タグ

セキュリティに関するgonaiのブックマーク (10)

  • SMSを使った二要素認証、Googleが廃止へ--なぜ? 「実は安全ではない」が業界の常識

    Gmailの二要素認証がまもなく大きく変わる。GoogleはSMSで認証コードを送付する方式を廃止し、パスキーやQRコードに切り替える方針だ。 このニュースはForbesが最初に報じた。 SMSによる二要素認証は悪用されるケースが報告されている。Google セキュリティ・プライバシー広報担当のロス・リッチェンドルファー氏はCNETの取材に対し、「パスキーなどでパスワードの時代を終わらせたいのと同様に、認証にSMSを使う方法からも脱却したい」と述べた。 Googleは今後数カ月以内に電話番号認証の方法を一新する予定だ。Gmailやその他のGoogleサービスは、SMSで6桁のコードを送る方式から、ユーザーが手元の端末でスキャンできるQRコードを表示する方式に変わる。 この変更は、ユーザーが詐欺師にSMSコードを教えてしまうリスクをなくし、通信事業者が侵入経路となる可能性を排除するためだ。ま

    gonai
    gonai 2025/02/26
    操作する端末と公開しない番号のSMS受信する端末を分ければいいんでないの?
  • Webサービスぶっ壊れ地獄、行きやすぜ!

    はじめに なあジョージさんよ……あんた、いつもこう言ってたよな? 「便利さとシンプルさ、それがユーザーも開発者も幸せにする秘訣だ」ってよ。 あたしゃな、その言葉に乗っかっちまった。ユーザーのため? 開発を効率化するため? そりゃあ立派なもんだ。でもな、それが「命取り」になることがあるんだぜ。 シンプルに作ったはずのサービスが、悪意ある奴らに好き勝手利用されて、時には「あたしの知らなかった地獄」を見せてくれる。越えたらいけない一線がある。そんな話を、今日はしようじゃねえか。 さあ、これがあたしらの舞台だ。 セキュリティの教科書には載らない、バグバウンティでも指摘されない、ニュースにもならない、「 現場のWebサービスぶっ壊れ地獄 」 ……教えてやりますぜ!! 1. サインアップし放題からのクレカ決済し放題地獄 この地獄、知ってやがるかい? 聞いてくれよ。ユーザーを簡単にサインアップさせる……

    Webサービスぶっ壊れ地獄、行きやすぜ!
    gonai
    gonai 2025/01/29
    続編を書いてくれ。報酬は10円だ。しくじったらぶっ飛ばすぜ!
  • ネットワークシステムから「パスワードの使用期限は90日です。後30日以内に変更してください」とメッセージが届いたので、この会社のシステム管理者はクビにした方が良いと思う

    デゴチ @degochiyakuri セキュリティという最新の技術動向をウォッチし続けなきゃいけない分野の仕事していて、昔ながらの『パスは定期的に変えた方が良い気がする…』というスタイルのままで良いと思う時点でもうダメな気がする。 と、素人が思っているけど実際どうなんかねぇ。 2024-12-06 19:06:07 デゴチ @degochiyakuri 今の管理者に「定期変更でユーザーのパスワードの安全性が低下傾向になるのでは?」と意見送ったら「いや全ユーザーのパスワードをリストアップして確認しましたがそんな傾向なかったですよ」とか怖いこと言われそう… 2024-12-06 19:09:39

    ネットワークシステムから「パスワードの使用期限は90日です。後30日以内に変更してください」とメッセージが届いたので、この会社のシステム管理者はクビにした方が良いと思う
    gonai
    gonai 2024/12/08
    定期的なパスワード変更が業務要件に入っているので自社だけでどうにかできないんだよなあ
  • 外務省のシステムに中国がサイバー攻撃、公電含む大規模な情報漏えい…主要な政府機関のシステム点検

    【読売新聞】 外交上の機密情報を含む公電をやりとりする外務省のシステムが中国のサイバー攻撃を受け、大規模な情報漏えいが起きていたことがわかった。米政府は2020年に日政府に警告して対応を求め、日側は主要な政府機関のシステムを点検

    外務省のシステムに中国がサイバー攻撃、公電含む大規模な情報漏えい…主要な政府機関のシステム点検
    gonai
    gonai 2024/02/05
    本当に大事な情報はFAXだったから安心というオチを期待したい
  • “プライバシーマーク認証団体”が情報漏えい 審査員が個人PCで書類保存、約3年間外部から丸見えに

    個人情報の取り扱い体制について評価・認証する「プライバシーマーク制度」(Pマーク制度)を運営する日情報経済社会推進協会(JIPDEC)は11月13日、8月に発表したPマークの審査関連書類が漏えいした事案について、調査結果を発表した。 8月8日、Pマークを取得した事業者1社から「ネット上でPマークの審査関連資料と思われるファイルが閲覧可能となっている」と連絡を受け、事態が発覚した。調査を行ったところ、Pマーク審査員1人が個人所有のPCに廃棄すべき審査関連書類を保存して持ち帰っていたことが明らかに。資料を保管していたNASNetwork-Attached Storage)に適切なセキュリティ対策がなされておらず、ネット上で閲覧できる状態になっていた。 その後の調査では、この1件以外にも最大888社の審査関連情報と審査員名簿が漏えいした可能性があることも判明。さらに、この審査員が2005年1

    “プライバシーマーク認証団体”が情報漏えい 審査員が個人PCで書類保存、約3年間外部から丸見えに
    gonai
    gonai 2023/11/14
    JIPDECはPマーク認証を受けていないのでは?
  • “Pマーク”認証団体が見解 パスワード付きファイルのメール送信は「以前から推奨していない」

    一般財団法人日情報経済社会推進協会(JIPDEC)は11月18日、パスワード付きファイルのメール送信について、誤送信した場合に情報の漏えいを防げないなどとして「以前から推奨していない」とする公式見解を発表した。 パスワード付きファイルをメールに添付する場合、ファイルとパスワードをそれぞれ別メールで送る場合がある。こうした慣習を「Password付きzipファイルを送ります、Passwordを送ります、An号化(暗号化)Protocol(プロトコル)」の頭文字を短縮し、セキュリティの世界ではPPAPと揶揄(やゆ)することが多い。 17日に平井卓也デジタル改革担当相が、霞が関でいわゆるPPAPを廃止する方針を示したことを受け、JIPDECに「zipファイルがダメなのか」などの問い合わせが複数寄せられたという。 JIPDECは事業者の個人情報の取り扱い体制について評価・認証する「プライバシーマ

    “Pマーク”認証団体が見解 パスワード付きファイルのメール送信は「以前から推奨していない」
    gonai
    gonai 2020/11/20
    推奨していないが、効果は認めるんですね。わかります。
  • 高木浩光@自宅の日記 - 総務省が不正指令電磁的記録罪の典型的誤解を再生産中、原因を絶たねばならない

    ■ 総務省が不正指令電磁的記録罪の典型的誤解を再生産中、原因を絶たねばならない 昨日からこれが話題になりつつある。 総務省の資料より。ウイルスがダメなのはわかるけど、どこからがウイルスと捉えられるのかが問題。「ユーザーの意図に反する動作」っていわれても「ユーザー」のリテラシによるから難しいなぁ。 pic.twitter.com/hpGnPmUWlS — はぁこ🌸ビール女子麦子開発中 (@paco_itengineer) June 23, 2019 みんなに役立たないことにプログラミング技術を使った奴はタイーホ了解!!!!!!!!!自分のためにしか役に立たなかったり面白いだけで役に立たないことにプログラミング技術を使っているみなさん!!!!!!! pic.twitter.com/YUjSTzmUkj — sksat@OtakuAssembly (@sksat_tty) June 24, 2

    gonai
    gonai 2019/06/26
    全ての法律は別件逮捕のために使われる
  • 覚書:「不正プログラム書き込み疑い補導」という記事について - 雑記――刑事法学の研究と教育を巡って

    【2019年3月8日:件プログラムの動作につき、文末に追記しました】 クリックすると同じ画面が表示され、消えなくなる不正なプログラムのアドレスをインターネットの掲示板に書き込んだとして、13歳の女子中学生が兵庫県警に補導されました。 クリックすると、画面の真ん中に「何回閉じても無駄ですよ〜」という文字や、顔文字などが表示され続けるよう設定されている 不正プログラム書き込み疑い補導|NHK 兵庫県のニュース 上記記事のみからはよく分からないが、他の記事やSNS上で散見されるところを総合すると、問題とされたサイトはJavaScriptを用いてポップアップ様の画面を表示させ、そこにある「閉じる」を押しても閉じることができない(「閉じる」と書かれているが、そこに閉じる機能は設定されていない)ということのようである【この点について、文末参照】。このようなサイトに設置されたプログラムが刑法168条の

    覚書:「不正プログラム書き込み疑い補導」という記事について - 雑記――刑事法学の研究と教育を巡って
  • 高木浩光@自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」

    ■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 [解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー(30)は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 (略)昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。(略) 略式命令を受けたウェブデザイナー

    gonai
    gonai 2018/06/12
    社会的な共通理解の問題かなあ
  • 5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!

    こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます! 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる! 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです! (NG) あなたの名前は <?= $name ?> ですね! ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>

    5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!
  • 1