PHP、Python、Goを使ったCGIベースのアプリケーションで脆弱性が確認されたほか、影響を受ける恐れのある多数のアプリケーションがあると推定される。 PHP、Go、Pythonなどの主要なプログラミング言語に影響するCGIアプリケーションの脆弱性が発覚した。発見者はこの脆弱性を「httpoxy」と命名し、7月18日に詳しい情報を公開。悪用は極めて簡単とされ、米セキュリティ機関もパッチまたは回避策の適用といった対策を直ちに講じるよう呼び掛けている。 httpoxyの情報サイトや米CERT/CC、SANS Internet Storm Centerなどによると、この問題はWebアプリケーションにおけるHTTP「Proxy」ヘッダの不適切な使用に起因する。CGIまたはCGIのようなコンテキストで運用されているWebサーバでは、クライアントにリクエストされたHTTP Proxyヘッダが「HT
こんにちは。ユーザーファースト推進室ディレクターの大黒です。 ありがたいことにクックパッドは今年で20年目をむかえ、数多くのユーザーに利用されるまでに成長しました。それ故に発生する課題もあり、今回はその中でもユーザー登録に使われているメールアドレスの課題と対策をご紹介したいと思います。 ユーザー登録の仕組み クックパッドのユーザー登録では、下記の項目が必要となります。 メールアドレス パスワード 郵便番号 生年月日 ※iOSアプリでは郵便番号と生年月日は任意入力となります SNSアカウント認証や認証コードでのアクティベートを採用するサービスが今では主流ですが、20年続くサービスであれば一般的なユーザー登録フローではないでしょうか。しかしながら最近のスマートフォンユーザーの多くはメールを使わないという実態も分かっているため、ユーザー登録にメールアドレスを使い続けるかどうかは、別途議論を進めて
BOT業者の活動を“ほぼ壊滅”に追いやるまでの軌跡――「ドラゴンネスト」運営チームによる1年半の不正行為対策を振り返る ライター:川崎政一郎 人気の高いオンラインゲームに何かと付いてまわるのが,不正行為を行う一部プレイヤーの問題である。それを代表するのが,大量のBOTキャラクターを使ってゲーム内マネーを荒稼ぎし,RMTサイトを通じて現金売買する“業者”の存在であろう。彼らは己が利益のためにゲーム内経済やゲームバランスにダメージを与え,大多数を占める一般のプレイヤーに対しても不快感を与える。そもそもほとんどのゲームにおいて,RMT行為はれっきとした規約違反行為なのだが,多くの業者は水面下で活動しているため特定や阻止が難しく,運営会社はその対応に頭を悩ませているのが実情だ。 「ドラゴンネスト」 NHN Japanの「ドラゴンネスト」もご多分に漏れず,2010年5月のサービス開始以来,運営による
knockdは特定の順序でTCPポートやUDPポートをノックすると、あらかじめ設定してあるコマンドを実行するプログラムだ。これを使うことで、簡易的ではあるが、sshのポートを開けたり閉めたりということができる。 knockdのソースコードは、http://www.zeroflux.org/knock/から入手可能である。コンパイルにはlibpcapが必要だ。しかし、 古いlibpcapに実装されていない機能を使う Linuxに依存した内容のコードになっている という理由で、Linux系OSでかつ比較的新しいlibpcapが使える環境でのみ使える。 筆者の環境はDebian GNU/Linuxだが、woodyではlibpcapのバージョンが古く、コンパイルできない。なお、sargeではknockdのパッケージが用意されている。このように、古い環境で使う場合には注意が必要となる。 配布されてい
少年非行防止 少年非行防止対策 「闇バイト」は絶対にダメ! スクールサポーターの活動が拡充されました 非行防止教室のおさらい動画を作りました 非行防止教室を受講した子どもたちの声 中学生に対する「違法薬物に関するアンケート調査」結果について(令和5年)(PDF:393KB) 高校生に対する「違法薬物に関するアンケート調査」結果について(令和5年)(PDF:382KB) 修学旅行のてびき(PDF:1,503KB) 立ち直り支援活動 立ち直り支援活動 令和5年度 少年非行防止学生ボランティア「KYO-SOLEIL」募集について 児童の性被害防止 子どもたちのスマートフォン等にフィルタリングサービスを! 深刻化する「少年の福祉を害する犯罪」から子どもを守ろう! 児童ポルノの被害から児童を守ろう 「京都府警察少年課」X(旧Twitter)でSNSに起因する子供の性被害防止のための広報啓発を実施中!
ほとんどのLinuxアプリケーションに使われているGNU Cライブラリの「glibc」に深刻な脆弱性が見つかり、米GoogleとRed Hatの研究者が開発したパッチが2月16日に公開された。 脆弱性は2008年5月にリリースされたglibc 2.9以降のバージョンに存在する。Googleによると、glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフローの脆弱性が誘発されることが判明。この機能を使っているソフトウェアは、攻撃者が制御するドメイン名やDNSサーバ、あるいは中間者攻撃を通じて脆弱性を悪用される恐れがあるという。 Googleの研究者は、先にこの問題を発見していたRed Hatの研究者と共同で調査を進め、脆弱性を突くコードの開発に成功したとしている。パッチの公開に合わせて、攻撃には利用できないコンセプト実証コードも公開した。こ
データを活かしたサービスの取り組みや、データから見えるさまざまなレポートを発信しています。また、自治体や教育機関との協力を通じて、データ活用に関するさまざまな取り組みについてもご紹介いたします。
Insecamというおかしなサイトが話題。世界中の無防備なWebカメラを覗き見ることができる。 メニューから「メーカー」「国」「場所」を選べる仕様 http://www.insecam.org/ (自己責任で) 日本ではPanasonic製のカメラが覗き見られているもよう。中には銭湯の脱衣所などもあり、セキュリティー意識の低さが物議に。 Insecamというおかしなサイトが、世界中の無防備なWebカメラ73000台を表示できる、と豪語している。 その多くはCCTVやシンプルなIPカメラだが、それらに共通しているのは、一般的にアクセス可能なネットワークポートへストリーミングされていることと、デフォルトのパスワードをそのまま使っていることだ。だから誰でも、Webをクロールするロボットなどを使って、単純に”admin/admin”とタイプし、そのストリームにアクセスできる。 わざわざ弱いパスワー
診療報酬不正請求疑惑のサンウェルズ、特別調査委員会の調査報告書を出すタイミングでダイヤモンド社にスクープ記事をぶつけられて更に疑惑深まる
2000万ユーザーに達したワードクラウドを開発する「謎の」韓国スタートアップ「Vonvon」とは何者か? 上: Vonvonのワードクラウドはバイラルに広がっている Image Credit: Vonvon 現時点で、1760万人のFacebook上の英語話者が「What are your most used words on Facebook?」というアプリをクリックした(編集部注:原文掲載11月24日)。ほとんどの人は、「ワードクラウド」と呼んでいるが。 このワードクラウドはアプリの英語版がリリースされた先週、Facebookのフィードに登場し始めた。ほとんどの人がためらうことなく自分のFacebookのデータへのアクセス権を尋ねる画面をクリックした一方で、一度立ち止まって、プライバシーリスクについて考えた人もいるだろう。 ブログ「Comparitech」は、アプリが要求する全データに
フェイスブックの位置情報追跡の薄気味悪さを実証したハーバード大生がインターン内定取消しに2015.08.14 10:205,121 satomi フェイスブックで働きたかったら、悪いことは言わないから、本家の痛いところは突かないことです…ぶるぶる…。 同社にインターン内定が決まっていたハーバード大生が、位置情報共有設定の不備を指摘したら、感謝されるどころか内定が取消しになってしまったようですよ? 学生の名前はAran Khanna君。Khanna君はインターン開始まで待ってられなくなって、同社がAndroid版Messengerでユーザーの位置情報を集めていることを実証するChrome拡張機能を作ってみました。 フェイスブックはデフォルトの設定のまま使うと、MessengerのAndroidアプリで同じスレにいる全員に自分の詳しい位置情報が知れてしまうんです。フェイスブックで友達じゃない人
世間ではネームベースのバーチャルホストではSSLは使えない、という話。 でもネームベースでもいける!と、↓それらしき事が書いてあって、出来たっぽい。 NameVirtualHost *:80 NameVirtualHost *:443 ・hostA・ ・hostA・ ・hostB・ ・hostB・ AとBで同じ証明書を指定する テニス朝練, SSLで名前ベースのバーチャルホスト, 激頭痛い - いしなお!(2007-02-22) 今回の目的 443ポートで複数のDocumentRootを持つ自己署名証明書を使ったSSL通信を出来るようにする。 証明書は1セットだけ作って全てのバーチャルホストで使いまわす。 SSLの事をあまり知らないから、オレオレ証明書の危険性もあまり知らない。 とりあえず、「こいつぁ安全だ!」と太鼓判を押す他人様がいるかいないかの違いらしい。 まぁhttpで通信するより安
SSHGuard protects hosts from brute-force attacks by: Monitoring system logs Detecting attacks Blocking attackers using a firewall Fast, simple, secure, and protects a wide range of services out of the box! Internet-connected hosts are subject to constant probing and attacks from malicious actors. Brute-force attacks represent a large threat to account compromise for hosts and their networks. Block
VPSなどサーバを外部に公開していると、様々な攻撃を受ける可能性があります。例えば、パスワードを総当りで入力してSSHログインしようとするブルートフォース攻撃などが代表的です。 以前、公開した公開鍵認証でSSH接続する方法に変更していれば秘密鍵を盗まれない限り、サーバにSSH接続することができませんが、攻撃をただただ受けるのは嫌なのでfail2banをインストールして対策しましょう。 fail2banのバージョンは0.8.11-2.el6 です。 0.8.11 より古いバージョンは脆弱性があるとのことなので、古いバージョンをインストールしている人はアップデートしてください。 fail2banのインストール epelパッケージをインストール $ sudo rpm -Uvh http://download.fedoraproject.org/pub/epel/6/x86_64/epel-rel
いろいろと原則論はあるんですが。昨今のアプリケーションは複雑化し、扱う情報はよりセンシティブになり、そしてより幅広く使われるようになっています。よって「安全な」アプリケーションを作るために必要な知識はますます増える傾向にあります。 よく分かってない人は以下のことにとりあえず気をつけましょう 1. なるべく自分で作らない これは最も重要なことです。検索する、他人に聞く、自分で考えない。これは重要です。大抵の問題は他人が作ってくれた解決策を適用できます。 例えばセキュアな問合せフォームを作ることにしましょう。気をつけるべきことは以下のことぐらいでしょうか。 送信内容の確認画面を表示する場合、ユーザーの入力した値は適切にエスケープするように 送信内容をアプリケーションの DB に格納する場合には SQL インジェクションを防がなければならないので、プリペアドステートメントを用いる CSRF 対策
CentOS7で遭遇したトラブル。 本日話題のGHOST脆弱性にyum updateでパッチを当てたところ SSHログインできなくなってしまった というものです。 root権限でyum update → もちろん成功 (この時点で /root/.ssh/authorized_keys が空ファイルになってしまったよう) リブートしてSSHで再ログインを試みる。公開鍵認証が通らない。 パスワード認証でSSHログインを試みる。しかしパスワード認証は切ってあった! VPSのリモートコンソールでログインし状況確認を試みる。この時点で、/root/.ssh/authorized_keys が空になっており、タイムスタンプがアップデート作業した頃になっているのを確認。 パスワードログインで入れるよう、sshdの設定ファイルを修正(ただし、リモートコンソールゆえの苦労がたくさん。キーボード配列がおかしく
glibcのgethostbyname系関数に脆弱性の原因となるバグが発見されCVE-2015-0235(GHOST)と命名されたようです。放置した場合は相当多くのアプリケーションがこの脆弱性の影響を受けることが予想されます。 glibcは libcのGNUバージョンです。libcはアプリケーションではなく、事実上全てのアプリケーションが利用しているライブラリです。OSの中ではカーネルに次いで重要な部分と言えます。Linuxシステムでは(ことサーバー用途においては)例外なく glibcが使われています。 この glibcに含まれる gethostbyname系関数の実装に 2000年頃から存在したバグが今になって発見され、CVE-2015-0235 通称 GHOSTと命名されました。ネットワークで何らかの通信を行うアプリケーションは必ず※この関数を使用します。 ※追記: 名前解決をサポート
Linux GNU Cライブラリ(glibc)に存在する脆弱性がセキュリティ企業「Qualys」によって確認されました。この脆弱性「CVE-2015-0235」が利用されると、Linuxのオペレーティングシステム(OS)を搭載する PC上で任意のコードを実行することが可能になり、結果的にサーバーの乗っ取りや不正プログラム感染させることができます。「Heartbleed」や「Shellshock」、「POODLE」と同様に、この脆弱性は「GHOST」と名付けられました。その後の調査により、この脆弱性は深刻であるものの、攻撃に利用するのが難しく、攻撃の可能性は極めて低いことが判明しました。 「GHOST」は、glibc の関数「gethostbyname*()」を呼び出すことで引き起こされるバッファーオーバーフローの脆弱性です。この関数は、ドメイン名を IPアドレスに解決するためにさまざまなア
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く