[B! security] naglfarのブックマーク

naglfar id:naglfar

securityに関するnaglfarのブックマーク (601)

Webセキュリティのあるきかた
2024/10/5 YAPC::Hakodate 2024
naglfar 2024/10/08
素晴らしかった。とても助かる。

security

web
リンク
ダラスにあるホテルに宿泊したら部屋に置いていた荷物がすべてなくなった人の記録「全くトラックできないセキュリティホールが存在している」
hiro_ @papa_anniekey BMX Racer. 転職活動中 And also, Security analyst/Architect/ex-researcher/Hobbiest. Tweet & article is my own. otx.alienvault.com/user/papa_anni… hiro_ @papa_anniekey 明日からダラスにまた移動です。ちょっと疲れた笑今回2年ぶりにラスベガス来て感じたのは、アメリカを足元の景気は悪化してるのかな？ということ。お店の商品のラインナップが抑えられてたり、エンタメの集客がよくなかったり。 2024-08-12 14:54:32 hiro_ @papa_anniekey この3日間、営業的な研修でした。アメリカン達と朝から晩までディスカションというなかなか辛いカリキュラム。内容はもちろんながら、研修に出席
naglfar 2024/08/19
これは防げないぃぃ……。

security

trouble
リンク
BL特化SNS「pictBLand」・Web即売会サービス「pictSQUARE」で情報流出の可能性　運営元が不正アクセス報告
イラスト・小説投稿SNS「pictBLand（pictMalFem、pictGLand）」と、オンライン即売会サービス「pictSQUARE」を運営するGMWは8月15日、データベースに不正アクセスがあり、情報が第三者によって流出した可能性があると報告しました。流出の可能性があるのはpictBLand（pictMalFem、pictGLand）のログインメールアドレス、ログインパスワード、pictSQUAREのログインメールアドレス、ログインパスワード、振込先口座情報、配送先住所情報。現在両サイトのサーバをダウンさせ、pictSQUAREの振込先口座情報、配送先住所情報を削除したと同社は説明しており、復旧時期は追って連絡するとしています。いずれのサイトのサーバダウンした状態問題の原因の究明と再発防止策を最優先で進めており、警察など公的機関とも連携し、事態の早期収束に向けて全力で取り
naglfar 2023/08/16
データ抜き取ったり脅迫したりするヤツが最も悪いが運営のずさんさは全く擁護できない。この時代に“ログインパスワードが抜かれた”とリリースするようなシステムって。

security
リンク
お知らせ｜【nosh-ナッシュ】ヘルシー・糖質に配慮した食事宅配サイト　不正アクセスによる情報流出の可能性に関するお知らせとお詫び
Mission 世界中の人々が健康で豊かに生活できる未来を届ける。 Vision 便利で健康的な食事を届け、世界中の生活者から選ばれ続ける。
naglfar 2023/01/06
URL が 404 なの運命の皮肉っぽくて好き。なお今回の件自体は大変な問題。あと、はてブの登録結果が 404 宛てにブックマークできてないの嫌だ。

nosh

security
リンク
病院のランサムウェア事件、ロシア系犯人を直撃取材　払っていないはずの「身代金」を支払ったのは誰なのか（山田敏弘） - エキスパート - Yahoo!ニュース
10月31日、大阪市住吉区にある総合病院「大阪急性期・総合医療センター」がランサムウェア（身代金要求型ウィルス）攻撃を受けたことがニュースになっている。この件を見ていく上では、昨年末に起きた徳島の病院へのサイバー攻撃を教訓として見るべきだろう。なぜなら、攻撃者側は、病院に攻撃したという自覚がないこともあるからだ。さらに身代金の支払いも、きちんと議論すべき時に来ている。 2021年10月3日、徳島県つるぎ町立半田病院が、ロシアのサイバー犯罪集団である「LockBit2.0」（以下、LockBit）によるランサムウェアによるサイバー攻撃を受けた。病院内の電子カルテを含む様々なシステムが動かなくなり、緊急患者の受け入れも断念することになった。そして2カ月以上にわたって、半田病院は病院機能が麻痺し、通常通りに診療ができない事態に。日本では、政府が身代金の支払いをしないよう指導しているため、公立
naglfar 2022/11/02
病院はＢ社に金を払い、Ｂ社は LockBit に身代金を支払った……なるほど、考えられる。

山田敏弘

security
リンク
見分けが不可能な偽サイトがGoogle検索最上位に堂々と表示されてしまう、「i」をURLに含む全てのサイトが信用できなくなる極悪手法
Googleは独自のルールに従って検索結果の表示順位を決めていますが、Googleの広告枠を購入すれば任意のウェブサイトを検索結果の最上部に表示することができます。この広告枠を悪用して人気画像処理ソフト「GIMP」の公式サイトになりすました偽サイトが検索結果の最上部に表示されてしまう事態が発生しました。偽サイトはドメインの見た目までソックリで、インターネットに慣れている人でも見分けることは困難となっています。 Dangerous Google Ad Disguising Itself as www.gimp.org : GIMP https://www.reddit.com/r/GIMP/comments/ygbr4o/dangerous_google_ad_disguising_itself_as/ Dangerous Google Ad Disguising Itself as www
naglfar 2022/11/01
これは evil だ。「広告をクリックしない」という対策を取るしかない。

advertisement

google

security
リンク
TP-Link製ルーター、無断でデータをAviraに送信。1日に8万件ものリクエスト | ニッチなPCゲーマーの環境構築Z
TP-Linkのルーターは、使用者に無断でデータをAviraに送信している模様です。海外メディアのTECH POWER UPが報じました。近年のルーターは、単にルーティングをするだけでなく、ホームネットワークのセキュリティ機器としての役割も担っている。TrendMicroのアンチウイルス機能を使用するASUS AiProtectionや、BitDefenderの保護機能を使用するNETGEAR Armorといったサードパーティによるセキュリティサービスが急増している。中国のTP-Linkも同様に、一部のルーターはTrendMicroやAviraと提携して同様のサービスを提供している。しかし、Redditでのユーザー報告によると、TP-LinkがAviraと提携しているHomeShieldサービスは、UI上から無効化していてもAviraにデータを送信しているという。 Aviraの機能は、
naglfar 2022/03/14
またお前か。

security

hardware

TP-Link
リンク
【注意喚起】寄生サイトの恐怖サイト貸しの営業に注意 - Web > SEO
中堅～大手サイトに「お金を払うので私のコンテンツをあなたのサイトに置きたい」という営業が広範囲に行われています。指定されるコンテンツを置くだけで毎月固定額の報酬の他、そのコンテンツから発生したアフィリエイト収入の数割を払うという好条件が提示されていて、検討する会社も多くあるようです。これは2019年頃からごく一部の大手サイトで見られましたが、最近ではその営業を行う会社も増え、地方のメディアや地場企業などにも同様の営業が増え、拡大を続けています。わたしはこの試みを、それぞれのサイトに寄生して価値を吸い取ろうとする「寄生サイト」と呼んでいます。これは寄生される側に大きなリスクを伴います。自社サイトが大きなダメージを受ける可能性が高いため、検索流入が必要な場合この営業は絶対に受けてはなりません。この記事では「寄生サイト」がどういう経緯で生まれたのか、そしてそのリスクについて説明します。
naglfar 2022/01/06
セキュリティの観点からもNGだよね。

辻正浩

security
リンク
クローズしたはずのサービスが知らぬ間に蘇っていたのでクローズしきった話
Kaigi on Rails 2021 での発表資料です。 https://kaigionrails.org/2021/talks/tricknotes/
naglfar 2021/10/23
これは怖い。きちっとクローズできてよかった。

DMCA

copyright

security
リンク
「習近平のID番号でユーザー登録すると…」ダメ警官が指導者の個人情報を転売、中国“最強監視社会”のショボい裏側 | 文春オンライン
「中国人民はみんな、18桁の身分証番号（ID番号、公民身份号碼）が割り当てられている。このうち、最初の6桁が戸籍登録地の地域番号で、次の8桁が生年月日。残る4桁は認証番号だが、そのうち1桁は性別で決定される。このルールはたとえ国家指導者だって例外じゃない。中国のネットユーザーの間で、習近平の身分証番号が特定されたのは2018年9月のことだった」目の前の若者が喋り続けていた。彼は中国の反体制的なインターネットコミュニティ（通称「悪俗圏è sú quān」）の主要人物の1人で、広東省深圳市生まれの肖彦鋭（26）という。
naglfar 2021/07/21
番号に意味を持たせた結果。

security

privacy
リンク
当社コーポレートサイトの不具合により、お問い合わせフォーム内の個人情報が他者から閲覧できた状況に関するお詫びとご報告 – 株式会社ネットマーケティング
NEWSニュース TOP ニュース当社コーポレートサイトの不具合により、お問い合わせフォーム内の個人情報が他者から閲覧できた状況に関するお詫びとご報告このたび、当社コーポレートサイトのお問い合わせフォームにおいて、お問い合わせを頂いた一部のお客様より、他のお客様のご記載内容の一部が閲覧できる状況になっているとのご指摘を受け、調査をしたところ、コーポレートサイトの管理システムの不具合により、当該事象の発生事実を確認いたしました。直ちにシステム対応を行った結果、現在、他のお客様の個人情報が閲覧されることはございません。また対応以降のご指摘もなく、お問い合わせフォームは現在問題なくご利用頂ける状態です。今回、個人情報の他者閲覧の対象となるお問い合わせフォームご利用のお客様、ならびに関係各位に新たなご迷惑およびご心配をおかけすることとなり、誠に申し訳ございません。心よりお詫びさせて頂きます。
naglfar 2021/05/24
ダブル役満。

security

privacy
リンク
不正アクセスによる会員様情報流出に関するお詫びとお知らせ – 株式会社ネットマーケティング
この度、当社が提供する恋活・婚活マッチングアプリ「Omiai」を管理するサーバーに対し、外部からの不正アクセスを受け、会員様情報の一部が流出した可能性が高い事が判明しました。本件に関して、現時点で判明している概要と対応につきまして、下記の通りご報告いたしますとともに、会員様および関係各位の皆様にご心配、ご迷惑をおかけすることとなり、深くお詫び申し上げます。なお、現時点におきまして、今回の事案に関わる個人情報の不正流用等の事実は確認されておりません。今後当社は、会員様情報の不正流用の発生防止に努めるとともに、本件に誠意を持って全力で対応させていただく所存でございます。皆様にご心配をおかけすることを重ねてお詫び申し上げます。今回の対象のお客様におかれましては、万が一身に覚えのない連絡や、心当たりのないコンタクトがあった場合、念のためご注意をお願いいたします。また、何かお気づきの点がござい
naglfar 2021/05/24
役満。

privacy

security
リンク
twitterアカウント@yanmaが乗っ取られた(解決編) - yanma
字下げ.icontwitterアカウント@yanmaが乗っ取られた件について、2021年4月4日1時5分にtwitterから連絡があり、アカウントが復旧した。ずいぶん広く拡散されているようで、解決の経緯を知りたい方も多いと思われるため、ここにまとめておく。
naglfar 2021/04/05
経緯の公開に感謝。 twitter はやはり信用ならないな……。

twitter

security
リンク
twitterアカウント@yanmaが乗っ取られた - yanma
字下げ.iconTwitterで拡散され始めているため、誤解のないように補足しておきます。私のアカウントが乗っ取られたことは事実ですが、私はTwitterのセキュリティ設定のうち、「2要素認証」と「追加のパスワード保護」をいずれもデフォルト設定のままOFFにしていました。これらのいずれか一つでもONになっていた場合、今回の手口は使えない可能性があります(Twitterのセキュリティ周りの仕様が不明なため推定)。字下げ.iconしかし、「2要素認証」はともかくとして、「追加のパスワード保護」がデフォルトでOFFになっているのはWebサービスのセキュリティ上正しい設計なのかどうかかなり疑問です。私はこの設定の存在を知らず、パスワードのリセット要求がされると少なくとも一回はログインアラートが来て阻止するチャンスがあると考えていました。
naglfar 2021/04/04
恐ろしすぎる。パスワードの使い回し以外にも道はあるんだな……それはそうか……。

twitter

security
リンク
こんばんは、X-Forwarded-For警察です - エムスリーテックブログ
エムスリーエンジニアリンググループ製薬企業向けプラットフォームチームの三浦 (@yuba)です。普段はサービス開発やバッチ処理開発をメインにやっておりますが、チームSREに参加してからはこれに加えて担当サービスのインフラ管理、そしてクラウド移行に携わっています。今回はそのクラウド移行の話そのものではないのですが、それと必ず絡んでくるインフラ設定に関してです。アクセス元IPアドレスを知りたい Webアプリケーションがアクセス元IPアドレスを知りたいシーンというのは、大まかに二つかと思います。ログ記録用と、アクセス制限ですね。どちらもアプリケーションそのものではなく手前のWebサーバの責務のようにも思えますが、そうとも言い切れません。動作ログ、特に異常リクエストをはじいた記録なんかにセットでIPアドレスを付けたいとなるとアプリケーション要件ですし、アクセス制限についてもマルチテナントサービ
naglfar 2021/03/24
アプリケーションサーバに適切な設定を行えばアプリは remote_addr を取得するだけで済むんだ。すてき。

network

programming

security
リンク
Smoozサービス終了に寄せて
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
naglfar 2021/02/10
security

Smooz

privacy
リンク
GitHubに関する対応とお願い | CSAJ 一般社団法人コンピュータソフトウェア協会
2021.02.02 一般社団法人コンピュータソフトウェア協会(CSAJ) 一般社団法人コンピュータソフトウェア協会（略称「CSAJ」、東京都港区赤坂）は、各種メディアで報道されている、クラウドサービス「GitHub」について、正しい理解と対応に向けた文書を発表いたしました。はじめに各種報道のとおり、ソフトウェアのソースコードをホスティングするクラウドサービス「GitHub」において、大手金融機関の業務システムのソースコードの一部が公開されていた事象が発生しました。クラウドサービスにおいては、情報の公開範囲などの設定の誤りが、セキュリティインシデントにつながることがあり、利用においては十分な配慮が必要です。その上で、クラウドは危険であるので使わせないという判断にならないよう、GitHubをはじめ、外部のクラウドサービス利用の萎縮につながらないよう、各社の節度ある情報セキュリティ設計を要
naglfar 2021/02/05
そもそもは GitHub 一切関係ない流出なので、この対策は意味がなかろう……。あとサプライチェーンって寝言どこから出て来たって思ったら本文に書いてあって二度見した。

security
リンク
45歳プログラマーさん、警察庁とNTTとSMBCのソースコードを世界に無償公開してしまう
プログラマー歴20年の艦これ提督が作ったプログラムを入れると年収を査定してくれるからと手持ちのプログラムを全て入れてしまい SMBCとNTTと警察庁、日銀、埼玉県庁で使っているソースコードGithubで世界中に公開してしまう
naglfar 2021/01/29
転職準備って言ってるけど、転職“できない”準備の間違いでは。こんなひと従業員として使えないよ。

security
リンク
続・続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している
この記事は過去2回にわたる検証記事の続きとなります。国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している前回の記事では、おすすめ記事機能を有効にしていると、Smoozがユーザーの閲覧しているURL情報を送信してしまうことについて解説しました。ユーザーID、URLと共に送信されているbc、bt、bdという項目の内容がわからないままでしたが、これもユーザーの情報であるはずだと思い、調査を続けてきました。 ▼これがおすすめ記事のために送信される内容（この内容は記事の最後にテキスト情報としても掲載しておきます） URL情報に関連するもので『c、t、d』と呼ばれそうなものは何か。・cのデータ量は飛び抜けて多い・cとdは一致が見られることがある・一部が一致しながらもcのほうが長かったりもする
naglfar 2020/12/21
ありえなさすぎる。

security

privacy
リンク
当社管理サーバーのアクセス履歴について - PayPayからのお知らせ
追記：アクセスされた可能性のある最大件数については、詳細な調査分析により2,101件であったことが判明しております。詳細は下記をご確認ください。管理サーバーへのアクセス履歴の調査結果について（2021年5月7日） https://paypay.ne.jp/notice-merchant/20210507/01/ 2020年12月1日に外部からの連絡に基づき、当社管理サーバーにある、加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日にブラジルからのアクセス履歴を1件確認、12月3日までに遮断する措置を実施しました。現時点で、これらの情報が利用された事実はありません。なお、ユーザー情報は別のサーバーで管理しているため、本事象における影響はありません。＜アクセスされた可能性のある情報＞ (1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、
naglfar 2020/12/07
加盟店や従業員の情報が漏れたらしい。

security

privacy
リンク
1 2 3 4 5 6 7 8 9 10 次のページ