はじめに アクセスキー発行するのって非推奨なの? 普段、CLI操作はCloudShellや、Cloud9上で行うようにしているのですが(環境構築 したくない。)、デスクトップ上で操作したい時があります。 そこで、一番簡単な方法であるアクセスキーを発行しようとすると、こんな代替案を提案されます。 この警告にモヤモヤしていたので、今回は「IAM Identity Center」を使ってみた。っていう記事です。 実は、アクセスキーは丸見えだったり。 最近、職場の本番リリース中に気づいたのですが、AWS CLIに保存したアクセスキーや、シークレットアクセスキーは丸見えだったりします。 (↓は既に削除しているキーたちです。) アクセスキーの何がいけないのか? おおむね以下の理由から、非推奨の模様。 永続的な認証情報だから。 キーが流出すると、攻撃者がリソースにアクセスし放題。 キーの管理が面倒。 複
条件1. /bin/shの実体がbashのディストリビューション RHEL CentOS Scientific Linux Fedora Amazon Linux openSUSE Arch Linux (自ら設定した場合: Debian, Ubuntu) 条件2. 動作環境 CGI (レンタルサーバでありがちなCGIモードのPHP等も含む) Passenger(Ruby) 条件3. プログラム内容 Passengerは全死亡 *1 systemや `command`、 '| /usr/lib/sendmail' などで外部コマンド実行 *2 PHPのmailやmb_send_mail、その他フレームワーク等を介したメール送信 *3 以下は条件1が不要 明示的にbashを呼ぶ 先頭で #!/bin/bash や #!/usr/bin/env bash しているプログラムを実行 (rbenv
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
今朝、懐かしい方からメールがあって私はiPhoneをまじまじと見つめてしまいました。それはこのブログにも以前登場した「一流の研究者」の、私の師匠です。 しかしメールの内容はおかしなものでした。「いま海外にいるのだが、同行していた人が急病になってしまい、手術にお金が必要なので送ってくれないか」という内容で、つまりは詐欺メールです。 シグネチャまでも真似ていますが、誰かが師匠のメールアドレスを乗っ取ったのです。### 2段階認証を使おう 師は周囲にコンピュータのウィザードが大勢いますのできっと適切に対応がとられているものと思います。 しかし一度アカウントが乗っ取られると、住所録も含めて奪われてしまいますのでいつまでも自分の名前を騙って友人、親戚にこうした詐欺メールが送られるリスクが続きます。 私の周囲でも今年に入ってGmailが乗っ取られてこうした詐欺メールが飛んできたというケースが複数ありま
AndroidからTwitterへアクセスするためのライブラリとして,Twitter4Jが有名です. これを使ってみようと,「Android Twitter4J」と検索すると 認証にWebViewを使った例がたくさん出てきます. ・・・いや,ちょっとまて. それはちょっとまずいだろう. そういうわけでもうちょっと賢い方法を探してみました. 何がまずいのさ 「Android Twitter4J」と検索すると,上位にこんなページが出てきます. Twitter4jを使ってOAuth認証をアプリ内で行う方法 Twitter4j-2.2.xを使ったOAuth認証のコーディング例 twitter4jでツイートする Android+Twitter4JでOAuthするためのソースコード 上のサイトでは次の様は方法をとっています. アプリ内にWebViewを貼り付け WebViewでTwitterの認証画面
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? #!/bin/bash ########################################################### # このスクリプトの特徴 # # 受信・通過については基本的に破棄し、ホワイトリストで許可するものを指定する。 # 送信については基本的に許可する。ただし、サーバが踏み台になり外部のサーバに迷惑をかける可能性があるので、 # 心配な場合は、送信も受信同様に基本破棄・ホワイトリストで許可するように書き換えると良い。 #########################################
これちょっとマズいんじゃないかなあ。 Kampa! の人である佐田さんが見つけて教えてくれたんだけど、 Facebook のメッセージは割と簡単に他人になりすまして送れるみたい。 以下、すべて送信者と受信者の自発的な協力を得て試してみた結果です。 起きること Facebook ではユーザーに @facebook.com のメールアドレスが与えられています。 個人ページが www.facebook.com/namaewo の人なら namaewo@facebook.com という具合に。 そのアドレス宛にメールを送ると、 アドレスの所有者に Facebook 上のメッセージとして届きますね。 この時、そのメールの送信元メールアドレスが 別の Facebook ユーザーによって登録されているアドレスであった場合 Facebook では、そのユーザーから送られたメッセージとして扱われます。 電子
■ LINEがこの先生きのこるには 先々週、テレビ東京のワールドビジネスサテライトで、最近流行の「LINE」が特集されていたのだが、経済系の番組であるにも関わらず、「元カレが出て嫌」、「知らない人が出て怖い」という街の声をとって伝え、電話帳アップロードの件にも触れるなど、負の面も扱っていて、とてもよい番組であった。 人気急拡大「LINE」の実力は, ワールドビジネスサテライト, 2012年6月22日 番組を見た後、久しぶりにTwitterを「LINE 知らない人」で検索してみたところ、以前にも増して大量のツイートが出てきたのだが、そのほとんどが、「芸能人のマネージャですが」という詐欺spamが来たという報告であった。ちょうどこのころ、LINEに対して大量のspamが発生していたようだった。そして、LINEの運営元はspam防止に動いたようだった。 @magic_kanata ご報告ありがと
For centuries, reading has largely been a solitary and private act, an intimate exchange between the reader and the words on the page. But the rise of digital books has prompted a profound shift in the way we read, transforming the activity into something measurable and quasi-public. Eben Shapiro explains on Lunch Break. Photo: AP. In the past, publishers and authors had no way of knowing what hap
» 日本の超SFなサイバー攻撃警告システムに世界のネットユーザー大興奮! 海外の声「攻殻機動隊キター!」 特集 日本の研究者たちが開発したサイバー攻撃アラートシステムに、現在世界のネットユーザーが大興奮している。 このシステムの名前は「DAEDALUS(ダイダロス)」といい、これを使えばネットワークが攻撃されている様子をリアルタイムで見られるようになる。詳細は以下の通り。 中心にある球がインターネットを表しており、その周りを回っているサークルの1つ1つが現在観測中のネットワークを表しています。これら、攻撃の様子は、3Dグラフィックで表示され、任意の視点から眺めることが可能です。(DigInfo TVより引用) ここで着目すべき点は、3Dグラフィック! 「サイバー攻撃をリアルタイムに可視化、警告を発する『DAEDALUS』」という動画にも映し出されているように、このシステムの凄いところはその
前: http://d.hatena.ne.jp/mala/20120308/1331193381 はてなのその後の話 http://hatena.g.hatena.ne.jp/hatenabookmark/20120313/1331629463 話題になってからの対応が遅い、という人がチラホラいたけれど、別に対応はそれほど遅いというわけでもないと思う。 これは近藤さんがSXSWというイベントに行っていて日本にいなかったためで、収益にも影響する話なので即断できなかったのだろう。 こういう時にあとさき考えないで不良社員が勝手に広報したり、勝手に修正しても良いと思う(個人の感想です) 公平のため記しておくとHUG Tokyoというイベントで大西さんにおごってもらった(はてなの脆弱性をちょくちょく報告しています) Twitterの話 先日、Twitterが外部サイト上でのボタン、ウィジェットでト
b-casカードの不正改造問題が騒がれているが、「カードがクラックされた」ということではなく「カードが交換できない」ということが問題の本質で、この点がクローズアップされるべきだと思う。 鍵を盗まれたのかアルゴリズムに欠陥があったのか? 2ちゃんねるでは「b-casカード完全解析」とか「b-casカード終了」とか言われているが、暗号化アルゴリズムが破られたわけではない。 「暗号化アルゴリズムが破られた」という言葉は、鍵無しで暗号文を復号する方法が発見された時に使うべきだ。暗号化アルゴリズムが知られても、鍵が無ければ破れない暗号はたくさんある。というか、本来は、暗号化アルゴリズムは公開され(てレビューを受け)るべきもので、中身を知られてから暗号文をどれだけたくさん集めて研究されても、鍵無しでは絶対に(現実的な計算時間では)復号されないということがアルゴリズムの役割である。 今回のクラッキングは
目次今回の問題1分でわかる論争の要約だよ!論点1 現行の「個人情報」の解釈が遅れているか否か問題論点2 CCC(TSUTAYA )の管理する「IDに紐付いた貸出履歴が個人情報に該当するか」問題論点3 図書館の自由を守るべきか否か問題まとめ 今回の問題「図書館の貸出履歴をカルチュア・コンビニエンス・クラブに提供し、TカードのIDとヒモ付て管理することは、プライバシー上問題がないか」 とうことですねよ。これに関して、セキュリティの専門家、高木浩光さんと、武雄市長が論争を繰り広げています。 ただ、法律の専門用語が多かったりして難しいので、偏差値3でもわかるように、要約・解説してみました。 1分でわかる論争の要約だよ! お二人の議論を整理すると、 武雄市長「図書館の貸出履歴は、現行法の「個人情報」に該当しない。したがって、問題がない」 高木浩光氏「現行の「個人情報」の定義が遅れている。不備がある。
高木浩光@自宅の日記:「個人情報」定義の弊害、とうとう地方公共団体にまでの追伸で述べられている 昨年夏以来、次々と登場する事案に、私的な時間のほとんど全てを費やしてきましたが、そろそろ限界を感じています。 は冗談抜きで本当に休みなく同じような話が連続で発生している(高木さんや同じく危機感を持っている方ががんばって指摘している。行動ターゲティング広告とプライヴァシー保護の話のリンクの後ろの方のリンク集参照)。 2008年の端末固有番号を用いた簡単ログインの話ぐらいから始まり、2011年夏のiOSでのUDID使用禁止、秋のsupercookie問題(の再燃)、10月のAppLog、11月のWi-FiのMACアドレスと位置情報の紐付け、12月のキャリアIQ、ConnectFreeによるSNS情報およびMacアドレスの無断取得と延々と続いている、データの突合せによりプライバシー侵害が発生する(した
■ 「個人情報」定義の弊害、とうとう地方公共団体にまで 現行個人情報保護法の「個人情報」の定義に不備があることを、これまでずっと書き続けてきた。「どの個人かが(住所氏名等により)特定されてさえいなければ個人情報ではない」(のだから何をやってもよい)とする考え方がまかり通ってしまいかねないという危機についてだ。 2003年からはRFIDタグ、2008年からはケータイIDによる名寄せの問題を中心に訴えてきたが、当時、新聞記者から説明を求められるたび、最後には「被害は出ているのでしょうか」と、問われたものだった。当時は悪用事例(不適切な事例)が見つかっておらず(表沙汰になるものがなく)、これが問題であるという認識は記者の胸中にまでしか届かなかった。 それが、昨年夏から急展開。スマホアプリの端末IDを用いた不適切事案が続々と出現し、それぞれそれがなぜ一線を越えているか説明に追われる日々になった。ス
えらべる自由な au が今日 3 月 1 日から "au スマートパス" というサービスを開始しています。 auスマートパス サービスの内容は、月額390円のサブスクリプションでAndroidアプリケーションの利用や写真クラウドの保存ができるサービスなんですが、その中に「スタンプカード」なるサービスがあります。 対象のアプリなどを使い回ることで au のポイントと引き替えられるみたいなサービスですが、その規約をみて仰天しました。 大切なことなので二度いいます 1.取得する情報 スタンプカードのご利用にあたっては、以下の情報をお客様からご提供頂きます。なお、当社は、通話内容・通信内容を取得することはありません。 (1)Web利用履歴(IS-NET等接続先) ご利用のau端末から行ったデータ通信(Webブラウザ、アプリケーションからの通信など、auスマートパス以外の通信も含むIS-NET、au
スマートフォンの電話帳に登録されているすべての名前・メールアドレス・電話番号を無断で外部のサーバに送信する機能が「the Movie」シリーズのアプリにあることが判明しました。「個人情報漏れすぎ, - luminのコードメモ」によると、これまでにダウンロードされた数は6万6600~27万1500となっており、このアプリをダウンロードした各自の連絡帳に平均50人の情報があるとすれば333万~1357万5000人ぐらいの個人情報が漏れた可能性があるとのことです。 要するに、このAndroidアプリを登録した謎の開発会社(あるいは個人)が、最初から個人情報を抜き取るためだけにアプリを作って登録し、それによって少なく見積もっても約6万人、そしてその6万人のアドレス帳に入っている全員の情報が抜き取られてどこかへ送信され、作者は逃亡して消息不明、というわけです。 スマホアプリ 情報大量漏洩か NHKニ
Android, iPhone等のスマートフォン向けアプリ開発などの話題を中心に、時事ネタなどを気の向くままに書いています。 AndroidはOSのソースが公開されていたり、Android Market以外からアプリをダウンロードする事ができるため、Androidアプリは常に不正使用の危険にさらされているかと思います。 そこで、他の開発者の方への注意喚起、及び情報共有を目的にAndroidアプリの不正使用対策についてまとめてみたいと思います。 間違いなどがありましたならば、ご指摘ください。 項目は以下の通りです。 難読化する ライセンス管理をする パーミッション改竄対策 その他 SkyArts について 2012/03/01 追記 電子書籍「Androidアプリ開発者のための不正使用対策」の販売を開始しました! 不正使用対策を詳細に書き直し、最新情報も含んでいます! 大変悪質な認証回避ツー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く