ユーザーに改変してほしくない処理をJavaScriptで書いてしまうことは、とても危険です。なぜ危険で、どれほどクリティカルな問題なのかということを書いていきたいと思います。
ユーザーを信用してはいけない
まず、大前提としてプログラミングの世界ではユーザーから入力されるデータや送られてくるデータを信用しては…

もっと読む »

Mozillaが、Firefoxブラウザーのトラッキング防止機能をデフォルトで有効化すると発表しました。
ウェブサイトではユーザーの行動を追跡することで広告の最適化などを図っているものの、大量のトラッカーがユーザーをつけまわしている状態はブラウザーの処理速度を低下させるというのがその理由。ただし、設定でトラッキ…

もっと読む »

最先端セキュリティは物理鍵にあり! Google社内で使われているFIDO認証キー「Titan Security Key」が一般販売スタート2018.08.31 18:00 そうこ
これは使ってみたい!
Google(グーグル)が、新たなセキュリティ対策として、物理キー「Titan Security Key」の販売を、スタートしました。BluetoothキーとUSAキータイプの2つが…

もっと読む »

2018年7月観測レポートサマリー
DDoS攻撃の観測情報
IIJマネージドセキュリティサービスの観測情報
Web/メールのマルウェア脅威の観測情報
セキュリティインシデントトピック
セキュリティインシデントカレンダー
2018年7月観測レポートサマリー
当月も前月までと同様に、DDoS攻撃やマルウェアを利用した攻撃など、様々…

もっと読む »

こんにちは、垣内ゆりかです。
マイクロソフトでは、Transport Layer Security (TLS) 1.0, 1.1 の利用を廃止し、より安全なプロトコルである TLS 1.2 以降への移行を推奨しています。(参考: 過去ブログ [IT 管理者向け] TLS 1.2 への移行を推奨しています)
2018 年 10 月 31 日より、Microsoft Office 365 では TLS 1.0…

もっと読む »

こんにちは、垣内ゆりかです。
マイクロソフトでは、Transport Layer Security (TLS) 1.0, 1.1 の利用を廃止し、より安全なプロトコルである TLS 1.2 以降への移行を推奨しています。(参考: 過去ブログ [IT 管理者向け] TLS 1.2 への移行を推奨しています)
2018 年 10 月 31 日より、Microsoft Office 365 では TLS 1.0…

もっと読む »

Googleによると、Tinkの目的は、セキュアで簡単に正しい使用ができ、悪用が難しい暗号APIを提供することにある。
米Googleは8月30日、多言語のクロスプラットフォーム暗号ライブラリ「Tink」のバージョン1.2.0を公開し、初めてクラウドとAndroidおよびiOSをサポートしたと発表した。
Googleによると、Tinkはプロジェクト…

もっと読む »

はじめに
Webサーバをセキュアに保つ為、個人的に行っている設定をざっくりまとめてみました。
設定内容はApache 2.4での運用を想定していますので、他のHTTPdをお使いの方は適宜読み替えてください。
各設定項目は以下のオンラインテストサイトでA+相当を取ることを目指しています。
設定ファイル生成
Mozilla SSL Conf…

もっと読む »

日本弁護士連合会は8月28日、体罰や虐待問題についてのシンポジウム「禁止立法で体罰・虐待の予防を!~科学的に明らかになってきた体罰の弊害と効果的施策~」を、東京・千代田区の日比谷コンベンションホールで開催した。
児童虐待に詳しい西澤晢教授(山梨県立大学人間福祉学部・福祉コミュニティ学科)や、瀬角南氏…

もっと読む »

MBSDトップページ>
MBSD Blog>
ImageMagickを使うWebアプリのセキュリティ – 1. 既知の脆弱性、システム情報の漏洩
Webサイトの診断でImageMagickを使ったアップロード画像の処理を見ることがあります。診断の結果、特有の興味深い挙動が見つかることもあるため、今回時間を取って検証してみました。
その結果を3回に分…

もっと読む »

最近、僕の周りでFirebaseを使った人たちは、
「サーバーの処理をFirebaseに置き換えたら、筋肉がつきました!」(29歳, 社会人)
「Firebaseを使ったら友達も増えてわっしょいわっしょい」(11歳, 小学生)
「もうFirebase無しじゃ生きられない」(38歳, エンジニア)
「にゃーん」(1歳4ヶ月, うちの猫)
と言っていました。嘘…

もっと読む »

自分の観測範囲だとネットを制限している企業ほど情報漏洩事故を起こしている。事故の再発防止で厳しくしていったんだろうが、でも報道発表資料読むとパソコン使えないので紙に印刷して持ち出したら風で飛ばされただの、ネット禁止だからUSBメモリに入れて運んだら盗まれただの、そんなのばっか

もっと読む »

2018年8月30日、クラウドストレージサービス「Dropbox」を展開するDropbox Japanは、グローバルのストレージインフラやネットワークについての説明会を実施。AWSにあったシステムを自社データセンターに移した背景やそのメリットなどをDropbox Japanの保坂大輔氏が説明した。
エクサバイトに向け加速度に増え続ける超巨…

もっと読む »

はじめに
2018/08/27にFutureVulsが大規模バージョンアップしました。無料で触れるデモサービスが提供されているので触ってみました。
デモ環境にはAmazon Linux、RedHat、CentOS、Ubuntuが用意されています。今回はWindows Serverの場合どのように表示されるかは触れません。
画面が刷新
パッチ未適用な脆弱性も検知可能
2要素…

もっと読む »

PHOTOGRAPH COURTESY OF HP
ファクスのことを、8トラックのテープと同じように過去の遺物だと考える人もいるだろう。だが、医療機関や官公庁では、いまでも毎日のようにファクスを使用している。
それだけではない。あなたの家にあるオールインワンプリンターにも、ファクス機能が付いているのではないだろうか。しかし…

もっと読む »

あるAnonymous Coward曰く、サイバー攻撃の増加を背景に、経済産業省は2016年に「2020年には国内で19万3000人のセキュリティ人材が不足する」との予測を発表しているのだが、日経新聞が報じたところによると、実際の企業は人手不足にあると感じていないようだ(日経新聞)。

こうした温度差が生じたのは、経産省の予測は一般企業の各部門にもセキュリティ人材が必要、という「あるべき姿」に基づいて算出されたためだという。ところが実際には、多くの企業が自社でセキュリティ人材を揃えず外部に委託すると…

もっと読む »