なぜ我々はsession.cookieを変更しなければならなかったのか - BASEプロダクトチームブログ
はじめに こんにちは。バックエンドエンジニアの小笠原です。 今回は、2022年2月18日から2022年3月4日にかけて発生していたこちらの障害に対し私達開発チームが実施した、session.cookieで定義しているCookieのkey名を変更するという影響範囲の大きい対応について、実施に至るまでの経緯や対応過程についてご紹介したい...
なぜ我々はsession.cookieを変更しなければならなかったのか - BASEプロダクトチームブログ
はじめに こんにちは。バックエンドエンジニアの小笠原です。 今回は、2022年2月18日から2022年3月4日にかけて発生していたこちらの障害に対し私達開発チームが実施した、session.cookieで定義しているCookieのkey名を変更するという影響範囲の大きい対応について、実施に至るまでの経緯や対応過程についてご紹介したい...
とある通販サイトに学ぶ自動ログイン機能のバッドプラクティス
サマリとある通販サイトにて「 メールアドレス・パスワードを保存する」機能がありますが、サイトにクロスサイトスクリプティング(XSS)脆弱性がサイトにあると生のパスワードが漏洩する実装となっています。本稿では、この実装方式を紹介し、なぜ駄目なのか、どうすべきなのかを紹介します。 記事の最後にはセミナーのお...
[アップデート]GuardDutyが盗まれたEC2のクレデンシャルが別AWSアカウントで利用されたことを検知できるようになったので実際に試してついでにDetectiveで調査してみた | DevelopersIO
[アップデート]GuardDutyが盗まれたEC2のクレデンシャルが別AWSアカウントで利用されたことを検知できるようになったので実際に試してついでにDetectiveで調査してみた GuardDutyがEC2から搾取されたクレデンシャルを別AWSアカウントで利用しても検知してくれるようになりました。実際にインシデントが発生した場合の対...
AWS、「Amazon Linux 2022」プレビュー版リリース--「Fedora」ベース
Steven J. Vaughan-Nichols (ZDNet.com) 翻訳校正: 編集部 2021-11-25 11:55 パブリッククラウドのほとんどではLinuxが稼働していると言ってよいだろう。「Microsoft Azure」の顧客も含め、ほとんどのユーザーはクラウドでLinuxを実行している。 Amazon Web Services(AWS)の場合、ユーザーはさまざまなLinuxディス...
「ヨドバシは私にとって神」「早い、正確、ムダな梱包なし」ネット通販詐欺の影響でヨドバシカメラに期待が集まっている模様
リンク Yahoo!ニュース 「Amazonで買ったCPUの中身が抜かれていた」――被害に遭ったユーザーが相次ぎ投稿 日本法人は「情報開示しない」(ITmedia NEWS) - Yahoo!ニュース ネット通販サイト「Amazon.co.jp」で商品を買ったユーザーから、「届いた荷物の中身がない」という内容の報告がTwitterで複数上がっている。いずれ...
「Amazonで買ったCPUの中身が抜かれていた」――被害に遭ったユーザーが相次ぎ投稿【修正あり】
ネット通販サイト「Amazon.co.jp」で商品を買ったユーザーから、「届いた荷物の中身がない」という投稿がTwitterで相次いでいる。いずれも、販売元がAmazon.co.jpになっている「Ryzen 5 3600」というCPUを購入したところ、CPU本体が入っていなかったという。 ネット通販サイト「Amazon.co.jp」で商品を買ったユーザーか...
開封時の撮影が当たり前になるかも…Amazonで発生している「抜き取り被害」の報告
kumakuma @kumakumaaaaa__ うまく行かなかった電話で話した事 ・2回ともcpu無しで送られてきた ・担当部署に繋いでください ・返品却下理由はなんですか(教えてくれない 上手く行った電話 ・2回とも開封されてた形跡があった状態で商品が届き証拠の写真もあります ・レビューを見ると最近同様に商品が届いていないケー...
[PDF]弊社「ベイシアネットショッピング」委託先への不正アクセスによるお客様情報流出に関するお詫びとお知らせ | 株式会社ベイシア
最小権限のIAM Policy作成にCloudFormationのコマンドが役立つ | DevelopersIO
最小権限のIAM Policyを作成するのって地味に面倒ですよね。以前私は、Route53ホストゾーンにDNSレコード作成するのに必要な最小権限のPolicyを作るため、権限ゼロの状態から始めて、権限不足エラーが出るたびに権限を足していくという力技でPolicyを作ったことがあります。 Route53ホストゾーンにDNSレコードをTerrafor...
突然消えた電子マネー残高 アマゾン・楽天が強硬手段に出る理由は:朝日新聞デジタル
持っていた電子マネー(電子ギフト券)の残高が突然「ゼロ」に。記者は一昨年、そんな経験をした。何が起きたのか当時は判然としなかった。だが、警察が最近摘発した事件から、背景にあるとみられる犯罪の手口の一端が見えてきた。 「お客様のギフト券残高を無効にしたことを、お知らせいたします。Amazonギフト券利用規...
ヨドバシ、ネット販売比率5割に上げ 全国で翌日配送
日経の記事利用サービスについて 企業での記事共有や会議資料への転載・複製、注文印刷などをご希望の方は、リンク先をご覧ください。 詳しくはこちら ヨドバシカメラは家電や雑貨などのネット販売比率を、現在の3割から5年で5割まで引き上げる。物流拠点の整備に600億円を投じて全国で翌日配送ができる体制を整え、ネッ...
「飾りじゃないのよ歯止めは」トラックを停車したときに歯止めをかけなかったため大惨事一歩手前まで行ったお話
ぞうむしプロ(元トラックドライバー/漫画家) @zoumushi6 『トラックドライバーの怪談』トラック、現場、ホラーの漫画を描きます。短ページの漫画。#企業漫画 お問い合わせは下記リンクcontactよりお願します。↓ご安全に! komachikozou.official.ec/inquiry/komach…
【実録】ついに「偽の激安ECサイト」に騙され個人情報をぶっこ抜かれた! ニセ通販サイト詐欺の一部始終と防止策 | ロケットニュース24
» 【実録】ついに「偽の激安ECサイト」に騙され個人情報をぶっこ抜かれた! ニセ通販サイト詐欺の一部始終と防止策 特集 「不覚だ……」 これまで、数々の大手カード会社や民間サービスを騙(かた)るフィッシング詐欺の潜入し、その防止策をお伝えしてきた自称「ネット詐欺撲滅隊長」の私(耕平)だが、この度とうとうヤ...
[アップデート] 全リージョンを一望できる EC2 Global View が登場 | DevelopersIO
趣味で AWS ドキュメントを眺めていたところ EC2 Global View という新たな機能が追加されていたのでご紹介します。 EC2 Global View これまで EC2 管理コンソールはリージョン内のインスタンスや VPC、セキュリティグループのみが表示されるため、他のリージョンのリソースを参照するには都度、リージョンを切り替えて...
打楽器専門ECサイトでカード情報漏えい 最大1667件、セキュリティコードも流出 悪用の可能性 - ITmedia NEWS
ECサイト「コマキ楽器WEBサイト」が第三者から不正アクセスを受け、最大1667件のクレジットカード情報が漏えいした可能性。セキュリティコードも流出しており、カードが悪用された可能性もあるという。 打楽器専門店を運営するコマキ楽器(東京都台東区)は8月23日、ECサイト「コマキ楽器WEBサイト」が第三者から不正ア...
安く購入したAmazonギフト券を使ったらアカウントを凍結された→「ギフト券を転売屋から購入しないで」公式からも注意喚起 - Togetter
きんどう @zoknd 【重要】Amazonギフト券を転売サイトから購入しないでください → amazon.co.jp/b?ie=UTF8&node… 詐欺など不正取得の可能性のあるAmazonギフト券を利用したなどで、Amazonアカウントの停止が話題になっていますね。上記リンク先に名指しで転売サイトが載っているのでご確認ください。 pic.twitter.com/rD...
7月6日から“送りつけ商法”すぐ捨ててOKに! 返品を求められたら「返す必要はない」
14日間保管のルールから「すぐ処分可能」に変更 「一方的に送り付けられた商品は直ちに処分可能に!!」 6月29日に消費者庁がこんなチラシを公開した。 出典:消費者庁 この記事の画像(3枚) これは特定商取引法の改正で7月6日から、いわゆる「送り付け商法」に対するルールが変わることを周知しているもの。 「送り付...
すべて読む
| ITセクション
| Chrome
| セキュリティ
| 広告
| Chromium
| プライバシ
|
関連ストーリー:
Chrome Canary、FLoCをコントロールするオプションを表示可能に
2021年06月02日
GoogleのFLoC、Chrome以外のメジャーブラウザーはサポートしない雰囲気
2021年04月19日
Google曰く、サードパーティcookieに代わるユーザー追跡の仕組みは開発しないが、個別のユーザー追跡なしに関連性の高い広告を表示する仕組みを開発する
2021年03月06日
英競争・市場庁、Googleの提唱する「Privacy Sandbox」が競争を阻害しないか調査を開始
2021年01月10日
Google、ChromeでUser Agent文字列を凍結する計画
2020年01月17日
Google、Webユーザーのプライバシーを強化しつつ関連性の高い広告を表示可能なオープン標準の開発を提唱
2019年08月28日
Spectator who caused giant Tour de France crash to be sued by organisers
According to regional newspaper Ouest France the woman fled the scene and has yet to be found.
すべて読む
| ハードウェアセクション
| セキュリティ
| ネットワーク
| バグ
| インターネット
| ストレージ
|
関連ストーリー:
QNAP製NASの既知の脆弱性を狙った攻撃が発生、研究機関が修正版の適用を呼びかけ
2021年03月08日
WDの公称「5400rpmクラス」の一部HDDが実際は7200rpmであると指摘される
2020年09月09日
Western Digital、WD Redの記録方式問題を受けて各HDDの記録方式を公開
2020年05月01日
9月に判明した古いiOSデバイスのBoot ROMに存在する脆弱性、CERT/CCが脆弱性情報を公開
2019年12月21日
Intel、古い製品向けのドライバーやBIOSアップデートなどのダウンロード提供終了を進める
2019年11月22日
古いiOSデバイスのBoot ROMに脱獄も可能な脆弱性、Appleにも修正不可能
2019年09月29日
1年以上前に修正済みのVLCのバグ、最新版のバグと誤って報告される
2019年07月26日
医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性
2019年06月21日
国内メーカー4社の無線LANルーターのサポート期間、多くが不明瞭
2018年04月02日
Western Digital、同社製品で採用するプロセッサをRISC-Vへ移行すると発表
2017年12月06日
Microsoft、Windows XPなど旧OS用の新たなセキュリティ更新プログラムをさらに公開
2017年06月16日
すべて読む
| セキュリティセクション
| ハードウェア
| アップグレード
| セキュリティ
| ソフトウェア
| バグ
| インターネット
|
関連ストーリー:
Dellのファームウェア更新プログラムに同梱されていたドライバーに脆弱性、500以上のモデルに影響
2021年05月07日
Dell SupportAssistでまた脆弱性が見つかる
2019年06月23日
HP製ノートPCにプリインストールされているドライバの1つにキーロガー的機能が見つかる
2017年12月12日
AcerやASUS、Dell、HP、LenovoのPCにプリインストールされているソフトウェアに脆弱性が見つかる
2016年06月09日
Dellや東芝、LenovoのPCなどにプリインストールされている管理ソフトに脆弱性が見つかる
2015年12月16日
MS、証明書信頼リストを更新してDellのPCにプリインストールされていた危険な証明書を無効化
2015年12月04日
すべて読む
| デベロッパーセクション
| セキュリティ
| Python
|
関連ストーリー:
名前のタイプミスを狙った悪質なパッケージがRubyGemsで多数公開される
2020年04月19日
RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される
2019年08月25日
バックドアを含むバージョンのbootstrap-sassパッケージがRubyGemsで見つかる
2019年04月07日
npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入
2018年11月29日
「.com」のミスタイプを狙う「.cm」サイト、今年だけで1,200万回近くアクセスされていた
2018年04月08日
PyPIに悪意のあるパッケージがアップロードされていた
2017年09月18日
OSSのホスティングを行っているFossHubが攻撃を受ける、AudacityやClassic Shellにマルウェアが混入
2016年08月04日
オープンソースのSSHクライアントPuTTY、トロイの木馬が仕込まれたバージョンが配布される
2015年05月30日
すべて読む
| セキュリティセクション
| セキュリティ
| スラッシュバック
| idle
| 情報漏洩
|
関連ストーリー:
パスワード付きZIPは1秒未満で解けるのでPPAPは無意味
2021年06月24日
パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件
2020年12月04日
メールによるパスワード付きファイルの受信禁止広がる。マルウェア拡散防止で
2020年11月20日
JetBrains日本総代理店のサムライズム、Zip添付メールに展開手数料を請求へ
2020年04月03日
パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される
2019年12月25日
大量の「商標出願登録」で話題のベストライセンス、今度は「PPAP」を商標出願
2017年01月26日
GPU で ZIP パスワードを高速解析
2011年07月25日
Western DigitalのNAS「My Book Live」で全データが消滅する現象が発生中、「とにかくネット接続をすぐに切って」と公式 - GIGAZINE
Western Digital(WD)のNAS「My Book Live」で保存しているデータが全消滅する現象が多発しています。WDはこの現象を調査中としており、追って通知を行うまでインターネット接続を停止するように推奨しています。 “I’m totally screwed.” WD My Book Live users wake up to find their data deleted | Ars Technica https...