Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

タグ

セキュリティに関するmichihideのブックマーク (109)

  • メーラーからGmailへの接続時に認証(パスワード)のエラーが生じる場合の対処方法

    対象:Gmail、G Suite(旧Google Apps)、PCWindowsmacOSLinuxなど)、iPhoneiPad/iPod touch、Androidスマートフォン/タブレット Gmailを利用できるのはWebブラウザやスマートフォン/タブレット用Gmailアプリだけではない。WindowsmacOSLinuxなどで以前から使われているPOP/IMAP/SMTP対応のメーラー(メールクライアント、メールアプリ)でも、Gmailに接続して利用できる。 しかし、他のメールサーバの場合と同様に、メーラーに対してGmail用のアカウント名とパスワードを正しく設定しても、次のようなエラーメッセージが表示されてメールの送受信ができないことがある。 「ログインは認められませんでした。ユーザー名とパスワードが正しいことを確認してください。」 「ユーザー名やパスワードが間違ってい

    メーラーからGmailへの接続時に認証(パスワード)のエラーが生じる場合の対処方法
  • NorseCorp

    Munich! The place where nights turn into stories and weekends feel endless. I’m talking about the kind of city where every street, every hidden bar, and every club has …

  • 「番号」は漏れると危ないのか?

    さて、マイナンバー対応バブル真っ盛りの夏を迎えつつありますが、皆さんいかがお過ごしでしょうか? 折しも年金番号が盛大に漏れて1、マイナンバーへの影響もあるのではないかとなども言われておりますが、そもそも「番号」が漏れることを「住所・氏名・生年月日」などの各種個人情報以上に大騒ぎするのには私は違和感があります。それは、こと漏洩に関して言うと、プライバシーインパクトは「番号」<「住所・氏名・生年月日」<<「付随する情報」だからです。 以下、簡単化のために「番号」<「住所・氏名・生年月日」に焦点を絞ります。 1. なりすましによる被害 「番号」それ自体は、その人のデータを他の人のデータから区別するという能力しか無いはずです。米国のSSNなどは、誤った理解から番号自体を人確認に使ってしまったりしてなりすまし事故を盛大に起こしております2が、日マイナンバーや年金番号はそんなことはしていないは

    「番号」は漏れると危ないのか?
    michihide
    michihide 2015/06/10
    説明が論理的で説得力がある。
  • IIJ SmartKey|スライド認証・ワンタイムパスワード管理

    IDとパスワードによる認証だけではなく、IIJ SmartKeyで認証することで、両方の認証が成功した場合にログインできます。 万が一、パスワードが流出してしまっても、あなたのスマートフォンを持っていない限り、第三者はログインすることができません。 利用するWebサイトごとにワンタイムパスワードトークンを持つ必要はありません。あなたのスマートフォンがすべてのWebサイトのたった1つの “鍵” になります。 第三者があなたのスマートフォンを操作しようとしても、Touch IDやパスコードによるアプリロックを設定しておけば、IIJ SmartKeyを起動できません。 意図しない誤操作や不正操作を防ぐ、安心機能です。 スマートフォンを機種変更するときに、サービスの登録をやりなおす作業は面倒です。 IIJ SmartKeyなら、設定をQRコードでエクスポートできるので、それを新機種からスキャンする

    IIJ SmartKey|スライド認証・ワンタイムパスワード管理
    michihide
    michihide 2015/04/06
    なんかよさげ。今度使ってみよう。
  • 首都大学東京の情報流出の件で公開質問状送ったら *ちゃんとしたのが* 返ってきた - 職質アンチパターン

    首都大学東京の情報流出の件で公開質問状送った - 職質アンチパターン これの件です.ちゃんとしたのが返ってきたので共有します. ご返答ありがとうございます. 以下回答ですが,雑にhtml組んだために読みにくいので生のpdf置いておきます.適宜見てください.pdfで読むほうが書いた人のあたたかみを直に感じられるので体験が高いでしょう. https://dl.dropboxusercontent.com/u/14832699/%E3%81%94%E8%B3%AA%E5%95%8F%E3%81%B8%E3%81%AE%E5%9B%9E%E7%AD%94.pdf 以下引用. No. ご質問 回答 1 外部から FTP でアクセス可能という事だったが,これは anonymous FTP だったのか 当該NASは、教務課内のみで情報共有を行う目的で設置しておりましたが、アクセス権限を設定していなかった

    首都大学東京の情報流出の件で公開質問状送ったら *ちゃんとしたのが* 返ってきた - 職質アンチパターン
    michihide
    michihide 2015/02/03
    NAS導入に際して、情シス的なところの関与がなかったんでしょうかね?なお回答があったこと自体は評価します。
  • SQLインジェクション対策もれの責任を開発会社に問う判決

    ポイントは下記の通りです。 X社(原告)はセキュリティ対策について特に指示はしていなかった 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情報をいったんDBに保存する仕様となった(2010年1月29日) X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた(2010年9月27日)が、その後X社は改良の指示をしなかった 以下の脆弱性その他が認められた システム管理機能のIDとパスワードが admin/password であった 個人情報が記載されたお問い合わせログファイルの閲覧が可能(ディレクトリリスティングと意図しないファイ

    michihide
    michihide 2015/01/22
    どうせ法律は追いつかないんだから、このようにどんどん判例が出てくるといいですね。
  • 首都大学東京の情報流出の件で公開質問状送った - 職質アンチパターン

    [2015/01/21 12:58 追記] 質問は受領された様子. 首都大学東京の情報流出の件で公開質問状送ったら返ってきた - 職質アンチパターン [追記ここまで] [2015/02/2 21:26 追記] 回答が来た. 首都大学東京の情報流出の件で公開質問状送ったら *ちゃんとしたのが* 返ってきた - 職質アンチパターン [追記ここまで] 首都大学東京、学生ら5万1000人分の個人情報が流出した可能性 NASが外部に公開状態 - ITmedia ニュース まあこれの件なんだけど.うやむやにされても腹立つので公開質問状送った. 学内のメールアドレスから送ってるので,これ無視されたら相当だと思う. 以下公開質問状>>> 報道等でも公にされていますが,この度の情報流出の件に関しまして質問させて頂きます.ご回答の方よろしくお願いします. 質問は以下のとおりです. 1. 外部から FTP でア

    首都大学東京の情報流出の件で公開質問状送った - 職質アンチパターン
    michihide
    michihide 2015/01/20
    一定規模以上のインシデントがあったら、原因を広く公開するように何とか法制化できないものですかね。毎回同じことを繰り返してて、ちっとも進歩がない。
  • みずほ銀行

    銀行の手数料特典と入会特典が受けられます! 楽天ポイント最大5,000ポイント※進呈 ※特典(期間限定ポイント含む)進呈には条件あり

    michihide
    michihide 2015/01/16
    にわかには信じられん(・・;)
  • PHP 5.4 以上でも register_globals を再現するライブラリ MercifulPolluter - Qiita

    あらすじ PHP と呼ばれる言語では、かつて register_globals という機能が猛威を奮っていました。簡単に言うと、リクエストパラメータが自動的にグローバル変数にセットされるというものです。 // http://example.com/?foo=123&bar=baz var_dump($_GET['foo'], $_GET['bar']); // string(3) "123" // string(3) "baz" var_dump($foo, $bar); // string(3) "123" // string(3) "baz" この機能が全盛期だった頃、残念ながら私は PHP を書いていませんでしが、おそらくこの機能が ON になっていることで「うわ、何も考えなくても勝手に変数として使える!便利だ!!」みたいな、 よしなにやってくれる という PHP 特有の機能でもダン

    PHP 5.4 以上でも register_globals を再現するライブラリ MercifulPolluter - Qiita
    michihide
    michihide 2014/12/30
    慈悲深き汚染。これを使わないといけない状況は悲しすぎる。
  • 日本語ランサムウェア「犯人」インタビュー : IT&メディア : 読売新聞(YOMIURI ONLINE)

    語ランサムウェアの導入画面。Flash Playerのインストール画面に偽装しているが、実際はファイルを勝手に暗号化するランサムウェアが入ってしまう(シマンテックによる) 日語のランサムウェア(ファイルを勝手に暗号化して、お金をゆする不正ソフト)が問題になっている。このランサムウェアを作った犯人と称する人物と、ツイッター上で会話できたので詳細をリポートする。 まとめサイト管理人へ偽メールを送りランサムウェアを仕込む 12月16日、セキュリティー大手・シマンテックが「日のユーザーを狙って設計されたTorLockerランサムウェアの亜種」という記事を出した。日語では初と思われるランサムウェアが登場した、という記事だ。 ランサムウェアとは、ファイルを勝手に暗号化して読めなくし、復元するには金を払えとする脅迫ソフトのこと。ロシアやヨーロッパで2013年に大きな被害を出したが、今まで日

    日本語ランサムウェア「犯人」インタビュー : IT&メディア : 読売新聞(YOMIURI ONLINE)
    michihide
    michihide 2014/12/20
    どうにも面倒な時代になったなぁ。
  • Yahoo!ニュース - 米Lokout、出荷時からマルウェア混入のスマホを発見 - アジアを中心に被害 (マイナビニュース)

    米Lokout、出荷時からマルウェア混入のスマホを発見 - アジアを中心に被害 マイナビニュース 12月6日(土)11時47分配信 米Lookoutは12月4日(現地時間)、出荷時にシステムフォルダー内にマルウェアが混入されているスマートフォンを発見したことをブログで発表した。 Lookoutは、このマルウェアをDeathRingと命名。DeathRingは、中国で作られたトロイの木馬で、ベトナム、インドネシア、インド、ナイジェリア、台湾中国で被害が確認されている。 感染したスマートフォンは、所有者の個人情報を勝手に外部に送信してしまう。さらに、利用者にアプリをダウンロードするように促してくるため、誤って新たなマルウェアをダウンロードしてしまう恐れがあるとしている。 混入されたマルウェアは最初動作していないが、起動する条件が2つある。1つ目はスマートフォンを5回再起動したとき、2つ

    Yahoo!ニュース - 米Lokout、出荷時からマルウェア混入のスマホを発見 - アジアを中心に被害 (マイナビニュース)
    michihide
    michihide 2014/12/06
    怪しい中華パッドなど、今後は手を出さないほうが無難かも。
  • 自堕落な技術者の日記 : ChromeのSHA1証明書のアラート表示ポリシの問題点 - livedoor Blog(ブログ)

    表を見ていただければわかる通り、Microsoft WindowsのSHA1移行ポリシに比べて、Chromeはかなりアグレッシブな設定になっており、開発版は2014年9月26日のアップデートから、安定版は2014年11月頃リリースの39から正常なHTTPS接続でないかのようなステータス表示となってしまいます。 今回のChromeのSHA1対応ポリシの問題点 今回のGoogle ChromeのSHA1証明書に対する対応計画は様々な問題があると考えていて、論点を整理したいと思います。 最も重要だと思うのが、ブラウザ毎にHTTPSのエラーや問題に対する表示の意味が異なってしまうという点です。今回のSHA1証明書の表示の計画がブラウザベンダー毎に異なるのはユーザが混乱することになり、良くなかったと思います。来ならCA Browser ForumのBaseline Profileなどで、業界で意思

    michihide
    michihide 2014/12/02
    普段はGoogle教の信者なんですが、これはちょっと…。
  • セッション管理がダメダメな図書館システムを 3 年も前に見つけてしまった顛末

    やっと、ベンダー側での全ての対応が完了したということが確認できたので、事の顛末を公開できる状況になったのですが、文京区の図書館システムは、個人情報が漏洩しかねない脆弱性を抱えていました。 自分の中での整理も含めて、どんな状況だったのかまとめておきたいと思います。 #自分には、Web アプリとか Web システムを作った経験はありませんが、見つけた時には「これは、ひでぇ…」と思いましたよ。 一体、どんな問題であったのか? 問題があったのは、文京区立図書館システムで使用されている ELCIELO という図書館業務のパッケージシステム。 2010 年 4 月にプロポーザル形式での業者選定で京セラ丸善システムインテグレーションに決まって、システム自体の稼働は 2011 年 1 月初めから。 自分は、富士通のシステムが使われていた頃から、Web での図書の貸出予約が出来るように利用者登録をしていたの

    セッション管理がダメダメな図書館システムを 3 年も前に見つけてしまった顛末
    michihide
    michihide 2014/10/31
    IPAの限界。
  • 自堕落な技術者の日記 : 様々なサーバーのPOODLE SSLv3脆弱性(CVE-2014-3566)対策のまとめ(更新3) - livedoor Blog(ブログ)

    は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 もくじ 1. はじめに 2. SSLv3を無効化できる場合のサーバー対策 2.1. Apache HTTPD Server + mod_ssl 2.2. Apache HTTPD Server + mod_nss 2.3. nginx 2.4. lighttpd 2.5. Microsoft IIS 2.6. (訂正)Apache Tomcat (Java JSSE) 2.7. Node.js 2.8. IBM HTTP Server 2.9. Amazon Web Services 2.10. その他のサーバー 2.11. SSLv3 を無効化するリスク 2.12. OpenLDAP 3. 諸般の事情で SSLv3 を有効にせざるを得ない場

  • 情報セキュリティ関連の大学研究室Webサイトをまとめてみた - researchmap

    2016年8月26日: GitHubに移行しました!Pull requestがあれば修正追記対応できるように。 https://github.com/akirakanaoka/seclablist 情報セキュリティを大学や大学院で学びたい研究したい、という進学希望の方に向けて。Webページを持っていることが確認できた研究室だけ掲載していますので、このほかにもまだまだ研究室はあると思います。 2014年9月25日作成。順不同。 2014年9月30日追記。 2014年10月2日追記。 2015年6月5日追記・修正。 2016年4月4日追記・修正。 2016年4月6日追記・修正。 筑波大学 暗号・情報セキュリティ研究室 (岡栄司先生、西出隆志先生、金山直樹先生)筑波大学 機械学習/データマイニング研究室 (佐久間淳先生)筑波大学 オペレーティングシステムとシステムソフトウェア研究室 (加藤和彦

  • BASHの脆弱性でCGIスクリプトにアレさせてみました

    環境変数に仕込まれたコードを実行してしまうBASHの脆弱性が CGIスクリプトに影響を与えるか試してみたら結果は悲惨な感じに Tweet 2014年9月25日 嶋田大貴 この記事は2014年のものです 朝から Bash specially-crafted environment variables code injection attack なるもので騒ぎになっていたので、さっそく手元の Apacheで試してみました。 /hoge.cgiというURIで実行されるように、一行のメッセージを出力するだけの CGIスクリプトを設置します。いっけん、なんの入力もクライアント側から受け付けていないため危険のありようもなく見えます。 #!/bin/sh echo "Content-type: text/plain" echo echo "Hi! I'm an ordinary CGI script w

    BASHの脆弱性でCGIスクリプトにアレさせてみました
    michihide
    michihide 2014/09/25
    「残念なお知らせ」のくだりは本当に残念。
  • iPhoneでATM等の暗証番号を簡単に盗みとれる方法が話題に〜防止策も解説

    クレジットカードやキャッシュカード等の暗証番号を、簡単にしかも気付かれずに盗みとれる方法が紹介され、海外で話題となっているようです。 その方法は、YouTuberのMark Rober氏によって動画(上)で公開され、わずか3日ほどで再生回数が200万回を超えるほど注目されています。 Rober氏はまず、実際に暗証番号を盗む「デモ」を行っています。 下のシーンは、よくあるドラッグストアのレジで、被害者役の女性(中央)がカードを使い、暗証番号を入力して支払いを済ませているところ。 犯罪者役のRober氏は、少し離れた場所でレジの順番を待っています。 支払を済ませた女性が立ち去ったあとのシーン。 Rober氏はiPhoneを片手に音楽を聴きながら自分の会計を済ませます。 一見すると何も怪しい様子はありませんが、この時点で既に、先ほどの女性の暗証番号を入手することに成功しています。 では、一体どう

    iPhoneでATM等の暗証番号を簡単に盗みとれる方法が話題に〜防止策も解説
    michihide
    michihide 2014/09/01
    こういう情報が拡散されることで、ますますディジタル・ディバイドが広がっていくんだろうなぁ。
  • これからのセキュリティ業界を担う、平成生まれのスーパーハッカー!――ゲヒルン 石森大貴さん

    EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

    これからのセキュリティ業界を担う、平成生まれのスーパーハッカー!――ゲヒルン 石森大貴さん
    michihide
    michihide 2014/08/22
    間違いなく凄い。ただ確かに尊敬に値するけど、日本が今後、彼のような存在をうまく活用できるかは未知数。
  • JAL公式サイトの2段階認証がZAL : 市況かぶ全力2階建

    ハローキティ総統とポムポムプリン社長が率いるサンリオ帝国、上場来高値のスッ高値で株を下々に放流することを決行

    JAL公式サイトの2段階認証がZAL : 市況かぶ全力2階建
    michihide
    michihide 2014/08/20
    『誕生日は定期的に変更してください』これは新しいアンチエイジング?
  • とも ちゃ日記(Tomo cha) - 元大学生のOL日記-

    わたしの日記は日々の出来事の憤晴らしの毒だし日記がメインです。 相当病んでいます。くだを巻いています。許容出来る方のみのアクセスをお願いします。 また、この日記へのリンクは原則自由にして頂いても結構ですが、 写真への直リンクを張るのはご遠慮下さい。内容に関しては、一切保証致しません。 カテゴリ一覧 Network, Internet, IPv6, DC, NTT, Comp, Linux, Debian, FreeBSD, Windows, Server, Security, IRC, 大学, Neta, spam, , 生活, 遊び, Drive, TV, 仕事, ヤフオクで CiscoAP(AIR-SAP1602I-Q-K9) という11n対応 が出ていたので入札しておいたら、どうやら落札出来ていたようだ。 んで、無事に物が届き、中身を確認していたら、configは消されているが、

    michihide
    michihide 2014/08/17
    イオンやら不治痛やらCISCOやら、、、