30分でわかるマイクロサービスアーキテクチャ 第2版 - Forkwell Library #17 https://forkwell.connpass.com/event/273812/ https://www.youtube.com/watch?v=xYTtw0ZgUNU オライリー・ジャパン > マイクロサービスアーキテクチャ 第2版 https://www.oreilly.co.jp/books/9784814400010/
お仕事のやり取りでたまに遭遇しつつ気になっていたのが、メールでファイルをやり取りする際にパスワードを設定し、そのパスワードを「メールで別途送ります」というやりとり。ファイル開くのに手間がかかるばかりで、セキュリティ的にもさほど高いとはとても思えず、でもこのやり方がビジネス上時折発生するのを不思議に思っておりました。 そんなことをわーわー騒いでいたら周囲の人がいろいろ意見をいただいたのでこのエントリーで簡単にまとめ。とはいえ、今のところ「パスワードはメールで別途送ります」のメリットが全然見えてなかったりもするのですが……。 1.誤送信防止のため 「パスワードは別途送ります」の理由として最初に教えられたのがこれ。1通だと間違えて送ってしまった場合にやり直しが効かないけれど、2通に分けて送ることで誤送信を対処できるとの理由だったんですがこれがどうにも腑に落ちない。 そもそも「宛先を間違う」ことを
パスワードを平文で送ってくるっぽいサイトまとめ パスワードを平文で送ってくるっぽいサイトをまとめています。サイトと関連ツイートを参照できます。
Command Line mitmproxy is your swiss-army knife for debugging, testing, privacy measurements, and penetration testing. It can be used to intercept, inspect, modify and replay web traffic such as HTTP/1, HTTP/2, HTTP/3, WebSockets, or any other SSL/TLS-protected protocols. You can prettify and decode a variety of message types ranging from HTML to Protobuf, intercept specific messages on-the-fly, m
■ 緊急起稿 パーソナルデータ保護法制の行方 その1 昨年7月からブログには書かないことにしていた*1が、緊急事態であるので、政府のパーソナルデータ保護法制(個人情報保護法改正)の議論の状況についてに書いておきたい。本当は論文や講演の形で示していくつもりだったが、それでは間に合わない状況が発生中であるので、周知の目的で取り急ぎかいつまんで書く。副政府CIOの向井治紀内閣審議官とお話ししたところ、「ブログに書いたらエエやないですか。どんどん書いてください。」とのことであったので、それ自体書くことを含めて許可を得たところで書くものである。 先週、IT総合戦略本部の「パーソナルデータに関する検討会」の第7回会合が開かれ、「定義と義務」についての事務局案が示された。資料が公開されている。事務局案は、これまでの「個人情報」についての定義と義務は変更しないものとし、新たに「準個人情報」と「個人特定性低
プロキシサーバの squid には、ドメインや URL を指定してアクセス許可・拒否できるという記事を以前書きました。 squid で特定のサイトのみアクセスを許可する この方法で、正規表現によりアクセス許可ができると書きましたが、これは SSL を使用する https://~ で始まるサイトにはうまくいきません。 たとえば正規表現でホワイトリストに次のように指定しても、アクセス許可されません。 # whitelist_regex ^http://example.com/hogehoge/ SSL のサイトは、URL の一部や正規表現での細かいアクセス制御はできず、ドメイン単位でしか設定できません。許可するにはホワイトリストで以下のように設定します。 # whitelist example.com:443 なぜ Squid は URL を細かく指定して SSL 通信を通すことができないので
apacheのリバースプロキシ+mod_securityでリバースプロキシ型WAFを簡単に作ってみました。 ■ネットワーク図 ■説明 今回、リバースプロキシ型WAFを作ってみたかったのでapacheに組み込めるmod_securityとapacheで作ってみました。 例えば、これで攻撃者から攻撃を受けたとしてもリバースプロキシのWAFで防御できるためWAFで防御できたものであればバックにあるWebサーバには影響が出ないようになります。 また、初期導入時の事を考えて最初はブロックせず検知のみにします。 # 最初からブロックしてしまうと正規のアクセスであってもWAFのルールにひかかってブロックされてしまうからです。 # そのため、最初は検知のみにして誤検知があった場合はそのルールを外しながらしばらく様子を見ます。 そこで、リアルタイムにログを監視する「swatch」を導入しmod_securi
モバイルの脅威はAndroidを狙い、iOSも油断はできない――日本スマートフォンセキュリティ協会の技術部会が開催したカンファレンスではウイルス対策を手掛けるカスペルスキー、ソフォス、トレンドマイクロ、マカフィーの研究者らが、スマートフォンに関する2013年の脅威動向と2014年の予測を発表した。 量と質に変化 カスペルスキー 情報セキュリティラボ チーフセキュリティエヴァンゲリストの前田典彦氏は、2013年のモバイルマルウェアの変化について、「量と質に変化がみられる」と指摘する。 まず「量」について、同社の観測では2013年6月にモバイルマルウェアの種類が10万種を突破した。1~3月期は約7万種だったが、7~9月期では12万種を突破し、2013年で一気に増加しているという。OS別にみると、同年3月時点で実に95.98%をAndroid系が占めた。 初期のモバイルマルウェアは、金銭を搾取す
「さっきトイレに行ったら、見覚えのあるスマホが洗面台に置きっぱなしになっていたよ」。会社の同僚にそう指摘されハッとした。手元にあるはずのスマホが無いのだ(写真1)。 メールやSNSのチェック、Webサイトの閲覧などに大活躍のスマートフォン。肌身離さず持ち歩いている人も多いだろう。記者もその1人。トイレに行くときも必ずスマホを持っていく。どうやら、手を洗うときに洗面台にスマホを置き、そのまま置き忘れてしまったようだ(写真2)。 急いでトイレに駆けつけた。だが、スマホは無かった。頭が真っ白になる。誰かに持ち去られたようだ。
概要 ペネトレーションテスト(penetration test)とは、通信ネットワークで外部と接続されたコンピュータシステムの安全性を調査するテスト手法の一つで、既に知られている手法を用いて実際に侵入や攻撃を試みる方式。 実際に運用している、あるいはその予定のシステムに対し、専門の技術者が様々な手法を駆使してサイバー攻撃を実施し、攻撃の可否や想定される被害や影響の範囲や程度を調べる。結果はレポートなどの形にまとめて報告される。 対象のシステムの種類や構成、運用形態などによっても異なるが、ソフトウェアの保安上の弱点(脆弱性)や設定の不備などを利用して、外部からのアクセスにより乗っ取りやサービス停止、非公開の情報の取得などができるかどうかを調べる。 大量の接続要求などで処理性能や通信容量を使い切り稼働停止を狙うDoS攻撃(サービス拒否攻撃)にどれくらい耐えられるかを調べたり、侵入された際にそこ
John the Ripper password cracker John the Ripper is an Open Source password security auditing and password recovery tool available for many operating systems. John the Ripper jumbo supports hundreds of hash and cipher types, including for: user passwords of Unix flavors (Linux, *BSD, Solaris, AIX, QNX, etc.), macOS, Windows, "web apps" (e.g., WordPress), groupware (e.g., Notes/Domino), and databas
現在位置: ホーム1 / グーグル2 / iPad(mini)・iPhoneで2段階認証設定したGmailアカウントを利用できるよう... Gメール・Googleカレンダーを2段階認証するとiPhoneで使えない?? Gmailのパスワード乗っ取りが流行っているので、2段階認証にしておきましょー!と書きました。が、この設定にすると今まで使うことができていた、iPhoneとかiPad(mini)でそのままの設定ではGmailが見られなくなります。 どころか、同じGoogleアカウントに紐付いていたGoogleカレンダーやGoogleドライブも同様に利用できなくなります。 そこで、改めてGmail側でパスワードを取得し、iOSデバイス側で再設定して再度使えるようにしておきましょう。 【設定方法ここから】※あらかじめGmailにログインしておいてください ・Gmail画面右上にあるあなたのGma
Webアプリにおける11の脆弱性の常識と対策:Webアプリの常識をJSPとStrutsで身につける(11)(1/4 ページ) 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です 【2013年2月25日】編集部より、おわびと訂正のお知らせ 本稿において読者の皆さまより多数のご指摘をいただきまして、誠にありがとうございます。編集部であらためて調べた結果、間違いを把握し、あらためて修正版を掲載させていただきます。この度は、長期にわたり誤った内容を掲載したので、読者の皆さまに多大なご迷惑をお掛けしたした点をおわび申し上げます。 通常、記事に間違いがあった場合には、筆者確認後に修正版を掲載するのですが、今回の場
OpenSSH の ssh コマンドや scp コマンドで相手先のホストにアクセスしようとしたとき、次のようなメッセージが出ることがあります。 @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! これは、ホスト側のコンピュータが入れ替わったのを検出して警告を出しているものです。たとえば、誰かがなりすましで同じ名前で別の PC を設置し、パスワードを盗むつもりかもしれません。また、途中に盗聴用のサーバを置いて通信内容を盗み見るためかもしれません。 もちろん単にサーバが壊れて予備のサーバに置き換えたとか、LAN ボードを交換しただけという時もあるでしょう。自分で分かるときはよいですが、不明なときはホスト側の管理者に確認しましょう。何も
無料で通話などができるスマートフォン向けの「LINE」と呼ばれるアプリを利用した少女が、性犯罪に巻き込まれる被害が少なくとも14件起きていることが分かりました。 このアプリの利用者だけが対象の掲示板を通じて加害者側と連絡を取った結果で、警察庁は被害が拡大するおそれがあるとして、こうした掲示板の実態把握に乗り出しました。 「LINE」はインターネットを通じて無料で通話やメールができるスマートフォン向けのアプリで、去年6月のサービス開始以来、利用者が急増し、国内では3600万人以上に上るということです。スマートフォンの電話帳にお互いが登録されていれば自動的に「友だち」として認識され、やりとりができる仕組みで、本来は特定の仲間との交流を目的に開発されました。 ところが、警察庁などによりますと、このLINEを通じて小学生から高校生までの少女が性犯罪に巻き込まれる被害が、ことし事件化されたものだけで
今朝、懐かしい方からメールがあって私はiPhoneをまじまじと見つめてしまいました。それはこのブログにも以前登場した「一流の研究者」の、私の師匠です。 しかしメールの内容はおかしなものでした。「いま海外にいるのだが、同行していた人が急病になってしまい、手術にお金が必要なので送ってくれないか」という内容で、つまりは詐欺メールです。 シグネチャまでも真似ていますが、誰かが師匠のメールアドレスを乗っ取ったのです。### 2段階認証を使おう 師は周囲にコンピュータのウィザードが大勢いますのできっと適切に対応がとられているものと思います。 しかし一度アカウントが乗っ取られると、住所録も含めて奪われてしまいますのでいつまでも自分の名前を騙って友人、親戚にこうした詐欺メールが送られるリスクが続きます。 私の周囲でも今年に入ってGmailが乗っ取られてこうした詐欺メールが飛んできたというケースが複数ありま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
