たまには仕事をしているぞアピールをします。技術的に何をやったのか話すと長くなるので今度の機会にします。それとこの記事はただのポエムで、深い意味はありません。 pixivというサービスのHTTPS化をしました。現在ではスマートフォン版・PC版共にHTTPSになっています。 やったぞ!!!!!誉めて!!!!!!https://t.co/GNsISNXC9D— エイってやってバーン (@catatsuy) 2017年4月18日 歴史あるサービスのHTTPS化のコツは『エイってやってバーン』って感じです— エイってやってバーン (@catatsuy) 2017年4月18日 今年に入ってからずっとやっていたので、実に4ヶ月近くかかりました。人数としては自分が中心になって、去年の新卒エンジニアと2人で行いました。もちろん手伝ってもらった人は他にもたくさんいます。関わってくれた人は全員HTTPS化の必要
私(安岡孝一)の昨日の日記は、Orarioに対する営業妨害だ、との御意見をいただいた。まあ、そうだろう。来月30日以降Orarioが、学生の所属大学、所属学部・学科、性別、卒業年度、登録時間割の匿名加工情報を、第三者に販売営業するつもりなら、私の昨日の日記はOrarioに対する営業妨害だ。Orarioのプライバシーポリシーにおいて、「(4)統計データの作成および当該データの第三者への提供」の具体的利用態様がどうなっているか見てみよう。 当社は、左に記載の情報を以下の目的のために利用します。 ・左記情報を利用者が識別できないように加工した上で、利用者の利用形態等の統計データを作成するため。 当社から右記情報に関する統計データの提供を受けた第三者は、当該情報を以下の目的のために利用します。 ・当社または第三者の商品またはサービスの広告の開発または提供のため ・マーケティング調査、統計、分析のた
Orarioの芳本大樹が書いた『時間割アプリの「Orario」の特性と安全性について』(2017年4月17日)という文書を読んだ。このOrarioは、京都大学のKULASISにずっと不正アクセスを繰り返していて、正直なところ私(安岡孝一)としてはアタマに来ていたのだ。 大学が提供する情報が散在していることによる情報の取りこぼしや、スマホ最適化が行われていないことによる不便さを解消すべく、誰もが使いやすいシームレスな大学情報と連動した仕組みを作ろうと弊社メンバーが大学在学中に開発したアプリが「Orario」です。 ふざけるな。京都大学には全学生共通ポータルがあるだろう。あれを見て「情報の取りこぼしや、スマホ最適化が行われていない」などと主張するのは、いったい全体どういう料簡なんだ? それともOrarioは、京都大学のKUMOIやMyKULINEもサポートできるのか? Orarioアプリでは「
1日数億回を超える、日本へのサイバー攻撃※。 その半数以上は、IoT機器がターゲットです。 あなたが何気なく使っているスマート家電やゲーム機。 これらの機器は、常に脅威にさらされています。 Webカメラの乗っ取りによる室内覗き見、家庭用ルーターへのサイバー攻撃、 そんなニュースを目にすることが増えていませんか? ネットにつながるスマート家電やIoT機器は、便利な反面、セキュリティ対策ソフトがなく、 犯罪グループの新たなハッキングの標的となっているのです。 今や、PCやスマホだけでなく、ネットワーク全体の保護が求められる時代です。 だから、ネットのすべてに セキュリティ・マネジメントが 必要です。 ルーターとして設置するだけで、 スマートTVからスマホまで、すべてのネット接続機器を保護。 セキュリティルーター + 業界屈指のソフトウェア、そして充実のサポート。 SECURIE、「これさえあれ
さまざまなタイプのマルウェア(悪意のあるソフトやコード)が日々発見されていますが、新たに「『東方Project』の弾幕シューティングゲームの最高難易度で2億点以上とること」を要求するマルウェアが発見されました。 「RensenWare」のロック画面(画像:BleepingComputer.comより) コンピュータ情報サイトBleepingComputer.comの報告によると、「RensenWare」と呼ばれるその新しいマルウェアは、ファイルなどを人質にとるランサムウェアの一種。感染すると特定の画像やテキスト、音楽などのファイルを暗号化され、上海アリス幻樂団の第12弾ゲーム「東方星蓮船 ~ Undefined Fantastic Object.」のプレイを促すロック画面が現れます。 そこには、最高難易度の“Lunatic”で得点を2億点以上とれば暗号化が解除されるといった旨が書かれ、ステ
昨日こんな記事を見かけたので、記事にまとめることにします。 OAuth2.0のclient_secretって本当に秘密鍵ですか? 元記事にあるとおり、現状Native AppでのOAuth 2.0の実装は、API提供者・利用者ともにポリシーがバラバラで、混乱の元になっていると思います。 Googleのドキュメントにも「the client_secret is obviously not treated as a secret.」とあるわけだけど、そのくせclient_secretを使ってるし、ネットで調べても少なくない数の人がアプリに埋め込んでるので、client_secretを公開したときの問題を考えてみる。 “offline” アクセスと “online” アクセス Googleは、“offline access” に対して以下のようなポリシーを持っています。 Upcoming cha
スパムを送るのに使われていたPHPスクリプトを見ていきましょう。こういった種類のスパムは世界中のサーバで走っており、あなたを困らせるスパマの熱意を見通せる力を得ることができるはずです。 スパマは、セキュリティ対策が施されていないWebサイトやアプリケーション内の既知の脆弱性を悪用してサーバに入り込み、大量のスパムを送ることができるスクリプトをインストールします。完全に信頼できる送信者であると確証するのは難しいという理由から、 全ての スパムを取り除くことは困難です。完全に強化されたサーバは、スイスチーズ、つまり後にいくつかのゼロデイ・エクスプロイトになりかねないのです。 評判がいいとは言えないソースからプラグインをインストールしたり、プラグインが最新状態に保たれていなかったりすることで、エクスプロイトが簡単に取り込まれてしまうということは、それなりに人気のあるWordPressのサイトを運
本サイトは、国税庁長官が指定した納付受託者であるトヨタファイナンス株式会社が運営する国税のクレジットカード納付専用のサイトです。 本サイトでのお手続は、当社(トヨタファイナンス株式会社)に国税の納付を委託する手続です。 ご利用に当たっては、「ご利用に当たっての注意事項」の内容を必ず確認し、 同意の上で手続を行ってください。 お手続の流れ 1. ご利用に当たっての注意事項の確認 2. 納付情報(*)の入力 3. クレジットカード情報の入力 4. 手続内容の確認 5. 納付手続の完了(最終確認) (*):氏名・住所・納付する国税の税目や納付税額等、従来の納付書を作成するために必要な情報 領収証書は発行されません。領収証書が必要な方は、最寄りの金融機関又は所轄の税務署の窓口で納付してください(窓口ではクレジットカードによる納付はできません。)。 クレジットカード納付は、国税庁長官が指定した納付受
「悪ではないが、検討すべき課題がある」――IIJのゼロ・レーティングに対する考え:IIJmio meeting 13(1/3 ページ) 特定のアプリやサービスを使ったときのデータ通信量をカウントしない「ゼロ・レーティング」(「カウントフリー」「ノーカウント」などとも呼ばれる)を採用するMVNOが増えている。例えば、「LINEモバイル」はLINEの通話とトークが使い放題になる「LINEフリープラン」と、それに加えTwitterとFacebookも使い放題になる「コミュニケーションフリープラン」を提供している。また、FREETELのiPhone向け料金プランはApp Storeでアプリをダウンロードする際のパケット料金が無料になる。 無料化対象になるサービスを利用するユーザーにとってはメリットだが、ゼロ・レーティングには「通信の秘密」や「ネットワーク中立性」の面から問題があるとする意見もある。
「ポケモントレーナーのみんなへのおねがい♪」――大ヒット中のスマートフォンゲーム「Pokemon GO」が日本で公開される2日前、内閣サイバーセキュリティセンター(NISC)がそんな見出しのチラシをTwitterで公開して話題になった。 イラスト入りのチラシは、Pokemon GOを遊ぶときの注意事項をまとめたもの。「個人情報を守ろう」「偽アプリ、チートツールに注意」「歩きスマホは×ですよ」など9項目が書かれている。 文中には「ポケモントレーナー」「ロケット団」などゲーム内の用語が登場するほか、「本名とは違う、いかしたニックネームを付けましょう」「人気のない場所には、別の意味でのモンスターがいるかも」といったやわらかい表現も。ネットでは「役所っぽくない」「子どもでも分かりやすい」「遊び心がある」など、“異例の注意喚起”として評判を呼んだ。 「実は1日ほどで作った」――NISCの山内智生内閣
たぶん、ほとんどの人には関係ないだろうけど、もしかしたらあなたの会社も、ということで書いておきます。 今朝ほどイーモバイルから5通のはがきがやってきました。回線契約しましたというお知らせです。 全く心当たりはなく、間違えて送ってきたんだろうと(1回線は契約しているので)、カスタマーサポートに問い合わせをしました。 ところが、契約している、書類もそろっているとのこと。 しばらくやりとりして、どういう経緯で契約になっているか尋ねたところ、「小売店さんで100円パソコンを5台購入されていませんか?」と。 (やられたな・・) 「詐欺ですね。どうすればいいですか?。」 「えーっと、うちの方では書類がそろっているので・・」 「や、それはわかってます。じゃ、解約してください」 「登記簿謄本と名刺を頂いているようです。ナカヤマカツジさんという方ですが。」 「そんな社員はいません。じゃ、解約できないんですか
(第1報)2016年7月27日配信分 (第1報)2016年7月22日配信分 (第1報)2016年7月19日配信分 2016年9月06日 お客様各位 株式会社グラフィック 代表取締役 西野 能央 不正アクセスによる個人情報流出に関するお詫びと再発防止策のご報告(第2報) 7月19日に発表しました不正アクセスによる弊社顧客情報データベース(以下「顧客DBS」といいます)からの情報流出事案について、 原因ならびに被害状況等を外部の専門調査会社(以下、「調査会社」といいます)で調査を実施しておりました。 先般の発表時には、「弊社はクレジットカード情報をお客様からお預かりしていないため、クレジットカード情報の流出はございません。」とご説明しておりましたが、このたびの調査の結果、顧客DBSにお客様のクレジットカード情報が保管され、かつ当該不正アクセスによってその一部が流出していたことが判明
With more ways to make Android your own, Android Nougat is our sweetest release yet. Android 7.0 が発表されて、報道も多い。前職での端末開発は Android 5.0 ぐらいまで、Android 6.0 は調査しかしてないし、最新の 7.0系となるともうNDAベースの情報が入る立場でもないし、オープンソースのAOSPも目を皿のようにして追う時間は再就職活動の中ではないので表面的な発表を眺めているだけだけど。 ただ、もうこの領域は、日本はもうだめなんだろうな。開発だけじゃなくて、利用の面でも暗くなっていく。先日のポケモンGOリリースで、「ポケモンGOが動かない」ということで、Android端末の買い替えがそこら中で発生していた。ポケモンGOのAndroid版でのバージョン要件は Android 4
北海道の新千歳空港で5日、女性客が金属探知機の検査を受けずに飛行機に乗った。この影響で乗客約1千人が検査をやり直し、空港は大混乱。なぜ、女性はすり抜けられたのか。 国土交通省などによると、5日正午過ぎ、エア・ドゥ(本社・札幌市)の羽田便に乗る女性が、新千歳空港の国内線ビル保安検査場Aで、搭乗券を読み取る機械に携帯電話をかざした。搭乗に必要な二次元バーコード画面がうまく読み取れずエラーがでた。 女性はその場にいた警備担当者に「必要なの?」と問いかけた。関係者によると、女性は搭乗までに時間がなく急いでいる様子だったという。 警備担当者はエア・ドゥの担当者に連絡をとるのに手間取り、数分間、女性から目を離した。女性はその間に、金属探知機の横にある車いすやペースメーカーの人たちが通るレーン(幅約1メートル)を通って保安区域に入った。 女性はすり抜けた後、飛行機に乗る直前の手続きでは「チケットを無くし
リリースされたばかりのWindows10 Anniversary updateを適用しました。 目当てはBash(Ubuntu) on Windows。早速開発者モードを有効にしてセットアップ! どれどれ、ほかに変わったところは無いかな。 ん・・・!? SSH Server Broker、SSH Server Proxy is 何? ためしに管理者のユーザー名、パスワードを入力して、ポチッとな! コマンドプロンプトが使えました。 ア カ ン v4/v6 Listen、ファイアウォール全許可 ローカルListenしているだけで、ネットワーク越しには使えないよね常識的にかんg・・・ 0.0.0.0:22、[::]:22でListenしている。 Windows Firewallの様子はどうかと思うと・・・ 全許可。なんということでしょう。 Bash on Windows利用時は注意 目玉機能の一
PHP、Python、Goを使ったCGIベースのアプリケーションで脆弱性が確認されたほか、影響を受ける恐れのある多数のアプリケーションがあると推定される。 PHP、Go、Pythonなどの主要なプログラミング言語に影響するCGIアプリケーションの脆弱性が発覚した。発見者はこの脆弱性を「httpoxy」と命名し、7月18日に詳しい情報を公開。悪用は極めて簡単とされ、米セキュリティ機関もパッチまたは回避策の適用といった対策を直ちに講じるよう呼び掛けている。 httpoxyの情報サイトや米CERT/CC、SANS Internet Storm Centerなどによると、この問題はWebアプリケーションにおけるHTTP「Proxy」ヘッダの不適切な使用に起因する。CGIまたはCGIのようなコンテキストで運用されているWebサーバでは、クライアントにリクエストされたHTTP Proxyヘッダが「HT
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く