パスワードに記号や大文字や数字を盛り込み、定期的に変更するというルールは間違いだったと当事者が告白。
Securityに関するsisidovskiのブックマーク (71)
-
sisidovski 2017/08/09
-
-
Malicious packages in npm. Here’s what to do
What happened?# People found malicious packages in npm that work like real ones, are named similarly real ones, but collect and send your process environment to a third-party server when you install them: @kentcdodds Hi Kent, it looks like this npm package is stealing env variables on install, using your cross-env package as bait: pic.twitter.com/REsRG8Exsx — Oscar Bolmsten (@o_cee) August 1, 2017
-
Unquoted attribute values in HTML and CSS/JS selectors · Mathias Bynens
This is one of those posts I wrote just to be able to link back to it later. I see a lot of questions on the subject, and even though I don’t mind explaining the same thing over and over again, it’s probably easier to just write it down once. Unquoted attribute values in HTML Most people are used to quoting all attribute values in the HTML they write. For example: <a href="foo" class="bar">baz</a>
-
Analysis of the Alexa Top 1M sites – Mozilla Security Blog
Prior to the release of the Mozilla Observatory a year ago, I ran a scan of the Alexa Top 1M websites. Despite being available for years, the usage rates of modern defensive security technologies was frustratingly low. A lack of tooling combined with poor and scattered documentation had led to there being little awareness around countermeasures such as Content Security Policy (CSP), HTTP Strict Tr
-
BetterTLS
Written by Ian HakenAt Netflix we run a microservices architecture that has hundreds of independent applications running throughout our ecosystem. One of our goals, in the interest of implementing security in depth, is to have end-to-end encrypted, authenticated communication between all of our services wherever possible, regardless of whether or not it travels over the public internet. Most of th
-
-
Browser PornX: порно видео в вашем браузере онлайн
Реально жесткое порно с жесткой долбежкой во все щели, смачным проебом анала и пизды: тут девки кричат от боли о оргазма одновременно.
-
Am I Unique ?
Javascript is disabled on your browser! Some of features may not work properly. Learn how identifiable you are on the Internet Help us investigate the diversity of web browsers This website aims at studying the diversity of browser fingerprints and providing developers with data to help them design good defenses. Contribute to the efforts by viewing your own browser fingerprint or consult the curr
-
-
公開鍵ピンニングについて | POSTD
ついに、インターネット技術タスクフォース(IETF)が RFC7469 HTTP公開鍵ピンニング拡張 (HPKP)を発表しました。このアイデアを出してくれた同僚のRyan Sleevi、Adam Langley、Chris Evansに感謝します。また、RyanとChris EはRFCの最終稿に先立つ大量のドラフトの執筆を助けてくれました。そして、ドラフトにコメントし、RFCとして公開できるまでにしてくれたIETFの多くの参加者にも感謝します。 ピンニングとは何か? 何を解決できるのか? HPKPは Web PKI の大きな問題の1つを解決する試みです。その問題とは、基本的に認証局(CA)や中間認証局は、どのWebサイトにもエンドエンティティ(EEまたは”リーフ”)証明書を発行することができてしまうことです。例えば、mail.google.comの証明書が”Google Internet
-
mixed contents 対応を促進する CSP ディレクティブ | blog.jxck.io
Intro HTTPS 移行の問題点の一つに、 mixed contents への対応がある。 逆に mixed contents の発生を恐れ、 HTTPS に移行できないサービスもあるだろう。 本エントリでは mixed contents の正しい理解と、その検出や解消に利用できる可能性のある、 CSP の Upgrade-Insecure-Request および、 Block-All-Mixed-Contents を解説する。 mixed contents HTTPS で配信されたコンテンツが、サブリソースとして HTTP のコンテンツを含む場合、これを mixed contents という。 HTTPS は MITM に対する耐性があるが、 HTTP は MITM への耐性がないため、 mixed contents の状態ではサブリソースを起点にメインコンテンツへの改ざんが成立して
-
他の人のIPアドレスになりすましてインターネットをすることが可能なのでしょうか?もしこの前提が可能で犯罪に使用されていたならそれで... - Yahoo!知恵袋
他の人のIPアドレスになりすましてインターネットをすることが可能なのでしょうか?もしこの前提が可能で犯罪に使用されていたならそれで本当のIP所有者が犯人にされてしまうこともありえますよね。 他の人のIPアドレスになりすましてインターネットをすることが可能なのでしょうか?もしこの前提が可能で犯罪に使用されていたならそれで本当のIP所有者が犯人にされてしまうこともありえますよね。 何かの理由で相手のIPアドレスの使用者を割り出す際に、他人のIPアドレスになりすまされていたり存在しないIPアドレスに偽装されていたら本当の犯人を特定することは簡単ではないと思います。 プロパイダなどからの現時点で誰かに割り当てられている他人のIPアドレスになりすましをして、または存在しないIPアドレスに偽装してインターネットをすることはできるのでしょうか? もし他人のIPアドレスになりすましができてえん罪を被せられ
-
Masato Kinugawa Security Blog
English version is here: https://mksben.l0.cm/2021/11/css-exfiltration-svg-font.html この記事では、SVGフォントとCSSを使って、ページ内のテキストを読み取る方法を紹介します。 CSSを使ってデータを読み取る方法はいくつか知られており、既知の手法が以下のサイトでよくまとめられています。 CSS Injection Primitives :: DoomsDay Vault https://x-c3ll.github.io/posts/CSS-Injection-Primitives/ これらのテクニックは、入力がサニタイズされていて使えるHTMLタグが限られているケースや、Content Security Policy(CSP)の制限によってJavaScriptが使えない状況などでも、スタイルの記述ができる
-
2016年8月末より発生している国内サイト・サービスの接続障害についてまとめてみた - piyolog
2016年8月22日頃から、日本の複数サイトで接続し難い、あるいは出来ないといった事象が確認されています。ここでは関連情報をまとめます。 サーバー(Webサイト)への接続等で障害発生しているサービス、サイト 各サイトのTwitter等での発表をまとめると次の通り。 障害発生元 発生原因(運営元発表抜粋) さくらインターネット DoS攻撃、あるいは攻撃と思われる 技術評論社 サーバへのDoS攻撃が検知されたことを受け,サービスが提供できない状態 スラド DDoS攻撃の影響 はてな さくらインターネットDNSサーバー障害に起因 したらば掲示板 ネットワーク障害 ふたば★ちゃんねる サーバ会社よりDoS攻撃との報告 小説家になろう 上位回線の管理会社よりDos攻撃を受けているとの連絡 OSDN DDoS 攻撃の影響 Feeder 全サーバがDDoS攻撃を受けており、サービスをご提供できない状態
-
セキュリティ脆弱性情報を最速でチーム共有する方法 - Qiita
Dobrý den !1 ゼロデイ攻撃、怖いですよね?情報は鮮度が命ですよね?週一回のメーリングリストじゃ遅すぎますよね?セキュリティ情報収集の為にTwitter監視するの、やめたいですよね? そんなあなたに朗報です!最速で情報収集する方法をお教えします!今なら無料! CVEのRSS + IFTTT + Slack CVEのRSSをIFTTTに食わせて、Slack(など)に流し、開発・運用チーム内で情報共有しましょう。NVDがCVEのRSSをフィードしていますので、こいつを利用しましょう。このURIです。 https://nvd.nist.gov/download/nvd-rss.xml こんな感じでSlackに流れます。 How to IFTTTのアカウントを作成してください。次に、RSSのレシピを作成します。 その時、固定文字(正規表現とかでなく)でフィルタリングできるので、プロジェク
-
【新記事作成しました】セキュリティに関する情報源を整理してみた - トリコロールな猫/セキュリティ
【2020/02/26更新】加筆修正を加えた2020年版を新記事を作成しました。この記事はもう更新しませんので、以下の記事をご覧ください。 security.nekotricolor.com 個人的なブックマークをどこでも使えるようにここに公開しておこうと思います。 政府機関 サイトURL RSSまたは新着情報の場所 情報セキュリティ政策(METI/経済産業省) 最新情報 総務省|報道資料一覧:2020年2月 報道資料一覧 過去のトピックス一覧|国民のための情報セキュリティサイト 過去のトピックス一覧 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部) 【お知らせ】 警察庁 @police topics 警察庁 サイバー犯罪対策 What’s New 情報セキュリティ広場 警視庁 注目記事? http://www.cryptrec.go.jp/topics.html トピックス一
-
-
【Apple WWDC 2016】iOS 10のApp Transport Securityと2016年末からのATS必須化についてAppleのエンジニアに聞いてきた - Hatena Developer Blog
Apple WWDC 2016に参加するためにサンフランシスコへ来ているid:niwatakoです。 WWDC 2016のセッション にて、App Storeに公開するアプリは今年中にATS(App Transport Security)が要求されるようになるという発表がありました。 アプリからの通信をhttps接続のみに制限するATSの有効化がApp Storeへのアプリ提出には必須になるとのことですが、はてなブックマークのようにhttpのウェブページを含む不特定多数のコンテンツの表示が必要なアプリはどこまで制限されるのでしょうか。 WWDC期間中はAppleのエンジニアに質問が出来るLabが設けられているので、ATSとiOS 10でのATS周りの仕様について質問してきました。 2016/12/22 追記 2016年末とされていたApp Transport Security必須化の延期が
-
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Copyright © 2005-2024 Hatena. All Rights Reserved.
設定を変更しました