なのゲームズ@ブルアカふぇす不参加 @nano_games364 Nudgeとかいうクレジットカード、 公式の動画からセキュリティが終わってる 券面にセキュリティコード載せて 「スマホ裏に入れても可愛いよ」じゃねぇよ pic.x.com/mHma1MByAB 2025-01-13 21:17:16
サマリ ISO-2022-JPという文字エンコーディングの自動判定を悪用したクロスサイト・スクリプティング(XSS)攻撃について説明する。これは、文字エンコーディングを適切に指定していないウェブコンテンツに対して、文字エンコーディングをISO-2022-JPと誤認させることでバックスラッシュが円記号と解釈されることによりエスケープ処理を回避する攻撃である。本稿で紹介する攻撃は、従来からのセキュリティベストプラクティスである「文字エンコーディングの明示」に従っていれば影響を受けることはない。 はじめに クロスサイト・スクリプティング対策として、記号文字のエスケープ処理に加えて、コンテンツの文字エンコーディングをレスポンスヘッダやmetaタグで明示しましょうと言われてきました(参照)。その背景として、UTF-7という文字エンコーディングを悪用したXSSの存在がありました。この攻撃については以下
金庫に使われるダイヤル錠は「45を右に3回」「次に23を左へ2回」というように、暗証の数字と回転方向を合わせてから、カギを回して開錠します。解錠依頼は、この暗証の数字と回転方向を忘れたという場合が大半。そこで使うのが、電動マッサージ機です。電マの振動で、金庫が開く仕組みを見ていきましょう。 金庫を電動マッサージ機で解錠する 金庫のダイヤル錠には電動マッサージ機で開ける方法は、キーを挿入もしくは、ピッキングしてカンヌキが動く状態にして、ダイヤル錠に電マを当てて振動を伝え続けます。すると、自然とダイヤルが合致していき金庫が開くのです。 金庫のダイヤル錠は、4枚ある円状のプレート「座」の切り欠きが揃っていないと、キーを回して動くカンヌキが入らず施錠の状態となる仕組み。ダイヤル錠の数字と回転方向が合致すると、座の切り欠き部分が揃ってカンヌキが動いて開錠できるわけです。 ダイヤル錠のシャフトに固定さ
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 今回はIPA(情報処理推進機構)が無料で公開しているエンジニア向け資料をまとめました。エンジニアやIT担当者におすすめの資料を厳選しています。 今回紹介する資料の結論 安全なWebサイトの作り方 要件定義ガイド DXスキル標準 情報セキュリティ白書2024 DX白書 情報セキュリティ10大脅威 2024 簡易説明資料 情報漏えい対策のしおり AI社会実装推進調査報告書 安全なWebサイトの作り方 安全なWebサイトの作り方では、Webアプリやサイトを作る上で知っておくべきセキュリティ知識を基礎から網羅的に学ぶことができます。
[速報]マイクロソフトが「Windows Hotpatch」発表。Windowsを再起動せずセキュリティ更新を実現へ (注:記者向けの事前発表では「Hotpatch in Windows」という名称でしたが、基調講演で「Windows Hotpatch」と紹介されたため、タイトルを含めて記事内容を変更しています) Windows Hotpatchで再起動を年4回に削減 Windows Hotpatchは、Windowsの再起動を必要とせずに重要なセキュリティ更新プログラムを提供できる新機能です。 これによりWindowsでの作業を中断することなくセキュリティ更新プログラムを適用できるだけでなく、セキュリティ更新プログラムが提供された時点から企業が更新プログラムを採用するまでの時間が最大60%短縮されるとしています。 また、システム管理を行うMicrosoft Intuneで、Windows
![[速報]マイクロソフトが「Windows Hotpatch」発表。Windowsを再起動せずセキュリティ更新を実現へ](https://cdn-ak-scissors.b.st-hatena.com/image/square/45d95556252582b254319e694d815d267bd897f1/height=288;version=1;width=512/https%3A%2F%2Ffanyv88.com%3A443%2Fhttps%2Fwww.publickey1.jp%2F2024%2Fhotpatch-pv01.png)
バッカじゃねーのかな。 この仕組みを考えた奴何も考えてねえだろ。 こう言う頭のいいふりしたバカにシステムを作らせてはいけない。 詳細eSIMを設定したモバイルルータが死んだので、楽手モバイルでeSIMの再発行手続きをしたところ、二段階認証の表示が出た。 SMSまたは登録のメールでコードを送ったのでみてね、だそうである。 しかし待てど暮らせどメルアドにコードが送られてこない。なんだこれは。 で、楽天モバイルのfaqを漁るとこんなことが書いてあった。 https://network.mobile.rakuten.co.jp/faq/detail/00001914/ 継続的にセキュリティー対策を強化しており、5月下旬より一部のお手続きについてワンタイムパスワードの送信方法をメールからSMSに変更しました。は? ばっかじゃねーの? ホテルで部屋のパスワードを忘れたので新しく発行してくれと言ったら、
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 イスラエルのネゲヴ・ベン・グリオン大学に所属するMordechai Guriさんが発表した論文「Mind The Gap: Can Air-Gaps Keep Your Private Data Secure?」は、インターネットに接続していない物理的に隔離したコンピュータから機密データを盗む攻撃をまとめた研究報告である。 現代において、個人情報は価値のある資産の一つとなっている。これには個人識別情報、医療記録、法的情報、生体認証データ、私的通信などが含まれる。こうした機密データを保護するため、多くの組織が「エアギャップ」と呼ばれる物理的に隔離されたネ
合格率も高く,ITSSのスキルレベルもITパスポート同等のものであるため,比較的とっつきやすい試験だと感じております. なぜ受けるべきか 「知識をつけたいなら参考書を読むだけで十分」「資格試験は取るだけでは実務に活かせる部分が少なく意味がない」等々,色々な意見があるのは重々承知していますし,どれも間違いではないと思います. ですが,「学習を進め,知識の習得率を測るために試験合格をゴールとする」ことは大変有意義なことだと私個人は思います.その理由を以下に2点述べたいと思います. セキュリティの体系的な知識は知ろうとしないと身につかない まず大前提ですが,受け身で学習していても部分的な知識しか身につきません. 受け身でいる場合,ニュースで見るようなセキュリティ事故やSNSで閲覧する表層的な知識くらい得ることができません.情報収集がしやすい反面,体系的に学ぶことができないのが欠点です. これは,
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。 多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。 これは、Webサイト
あらおじ @ojigunma すごい タリーズの原因発見してる人いる 確かにナンカある slick.min.js という画像をスライドするファイルの中に 難読化された悪意のあるコードが追記されてるっぽい 難読化は4段階ぐらいされてるらしい これブラウザとかセキュリティソフトで気づくのは無理なんだろか。。。 x.com/motikan2010/st… Niishi Kubo | GitLab,Limeboard @n11sh1_ クレカ情報漏洩の件、技術的な原因特定はこの投稿が一番分かりやすかった。 slick.min.js(画像切り替えのライブラリ)を改ざんされてマルウェアが仕込まれて、クレカ情報はサーバーに送信される前にフロントエンドから外部に送信されていたらしい。Content-Security-Policy がレスポンスヘッダーにきちんと設定されていれば悪意あるドメインに対しての通信
Webサーバーで使うサーバー証明書の発行数が世界最多の認証局Let's Encrypt(レッツエンクリプト)は2024年7月23日、衝撃的な声明を発表した。サーバー証明書の有効性を確認するメジャーなプロトコル「OCSP(Online Certificate Status Protocol)」のサポートを終了する意向を示したのだ。
訂正のお知らせ 本文中で、修正前は「パスワードポリシーに関するガイドライン『NIST Special Publication 800-63B』の改訂版」と記載していましたが、正しくは「『NIST Special Publication 800-63B-4』の第2版公開草案」の誤りでした。誤解を招く表現となっていたことをお詫び申し上げます。該当箇所を訂正しました(2024年9月30日15時20分更新)。 米国立標準技術研究所(NIST)は2024年8月21日(現地時間、以下同)、パスワードポリシーに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を発表した。 同草案では定期的なパスワードの変更や異なる文字タイプの混在(例えば数字、特殊文字、大文字小文字を組み合わせる)を義務付けるべきではないことが提案されている。 「パスワード
パソコンの画面全体に偽のメッセージが表示され操作不能になる手口が増加中 - 意図せずダウンロードされたファイルを実行しないで! - 2024年6月から、パソコンを使用中に突然、画面全体に偽のメッセージが表示されて、キーボードやマウスの操作を一切受け付けなくなり、電源を入れなおして再起動しても状況が変わらないという相談が寄せられています(本資料ではこの手口を「操作不能の偽メッセージ」と呼称します)。 メッセージには、マイクロソフトサポートへ電話をするように嘘のメッセージがあることから、これまでの「サポート詐欺(別名:偽のセキュリティ警告)」と同様に相談が寄せられていますが、ウェブブラウザに偽の警告を表示していたものとは手口が異なり、これまでのサポート詐欺の手口でご案内した対処が通用しないことが確認されています。 手口の詳細や原因および目的などは不明な部分が多いですが、継続して相談が寄せられて
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 イスラエルのBen-Gurion University of the Negevに所属する研究者が発表した論文「RAMBO: Leaking Secrets from Air-Gap Computers by Spelling Covert Radio Signals from Computer RAM」は、インターネットに接続していないコンピュータ(エアギャップPC)から機密情報を漏えいさせる新たなサイドチャネル攻撃手法を提案した研究報告である。 「RAMBO」と呼ぶこの攻撃は、物理的に隔離したコンピュータのRAM(Random Access Mem
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
