テクノロジーで解決しました。 https://t.co/fnZ5yMNUkr
クーで吸ってポンで吐く on Twitter: "テクノロジーで解決しました。 https://t.co/fnZ5yMNUkr"
テクノロジーで解決しました。 https://t.co/fnZ5yMNUkr
log4jの脆弱性について
log4jとはJava用のloggingライブラリだ。loggingライブラリというのはログとして記録すべき文字列を受け取り、それをどこかに出力するものだ。文字列の中身を通常のloggingライブラリは気にしない。 log4jが通常のloggingライブラリと違うのは、文字列の中身を見て、一部の文字列を変数とみなして置換することだ。これはlog4jのドキュメントではlookupと呼ばれている。 Log4j – Log4j 2 Lookups 例えばプログラムを実行中のJava runtimeのバージョンをログに含めたい場合は、"Java Runtime: ${java:runtime}"などとすると、"Java Runtgime: Java(TM) SE Runtime Environment (build 1.7.0_67-b01) from Oracle Corporation"などの
"JWT=ステートレス"から一歩踏み出すための考え方
おはようございます、ritouです。 この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独自エンコード方式(一般的にフレームワークのCookieストアと呼ばれているもの)でも起こり得る 「セッションID vs JWTで内包」 以外にも 「セッションIDをJWTに内包」もあり得る。既存の機能を残しつつ「JWTで武装」する選択肢も考えてみてはどうか。 ステートレスなセッション管理でログアウトの際に文字列自体を無効化できない問題 これは前から言われていますし、駆け出し何とか勢のQiita記事に書かれるぐらいには一般的です。 2
Firefoxは危険なJavaScriptに対応しない - Qiita
Firefox / Safari MozillaはMozilla Specification Positionsというリストを公開しています。 IETFやW3C、TC39などが提唱しているWeb技術に対して、Mozillaはどのように評価しているかという立ち位置を表明したものです。 あくまで現時点での評価であり、もちろん今後の仕様変更などに伴い評価は変わる可能性があります。 Mozilla's Positions Mozillaはどのように評価しているかの分類。 under consideration 評価の検討中。 important 優れた概念であり、Mozillaにとっても重要である。 worth prototyping 優れた概念であるが、プロトタイプを作成し、フィードバックを得て磨きをかける必要がある。 non-harmful 有害ではないが、良いアプローチではなく、取り組む価値
セキュリティ視点からの JWT 入門 - blog of morioka12
こんにちは、ISC 1年 IPFactory 所属の morioka12 です。 この記事は IPFactory Advent Calendar 2020 の10日目の分になります。 IPFactory という技術サークルについては、こちらを参照ください。 本記事の最後に記載されている余談でも IPFactory の詳細を紹介しています。 はてなブログに投稿しました #はてなブログ IPFactory Advent Calendar 2020 の10日目の記事を書きました#JWT #security セキュリティ視点からの JWT 入門 - blog of morioka12https://t.co/g1MYe77hAF — morioka12 (@scgajge12) 2020年12月10日 普段は Web Security や Cloud Security 、バグバウンティなどを興味分
トレンドマイクロ、大学生のハッカーによってセキュリティのとんでもない欠陥とチート行為が暴露され激怒するの巻 - Windows 2000 Blog
トレンドマイクロは、Microsoftの品質保証テストをだますためにソフトウェアを設計し、主張は「誤解を招く」と言った後、防御的立場にあります。 米国のロチェスター工科大学に在籍する18歳のコンピューターセキュリティ学生であるビルデミルカピ氏は火曜日、The Registerに語り、トレンドのWindows PC向けルートキットバスターに出会い、ルートキットを検出する方法を研究していると語った。 初心者向けのルートキットはマルウェアで、管理者レベルの権限を持つマシンで実行されると、他の悪意のあるコードや悪意のあるユーザーがコンピューターへの管理アクセスを許可します。それは故意に自分自身を見えないように隠します、それがルートキット検出器が物である理由です。 Trend製品に共通しているように見えるTrendのルートキット狩猟ツールとそのカーネルモードドライバーをリバースエンジニアリングする一
今年も「最も酷いパスワード・ベスト50」が発表される季節になりました
今年も「最も酷いパスワード・ベスト50」が発表される季節になりました2019.12.22 09:00135,435 Catie Keck - Gizmodo US [原文] ( 岡本玄介 ) 重要性が超低いサイトだとしても、これらのパスワードを登録しないように。 漏洩、侵害、それに無数のプライバシー・リスクなど、あらゆる問題があるというのに、大多数の人々はいまだに「password」と「123456」のパスワードを使っています。もうずっと前から危ないといわれているのですが…。 第9回ワースト・パスワード・オブ・ザ・イヤーセキュリティー・サービス会社SplashDataが、ハッカーによって最も一般的に共有されているパスワードを特定するべく、流出した500万以上のパスワードを評価する第9回ワースト・パスワード・オブ・ザ・イヤーを発表しました。 今年のリストによると、人々は今でも簡単に推測できる
「AWSでのセキュリティ対策全部盛り[初級から中級まで]」をDevelopers.IO 2019 TOKYOで発表しました #cmdevio | DevelopersIO
こんにちは、臼田です。 みなさん、セキュリティは好きですか? 今回は弊社主催のイベント「Developers.IO 2019 TOKYO」にて「AWSでのセキュリティ対策全部盛り[初級から中級まで]」というタイトルで登壇しましたので、その資料を公開します。 資料 補足とか 発表内容への思い 一番言いたいのは、セキュリティはみんなでやるものだから視野を広く持ってもらいたいし、周りを巻き込んで欲しいということです。 一つの目の前の事象に対して対策を頑張るだけでは意味がなくて、仕組みとして解決したり、組織として解決したり(特に運用)とする必要があります。まあセキュリティに限った話ではないですが。 なので、網羅的にいろんなセキュリティをまとめつつ、これまで気にしてなかった事を気にしていただき、少しでも皆さんの組織が前に進んでもらえたらなーと思ってまとめました。 AWSのメッセージについて 最近
![「AWSでのセキュリティ対策全部盛り[初級から中級まで]」をDevelopers.IO 2019 TOKYOで発表しました #cmdevio | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/022ed020b1dde578c99b479fda74fdf91cfb3d8a/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F10%2Fdevio2019.jpg)
Peing(ペイング) -質問箱- 匿名で質問を受け取ろう
SNSが最もよく見られる時間帯は、21〜22時です!この時間に回答や質問募集投稿をすれば、さらに質問が貰えるかも!?
高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2
兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました(その1) - ろば電子が詰まつてゐる
(追記)これまでの活動を時系列にまとめたTwitterのモーメントを作りました。記事はこちらで追えますので、合わせてご覧ください。 Twitter Moment: 兵庫県警へ「不正指令電磁的記録に関する罪」の情報公開請求をしました はじめに 先日、「forループでalertウィンドウを出すだけ」という、いわゆるジョークプログラムへのリンクを張った3人が、兵庫県警によって1名(未成年)が補導、2人が書類送検される予定という事案が発生しました。(for文無限ループURL投稿で補導された件についてまとめてみた) この事案について、兵庫県警に対し兵庫県情報公開条例に基づいて以下の情報公開請求を行いましたので記録します。 なお本記事については、以前に同様に神奈川県警に対して情報公開請求を行った 梅酒みりん 様へお願いし、文面について利用させて頂くことを快諾頂きました。この場を借りて感謝を申し上げます
bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点
宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用できるpassword_hash関数が非常に便利ですし、他の言語やアプリケーションフレームワークでも、それぞれ用意されているパスワード保護の機能を使うことはパスワード保護の第一選択肢となります。 なかでもbcryptは、PHPのpassword_hash関数のデフォルトアルゴリズムである他、他の言語でも安全なハッシュ保存機能として広く利用されていますが、パスワードが最大72文字で切り詰められるという実装上の特性があり、その点が気になる人もいるようです(この制限はDoS脆弱性回避が
Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策
28C3(28th Chaos Communication Congress)において、Effective Denial of Service attacks against web application platforms(Webプラットフォームに対する効果的なサービス妨害攻撃)と題する発表がありました(タイムスケジュール、講演スライド)。 これによると、PHPをはじめとする多くのWebアプリケーション開発プラットフォームに対して、CPU資源を枯渇させるサービス妨害攻撃(DoS攻撃)が可能な手法が見つかったということです。この攻撃は、hashdos と呼ばれています。 概要PHPなど多くの言語では、文字列をキーとする配列(連想配列、ハッシュ)が用意されており、HTTPリクエストのパラメータも連想配列の形で提供されます。PHPの場合、$_GET、$_POSTなどです。 連想配列の実装には
徳丸浩の日記: ECサイトからクレジットカード情報を盗み出す新たな手口
エグゼクティブサマリ 聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩した。リリースによると、漏洩に使われた手口は従来とは異なるもので、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであった。 はじめに 今年の9月4日に聖教新聞社の通販サイトSOKAオンラインストアからクレジットカード情報漏洩の可能性がリリースされました。以下は聖教新聞社から運営委託されているトランスコスモス株式会社のリリースです。 「SOKAオンラインストア」の件 このたび、弊社が聖教新聞社様より運営を委託されている「SOKAオンラインストア」において、クレジットカード情報を入力して商品をご注文いただいた一部のお客さまのクレジットカード情報が、第三者によって不正に取得された可能性があることが発覚い たしました。 http
Firefox Monitor
Find out if your personal information has been compromisedStay safe with privacy tools from the makers of Firefox that protect you from hackers and companies that publish and sell your personal information. We’ll alert you of any known data breaches, find and remove your exposed info and continually watch for new exposures. Email addressCheck for breaches Why use Firefox Monitor?Identifying an
iPhone版ウイルスバスター、買ってもインストールできない状況が続く - BCN+R
【日高彰の業界を斬る・30】9月21日、家電量販店のスマートフォン売り場はiPhone新モデルの発売に沸いていた。しかし、売り場に多数並ぶスマホ関連商品の中、トレンドマイクロのセキュリティソフト「ウイルスバスター モバイル」は深刻な問題を抱えていた。購入しても、iPhoneへのインストールができないのだ。 (以下、本稿は9月21日時点の情報に基づき執筆) 9月12日、iOSの「App Store」およびmacOSの「Mac App Store」を通じてトレンドマイクロが提供している全アプリが、両ストア上から削除された。一般ユーザーがiOSのアプリをインストールする方法はストア経由に限られているため、ストアでの公開が再開されない限り、店頭でウイルスバスター モバイルのライセンスを購入しても利用できない。個人向け製品だけでなく、企業が従業員の端末管理に使う「Trend Micro Mobile
トレンドマイクロ、国内のApp Storeからアプリが消滅--中国への閲覧データ送信は否定
トレンドマイクロは、同社の消費者向けMacOS用アプリが無断で中国国内のサーバーへ情報を送っていると指摘された件について、否定する声明を発表した。ウェブブラウザの閲覧履歴を収集しているが、ユーザーの承諾を得ており、送信先は米国内のサーバーであるとしている。 顧客の不安を解消するため、このデータ収集&送信機能は対象となった消費者向け製品から削除済みという。ただし、記事執筆時点(日本時間9月12日9時45分)、対象アプリはいずれも「Mac App Store」でアクセスできなくなっている。 同社はMacOS用アプリ「Dr. Cleaner」「Dr. Cleaner Pro」「Dr. Antivirus」「Dr. Unarchiver」「Dr. Battery」「Duplicate Finder」の機能を調査し、ウェブブラウザ閲覧履歴を収集してサーバーへ送信していることを認めた。収集するデータは
Linux for Hackers(ハッカーのためのLinux)連載開始のお知らせ - 忙しい人のためのサイバーセキュリティニュース
Hackers Ariseというウェブサイトを最近読んでいます。 このサイトにはEthical Hackerになる為に必要な知識とノウハウが詰まっているので、ハッカーを志す人はぜひとも一読して頂きたい程お薦めです。 しかしHackers Ariseは英語で書かれており、言語的な問題や、時間的な制約が原因でHackers Ariseを直接の読む余裕がないという方も少なからずいるのではないでしょうか。 そもそも私が、このブログでセキュリティニュースを発信し始めたのも、そうした方々に対して語学力を活かしたいと思ったのが理由でした。 そうした思いから私は、Hackers Ariseの運営者であるOCCUPYTHEWEB氏に直接コンタクトし、「当ブログで翻訳記事を紹介させて頂けないか」という旨を確認したところ、許可を頂く事が出来ました。 ですので、このブログでも不定期にHackers Ariseのノ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
なぜ、パスワードを平文で保存するのですか?【追記あり】
Facebook、5,000万人分のアクセストークンが流出
