年が明けた5日、米国のメディアが相次いで報じたニュースに衝撃が走った。2億3千万人を超えるツイッター利用者の個人情報が流出した恐れがある、というのだ。 イスラエルのサイバーセキュリティー企業が明らか…
年が明けた5日、米国のメディアが相次いで報じたニュースに衝撃が走った。2億3千万人を超えるツイッター利用者の個人情報が流出した恐れがある、というのだ。 イスラエルのサイバーセキュリティー企業が明らか…
関連キーワード Twitter | サイバー攻撃 | セキュリティ 2022年11月中旬、Twitter社の同名短文投稿サイトの2要素認証(2FA)について、エンドユーザーから障害の報告が相次いだ。Twitterはイーロン・マスク氏のTwitter社CEO(最高経営責任者)就任以前から、さまざまなセキュリティの問題を抱えていた。Twitterは安全なのか。 CISOもさじを投げた? Twitterの「深いセキュリティ問題」とは 併せて読みたいお薦め記事 連載:Twitterの「2要素認証」(2FA)障害とは 前編:Twitterで起きた「2要素認証が使えない」問題とは何だったのか Twitterはさまざまな問題を抱えている マスク氏は“もうかるTwitter”を実現できるのか 「Twitterは危険だ」と納得させられてしまう理由 マスク氏によるTwitter社の買収は大きな波紋を呼んだ。2
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 目次 はじめに 個人を特定する情報が個人情報じゃない デジタル署名は暗号化しない TLS(SSL) は共通鍵を公開鍵で暗号化しない TLS(SSL) が使われていれば安全じゃない 変数は箱じゃない Python 等は「ソースコードを 1 行ずつ実行するインタプリタ方式」じゃない 日本語 1 文字は 2 バイトじゃない 動画が動いて見えるのは残像によるものじゃない 標本化定理は「2 倍以上の周波数」じゃない その他いろいろ はじめに 2022 年から高等学校で、プログラミング等を学ぶ「情報Ⅰ」が 必修 必履修科目になりました。1 さらには
Node.js の Permission についての解説を行います。 Node.js に Permission 機能が入りそう。 すでに PR が出されており、 land も間近です。おそらく次かその次くらいのリリースで入ることになるでしょう。 github.com おそらく初期リリースでは experimental flag を付けた上で、 fs, child_process, worker のパーミッションを許可するかどうかに留まり、 net, env などのパーミッションは今後になるでしょう。 以下の方法で利用します。 // filesystemの読み書きを許可する $ node --experimental-permission --allow-fs foo.mjs --allow-fs ファイルシステムの読み書きを行えるようにする --allow-fs-read= に記載のファイ
メリークリスマス! 週末もPHPを楽しんでますか? ところでWebセキュリティはWebアプリケーションを公開する上で基礎中の基礎ですよね! メジャーな脆弱性を作り込まないことはWeb開発においては専門技術ではなく、プロとしての基本です。 中でもXSS (Cross-Site Scriptingクロスサイトスクリプティング)やインジェクションについての考慮は常に絶対に欠いてはならないものです。 現実にはプログラミングには自動車のような運転免許制度がないため、自動車学校に通わず独学で公道に出ることができてしまいます。つまりは基礎知識がないままにWebプログラマとして就職したり、フリーランスとして案件を請けることも現実には罷り通っています。それは一時停止標識も赤信号も知らずにタクシー営業しているようなものです。 このような事情により、体系的な理解のないWeb開発初心者は (時にはn年のキャリアを
関連キーワード フィッシング対策 | 情報漏えい対策 | 情報漏えい | サイバー攻撃 | 不正アクセス 2022年11月(米国時間、以下同様)、オンラインストレージサービスを手掛けるDropboxは、同社が受けたフィッシング攻撃についての詳細を公開した。攻撃者の手口は、CI/CD(継続的インテグレーション/継続的デリバリー)ツール「CircleCI」を装ったメールを介したものだった。 Dropboxを狙ったフィッシング攻撃 手口と被害は? 併せて読みたいお薦め記事 「フィッシング攻撃」関連の注目記事 Microsoft 365のMFA(多要素認証)を無効化した「AiTM」の危険性とは “1日1万件”の攻撃を受ける英自治体が恐れる「あの脅威」とは Dropboxはソースコードの一部をコード共有サービス「GitHub」で管理している。CircleCIにはGitHubのユーザー認証情報でログイ
初めに 「署名とはメッセージのハッシュ値を秘密鍵で暗号化したものであり、検証は署名を公開鍵で復号してハッシュ値と等しいかを確認することである」という説明(×)をよく見かけます。 正しい署名の定義と実際のRSA署名がどのようなものであり、上記説明(×)がなぜよくないのかを理解しましょう。 署名の定義 署名の解説は署名の概要でも解説しましたが、再掲します。 署名(方式)は鍵生成(KeyGen)、署名(Sign)、検証(Verify)の3個のアルゴリズムからなります。 KeyGenではアリスが署名鍵sと検証鍵Sを生成します。署名鍵sは自分だけの秘密の値なので秘密鍵、検証鍵Sは他人に渡して使ってもらう鍵なので公開鍵ともいいます。 Signは署名したいデータmに対して署名鍵sを使って署名と呼ばれるデータσを作ります。 データmと署名σのペアを他人(ボブ)に渡します。 Verifyはボブが検証鍵Sを使
といった感じです。(この例、下で問題例として取り上げるため、実はおかしなチェック内容にしています。) "No.~基準"までがシートに記載されていてます。回答する発注先企業は"Yes,No,N/A"を3択で✅をつけ、備考欄にNoやN/Aの理由のほか、注記を記載できます。こういう項目が20~500項目あるExcelのシートに、発注先企業の回答担当は自社の状況、対応を確認しながら、ひたすら記載してゆくわけです。 知ってる人は知っているが、知らない人はぜんぜん知らない 最近参加したエンジニアがぞろぞろいらしたカンファレンスで、私が 「……あの セキュリティーチェックシート ってあるじゃないですが、あの 面倒なアレ です。アレにこの規格を採用するよう書いてあったら、各企業に規格の採用が広がるかもですね。あはは。」 と話したことがありました。その瞬間、 嫌なことを思い出したのか顔を曇らせたり苦笑いをす
Security Best Practices Intent This document intends to extend the current threat model and provide extensive guidelines on how to secure a Node.js application. Document Content Best practices: A simplified condensed way to see the best practices. We can use this issue or this guideline as the starting point. It is important to note that this document is specific to Node.js, if you are looking for
Wasmはなぜセキュアなのか? 前回Wasmのバイナリを読んでみたが、実行時にどのようにセキュアに実行しているのか気になったので調べてみた。 とりあえず今回も公式ドキュメントを見ながら整理しつつ、実際のコードも無理なく辿れそうなところはwasmerの実装を参考に見ていきたいと思う。 Wasmの目指すセキュリティ とりあえず公式の記載を脳死で読解していく。 The security model of WebAssembly has two important goals: (1) protect users from buggy or malicious modules, and (2) provide developers with useful primitives and mitigations for developing safe applications, within the
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 チェコのBrno University of Technology、米Louisiana State University、米University of New Havenに所属する研究者らが発表した論文「Rise of the Metaverse’s Immersive Virtual Reality Malware and the Man-in-the-Room Attack & Defenses」は、他人のVR HMD(ヘッドマウントディスプレイ)とコンピュータに侵入してソーシャルVRを介した攻撃が可能なことを実証した研究報告だ。 バーチャル環境で他の人とやりとりできるソーシャルVR
セキュリティ研究者が「Google Pixel」にロックスクリーンを簡単に回避できるバグが存在していることを発見した。研究者は詳細をWebサイトで公開している(注)。攻撃者は物理的にアクセスできるGoogle Pixelについて、指紋やPINコードといったロック機能を回避して簡単にユーザーのスマホに完全にアクセスできることが明らかになった。 このセキュリティ脆弱性は「CVE-2022-20465」として特定されており、Google Pixel以外の他の「Android」ベンダーにも影響を与える可能性があると指摘している。 スマートフォンやタブレットデバイスなどで使われるSIMカードにはPINコードを設定することができ、セキュリティ強化のために設定が推奨されることがある。このPINコードの入力が要求されたときに、規定回数以上に入力を間違えるとSIMカードがロックされる仕組みになっている。 S
This document and repository is a write-up of CVE−2022-3602, a punycode buffer overflow issue in OpenSSL. It's an "anti-POC" (the issue does not appear to exploitable) intended for folks who maintain their own OpenSSL builds and for compiler maintainers. There is a seperate CVE in the same release, CVE-2022-3786, which also leads to buffer overflows but an attacker can't control the content in tha
はじめに みなさんは普段FIDO2を使ったログインを利用していますか? FIDO2は、公開鍵暗号方式を利用したセキュアな認証を実現するための標準規格です。ユーザはセキュリティキーと呼ばれるデバイスを利用することで、パスワード等の秘密の情報を覚える負担を軽減してくれます。また、リスト型攻撃やフィッシングの耐性を持っているため、安全で便利な次世代の認証方法として注目されています。 FIDO2の規格は2019年にW3Cで勧告されWeb標準となり、FIDO2を利用できるブラウザやデバイス、またログインできるサービスが増えてきています。私が携わっているクラウド型ID管理サービスであるIIJ IDサービスでも、2020年にFIDO2認証をサポートし、幅広いお客様にご利用頂いてもらっています。 以前も本ブログにて、FIDO2に追加される機能に関するお話( https://eng-blog.iij.ad.
Intro CORB (Cross Origin Read Blocking) が Fetch の仕様から消え、後継の ORB (Opaque Response Blocking) が策定作業中である。 ここでどのような変更が起こっているのかを調査し、記録する。 CORB CORB はもともと、 Spectre に端を発する Site Isolation の走りとして始まった。 Spectre のサイドチャネル対策のためには、本来アクセスできてはならない Cross Origin のリソースが、同一のプロセスに展開されることを防ぐ必要がある。 CORS で行われるなら良いが、 no-cors な読み込みが可能なリソースでは、その読み込みが安全かどうかは別途確認する必要がある。 そこで、リソースをメモリ上に展開するためだけの、攻撃用途くらいしかあり得ないようなリソース読み込みをブロックする対
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 米New York UniversityとカナダのUniversity of Calgaryの研究チームが発表した論文「Asleep at the Keyboard? Assessing the Security of GitHub Copilot’s Code Contributions」は、コードを自動生成する「GitHub Copilot」において、生成したコードがセキュリティ面でどれくらい安全かを調査した研究報告だ。結果、実験で生成したコードの約40%に脆弱性が発見された。 ソフトウェア開発者は、コードを迅速に作成することが求められるため、生産性を向上させる新しいツールや技術を常に
クラウドにあるデータを保護するうえで、安全なキー管理は不可欠です。Azure Key Vault を使用すると、ハードウェア セキュリティ モジュール (HSM) に格納されたキーを使用する、キーや小規模な秘密情報 (パスワードなど) を暗号化できます。HSM にキーをインポートまたは生成してさらに確実性を高め、Microsoft は FIPS 検証済み HSM (ハードウェアとファームウェア) でキーを処理します (Vault では FIPS 140-2 レベル 2、HSM プールでは FIPS 140-2 レベル 3 を使用)。Key Vault では、Microsoft がお客様のキーを確認したり抽出したりすることはありません。Azure のログ機能によりキーの使用状況を監視および監査できます。これらのログは、Azure HDInsight やお客様のセキュリティ情報およびイベント管
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
