787の結果を表示中

ゼロトラストを実装する | ロードバランスすだちくん

シンジです。ゼロトラストがマーケ用語に成り上がって久しいですが、とは言えなぜこの状況下であっちこっちでゼロトラストだとうるさいのか、かくいう俺もゼロトラスト警察とか言われるくらい叫んでおるわけで、それほどまでゼロトラストというのは現代的な考え方で、理想的で、非現実的な側面を持っています。 にわかゼ…

Trivyの脆弱性スキャン結果をFutureVulsに連携してみた(CI/CD編) | Developers.IO

Trivy は OSS のコンテナ脆弱性スキャンツールで、コンテナの OS パッケージやアプリケーションの依存ライブラリの脆弱性を検出します。 前回、コマンドラインから Trivy でスキャンした結果を脆弱性管理ツールの FutureVuls に連携してみました。 Trivyの脆弱性スキャン結果をFutureVulsに連携してみた(CLI編) 今回は…

新型コロナウイルス接触確認アプリ(COCOA)で攻撃できる問題

はじめに#COCOAボランティアデバッグ に尽力されている皆様に深い敬意を表します。 併せて、 OSS コミュニティへの悪影響を残している関係行政機関・各社担当者を強く軽蔑します。 project dead? · Issue #773 · Covid-19Radar/Covid19Radar · GitHub COCOA が抱えるアプリケーション設計上の問題点攻撃者が COVID-19 感…

10分でできる最低限のIAM設定見直し | Developers.IO

30分から1時間のような短時間でAWS環境をレビューさせていただくことがあります。IAMユーザーのレビューについて、私がまず確認する内容をシェアします。 最後のアクティビティから、使われていないIAMユーザーを洗い出す IAMコンソールからユーザーを開くと、IAMユーザーの一覧が表示されます。最後のアクティビティに…

信頼できないネットワーク–グーグルのセキュリティモデル「BeyondCorp」の妙 – ZDNet Japan

印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 企業のIT資産の境界を(ファイアウォールなどによって)保護するという方法はうまくいかないので、考え直す必要がある。この意見には誰もが賛成なのではないだろうか。2009年、…

FirebaseのAPIキーは公開しても大丈夫だよ(2020年夏) – shiodaifuku.io

FirebaseのAPIキーは公開しても大丈夫だよ(2020年夏) 毎年100回くらいこれ言ってると思うんだけど、いまだに「FirebaseのAPIキーを公開しても大丈夫かどうか不安」という人がいるし、 なんなら「FirebaseのAPIキーを公開してはいけません」とか大嘘をでかい声でしゃべる人もいます。 2020年の夏ももうそろそろ終わりま…

北朝鮮がユーチューブで暗号放送 工作員への指令か | 聯合ニュース

【ソウル聯合ニュース】北朝鮮が動画投稿サイト「ユーチューブ」で、韓国などに潜伏する工作員への指令と推定される「乱数放送」を行った。 北朝鮮の国外向けラジオ放送、平壌放送のユーチューブチャンネルに29日、「0100011001-001」と題した動画が投稿された。アナウンサーが「今から710号探査隊員…

HackerOne

# Summary With any in-app redirect – logic/open redirect, HTML or javascript injection it’s possible to execute arbitrary code within Slack desktop apps. This report demonstrates a specifically crafted exploit consisting of an HTML injection, security control bypass and a RCE Javascript payload. …

インターネットを分断する中国 私たちにできることは? | Forbes JAPAN(フォーブス ジャパン)

ティム・ウーの記事や書籍はどれも読む価値がある。彼はコロンビア大学法科大学院教授、弁護士、テクノロジーとその効果に関する専門家などの顔を持つほか、「ネット中立性」という言葉の生みの親でもある。端的に言えば、彼の意見は軽んじるべきでない。 ウーはニューヨーク・タイムズ紙に寄稿した「A TikTok ban is ov…

Androidのセキュリティバグで悪質なアプリがユーザーの個人情報を吸い取っている可能性 | TechCrunch Japan

Androidのセキュリティ脆弱性により、悪意のあるアプリが同じデバイス上の他のアプリの機密データを吸い上げていた可能性がある。 アプリセキュリティのスタートアップであるOversecuredは、広く利用されているGoogle(グーグル)のPlay Coreライブラリにこの脆弱性を見つけた。これは開発者が言語パックやゲームレベル…

おうちに使用済み電池をそのまま溜めこんでいませんか?工業高校生の日常マンガから学ぶその危険性と、みなさんの安全対策から面白い活用法まで – Togetter

小賀ちさと◆只工②巻発売中! @oga_chisato 実際に電池同士の接触による火災は起こっていますので、使用済み電池はくれぐれも気を付けて扱って下さい🧑‍🔧 電池回収については各市町村によって異なるとは思いますが、電気屋さんで回収もしてくれたりしますのでお近くのお店をご確認下さい👍 おうちの電池、チェックしてみ…

一般消費者に脆弱性対処の内容をどう開示する? IPAが開発者向けガイドを公開:製品開発時に実施すべき対処法をまとめた – @IT

製品の脆弱性への対処は進んでいない IPAは「製品の脆弱性を網羅的に対処するのは困難であり、しかも製品の脆弱性対処状況は一般消費者にとって製品選定の決め手になりづらいことから、結果的に製品の脆弱性対処が進んでいない」と指摘する。 公開したガイドは、こうした状況を受けて「製品開発者がセキュリティ対策とし…

Security-JAWS 第18回レポート #secjaws #secjaws18 #jawsug | Developers.IO

Security JAWS 第18回のレポートです。FargateやLambdaのセキュリティや、セキュリティの考え方の話、試験対策の話とかためになる話がいっぱいありました! こんにちは、臼田です。 Security JAWS 第18回が開催されましたのでレポート致します。 Security-JAWS 【第18回】 勉強会 2020年8月28日(金) – Security-JAWS | D…

Dropboxのパスワードマネージャー、将来的にみんなが無料で使えるようになるって | ギズモード・ジャパン

Dropboxのパスワードマネージャー、将来的にみんなが無料で使えるようになるって2020.08.28 20:006,195 三浦一紀 Image: ギズモード・ジャパン なんでもかんでもDropboxに入れとけばいいんだ! たいへんお世話になっているオンラインストレージサービス「Dropbox」。まだクラウドなんて言葉の意味もあまりわからないときか…

Dropboxのパスワードマネージャー、将来的にみんなが無料に使えるようになるって | ギズモード・ジャパン

Dropboxのパスワードマネージャー、将来的にみんなが無料に使えるようになるって2020.08.28 20:00 三浦一紀 Image: ギズモード・ジャパン なんでもかんでもDropboxに入れとけばいいんだ! たいへんお世話になっているオンラインストレージサービス「Dropbox」。まだクラウドなんて言葉の意味もあまりわからないときから、「…

noteのIPアドレス流出騒動で流出したIPが本当は何なのかよく分からない件|sheva|note

詳細については省きますが先日noteに投稿された記事のページソースコードから「記事投稿者のIPアドレス」が確認できてしまう不具合が発覚しました。 以下公式発表 https://note.jp/n/n3e6451c9b147 私の方でウェブ魚拓などのサービスを利用していくつかの記事のソースコードを確認したところ2020年2月頃には既にこの状態…

米国でテレワーカーをターゲットにした詐欺が横行。偽VPNページにアクセスさせて情報搾取

あるAnonymous Coward 曰く、新型コロナウイルスの影響でテレワーカーが増加しているが、米国ではそのテレワーカーを狙ったビッシングキャンペーンと呼ばれる詐欺が7月から増えているそうだ(FBI[PDF]、マイナビ)。

この手法では、社内向けのVPNのログインページに似せたフィッシングサイトを作成する。SNS上のプロフィールなどを使って企業のヘルプデスクであるかのように装い、電話を使用してターゲットとなる人物に連絡を取る。ターゲットに対してVPNリンクを送信してログインさせる。このとき偽…

テスラのネバダ・ギガファクトリーにランサムウェア攻撃。FBIが出国間際の犯人を逮捕 – Engadget 日本版

テスラが、ネバダ州にある工場Gigafactoryで発生したランサムウェア(コンピューターをロックし解除と引き換えに金銭を要求する身代金マルウェア)による被害を免れていたことがわかりました。これはネバダ州の企業から数百万ドルを恐喝しようとしたグループのひとりとして告訴されたEgor Igorevich Kriuchkovへの訴状から…

VPNのパスワードはどう流出したのか、国内企業を襲ったサイバー攻撃の真相 | 日経クロステック(xTECH)

2020年8月下旬、国内企業が使うVPN(仮想私設網)製品からパスワードなどが流出したと報じられ話題になった。国内のセキュリティー組織であるJPCERTコーディネーションセンター(JPCERT/CC)も情報流出を確認。報道された情報と同一かまでは確認できなかったものの、国内に割り当てられたIPアドレスがおよそ90件含まれて…

“信用に足る”ということを証明するために GMO GlobalSignが、グローバルに連携するためにやっていること – ログミーTech

9月1日からGMO GlobalSigホールディングスに 唐澤稔氏(以下、唐澤):GMO GlobalSignの唐澤です。本日はこのような機会をいただき誠にありがとうございます。この時間は、海外からのいろいろなメッセージやコメントも含めまして、GlobalSignのエンジニアリングと製品開発の概要について紹介したいと思いますので、よろ…

攻撃の認識すら不可能 Webサイトを静かに狙う「Magecart」攻撃の実態 (1/3) – ITmedia NEWS

コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。 これまでの連載:迷惑bot事件簿 ある日、ECサイ…

PHPでパスワード比較に==とか===使っちゃだめって知ってた? – Qiita

PHPerの皆さん、重要な文字列を入力データと保管情報を比較するときに比較演算子("=="とか"===")使ってませんか? これ実は使っちゃだめなので、気をつけましょう。 なぜだめなの? PHPを含む多くの言語では、文字列を比較する際に内部で strcmp() を使います。 通常の(厳密なセキュリティを必要としない)ケースでは…

【セキュリティ ニュース】プロキシサーバ「Squid」に深刻な脆弱性 – DoS攻撃やキャッシュ汚染のおそれ(1ページ目 / 全1ページ):Security NEXT

オープンソースのプロキシサーバ「Squid」に深刻な脆弱性3件が明らかとなった。アップデートが提供されている。 サービス拒否やキャッシュ汚染など3件の脆弱性が明らかとなったもの。いずれも共通脆弱性評価システム「CVSSv3」のベーススコアは「9」以上と高く、重要度は4段階中もっとも高い「クリティカル(Critical)…