サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
タリーズの件、CSPが設置されていたら防げていたという話がありますが、それは正しいでしょうか? CSPを設定していなかったとしても、想定していない外部へのリクエストが発生していないか、定期的にチェックすることも大事ですよね? タリーズのサイトからのクレジットカード情報漏えいについて、CSP(ContentSecurity Policy)やintegrity属性(サブリソース完全性)の重要性がよくわかったという意見をX(Twitter)上で目にしましたが、これらでの緩和は難しいと思います。 まず、CSPの方ですが、今回の件では元々読み込んでいたスクリプトが改ざんされたと考えられるので、オリジンとしては正規のものです。evalが使われていたのでCSPで制限されると考えている人が多いですが、evalは難読化のために使われているので、evalを使わないことは可能です。個人的には、難読化しない方が
Abstract osqueryやElasticsearchといったOSSを利用してサーバ内部のログを収集し、 不正な侵入や従業員の操作ミスなどによる問題を即時検知・分析できるようにします。 また実際のセキュリティログ運用事例を紹介します。 背景 標的型攻撃や不正ログインによる情報流出などが近年話題となり、セキュリティへの注目度が高まっています。セキュリティ対策としてログの採取は多くの組織で行われていますが、 運用の中で実際にログを調査している組織は稀で ログデータが活用されているとは言い難いのが今の実情のようです。 また、通信データを元にした従来のアプライアンスだけではログが十分採取されていなかったために インシデントが発生した後で専門家が調査に入っても詳細が解明できないケースも発生しています。 考察セキュリティ専門家と相談して信頼できるセキュリティアプライアンスを導入するのが望まし
徳丸さんにご推薦を頂いて光栄です。立命館大学の上原です。 私からも補足を。セキュリティの分野で今、最先端で活躍しておられる方の中には、少なからず「大学でも専門学校でもセキュリティのことを学ばなかった」方がおられます。中には、そもそも高校を出てすぐこの世界に入ってこられ、全くの独学で大変高い技術を身につけられた方もいらっしゃいます。なので、「セキュリティエンジニアは技術さえあれば学歴は関係ない」と言われるのだと思います。 ですが、こういう先達の方々はご自分で大変努力されていること、また、セキュリティの問題がそれほど複雑でなかった時代から、複雑化した現代までの経過をずっとリアルタイムで追ってこられたという、言わば「産まれた時代が良かった」という点は見逃せないと思います。これからセキュリティエンジニアを目指す方がその境地追いつくのは大変です。そのためには、基礎からきっちりと体系立てて学ばれるこ
Lenovoのファームウェアがファイルシステムを改ざんするクソ仕様なので絶対に使ってはいけない最近のLenovoのBIOSのアップデートに以下のものがある。Lenovo Newsroom |Lenovo Statement onLenovo Service Engine (LSE) BIOS この脆弱性はLenovoの一部の顧客用PCにインストールされているBIOS中に存在するMicrosoftWindows機構に関与する機能、Lenovo Service Engine(LSE)に関連したものである。 などと抽象的でわけのわからない文面で脆弱性の説明と修正した旨が案内されている。では具体的にどんな脆弱性だったのか。驚くべきバカなことが行われていた。Lenovo G50-80 dialog box - ArsTechnica OpenForumWindows 7か8をブートする前に、BIOSはC:\Windows\system32\autochk.exeがLenovoの
hakaikosen.hateblo.jp 上記記事を「あら大変(棒読み)」とか思いながら読んでいたけれど、PHP の BTS の方を読んでみたら確かに原理から再現手順まで細かく記載されていて 「なんかこれまずそう」と思ったので、docker を使って検証してみることに。PHP 入りのDocker コンテナは、Official のものを利用しました。registry.hub.docker.com 今回の脆弱性、POST しないページには関係ないのかな?と思ってましたが、よくよく見るとPHP さえ動くページであればなんでもいいらしい。 ということで以下のようなPHP ファイルを用意し、ここにアクセス (攻撃) をします。 htdocs/index.php <!DOCTYPEhtml> <html> <head> <title>PHP Bugs #69364</title> </he
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、JALの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。日本航空のホームページに不正アクセスがあり、JALマイレージバンク(JMB)のマイルが、Amazonのギフト券に勝手に交換される被害がありました。日本航空の発表では、1月31日から2月2日にかけて、身に覚えがないマイル交換がされているという問い合わせが複数ありました。調査の結果、40人の利用者のマイルがアマゾンのギフト券、数百万円相当と交換されていたというものです。 徳丸: ここで問題となるのは、パスワードは数字6桁ということなんですよね。 高橋: やはりそこですか。パスワードが数字6桁だとどのような攻撃ができるのでしょうか? ブルートフォース攻撃 徳丸: まず、ブルートフ
中国最大手の検索サイト「百度(バイドゥ)」が提供する日本語の入力ソフトが、パソコンに打ち込まれたほぼすべての情報を、利用者に無断で外部に送信していたことが分かりました。セキュリティー会社は、機密情報が漏えいするおそれもあるとして、利用には注意が必要だと指摘しています。アメリカのグーグルに次いで世界2位の検索サイト、中国の「百度」は、4年前から「Baidu IME(バイドゥ・アイエムイー)」という日本語の入力ソフトを無償で提供していて、おととしまでに180万回ダウンロードされるなど、利用が広がっています。 このソフトは、初期設定ではパソコンの情報を外部に送信しないと表示していますが、セキュリティー会社のネットエージェントなどが分析したところ、実際には国内にある百度のサーバーに情報を送信していることが分かりました。送っている内容は、利用者がパソコンで打ち込んだほぼすべての情報と、パソコン固
「iOS 7」を安心して使いたい人のための“セキュリティ対策10選”:iPhoneから個人情報が丸見え!?(1/4 ページ) ←・見づらい? 使いづらい? を解消:「iOS 7」にまだ慣れない人のための“基本ワザ10選” iOSは比較的セキュリティの高いモバイルOSとして知られるが、設定によっては思わぬ危険が潜んでいる。特に最新の「iOS 7」は、ユーザーの手間を減らす便利な新機能が多数加わった半面、ロック画面から個人情報が漏れやすく、セキュリティに対する一層の注意が必要だ。 ここでは、iOS 7を安心して使いたい人へ、10の対策を紹介しよう。 (1)ロック画面を回避できない「iOS 7.0.2」にアップデートする iOS 7のダウンロードは2013年9月19日(日本時間)に始まったが、その直後に特定の操作でロック画面のパスコード入力を回避できてしまう問題が発覚した。 そこで、アップルはこ
Bitcoin Walletが突破される恐れのある問題についてシマンテックは、この問題が30万以上のAndroidアプリに影響を及ぼすだろうと警鐘を鳴らしている。 オープンソースの仮想通貨「Bitcoin」のWalletアプリに関する問題について、米Symantecは8月14日、この問題を引き起こす原因となったAndroid OSの乱数生成機能の脆弱性が36万以上のアプリに影響を及ぼす可能性があると報告した。 同社によるとBitcoin Walletの問題では、Walletアプリの一部は、Androidに実装されているSecureRandomクラスを用い、同じ乱数を使って複数のトランザクションに署名をしていた。トランザクションはBitcoinネットワークに公開されるため、攻撃者がトランザクションのブロックチェーンをスキャンしてトランザクションを探せば、所有者の同意を得ずにBitcoin W
1リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
