サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
タリーズの件、CSPが設置されていたら防げていたという話がありますが、それは正しいでしょうか? CSPを設定していなかったとしても、想定していない外部へのリクエストが発生していないか、定期的にチェックすることも大事ですよね? タリーズのサイトからのクレジットカード情報漏えいについて、CSP(ContentSecurity Policy)やintegrity属性(サブリソース完全性)の重要性がよくわかったという意見をX(Twitter)上で目にしましたが、これらでの緩和は難しいと思います。 まず、CSPの方ですが、今回の件では元々読み込んでいたスクリプトが改ざんされたと考えられるので、オリジンとしては正規のものです。evalが使われていたのでCSPで制限されると考えている人が多いですが、evalは難読化のために使われているので、evalを使わないことは可能です。個人的には、難読化しない方が
洋菓子の製造販売などを手掛けるエーデルワイス(神戸市)は8月28日、ベルギー菓子ブランド「ヴィタメール」のオンラインショップが不正アクセスを受け、顧客のクレジットカード情報4万5355件が漏えいした可能性があると発表した。 システムの脆弱性を突いた不正アクセスにより、ペイメントアプリが改ざんされたことが原因。 2020年4月27日~2024年5月21日にヴィタメール オンラインショップでカード決済した顧客のカード名義人名、カード番号、有効期限、セキュリティコード、メールアドレス、パスワード、生年月日が流出した可能性があるという。 2024年5月21日、同社サイトを利用した顧客のカード情報が流出している可能性について外部機関から連絡を受け、5月25日にサイトを停止して調査を開始。7月22日に調査が完了し、情報漏えいと、一部顧客のカード情報が不正利用された可能性があることを確認した。 対象の顧
はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン
新年あけましておめでとうございます。毎年この時期に更新している「私の情報収集法(2024年版)」を今年も公開します。 ■はじめに サイバー攻撃は国境を越えて発生するため、ランサムウェア、フィッシング、DDoS攻撃など、近年のサイバー脅威の常連となっている攻撃者(脅威アクター)が主に海外にいることを考えると、世界の脅威動向を理解することが年々重要になっています。海外から日本の組織が受けるサイバー攻撃の多くでは、国際共同オペレーション等の一部のケースを除き、日本の警察が犯罪活動の協力者(出し子、買い子、送り子)を摘発することはあっても、サイバー攻撃の首謀者(コアメンバー)を逮捕するまで至るケースはほとんどありません。 誤解を恐れずに言えば、日本の組織は海外からの攻撃を受け続けているのに、海外で発生したインシデントや攻撃トレンドの把握が遅れ、対策が後手に回っているケースも多いように感じます。最
シックス・アパート株式会社が提供する Movable Type には、クロスサイトスクリプティングの脆弱性が存在します。 Movable Type 7 r.5405 およびそれ以前 (Movable Type 7系) Movable Type Advanced 7 r.5405 およびそれ以前 (Movable Type Advanced 7系) Movable Type Premium 1.58 およびそれ以前 Movable Type Premium Advanced 1.58 およびそれ以前 Movable Type クラウド版 7 r.5405 およびそれ以前 (Movabe Type 7系) Movable Type Premium クラウド 1.58 およびそれ以前
[重要] Movable Type 7 r.5501 / Movable Type Premium 1.59 の提供を開始(セキュリティアップデート) Movable Type に発見された不具合の修正および多数の改善を行ったバージョン Movable Type 7 r.5501 の提供を開始します。また、これに伴い、Movable Type Premium 1.59 をリリースします。本リリースにはセキュリティに関する修正が含まれますので、必ずアップデートをお願いします。 ニュース目次セキュリティ問題の修正について Movable Type / Movable Type Advanced 7 r.5501について Movable Type Premium / Movable Type Premium (Advanced Edition) 1.59 について それぞれの入手方法について
![[重要] Movable Type 7 r.5501 / Movable Type Premium 1.59 の提供を開始(セキュリティアップデート) | Movable Type ニュース](/image.pl?url=https%3a%2f%2fcdn-ak-scissors.b.st-hatena.com%2fimage%2fsquare%2f5cfc5bfad4f2ab6f23c139f85505e65d86f56dcc%2fheight%3d288%3bversion%3d1%3bwidth%3d512%2fhttps%253A%252F%252Fwww.sixapart.jp%252Fshare%252Fimages%252Fogimage-mt-news.png&f=jpg&w=240)
先日、OpenSC 0.17.0がリリースされました。 これはマイナンバーカード内の証明書を扱うためのJPKIドライバが付属した最初のリリースとなります。 まだいくつか既知の問題を残しているのですが、Windows,Mac,Linuxなど様々なプラットフォームでJPKIを利用できる環境が整いつつあります。 今回はマイナンバーカードで自分のMacOSにログインしたり、スクリーンロックを解除する方法を紹介します。 JPKIドライバの開発状況PKCS#11APIはほとんどの機能が動作するようになりました。SSHやPAM、Firefoxからは問題なく利用できるでしょう。 しかし、MacOSで証明書を利用するにはCDSA/Tokendに対応する必要があります。 これはもはやレガシーなフレームワークで、マイナンバーカードの証明書を扱う際にやっかいな問題があったのですが、このたび認証用証明書だけは問題
Webサイトを見ると、「Cookie(クッキー)」使用への同意を確認するバナーが出てきたことはないでしょうか? 少し、うざったくも見えるこのバナー。なぜ、最近こうした表示が増えてきたのでしょうか。専門家に聞きました。Cookie使用の同意を求めるバナーの例(電通公式サイト) そもそも、「Cookie」とは何でしょうか。「Cookie」とは、閲覧したWebサイトのサーバーから発行され、ユーザーのコンピューターなどの中に預けておくファイルのことです。Cookieによって、ユーザーがWebサイトで入力した情報やサイト内のどこを閲覧しているのかといった情報などを、サイトの運営や広告配信業者などが取得することができます。SNSなどへのログイン状態を維持したり、通販サイトで買い物かごに入れた商品がWebサイトをいったん離れても再表示されたりするのは、Cookieによるものです。一方、企業側もCoo
SPA認証トークンをどこに保存するかは論争が絶えません。localStorageやCookieがよく使われますが、Auth0は違う方法を採用しています。この記事では、Auth0のトークン管理の方式を理解でき、トークン管理上のセキュリティへの理解を深めることができます。 SPAの認証トークンをどこに保存するか ブラウザでトークンを保存できる場所 保存場所の比較 メリット・デメリットAuth0のアプローチ トークンはインメモリに保存 OpenID Connect準拠とトークン取得のUI/UXの悪化回避を両立Auth0のjsライブラリ ログイン アクセストークンの(再)取得 図解 ログイン アクセストークンの(再)取得 自サービス内の認証だけのもっと簡易な構成 ログイン IDトークン取得 まとめ SPAの認証トークンをどこに保存するかReact やVueで認証付きSPA(Single Pa
現在、Trello(トレロ)の一部ユーザーがボードの公開範囲を「公開」に設定したことに起因して、ボード内の情報がインターネット上に公開されている事象が発生しております。Trelloの初期設定ではボードは非公開になっており、ユーザーの任意で公開範囲を選択することが可能です。詳細は、こちらの記事にて確認いただけます。 また、Trelloにはユーザーの意図しない公開ボードの作成を回避するため、ユーザーがボードの公開設定をする際、ユーザーの意図を確認する仕組みが搭載されています。現在アトラシアンでは、問題が発生しているボードのプライバシー設定を確認するなど、ユーザーが意図しない情報の漏洩を止めるため、ユーザーのサポートに尽力しております。 Trelloの公開設定に関するユーザー様からのご質問は、こちらの窓口にてお受けしています。 アトラシアン 朝岡 絵里子 アトラシアン株式会社のマーケティング統括
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 無料 SSL の認証局である Let's Encrypt は、有効な証明書のうち 2.6% に当たる300万件の証明書に対し、2020年3月4日に失効手続きを行うと宣言しました。しかもその事がユーザーに通知されたのは失効手続きの数時間前です。一体、Let's Encrypt に何が起きたのでしょうか? 私が調べた事を共有したいと思います。 この記事は Let's Encrypt の証明書失効に関する一連の出来事についてまとめた物です。今回の失効処理の対象となっているかどうかの確認方法等については、以下の記事をご覧下さい。 Let's E
2019年5月29日 お客様各位 株式会社 ヤマダデンキ 弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ このたび、弊社が運営する「ヤマダウエブコム・ヤマダモール」におきまして、第三者による不正なアクセスを受け、クレジットカードの情報が最大37,832件流出した可能性があることが2019年4月16日に判明いたしました。 お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。 弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。 お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。 不正アクセスの可能性が疑われたため、調査を経て2019年4月26日時点で 「ヤマダ ウエブコム・
インターネット掲示板に,真実は,特定の文字などが表示され続けるだけであり,ブラウザを閉じれば終了するプログラムのリンクを掲載しただけであるのに,兵庫県警が,これを「不正なプログラムに誘導するリンクを貼り付けた」と問題視して,平成31年3月に捜索差押を強制的に行い,神戸地方検察庁に送検し,被疑者として扱われた成人男性2名の方々につき,検察官は,令和元年5月22日付で,今回の件をそれぞれ不起訴処分としました。 これら2名の方々が,今後裁判にかけられ,無罪立証の負担を強いられる煩を事実上避けることができたことは一安心です。 しかしながら,検察官の処分は,不起訴処分のうち,「起訴猶予処分」でした。これは,犯罪の嫌疑がありかつ訴訟条件が具備していても,被疑者の境遇や犯罪の軽重,犯罪後の状況などから検察官の裁量によって公訴提起を差し控えるというものです。 今回の事案で兵庫県警が,不正指令電磁的記録供用
はじめに 過去にWordPressの脆弱性に関するケーススタディをご紹介しました。 Webアプリケーションの脆弱性ケーススタディ(WordPress編) Webアプリケーションの脆弱性ケーススタディ(WordPress編その2) 今回はWordPressのセキュリティ対策を行う上で大切な基本事項をまとめてみたいと思います(本記事はWordPress 4.9.4をもとに書いております。古いバージョンと異なる部分があるかもしれませんので予めご了承ください)。WordPress本体およびプラグインやテーマのアップデートを行うWordPress3.7以降では初期状態でマイナーバージョンの自動アップデートが有効になっています(1日に2回WP-Cronイベントで更新チェックが行われます)。つまり、バグフィックスやセキュリティパッチなどは自動的に適用されているわけですが、WordPressサポートチ
不正送金やアカウントの乗っ取りなど、パスワードが原因の事件が後を絶ちません。高齢者など、IT リテラシの低い人でも簡単かつ安全に自分のオンラインアカウントを管理できる世界が理想ですが、まずはパスワードの不要な世界を実現するのが先決であることは、これまでのインターネットの歴史で証明されたと言えるでしょう。そして、ここに来てパスワード不要なログインを実現する技術として注目されているのが FIDO (= Fast IDentity Online, 「ファイド」) です。そしてその FIDO をブラウザから利用できるようにするのが WebAuthn (= Web Authentication、「ウェブオースン」)。報道内容などからこれらは指紋認証を実現するもの、と思っている人もいらっしゃるかもしれませんが、実際にはちょっと違います。 WebAuthn に関しては、すでに数多くの記事が出ていますので
エグゼクティブサマリ 聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩した。リリースによると、漏洩に使われた手口は従来とは異なるもので、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであった。 はじめに 今年の9月4日に聖教新聞社の通販サイトSOKAオンラインストアからクレジットカード情報漏洩の可能性がリリースされました。以下は聖教新聞社から運営委託されているトランスコスモス株式会社のリリースです。 「SOKAオンラインストア」の件 このたび、弊社が聖教新聞社様より運営を委託されている「SOKAオンラインストア」において、クレジットカード情報を入力して商品をご注文いただいた一部のお客さまのクレジットカード情報が、第三者によって不正に取得された可能性があることが発覚い たしました。 http
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
