zipにパスワードロックをかけてとリクエストするお客様に一言二言。 一人で会社やっていると主張したいことはガマンせず主張できる。 部下がこんなの書いてたら「ゴタゴタ言わずにお客様のご都合に合わせて対応して差し上げろ」って言うけど https://t.co/4X3gAECBdi
zipにパスワードロックをかけてとリクエストするお客様に一言二言。 一人で会社やっていると主張したいことはガマンせず主張できる。 部下がこんなの書いてたら「ゴタゴタ言わずにお客様のご都合に合わせて対応して差し上げろ」って言うけど https://t.co/4X3gAECBdi
LINE PC版には「QRコードログイン」という機能があります。この機能を悪用すると、「簡単に」LINEアカウントを乗っ取ることができてしまいます。「簡単に」とは言うものの、疑い深い人であれば防ぐことができるものです。しかし、どうやら実際に、自分のLINEアカウントへのログインを、知らない人に許可してしまうケースが現在増えている模様です。 騙される対象としては、LINEへの依存度が高い中高生を想像してみてください。 今後、このパターンのアカウント乗っ取りが増えていく可能性があるので、ここで注意喚起及び、仕組みの解説をしたいと思います。 目次 1. 前提:QRコードログインの仕組み1.1. PC版LINEでのログイン用機能1.2. 手順2. QRコードログインの仕組み3. 悪用される危険性に注意3.1. 実際はさらに危険4. 「ログイン」を押さなければ安全5. でも「ログイン」を押してしまう
先日のエントリー 「TLSとSPDYの間でGoogle Chromeがハマった脆弱性(CVE-2014-3166の解説)」で予告した通り、今回不正なSSL証明書を見破る Public Key Pinningの機能について解説します。 Public Key Pinning は2種類の方法があります。あらかじめブラウザーのソースコードに公開鍵情報を埋め込む Pre-loaded public key pinning と、サーバからHTTPヘッダでブラウザに公開鍵情報を通知するHTTP-based public key pinning (HPKP)の2つです。 Chromeは既に両者の機能を実装済ですが、ちょうど近日リリースされる Firefox 32 の Stable バージョンから Pre-loaded public key pinning が実装されました。Firefox32リリース記念と
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2016-03-02 11:13 最近発見されたOpenSSLのセキュリティホールは、かなり前に使用が禁止されたセキュリティプロトコルであるSSLv2を利用して、最新のウェブサイトを攻撃するというものだ。 この「DROWN」(Decrypting RSA with Obsolete and Weakened eNcryption)と名付けられた攻撃手法は、全HTTPSサーバの少なくとも3分の1に有効だと推定されている。 DROWNの危険性は、Alexaのランキングで上位に入っているウェブサイトの一部(米Yahoo、Sina、Alibabaを含む)に、DROWNを使った中間者攻撃に対する脆弱性が存在していることからも分かる。 よく使われていることもあって、DROWN攻撃の対象
By Erickson Alves 2015年12月にアメリカ・カリフォルニア州のサンバーナーディーノで、障害者支援の福祉施設を武装した犯罪者が襲撃しました。この事件は「サンバーナーディーノ銃乱射事件」として知られるようになるのですが、同事件の犯人が使用していた「iPhone」を巡り、Appleと連邦裁判所が激しいやり取りを続けています。 Tim Cook: Apple will fight US demands to build an iPhone backdoor | The Verge http://www.theverge.com/2016/2/17/11031364/apple-encryption-san-bernardino-response 問題になっているのは、サンバーナーディーノ銃乱射事件の捜査で押収されたiPhoneのロック解除にAppleが応じる姿勢を見せていない点
Google がセキュリティ啓蒙キャンペーン「Safer Internet Day 2016」の一環として、Google アカウントの「セキュリティ診断」を実施することを呼びかけると共に、実施したユーザーに 2GB の Google ドライブストレージをプレゼントしています。 「セキュリティ診断」は、「アカウント復旧情報の確認」、「最近のアクティビティの確認」、「アカウント権限の確認」、「2 段階認証プロセス設定の確認」を行います。 操作は簡単なので、今すぐに行っても数分で完了できます。 各項目でチェックすることは次の通りです。 ① アカウント復旧情報 再設定用のメールアドレスや予備の電話番号の登録や確認を行います。 ② 最近のアクティビティの確認 Google アカウントでログインしたコンピュータの情報を見て、いつも PC を利用している場所以外からの不審なアクセスが無かったのかを確認し
結果から先に書くと、即答に近い形で個人情報が漏れた。購買情報に関しては聞いてもないのに勝手に教えてくれた。 予想より反響が大きかったので文末にgmailを使った対策を追記した。 なお、米Amazonと同様、数日遅れて問い合わせ内容についてのメールが来たので追記しました。 Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明 - GIGAZINE http://gigazine.net/news/20160125-amazon-customer-service-backdoor/ こーんな記事があったものだから、嘘くせえと思って実際に(英語めんどくさいので日本の)カスタマーサービスにチャットで問い合わせてみた。いうまでもなく、ソーシャル・エンジニアリングはクラックの基本である。セキュリティにうるさいAmazon社がこんなにザルなわけがないと思ったからだ。 なお、ニセの住所
By Kārlis Dambrāns Androidなどでも使用されているLinuxカーネルの中でゼロデイ脆弱性が発見され、修正プログラムが提供されるまでの間に脆弱性を使った攻撃が行われる可能性があることが判明しました。この脆弱性を利用すれば、アタッカーは簡単にroot権限を得られるのでデバイスとデバイス内のデータを完全にコントロール可能となる模様で、Linuxカーネルを使用しているAndroid端末の66%も攻撃対象になる可能性があるということで大きな話題となっています。 Analysis and Exploitation of a Linux Kernel Vulnerability (CVE-2016-0728) | Perception Point http://perception-point.io/2016/01/14/analysis-and-exploitation-of-
OpenSSH のクライアントには、秘密鍵を含む情報が漏えいする脆弱性が存在します。 また、特定の設定条件のもとでバッファオーバーフローが発生する脆弱性が存在します。 情報漏えい (CWE-200) - CVE-2016-0777 OpenSSH 7.1p2 のリリースノートには次のように記載されています: "The OpenSSH client code between 5.4 and 7.1 contains experimental support for resuming SSH-connections (roaming). The matching server code has never been shipped, but the client code was enabled by default and could be tricked by a malicious se
By Mike Mozart Facebookはサービスの脆弱性やバグを報告した人に対して、バグの深刻さや技術水準の高さに応じて報奨金を支払うプログラムを導入してサービスの向上に努めています。このプログラムを利用して、ある技術者がFacebook傘下のInstagramのバグを報告してバグ報告の功績が認められて報奨金をゲットしたものの、その後にバグを調査する過程で、正当な範囲を逸脱する行為があったとして以後の報奨金の支払いを拒否されるなどトラブルに発展しています。 EXFiLTRATED http://www.exfiltrated.com/research-Instagram-RCE.php Bug Bounty Ethics https://www.facebook.com/notes/alex-stamos/bug-bounty-ethics/10153799951452929 セキ
Vulnerability Notes Database - Advisory and mitigation information about software vulnerabilities Vulnerability Notes Databaseは11月24日(米国時間)、「Homelang Security|Vulnerability Notes Database - Advisory and mitigation information about software vulnerabilities」に掲載された記事「Vulnerability Note VU#925497 - Dell System Detect installs root certificate and private key (DSDTestProvider)」が、Dellが販売しているPCやタブレットデバイ
GoogleのブラウザChromeになりすまし、あらゆる関連づけを変更して、Chromeを置き換えるブラウザ「eFast Browser(eFastブラウザ)」について、セキュリティソフトウェア会社が注意喚起を行っています。eFastブラウザは独自のポップアップ広告を表示するだけでなく、プライバシー情報を収集している可能性が指摘されています。 eFast browser hijacks file associations | Malwarebytes Unpacked https://blog.malwarebytes.org/online-security/2015/10/efast-browser-hijacks-file-associations/ Ads by eFast_Browser - how to remove? https://www.pcrisk.com/removal
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く