Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

タグ

関連タグで絞り込む (113)

タグの絞り込みを解除

セキュリティに関するigrepのブックマーク (91)

  • 高木浩光@自宅の日記 - 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと

    ■ 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと 「コンピュータセキュリティを基礎から」というと、暗号の解説、特に共通鍵暗号と公開鍵暗号の違いからなどといった解説をよく目にする。昔は専門の方によって注意深く書かれていたのに対し、ここ何年かはひどい状況になっている。先月、宮崎で開かれたSCIS 2008の席でも暗号研究者の方々との雑談でそういう話になった。私は暗号は専門でないのでその話題は迂闊に書けないできたが、このところの巷の誤り解説の氾濫ぶりは目に余るものがある。 最もひどく蔓延っていてしばらく消えそうにない間違い解説の典型例は次だ。 「公開鍵で暗号化したものを秘密鍵で復号するのと同様に、秘密鍵で暗号化したものを公開鍵で復号できるようになっている。」 事例1: 日ベリサイン株式会社による公開鍵暗号方式の解説 このような共通鍵暗号方式の問題点を解決する暗号方式が、公開鍵暗号方式

    igrep
    igrep 2014/04/22
    引用元の「電子署名≠秘密鍵で暗号化」では「正確を期すならば、『秘密鍵で変換されたデータ』程度に留めておかなければならないということ。」の部分はさほど大きな間違いと思ってない模様
    リンク

  • ggsoku.com

    ggsoku.com
    igrep
    igrep 2013/03/23
    そんなわけで頼むからFlashやJavaのアップデートってもっと一般人にわかりやすくなりませんかね
    リンク

  • Androidアプリのセキュリティチェックはsecroid(セキュロイド)

    Androidアプリのセキュリティチェックならsecroid(セキュロイド)!アプリをインストールする前にリスクを確認しませんか?Androidアプリのリスクレベルを確認! app game 注意リスト 人気(無料) 人気(有料) NEW(無料) NEW(有料) 注目

  • スパム防止の「CAPTCHA」に秘められたすごい事実 : まだ仮想通貨持ってないの?

    話題作「なめらかな社会とその敵」に掲載されていて驚いたエピソード。 スパム防止「CAPTHA」のすごい話 「CAPTHA」ってありますよね。人間じゃないと読めない文字を入力させることで、スパムを防止させるアレです。みなさんも何度も入力したことがあるはず。 かずあるCAPTHAサービスの中のひとつ、Googleが無償で提供している「reCAPTHA」には、驚くような裏話が隠されています。 なんでも、これ、紙ののデジタル化プロジェクトの一環だそうです。 古いなどをスキャンしてデジタル化するプロジェクトにおいては、一般的に「OCR」が使われます。が、OCRは機械で読みとるので、やっぱりミスが出てきてしまいます。 そんなときにreCAPTHAが役立ちます。reCAPTHAは、ミスされがちな文字を抜き出し、ユーザーに判別させる技術です。 OCRでエラーが出てしまう文字を抜き出し、 こうしてCAP

    スパム防止の「CAPTCHA」に秘められたすごい事実 : まだ仮想通貨持ってないの?
    igrep
    igrep 2013/02/18
    知らなかった。Nice idea!
    リンク

  • 「wheelグループ」とは:ITpro

    記事は, 2002年12月3日 に発行した「セキュリティ用語辞典」を基に掲載しております。内容は発行時の情報に基づいており,現在では異なる場合があります。 UNIX系システム上でスーパーユーザー(root)特権を得ることのできるユーザーの属するグループの名称。通常,UNIX系システムでは一般ユーザーがスーパーユーザー権限を得るためにsuコマンドを使用するが,何らセキュリティの対処が行われていないシステムでは,多くの場合どの一般ユーザーでもスーパーユーザー権限を得ることができる。PAMを利用すると,スーパーユーザー権限を得ることが可能な一般ユーザーを限定でき,この権利を持っている一般ユーザーをwheelと呼ばれるグループに所属させる。

  • 自分の仕事を無断で中国に“アウトソーシング”していた従業員──Verizonが事例として紹介

    会社で最優秀と見なされていたソフトウェア開発担当者が、実は自分の仕事中国企業に丸投げしていたことが、VPNのログ調査で発覚した──。米通信大手のVerizonが1月14日(現地時間)、2012年のケーススタディのこぼれ話としてこんなエピソードを紹介した。同社は企業向けにITコミュニケーションサービスを提供している。 米国のある重要インフラ企業に勤めていたこの開発者──Verizonは仮にボブとしている──は長年にわたって、自分の仕事中国瀋陽市にあるコンサルティング企業に低価格でアウトソーシングし、自分は毎日会社に出勤して動画閲覧やFacebookで時間をつぶしていた。皮肉なことに、ボブの人事評価は非常に高く、この会社の最優秀開発者として10万ドル以上の年俸を得ていた。 ボブの所業は、Verizonの顧客であるこの企業が、VPNのログに不審な点があるとして調査を依頼してきたことから発覚し

    自分の仕事を無断で中国に“アウトソーシング”していた従業員──Verizonが事例として紹介
    igrep
    igrep 2013/01/17
    ・・・で、Verizonはこれをなんのケーススタディにしたかったのでしょうか。。。ただの笑い話?
    リンク

  • 第4回 危険性が理解されにくいネイティブアプリ内XSS(2) | gihyo.jp

    アプリ内XSSの影響と問題点 筆者はSkypeの事例が報道される前にも、いくつかアプリ内XSSを見つけて報告したり、著名なアプリに同様の問題があったことを把握しています。しかし、単にサンドボックス内でJavaScriptコードが実行されるだけだろう、アプリケーションをクラッシュさせたりすることは当然可能だろうが、さほど悪いことはできないだろう、と考えていました。 中には、そのアプリケーションの設定ファイルを読み込むことが可能であり、設定ファイル内にサービスのログインに必要なメールアドレスやパスワードが含まれているケース、あるいはSQLiteデータベースのファイルの中に外部サービスのIDとパスワードが含まれているケースなども見てきました。いずれも影響範囲が大きいものですが、「⁠そのアプリケーション」の保存しているデータであり、OSの持っているデータは読み取り不可能だろう、それ以外はOS側のサ

    第4回 危険性が理解されにくいネイティブアプリ内XSS(2) | gihyo.jp
    igrep
    igrep 2013/01/16
    "単にサンドボックス内でJavaScriptコードが実行されるだけだろう,アプリケーションをクラッシュさせたりすることは当然可能だろうが,さほど悪いことはできないだろう,と考えていました。"
    リンク

  • 第4回 危険性が理解されにくいネイティブアプリ内XSS(1) | gihyo.jp

    今回はネイティブアプリケーション[1]⁠ 内のXSS(Cross-Site Scripting、クロスサイトスクリプティング)脆弱性の傾向と対策について解説します。 ネイティブアプリの現状 内部にHTMLJavaScriptを使って構築されるスマートフォン向け、デスクトップ向けのアプリケーションが増えています。その結果、今までWebサイト上で起きていたような問題が、ネイティブアプリケーション内でも起こるようになっています。アプリケーション内におけるJavaScriptコードのインジェクションは、クロス「サイト」ではないのでXSSと呼ぶのは適切ではありませんが、脆弱性の原因と対策方法はまさにWebサイトにおけるXSS脆弱性と同じです。 今回は、個人的に問題を発見・報告したことのある事例を挙げながら、「⁠脆弱性をどのように発見するか」「⁠どう修正すればよいのか」「⁠どうすれば未然に防げるのか

    第4回 危険性が理解されにくいネイティブアプリ内XSS(1) | gihyo.jp
    igrep
    igrep 2013/01/16
    "サンドボックス(注3)やパーミッションによって影響が軽減されるものもあれば,通常のWebアプリケーションでは起こりえないような,より深刻な問題を含むケースも"
    リンク

  • Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記

    Ruby on Rails(3.2.9, 3.1.8, 3.0.17以前)のfind_by_*メソッドにSQLインジェクション脆弱性が見つかりました(CVE-2012-5664)。このエントリではその概要と対策について説明します。 概要 Ruby on Railsのfind_by_*メソッドの引数としてハッシュを指定することで、任意のSELECT文を実行できる脆弱性があります。 検証 Ruby on Rails3.2.9の環境を用意して、以下の2つのモデルを用意しました。 $ rails g scaffold user name:string email:string $ rails g scaffold book author:string title:string モデルUserは個人情報を保持しており、自分自身の情報のみが閲覧できるという想定です。モデルBookは書誌データベースであ

    Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記
    igrep
    igrep 2013/01/06
    おうふっ、はよアップデートしないと。
    リンク

  • @IT:LDAPによるパスワードの一元管理(1/3)

    今回は、この3つのパスワードを一元管理するために「LDAPサーバ」を利用します。つまり、ユーザーアカウントおよびパスワードをLDAPに格納し、すべてのサービスが同じデータを参照するようにします。 ただし、ここで1つ考慮すべき点があります。パスワードは、元のデータを割り出せないような仕組みで暗号化するのが普通です。パスワードが正しいかどうかを確認するには、同じ方法で暗号化したデータ同士を比較する必要があります。しかし、LinuxWindowsではパスワードの暗号方法が異なるため、入力したパスワードが同じでも暗号化されたパスワードデータを後で比較することは不可能です。そのため、複数のパスワードデータをLDAPサーバの1人のユーザーの属性としてまとめたとしても、一方のパスワード(例えばWindows)に対して変更があった場合には、他方のパスワード(例えばLinux)も変更されるような仕組みが必

    @IT:LDAPによるパスワードの一元管理(1/3)
    igrep
    igrep 2013/01/05
    そういえば聞いたことあったけど理解してなかった。。。
    リンク

  • 日本ベリサイン - Enterprise & Internet Security Solutions

    日本ベリサイン - Enterprise & Internet Security Solutions
    igrep
    igrep 2012/10/25
    こういうの家庭向けにもなんか出来ないかな。
    リンク

  • LAC ラック

    調査・診断・コンサルティング お客様のニーズに合った様々なタイプのセキュリティ診断、対策提案やコンサルティングの要望にもお応えします。 詳しく見る

    LAC ラック
    igrep
    igrep 2012/10/20
    初めて聞いた人間なんで俺も十分情弱。
    リンク

  • 「遠隔操作ウイルス」事件で露見したセキュリティ対策事情――専門家らが見解

    このほか、今回の事件では攻撃者に乗っ取られたPCの所有者の何人かが誤認逮捕されるという問題も起きている。「IPアドレスアドレスの追跡だけに頼った捜査手法に問題」とした報道も散見される。 この点について西氏は、サイバー攻撃では刑事事件に至らなければ警察による対応が難しいこと、事件に関与したコンピュータを事件時の状態を保全して分析する「デジタルフォレンジック」の難しさを指摘する。 「自動車事故に例えると、IPアドレスの特定は事故を起こした車の所有者を割り出すようなもので、実際には誰がどのような運転をしていたかを調べるように、サイバー攻撃でも警察は詳しい調査を慎重に進めている」 また、デジタルフォレンジックでは1台のコンピュータを調べるだけでも数日を要するといい、わずかな痕跡を見つけて証拠とするまでにも、担当者には高度な技術力や判断能力が要求される。「日々膨大な数のサイバー攻撃が発生している現

    「遠隔操作ウイルス」事件で露見したセキュリティ対策事情――専門家らが見解

  • 「遠隔操作ウイルス」事件で露見したセキュリティ対策事情――専門家らが見解

    セキュリティ関連の企業や組織で構成する「日ネットワークセキュリティ協会(JNSA)」は10月17日、記者会見を開いて「遠隔操作ウイルス」事件に対する見解を表明した。JNSA理事の西逸郎氏は、「不審なソフトやアプリに手を出さない、ウイルス対策ソフトを最新にするなどのセキュリティの基的な対策行動がまだまだ浸透していない」と指摘した。 手口に目新しい点は「無い」 会見ではJNSAに参加するウイルス対策ソフトベンダーやセキュリティサービス企業などの担当者が、今回の攻撃手法やサイバー犯罪の特徴、警察によるサイバー事件捜査、社会全体からみたセキュリティ対策などの点で意見を述べた。 まず、手口では2ちゃんねる掲示板に「無料の便利ツール」と称した実行形式のファイルをダウンロードさせるリンクが書き込まれ、これをダウンロードしたユーザーのPCに不正プログラム(IEsys.exe)が送り込まれた。ユーザ

    「遠隔操作ウイルス」事件で露見したセキュリティ対策事情――専門家らが見解

  • 「添付ファイルはパスワード付き暗号化」でいいのか

    記者という仕事がら、取材先や寄稿者と、記事の素材データやプレゼン資料をやり取りすることが多い。もちろん、メールを使ってである。ただ最近になって、受け取ったメールに添付されていたファイルが暗号化されていることがとみに増えてきた。ファイルを復号化しようとするとパスワードの入力を求められる。パスワードは後から別のメールで送られてくるという方式だ。 情報漏洩を懸念してのことだ。外部とやり取りする際はファイルをパスワード付きで暗号化してからメールするよう、情報システム部門や法務部門がルールを設けているのだろう。この7月から8月にかけて、企業十数社に外部との機密情報のやり取りをどのように行っているかを取材する機会があった。実際にこのようなルール順守を業務部門に設けている企業が多かった。標準的な手法になりつつあるように思う。 しかしこの方式を採用する企業が増えることに、筆者は懸念を感じる。セキュリティ

    「添付ファイルはパスワード付き暗号化」でいいのか
    igrep
    igrep 2012/07/15
    いやその通りだけどFAXとかちと面倒過ぎるだろ・・・
    リンク

  • 実践 Metasploit

    行政機関や企業に対するサイバー攻撃が世界中で深刻な問題になっています。攻撃者の脅威に対抗するための最も有効な手段はペネトレーションテストです。書では、ペネトレーションテストのやり方を、Metasploitを主軸に説明しています。そうすることで、ペネトレーションテストの流れとともに、Metasploitを構成する個々の機能やその使い方を理解し、Metasploitの基的な作法を身につけます。さらに書では、クライアントに対する攻撃や無線LAN経由の攻撃、ソーシャルエンジニアリング攻撃といった、ペネトレーションテストで使う高度なテクニックを学びます。日語版ではシェルコードの内部構造について加筆しました。 書のサポートページ。 サンプルPDF ●「推薦の言葉」「監訳者まえがき」「序文」「まえがき」「目次」(1.4MB) ●「1章 ペネトレーションテストの基」(1.3MB) ●「2章 M

    実践 Metasploit
    igrep
    igrep 2012/05/29
    ペネトレーションテスト知らなかった。。。
    リンク

  • 高木浩光@自宅の日記 - ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。

    ■ ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。 俺、実は今日が誕生日なんだ……。 僕らはいったいいつから誕生日を隠さなくちゃいけなくなったんだろう。はてなにもmixiにもGREE*1にもニセの生年月日で登録した*2自分がいる。Facebookの友達にも生年月日を明かさない設定にしている。プライバシーやセキュリティを啓発する立場の者が生年月日を明かすだなんて、匿名主義者達の嘲笑の的にされかねない。そして気付いてみれば、誕生日を祝ってくれるのは、両親とほんの数人の身近な友人だけになっていた。 先月、スマホアプリのプライバシー騒動の件で立て続けてにいくつもの取材を受けた*3が、決まって聞かれるのは、「利用者が気をつけるべきことは何でしょうか」という問いであった。 これに対して私が答えたのはこうだ。「利用者が何か気をつけなくてはならないようではいけない」と。つまり、事業者が解決

  • Securing Rails Applications — Ruby on Rails Guides

    This guide describes common security problems in web applications and how to avoid them with Rails. After reading this guide, you will know: How to use the built-in authentication generator. All countermeasures that are highlighted. The concept of sessions in Rails, what to put in there and popular attack methods. How just visiting a site can be a security problem (with CSRF). What you have to pay

    Securing Rails Applications — Ruby on Rails Guides

  • Introducing Collusion: Discover who’s tracking you online (mozilla.org)

    About this Add-on Using interactive visualizations, Lightbeam enables you to see the first and third party sites you interact with on the Web. As you browse, Lightbeam reveals the full depth of the Web today, including parts that are not transparent to the average user. Using two distinct interactive graphic representations — Graph and List — Lightbeam enables you to examine individual third parti

    Introducing Collusion: Discover who’s tracking you online (mozilla.org)
    igrep
    igrep 2012/03/02
    "...allows you to see all the third parties that are tracking your movements across the Web."
    リンク

  • ネットを利用するときに気をつけたいこと - ぼくはまちちゃん!

    こんにちはこんにちは!! 昨日、こんな記事を見かけたよ。 » コドモのソーシャルネットワーク事情〜親ならこれだけはやっておけ なるほど、いいこと書いてあるし、わかりやすい。 そんなわけでぼくも、 「ネットを利用するときに気をつけたいこと」について、自分なりに思うことを書いてみるよ。 情報は紐付く ちょっとした情報を元に、 ネットAとネットBが紐付くのはもちろんだし、 リアルの情報まで紐付くこともよくあること。 ひとつひとつは大したことない情報でも、 情報が紐付くと、さらに色々なことが芋づる式に誰かにわかるよ。 過去と現在が紐付く 今は、君のことを気にかけているのは まわりの友達だけかもしれない。 けれど情報は残る。 将来、5年後、10年後…、 君がうっかり書いた言葉が、たまたま炎上した時、 犯罪者のようなレッテルとともに、過去の全てと、紐付いたリアルの情報を、大勢の人に晒されることになる。

    igrep
    igrep 2012/02/29
    "自分が出す情報がどこに紐付くのか、想像力を働かせて、きちんと制御することかな。"
    リンク
  • 1 2 3 4 5 次のページ

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2025 Hatena. All Rights Reserved.