 2022 12/14の記事です。 プログラミング言語でクラウドインフラをIaC化できるライブラリとして、AWS Cloud Development Kit (CDK)が使われることが増えています。CDKではリソースのデフォルト値が設定され、便利に短く記述できる一方で、デフォルト値が必ずしも推奨されるセキュリティ構成になっていない場合があります。Security Hubのセキュリティ基準を利用していると、リソースをデプロイした後にアラートに気付いて修正をすることもあるのではないでしょうか。 そこでこの記事では、Security Hubのセキュリティ基準でアラートを出さないためのCDKによるリソースの記述方法を、主要なサービスの種類
3Dセキュア入門 -B/43の3Dセキュア開発・運用の裏側- - inSmartBank
こんにちは。チャージ式プリペイドカードと家計簿アプリがセットになったサービス、B/43のサーバサイド開発をしている@ohbaryeです。 はじめに 唐突な問ですが、読者諸兄はECサイトでカード決済を行う際に本人認証を求められたことはあるでしょうか?弊社のようなカード会社のブログを読まれる方であれば人生で一度は経験しているのではないかと推察します。 この仕組みは3Dセキュアと呼ばれる本人認証サービスで、カードの盗用やなりすましなどの不正利用の防止を目的としてつくられたものです。近年では不正利用防止だけでなく消費者の利便性向上に寄与するシーンも増え*1、B/43にも多くのユーザーさんから3Dセキュア対応の要望がありました。B/43はその要望にお応えして2022年の6月に3Dセキュアに対応したカードをリリースしました。 本記事では筆者が3Dセキュアの開発・運用を通じて学んだ、3Dセキュアの仕組み
データプラットフォームにおけるパーソナルデータとの向き合い方
この記事は datatech-jp Advent Calendar 2022 15 日目の投稿です。 TL;DR データ活用において、パーソナルデータとの関わりは切っても切り離せない存在。 パーソナルデータと個人情報の区分けと分類を正しく理解し、持ち得るデータがどういうリスクがあるのか?どいう状態であれば利活用や第三者への提供が可能なのかを理解する その上で、パーソナルデータの漏洩リスクと利活用の利便性のバランスを選択したアーキテクチャを設計しデータプラットフォームを実現する はじめまして、DeNAのデータエンジニアの Shinichiro Joya と申します。 ビックデータやAIなどと叫ばれて久しいですが、5−6年のデータエンジニアとしての経験の中で、ユーザさん、顧客から預かった大切なパーソナルデータについて、少し知見と実際にどうするべきか?という考えがまとまり始めたので、このタイミン
海外(ベトナム)でiPhoneをひったくられた話(盗難時のロックとか対処法とか保険とか) - 自分を攻略していく記録
iPhoneをベトナム・ホーチミンでひったくられたのだが、いざそういう状況になると結構テンパるし、実際にひったくられる前から対策できることがあると感じた。ネットで「iPhoneの盗難にあった時にどうすればいいのか」みたいな記事はヒットするが、実際に盗難にあった人が書いているケースは多くなさそうだし、なにより「iPhoneを消去」コマンドまで実行している人はそんなに多くないと思うので記録しておく。 海外にいる時は、スマホはパスポートの次に大切なものになると思うので、なくした時に備えて準備をしておくのが大切だと実感した。 事件の流れ 12時30分頃 離れたところまで移動して昼食を食べようと思い、Grab(東南アジア版Uber; タクシー配車アプリ)を使って車を待っていた。その車が近辺まで来たので、歩道の限りなく道路よりで歩いていた。ちょうど別件でチャットが来たので返信していたところ、背後からバ
BigQueryのIAM設定をアーキテクチャから理解する - Carpe Diem
概要 BigQueryはIAMロールを設定する際にハマる事が多いので、アーキテクチャを理解しておくときちんと権限付与することができます。 BigQueryのアーキテクチャ BigQueryのアーキテクチャは以下のように ストレージ コンピュート の大きく2つに分かれています。 ref: An overview of BigQuery's architecture and how to quickly get started | Google Cloud Blog そのため権限もこの2つを意識して設定する必要があります。 またストレージに関しては↓で説明したようなリソース階層(レベル)も意識する必要があります。 christina04.hatenablog.com 具体的には プロジェクト(組織、フォルダ) データセット テーブル と対象が細かく分かれています。 権限設定 BigQueryの
Parallels Plesk Panelの脆弱性と、/phppath/phpでどういう悪さがされるのか - ろば電子が詰まつてゐる
最近、Apacheのアクセスログに、以下のような長いPOSTをされた形跡が残っている。結構な広範囲に来ているので、皆さんも見たことあるんじゃないでしょうか。 114.141.196.28 - - [01/Aug/2013:11:01:22 +0900] "POST /%70%68%70%70%61%74%68/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%6
【R&D DevOps通信】データ基盤におけるGoogleグループ・IAMによるアクセス制御 - Sansan Tech Blog
研究開発部 Architectグループにてデータエンジニアとしてデータ基盤の開発・運用を担当しているジャン(a.k.a jc)です。 データ基盤の構築はETL処理の実装やパイプラインの監視だけでなく、セキュリティ、データアクセス制御管理もデータエンジニアリングライフサイクルの一環として、重要な存在になっています*1。データ基盤の第四弾となる今回は、BigQuery上に構築したデータ基盤におけるGoogleグループ・IAMによるアクセス制御を中心に紹介したいと思います。 また、過去のデータ基盤関連の記事も併せてお読みいただければと思います。 【R&D DevOps通信】データ基盤におけるGitHub Actionsを使ったTerraformとCloud ComposerのCI/CD - Sansan Tech Blog 【R&D DevOps通信】Cloud Composerを用いたデータ基
Google CloudのIAMの拒否ポリシーがGAになったので試してみる
※ポリシーとは、「主体」、「アクション」、「対象」を定義するバインディングをまとめた単位です。ポリシーの集合によって権限を管理します。以下、許可ポリシーの例(公式より引用)です。 { "bindings": [ { "role": "roles/storage.objectAdmin", "members": [ "user:ali@example.com", "serviceAccount:my-other-app@appspot.gserviceaccount.com", "group:admins@example.com", "domain:google.com" ] }, { "role": "roles/storage.objectViewer", "members": [ "user:maria@example.com" ] } ] } 許可ポリシーの継承 ポリシーは継承されま
Kubernetes External SecretsからExternal Secrets Operatorに移行した話 〜他ツールとの比較・移行戦略・工夫したポイント〜 - ZOZO TECH BLOG
はじめに こんにちは、SRE部ECプラットフォーム基盤SREブロックの織田です。普段は主にZOZOTOWNのリプレイスやインフラを改善、運用しています。 本記事では、Secret管理コンポーネントであるKubernetes External Secrets(以降、KESと表記)の非推奨を受けて、どのような対応を実施したのか紹介します。 目次 はじめに 目次 なぜSecret管理コンポーネントを利用するのか? Kubernetes External Secrets(KES)について KESとは? KESを使ったKubernetes構成 KESの非推奨について 移行先の選定 優先事項の決定 移行先の検討、比較 移行先の決定 External Secrets Operator(ESO)について ESOのアーキテクチャ 移行における注意点や変更点 移行の実施 移行方法 工夫したポイント 最後に な
Internet Identity Workshop(Fall 2019)に初めて参加してきた話 - Got Some \W+ech?
ちょっと真面目にIdentity系に集中しようと思い、今年の5月にEuropean Identity Conferenceに行ったところ、 プロの方に「Internet Identity Workshopにも行ったほうがいい」と進められたので、ほいほい来てしまった話をします。 IIWとは IIWは毎年2回、マウンテンビューで開催されるアイデンティティ関係の「アン(Un)カンファレンス」です。 アンカンファレンスが何かと言うと、一言でいうとカンファレンス形式ではない会合みたいなものです。 通常のカンファレンスですと、事前にカテゴリーを決定し、CfPと審査を経てコンテンツが決定されます。 一方、アンカンファレンスでは、そのような事前準備はありません。当日に、参加者が話したい内容を提案し、その聞きたい内容がホスティングされている部屋におもむくような形で進行されます。 具体的には、まず朝09:00
OpenID 2.0 Shutdown Timetable | OpenID 2.0 (Migration) - Google Accounts Authentication and Authorization — Google Developers
Google の OAuth 2.0 API は認証と認可の両方に使用できます。このドキュメントでは、OpenID Connect 仕様に準拠し、OpenID Certified を受けている、認証用の OAuth 2.0 実装について説明します。このサービスには、OAuth 2.0 を使用した Google API へのアクセスのドキュメントも適用されます。このプロトコルをインタラクティブに試すには、Google OAuth 2.0 Playground の使用をおすすめします。 Stack Overflow でヘルプを表示するには、質問に「google-oauth」のタグを付けます。 OAuth 2.0 の設定 アプリケーションでユーザー ログインに Google の OAuth 2.0 認証システムを使用するには、 Google API Console でプロジェクトを設定し、OAu
2021年 人気脆弱性 TOP 10 in GitHub - まったり技術ブログ
はじめに 2021年 人気脆弱性 TOP 10 in GitHub 10位 975 pt 『Microsoft Windows Server における権限を昇格される脆弱性 (CVE-2021-42287)』 9位 1,005 pt 『Apache Druid における重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性 (CVE-2021-25646)』 8位 1,068 pt 『Microsoft Windows Server における権限を昇格される脆弱性 (CVE-2021-42278)』 7位 1,149 pt 『VMware vCenter Server および Cloud Foundation における権限管理に関する脆弱性 (CVE-2021-21972)』 6位 1,557 pt 『 Apache HTTP Server におけるディレクトリトラバーサルの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DDoS脅迫を受けた教訓をもとにDDoS対策を見直した話
うわっ…AWSのセキュリティ系サービス、多すぎ…?オンプレエンジニアにも分かりやすく整理してみた
