noon @n00nw0rks 日本人はリスク管理ができない、リスクはゼロにできないということを受容れられない、とよく言われるけど、日本人だからどうこうというより、リスクを管理できるだけの知識と論理的思考能力がない人は「怯える=意識高い」と考えているんだと思っていて、その話のたびに前の会社のことを思い出す 2014-11-13 11:12:30 noon @n00nw0rks 前の会社でCSRF発見して「hiddenなinputとセッション変数にランダムトークンを保存して照合し正当なページからのリクエストか判別する」のを提案したら「君は新人だから知らないと思うけどセッション変数が改竄されることもある。その対策は安全ではない」と呆れた顔で言われて、 2014-11-13 11:12:50 noon @n00nw0rks 確かにOSやミドルウェアに脆弱性があればそういうこともあるかもだけど、セ
http://blog.cloudflare.com/understanding-and-mitigating-ntp-based-ddos-attacks1 comment | 0 points年初にLeague of Legends、EA.comのサーバがダウンする原因となったNTPベースのDDoS攻撃について、CoudFalreがエンジニアブログでまとめています。 DNS Reflection is so 2013 DNSベースのDDoS攻撃とNTPベースの攻撃は似ている。プロトコルの違いだけ。攻撃者が、被害者となる相手のIPアドレスを偽ってパケットを送付。事情を知らないサーバは、リクエストに応えて、被害者のIPアドレスにデータを返すという仕組み。実際の攻撃者のソースは隠されていて、トレースするのが難しい。もし大量のサーバが利用されると、相当のボリュームのパケットが、世界中から被害者
月刊FACTA7月号で、LINEが韓国の国家情報院に通信傍受されているとする記事が掲載された。これに対してLINEの森川亮社長が「国際基準を満たした最高レベルの暗号技術を使って通信されていますので、記事に書かれている傍受は実行上不可能です」と反論、さらにFACTAの阿部編集長が「それが破られているというのが本誌の認識」と再反論している。その後LINEはITMediaの取材に対し「暗号化後データは独自形式、解読は不可能」と回答した。 LINEの開発者向けブログによるとLINEはサーバーとの通信に通常TLS/SPDYを使っているが、3G通信などで遅延が大きい場合には利用者の操作性を優先して暗号化せずに通信を行う場合があると書かれている。データセンターは日本にあるとのことなので、FACTAの記事にある韓国政府のサイバーセキュリティ関係者の発言が仮に事実であったとして、少なくとも韓国国内での遅延の
韓国国内のネイバーのデータセンター間の接続が専用線で、専用線なのでということで通信暗号してなかったら、線に物理的に工作されてバカハブしかけられて盗聴された ネイバーや LINE に韓国国家情報院の工作員が入社していてデータを流出させるか VPN の秘密鍵を盗むかしていた こうではないだろうというもの 暗号を用いた VPN への中間者攻撃が可能になった この場合 LINE がどうのなどと言っている場合でない あまり意味のない考え方 LINE の通信解析した結果ゲートウェイは日本にあるので韓国情報機関による盗聴はあり得ないみたいな主張 ゲートウェイはそこにあるだけでデータの解析とかそういう業務は韓国のサーバーでやってるかもしれないでしょう。 私はこう考える FACTA の記事が完全にガセ ついでに言いたいこと LINE も GMail も信用しませんみたいな人達、日本産の Web サービスの多
東京大学大学院および国立情報学研究所は5月22日、量子暗号通信の手法として傍受困難かつ効率の高い新原理を発見したと発表した。量子暗号通信の原理としては30年ぶりの新発見という。 量子暗号通信は、送る光子がどのような量子状態にあるか測定してみなければ分からないという量子力学的な原理を用いる。量子的重ねあわせ(どのような状態でもありうる)状態の光子を送り、傍受・盗聴によって測定されると他の光子の量子状態も決定される(波束の収束)ため、傍受や盗聴が行わればそれが分かるというしくみを用いる。 この方式は光子の偏光角を量子状態として用い、光ファイバーを通じた実験に成功しており、ほぼ実用レベルと言えるほど確立している。傍受されたかどうかは通信路における雑音(ノイズ)量として知ることができるが、通信時に起きる自然なノイズと傍受によって起きるノイズは基本的に区別できないため、精度を上げるためには多量のデー
(Last Updated On: 2018年10月7日)Railsで多用されているActiveRecordのインジェクションパターンを簡単に紹介します。出典はrails-sqli.orgなのでより詳しい解説はこちらで確認してください。特に気をつける必要があると思われる物のみをピックアップしました。 Exists?メソッド User.exists? params[:user] params[:user]などの使い方は危険です。RailsはPHPなどと同様にuser[]というパラメーターで配列化します。 ?user[]=1 が入力の場合、 SELECT 1 AS one FROM "users" WHERE (1) LIMIT 1 となり不正なクエリが実行されます。 Calculateメソッド CalculateメソッドはSQLの集約関数を実行するメソッドです。average、calcula
「JSON文字列へのインジェクション」と「パラメータの追加」:NoSQLを使うなら知っておきたいセキュリティの話(2)(1/2 ページ) MongoDBを用いたWebアプリケーションで生じる可能性がある4種類の脆弱性のうち、今回は「JSON文字列へのインジェクション」と「パラメータの追加」のメカニズムと対策について説明します。 前回の「『演算子のインジェクション』と『SSJI』」では、MongoDBを用いたWebアプリケーションで生じうる脆弱性のうち「演算子のインジェクション」と「SSJI」について、攻撃の実例と対策について解説しました。今回はさらに、「JSON文字列へのインジェクション」と「パラメータの追加」について説明します。 JSON文字列へのインジェクション これまで見てきたように、PHP言語においては連想配列を指定してデータの登録処理や検索処理を実行できます。しかし型の扱いが厳格
多くのATMはWindows XPが使われているらしい…サポート終了で銀行に焦り2014.01.23 12:00 そうこ XPのサポートは終了しました。 今年4月8日をもって延長サポートも打ち切られるWindows XP。まさか、そのXPがあちこちあるATMに使われているとは知りませんでした。そういやATMの動きやら画面やらって、特に真新しさもないままだったけれど。 例えば、米国では約40万台のATM機があり、それらの多くは、自動販売機を扱う中小企業や個人会社によって管理されています。地方銀行に限らず、全米展開の大手銀行のATMですらも、今となってはかなり古いシステムのままなのです。あのJPモルガンのATMさえも、1万9000台のATMのアップデートを予定しているものの、そのうち約3000台は古すぎてそもそもアップデートすら不可能というのです。 各銀行はマイクロソフトと連携し、延長サポート
先日、Windows XP からのバージョン移行を検討していた方が、「XP モードがあるから Windows 7 を選んだ」とコメントをしているのを見ました。 確かに、Windows XP モードを利用すれば、Windows 7 内で Windows XP と完全互換の環境を利用することができます。しかし、待ってください。Windows XP モードは、オリジナルの Windows XP と完全に同じ動作をしますが、そのサポート ライフサイクル自体も、Windows XP とおなじ 2014 年 4 月 8 日で終了します。このことは、Windows 7 で Windows XP モードをインストールし、使用するの注釈内でオフィシャルの情報として記載されています。 一方で、 Windows XP モードでは、物理的なコンピューターの CD/DVD ドライブへのアクセス、プログラムのインスト
あなたのはてなIDとあなたの非公開はてなブックマークをもぞもぞと取得して表示させるページです。 はてなIDを持っていて、はてなブックマークにログインしている必要があります。 まず知ることは、はてなの Web API は my というキーワードが自身のユーザーIDのエイリアスになっていることです。これを利用し、ページを訪れた人のマイブックマーク全文検索APIを Cookie 認証で叩きます。ここで得られたブックマークのうち、一つの公開ブックマークの URL とタイムスタンプを覚えておきましょう。 次に、その取得した公開ブックマークの URL を使って、はてなブックマークエントリー情報取得APIを叩きます。返ってくるのは、その URL にブックマークした人の一覧です。 ここで得られたエントリーブックマークのユーザーID付きタイムスタンプと、先に得られたマイブックマークのタイムスタンプを照合する
パレスチナのIT研究者が米FacebookのMark Zuckerberg最高経営責任者(CEO)のウオールにバグ報告を直接書き込んだことを、複数の米メディア(VentureBeat、PCMag.comなど)が現地時間2013年8月18日に報じた。同研究者は、Facebookのセキュリティチームに脆弱性を報告したが無視されたので、証明のためにやむなく実行したとしている。 Zuckerberg氏のウオールに投稿したKhalil Shreateh氏は、自身のブログでこの件について詳しく説明している。同氏は、たとえ友達承認されていなくても別のFacebookユーザーのウオールに投稿できてしまう深刻な脆弱性をFacebook上に発見し、Facebookのホワイトハットプログラムを通じて報告した。しかし電子メールで説明を繰り返したのち、8月14日にFacebookのセキュリティチームから「これはバグ
ニューヨーク(CNNMoney) 「グーグル検索で見つからないものは誰にも見つけられないと思われがちだが、それは真実ではない」――。インターネットの「闇グーグル」とも呼べる検索エンジン「Shodan」を開発したジョン・マザリー氏はそう話す。 ウェブサイトを巡回して情報を収集するグーグルに対し、Shodanはサーバー、ウェブカメラ、プリンター、ルーターなど、インターネットに接続された機器5億台あまりを巡回して情報を収集する。 ごく単純な検索でも、Shodanに表示される結果には息をのむ。インターネットに接続された無数の信号機、防犯カメラ、ホームオートメーション機器などが簡単に見つかるほか、親水公園やガソリンスタンド、ホテルのワインクーラー、火葬場などの制御システムも検索できる。サイバーセキュリティーの専門家は、原子力発電所や粒子加速器の制御システムまで探し当てたという。 何よりも恐ろしいこと
大きな損傷もなくイランに拿捕された米無人偵察機RQ-170 Sentinelは、偽のGPS信号に騙されてイラン国内に着陸していたとのこと(The Christian Science Monitorの記事、 本家/.)。 先日のストーリーの続報となる。イランは妨害電波によりRQ-170と遠隔操縦システムとの接続を切断し、強制的に自動操縦モードに移行させたのだという。RQ-170はGPS信号を頼りにアフガニスタンの基地に向かったが、偽のGPS信号に誘導されてイラン国内に着陸してしまったそうだ。こうしてイランは遠隔操縦システムに侵入することなく、RQ-170を乗っ取ったというわけだ。なお、報道された写真では胴体下部が覆われていたが、本当の基地と実際の着陸地点とでは数メートルの標高差があり、着陸時に破損したものとされている。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く