JWTセキュリティ入門SECCON Beginners Live 2023「JWTセキュリティ入門」の発表資料です。
「息子の友人がWi-Fiを勝手に使う事件」で夫が息子にした喩えが子によく響いた話「銀行口座を教えるようなもの」
🥟ひとみ🥟 @1024kinako @niko25_nikorin 息子の友だち💢💢💢 娘があつ森やってるのを見る→「金のジョウロ持ってる?僕のあげるよ!フレンドになろ!」→「あーネット繋いでないとフレンドになれない」→ここで息子が調子こいてルーターのパスワード教えた💢💢💢💢💢 2023-05-13 13:23:17 🇺🇦🤝🇯🇵 らぎ @小4不登校児の母 @yukkayh @1024kinako え?勝手に見るってこと?? 幾ら小学生でもドン引きなんだけど。 我が子に確認したら「Wi-Fi繋げないゲームとかあるし、あるとしてもその時だけで許可取るよ?」だから、その子らは非常識…。 息子さんが、家に上げちゃう感じなの? 他のツイでも読んだけど、タゲられてないか心配だよ…😞 2023-05-13 13:34:18 🥟ひとみ🥟 @1024kinako @yuk
IdPとしてSAML認証機能を自前実装した - BASEプロダクトチームブログ
はじめに みなさんはじめまして。BASEでエンジニアをしております田村 ( taiyou )です。 先日、BASEではショップオーナー向けのコミュニティサイト「BASE Street」にログインするための機能としてSSOログイン機能をリリースしました。 SSOログインを実現するための認証方式はいくつかあるのですが、弊社ではSAML認証方式を用いて実現しました。 そのため、この記事ではSAML認証機構のIdPとしてOSSを使わずにSAML認証機能を実装する方法を紹介します。 前回のテックブログで、このSSOログイン機能のフロント側を開発したPJメンバーの若菜が「サーバーサイドエンジニアがフロントエンドに挑戦して最高の経験になった話」を執筆したのでこちらも見てみてください! SAML認証機能を提供しているOSSには、Keycloakなどがありますが、BASEでは以下の理由により自前実装すること
私のセキュリティ情報収集法を整理してみた(2022年版) - Fox on Security
新年あけましておめでとうございます。毎年年頭に更新している「私の情報収集法」を今年も公開します。何かの参考になれば幸いです。 インプットで参照している情報源(海外) 海外からの攻撃が主流となる中、海外情報をいち早く把握する事の重要性が増しています。去年に引き続き、今年も絶対外したくない海外サイトからご紹介します。 サイト キタきつね寸評 1位 morningstar SECURITY 不動の1位です。ジャンルの広さ、情報の更新頻度、関連ソースの網羅性など、英語系のセキュリティニュースとしては群を抜いた、最良のまとめサイトです。 私は「Daily Security News(最も人気のあるセキュリティニュース)」(一番上)と「Security Blogs(セキュリティブログ)」(下から3つ目)を主にチェックしていますが、人によって興味が違うかと思いますので、「Malware/APT」「Exp
オンライン投票は現時点でも予見可能な未来でも「実現不可能」である | p2ptk[.]org
先日投開票が行われた総選挙でデジタル権に関連した各党の公約をまとめていて、いわゆる「インターネット投票」や「オンライン投票」の実現を掲げる党が少なくないことに驚いた。私自身その実現を望んでいるが、これまでオンライン投票の実現を阻んできた種々の問題が解決したとは寡聞にして知らない。 2013年の公職選挙法改正で「ネット選挙」が解禁され、ネット上での選挙運動こそできるようにはなったが、候補者・政党への投票は現在も紙ベースで行われている。 確かに投票が自分のスマートフォンやパソコンからできればラクでいいし、遠隔地にいるだとか投票所まで行く負担が大きいという人にとっては非常にありがたいのもわかる。投票率の向上が見込めるので、有権者の声がより反映されることにもなるだろう。 だがメリットが大きい一方で、リスクはさらに大きい。一番に思いつくところでは、投票の秘密が守られないこと(その結果として生じる投票
![オンライン投票は現時点でも予見可能な未来でも「実現不可能」である | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/f8a0e802b7413c2d9cc0651f7dd1467feb8d4084/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2021%2F11%2Felement5-digital-T9CXBZLUvic-unsplash_e.jpg)
Google Play でインストールしたウォレットアプリから暗号資産が奪われる件について - niwatakoのはてなブログ
先日Twitterを眺めていたら、「Phantom Wallet(Solanaブロックチェーン向けのウォレットアプリ)を利用していたら暗号資産が奪われてしまった」という話を見かた。 その件について実態を調査したので書き留めておく。 先に書いておくと、 Google PlayではSolana以外のブロックチェーンを対象とするウォレットにも暗号資産を詐取されるものが存在します。 Salanaユーザー以外も気をつけてください。ただ、 Solanaはモバイルに対応した正規のウォレットがまだ少ないため、結果的に多くの人がスキャムアプリをインストールしてしまいやすい 状況にありそうです。 Google Play でPhantom Walletの不正な(偽の)モバイルウォレットアプリが配布されている Solanaブロックチェーンに対応したウォレットとして一定の知名度があるPhantomウォレットというウ
デジタル庁「noteはじめました」→ドメインが「.go.jp」であることの問題点を高木浩光先生が指摘
デジタル庁 @digital_jpn デジタル庁の公式アカウントです。デジタル庁の政策やサービス等の新着情報を発信しています。デジタル庁ウェブサイト: digital.go.jp ソーシャルメディア運用ポリシー: digital.go.jp/social-media-p… デジタル庁 @digital_jpn noteを始めました📝 「デジタル社会形成における10原則」のひとつ「オープン・透明」を遂行すべく、取り組むプロジェクトや法案の解説、想い、気付きなどを発信してまいります! まずは、デジタル庁創設に向けた民間人材として4月から働くメンバーによるご挨拶と宣言です note.digital.go.jp/n/n3690482b9676 2021-05-13 09:08:54 リンク デジタル庁(準備中) デジタル庁は「行政の透明化」を掲げ、noteでの発信を始めます。|デジタル庁(準備中
JAXAなどに大規模なサイバー攻撃 中国人民解放軍の指示か | NHKニュース
JAXA=宇宙航空研究開発機構や防衛関連の企業など日本のおよそ200にのぼる研究機関や会社が大規模なサイバー攻撃を受け、警察当局の捜査で中国人民解放軍の指示を受けたハッカー集団によるものとみられることが分かりました。 警視庁は、日本に滞在していた中国共産党員の男がサイバー攻撃に使われたレンタルサーバーを偽名で契約したとして、20日にも書類送検する方針です。 捜査関係者によりますと、JAXA=宇宙航空研究開発機構が2016年にサイバー攻撃を受けていたことがわかり、警視庁が捜査したところ、日本国内にあるレンタルサーバーが使われ、当時日本に滞在していたシステムエンジニアで中国共産党員の30代の男が、5回にわたって偽名で契約していたことが分かりました。 サーバーを使うためのIDなどは、オンラインサイトを通じて「Tick」とよばれる中国のハッカー集団に渡ったということです。 また、中国人民解放軍のサ
三井住友FG 11万人以上顧客情報 第三者が閲覧できる状態に | IT・ネット | NHKニュース
三井住友フィナンシャルグループは、傘下のSMBC信託銀行とSMBC日興証券の合わせて11万人以上の、顧客の情報が数年間にわたり第三者に閲覧できる状態にあったと発表しました。 最大で150人余りの顧客の情報が、実際にアクセスを受けたということですが、不正な利用はないとしています。 発表によりますと、SMBC信託銀行は、およそ4年間に3万7000人余りの顧客の個人情報が、第三者に閲覧できる状態にあり、最大で101人分が実際にアクセスを受けたということです。 氏名や生年月日のほか、暗号化された暗証番号が閲覧された可能性があるということです。 また、SMBC日興証券は2年前から、8万人余りの顧客の情報が閲覧できる状態にあり、最大で50人分の氏名とメールアドレスが閲覧された可能性があるということです。 いずれも、これまでのところ顧客から被害の申し出や、不正に利用されたという苦情は寄せられていないとし
sha256の逆変換ツールのお仕事(その他(システム開発))【クラウドワークス】
【 概要 】 任意のHash(64桁)の入力値に対し、sha256の逆変換を10秒以内で求めるプログラムを作成して下さい。 例1: b924ed427f4540e17a6c669982bf2373f2974f6733b7a737a08a6c49b0f70b81 <==入力値 (逆変換)↓ ↑ (Sha256) eb6019e16fc6169662a87df672554ea74365bca49bae3f76200e33622c3f0335 <==求めてほしいもの 例2: a591ad4729bbc33bfbe6744e14f8b3cc22b6355017e1c6de78da485f4746558b <==入力値 (逆変換)↓ ↑ (Sha256) d65d227bc16c51187dac65517675b13d8feb9467cd7b993543ad4509b6e7d454 <=
Smoozのサービス終了のお知らせ – Smooz Blog
このたび、当社が運営するブラウザアプリである『Smooz(スムーズ)』において、ご利用者の情報の取扱い、データ収集、及びセキュリティについてご利用者をはじめとする皆様に、多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。 状況の確認と対策、原因調査を進めてまいりましたが、Smoozの提供を継続することは困難との結論にいたり、2020年12月23日をもってサービスを終了させていただきますことをご報告申し上げます。 これまでに収集したご利用者様の情報につきましては、返金に必要な情報以外はすべて削除が完了しております。返金対応が完了次第、全ての情報を削除いたします。収集したデータに関して悪用、個人情報の社外への流出は、現在のところ確認されていません。 【返金などのご対応につきまして】 プレミアム会員様には、12月分からの利用料金の返金をさせていただきます。また、交換可能なS
続・続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している
この記事は過去2回にわたる検証記事の続きとなります。 国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している 続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している 前回の記事では、おすすめ記事機能を有効にしていると、Smoozがユーザーの閲覧しているURL情報を送信してしまうことについて解説しました。 ユーザーID、URLと共に送信されているbc、bt、bdという項目の内容がわからないままでしたが、これもユーザーの情報であるはずだと思い、調査を続けてきました。 ▼これがおすすめ記事のために送信される内容 (この内容は記事の最後にテキスト情報としても掲載しておきます) URL情報に関連するもので 『c、t、d』 と呼ばれそうなものは何か。 ・cのデータ量は飛び抜けて多い ・cとdは一致が見られることがある ・一部が一致しながらもcのほうが長かったりもする
当社管理サーバーのアクセス履歴について - PayPayからのお知らせ
追記: アクセスされた可能性のある最大件数については、詳細な調査分析により2,101件であったことが判明しております。 詳細は下記をご確認ください。 管理サーバーへのアクセス履歴の調査結果について(2021年5月7日) https://paypay.ne.jp/notice-merchant/20210507/01/ 2020年12月1日に外部からの連絡に基づき、当社管理サーバーにある、加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日にブラジルからのアクセス履歴を1件確認、12月3日までに遮断する措置を実施しました。現時点で、これらの情報が利用された事実はありません。なお、ユーザー情報は別のサーバーで管理しているため、本事象における影響はありません。 <アクセスされた可能性のある情報> (1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、
パーフェクトRails著者が解説するdeviseの現代的なユーザー認証のモデル構成について - joker1007’s diary
最近、パーフェクトRuby on Railsの増補改訂版をリリースさせていただいた身なので、久しぶりにRailsについて書いてみようと思う。 まあ、書籍の宣伝みたいなものです。 数日前に、noteというサービスでWebフロント側に投稿者のIPアドレスが露出するという漏洩事故が起きました。これがどれぐらい問題かは一旦置いておいて、何故こういうことになるのか、そしてRailsでよく使われるdeviseという認証機構作成ライブラリのより良い使い方について話をしていきます。 (noteがRailsを使っているか、ここで話をするdeviseを採用しているかは定かではないので、ここから先の話はその事故とは直接関係ありません。Railsだったとしても恐らく使ってないか変な使い方してると思うんですが、理由は後述) 何故こんなことが起きるのか そもそも、フロント側に何故IPアドレスを送ってんだ、という話です
高木浩光@自宅の日記 - 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む
■ 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む IPAの「安全なウェブサイトの作り方」(改定第7版2015年、初版2006年)のHTML版が出ている。項目別にページが作られている。 1.1 SQLインジェクション 1.2 OSコマンド・インジェクション 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル 1.4 セッション管理の不備 1.5 クロスサイト・スクリプティング 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) 1.7 HTTPヘッダ・インジェクション 1.8 メールヘッダ・インジェクション 1.9 クリックジャッキング 1.10 バッファオーバーフロー 1.11 アクセス制御や認可制御の欠落 というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の
Facebook乗っ取りへの対応と手口 - Qiita
最近、身の回りでFacebook乗っ取られ事件が多発してるので、何がどうなって発生してるのかを調べてみました。あと、乗っ取られた場合にどう対処したら良いかも、最初に書いておきます。 乗っ取られた人は「知り合いからのメッセージだったので、開いちゃったら乗っ取られた」と言うことが多いんですが、この手のメッセージは大抵は知り合いから届きます。唐突に動画付きメッセージなどが届いたら、「突然届いたけどコレなに?」とか聞き返しておくと無難です。 乗っ取られた場合の対処 多くの場合は「お前から変なメッセージが来たぞ」とか言われて乗っ取りに気づくことでしょう。そんな場合には、下記のような対処が必要です。 パスワードを変更して乗っ取り犯を追い出す 乗っ取り犯にパスワードを変えられちゃうと対応が面倒なので、一刻も早くパスワードを変えておきましょう。また、すでにログイン済みの乗っ取り犯を追い出すために、今使って
JTBへの不正アクセスについてまとめてみた - piyolog
2016年6月14日、JTBは同社のサーバーが不正アクセスを受け、顧客情報が漏えいした可能性があると発表しました。ここでは関連情報をまとめます。 公式発表 今回の不正アクセスによる影響はJTB他、同社の提携サービスを展開している他社にも波及している。 JTBグループ 2016年6月14日 不正アクセスによる個人情報流出の可能性について 2016年6月14日 Re: Occurrence of Unauthorized Access (魚拓) 2016年6月16日 個人情報流出の可能性があるお客様へのご連絡について 2016年6月17日 「なりすましメール」「フィッシングメール」や「なりすましサイト」にご注意ください JTB提携先 NTTドコモ 2016年6月14日,16日 提携先のJTB社のグループ会社サーバーへの不正アクセスに伴う「dトラベル」の個人情報流出の可能性について (魚拓) (
[CakePHP] Security.salt 生成ツール - 変換商社
CakePHPの初期設定で必要な、Security.saltとSecurity.cipherSeedを生成できます。 対応バージョン:1.3, 2.x Notice (1024): Please change the value of 'Security.salt' in APP/Config/core.php to a salt value specific to your application. Notice (1024): Please change the value of 'Security.cipherSeed' in APP/Config/core.php to a numeric (digits only) seed value specific to your application.
あなたのサーバは本当に安全ですか?今もっともイケてる脆弱性検知ツールVulsを使ってみた - Qiita
はじめに サーバ管理をしている身としては、 セキュリティ は常に付きまとう悪魔みたいなもので、このセキュリティに関しては何をどこまで頑張ればいいのか不透明な部分が多い。 脆弱性に関しては、CVEなど、毎日情報は入ってくるが、それがどのサーバの何に関連したものなのかなんていちいち調べてられないし、どの脆弱性がすぐに対応しなければいけないもので、どの脆弱性があとあと対応すればいいものなのかなんてわからない。 実際のところ、大きな話題になった脆弱性くらいしか緊急で対応してないという人は多いのではないかと思う。 そんな中、満を持して登場したのが vuls !! 各サーバの脆弱性情報を取得して、個々のサーバそれぞれでどんな脆弱性があり、どのくらいやばい脆弱性なのかを検知できるようになった! 今回はこのvulsを紹介します。 Vulsとは 公式でロゴが発表されたので、差し替えました 公式ドキュメント:
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
本当にあった怖い脆弱性の話
