(Last Updated On: 2018年8月4日)今後WebシステムをインターフェースとするIoTデバイスが続々と出てくると思われます。その中で特に危惧しているセキュリティ問題があります。その1つがリクエストフォージェリです。 リクエストフォージェリとは? リクエストフォージェリと聞いてCSRF(クロスサイトリクエストフォージェリ)を思い浮かべる方はWeb開発者でしょう。リクエストフォージェリについては既にリクエストフォージェリ – SSRFとCSRFを書きました。簡単に言うとシステム/ユーザーが持っている権限を利用して不正に機能を使う攻撃です。認証/認可を正しく管理していても、システム構成やプロトコルなどによって権限を悪用できる脆弱性ががリクエストフォージェリです。 Web開発者が注意しなければならないリクエストフォージェリはCSRF(あえてクライアントサイドリクエストフォージェリ
中小企業が犯しやすい、セキュリティ上の大きな間違い 2015年06月05日08:00 ツイート fsecure_blog ヘルシンキ発 オンライン犯罪とは穴を見つけ出すこと、すなわち、あなたのソフトウェアのセキュリティホールを見つけ出すことです。 エフセキュアのシニアリサーチャーであるティモ・ヒルヴォネンは次のように述べています。「ソフトウェアの構成要素には脆弱性がつきものです。そして常に、こうした脆弱性を利用してエクスプロイトを作成する犯罪者がいます。メーカーがリリースするセキュリティパッチは基本的にソフトウェアの脆弱性をあらわにするため、これが犯罪者にとって格好のビジネスモデルになりつつあります。犯罪者は脆弱性を見つけるためにパッチを解析し、見つけた脆弱性を自らが開発したエクスプロイトのターゲットとするのです」 犯罪者は一日中、あなたのネットワークに侵入する方法を考えて過ごし、あなたは
iPhoneとAndroidではiPhoneのほうが良くできているが、iOSのフラットデザインとAndroidのマテリアルデザインでは後者の設計が優れている。マテリアルデザインは、デザインとエンジニアリングが高いレベルで融合していて、ロジカルで非常に美しい。 以下、自分の理解をまとめたメモ。 紙とインク マテリアルデザインは「ペーパー」と「インク」のメタファーでできている。 ペーパーの特徴 バーやボタンといった画面上のUIコンポーネントは、バーチャルな紙でできたカードと考える。また、このペーパーは1dpの厚さを持っている。 ペーパーは純白の矩形、あるいはシンプルな円形である。三角や星型といった複雑な形はとらない。そのような複雑な形状や模様はインクが担当する。 現実とことなり、このペーパーは自由に伸縮することができる。 マテリアルデザインにおけるレイアウトは、複数のペーパーを並べたり、重ねた
3D映画など臨場感の高い映像を見て気分が悪くなる「映像酔い」の仕組みの一端を、京都大とキヤノンなどの研究グループが明らかにした。映像酔いになった人では、視覚に関わる脳の特定の部位で、左脳と右脳とで活動リズムがずれることを見つけた。 ドイツ脳科学誌電子版に26日、発表する。映像酔いは3D映画のほか、小型無人飛行機(ドローン)で撮影した揺れる映像などでも起こりやすい。吐き気、めまいなど症状は乗り物酔いと似ているが、どのようにして映像酔いが起きるかは、いくつか仮説はあるが、分かっていない。 京大の山本洋紀助教(視覚科学)らはカメラを激しく動かして室内を撮影した映像を作製。20~40代の14人に見せ、脳の活動を機能的磁気共鳴断層撮影(fMRI)で調べた。 すると、酔った8人では、物の動きを滑らかに見るために重要な部位の活動リズムが、左右の脳で大きくずれた。視覚に関わる他の部位や、酔わなかった人の脳
Groups By area/parent Apps & Realtime General Internet Ops & Management Routing Security Web and Internet Transport IAB IRTF IETF LLC RFC Editor Other Active AGs Active Areas Active Directorates Active IAB Workshops Active Programs Active RAGs Active Teams New work Chartering groups BOFs BOF Requests Other groups Concluded groups Non-WG lists Documents Search Recent I-Ds I-D submission IESG dashbo
いよいよ2015年10月にマイナンバー制度が開始され、来年1月からは民間企業や行政機関でマイナンバーの利用が始まる。筆者は、内閣官房社会保障改革担当室、そして特定個人情報保護委員会に民間の弁護士として3年半ほど出向して、マイナンバー制度の検討や法律の条文作成、「プライバシー影響評価」制度の新設を担当してきた。本特集では省庁での経験を基にマイナンバーの目的は何か、マイナンバーとどのようにつきあっていけばよいのかを解説する。 なぜ番号が必要なのか? そもそもマイナンバーはなぜ必要なのだろうか。「何となく必要な気もする」「何となく不安で怖い」と感じられる方も多いのではなかろうか。多くの企業のサービスではお客様番号や顧客IDが振られる。マイナンバー制度が導入される趣旨も、これとほぼ同じである。 これまではマイナンバーがなくても、通常は氏名・生年月日・性別・住所を使って、個人を特定していた。ただ、住
lef/HAYASHI, Tatsuya @lef #fidcon 予告編的な。めっちゃ面白そう! #idcon / IdM実験室: [Windows10]デバイス&サービス間のシングルサインオンの仕組み idmlab.eidentity.jp/2015/05/window… 2015-05-20 20:00:23 IdentityDuck @IdentityDuck FIDO対応のスマートフォンならパスワードなんか覚える必要なくて、認証必要になったら「フアイドーーー!!!」と叫べばスマフォが「いっぱーーーーつ!!」と応えてシャキーンと認証通る。そんな勉強会が開かれているらしい。 2015-05-27 18:58:13
マイナンバーには「索引情報」「キー」としての価値があり、一度ひも付いた情報は断絶しにくい危険性がある。前回は「必要な範囲でしか取り扱わない」ことを述べた。第3回では、マイナンバーをどのように管理していけばよいかを解説する。 「安全管理措置」って何? マイナンバー法は、業務でマイナンバーを取り扱う者などに対して「安全管理措置」を義務付けている。マイナンバー法は、マイナンバーが漏洩したり利用できなくなったりといった問題が起こらないように「マイナンバーを適切に管理せよ」と要求する。しかしマイナンバー法は、特にどんな方法で管理すればよいのか指定していない。 「適切に管理せよ」と言われても、何をすればよいか分からないという声もある。そこで、ガイドラインが登場した。正式名称は「特定個人情報の適正な取扱いに関するガイドライン(事業者編)(別添)特定個人情報に関する安全管理措置」(PDF)である。マイナン
Project Soli is developing a new interaction sensor using radar technology. The sensor can track sub-millimeter motions at high speed and accuracy. It fits onto a chip, can be produced at scale and built into small devices and everyday objects. Follow Google ATAP on Twitter for updates on Project Soli: https://twitter.com/GoogleATAP Visit https://groups.google.com/forum/#!forum/soli-announce to
パスワードを定期的変更するべきか否かについては、ほぼ「定期的に」意見を書いています。最近は、twitter上のつぶやき等を見ていても、「パスワードを定期的に変更する必要はない」とか、「パスワードを定期的に変更すべき状況は限られている」などの意見を見ることが多いようです。しかし、さまざまなガイドライン類は、依然としてパスワードの定期的変更を要求しているため、私としては継続的に(定期的にw)この問題を取り上げたいと考えています。 最近、パスワードの定期的変更問題に関する優れたコラムを読みました。 多くの組織がユーザーにパスワードの変更を強制しています。長い間、それがセキュリティーの「ベストプラクティス」だと考えられてきたからです。しかし、実際には賛否両論のテーマなのです。以下にパスワードの変更が「有効であるケース」と「有効でないケース」について解説します。 実際、パスワードはどれくらいの頻度で
Toyota Unintended Acceleration and the Big Bowl of “Spaghetti” Code | Safety Research & Strategies, Inc. O'Reilly Radar で知った記事だが、この記事自体は2013年、トヨタがオクラホマ州での急加速を巡る訴訟で和解した後に書かれたものである。 この記事で面白いのは、Michael Barr が20ヶ月以上にわたりトヨタ車で使われているソースコードを、Philip Koopman カーネギーメロン大学教授がトヨタのエンジニアリングの安全プロセスを精査した話で、両者ともトヨタのソフトウェアがスパゲッティコード山盛りなことを証言している。 トヨタの生産方式はアジャイル方面においてソフトウェア開発手法に多大な影響を与えている。ところでそのトヨタが開発するソフトウェアの品質はどうなんだ
ライフハッカー編集部様 私の会社やいくつかのウェブサイトが、パスワードを定期的(たとえば3カ月おき)に変えるように強制してきます。基本的にパスワードはどれくらいの頻度で変えるべきなのでしょうか? 使い古しのパスワード(Stale Passwords)より 使い古しのパスワードさん、こんにちは。 多くの組織がユーザーにパスワードの変更を強制しています。長い間、それがセキュリティーの「ベストプラクティス」だと考えられてきたからです。しかし、実際には賛否両論のテーマなのです。以下にパスワードの変更が「有効であるケース」と「有効でないケース」について解説します。■なぜ企業はパスワードに有効期限を設けているのか? パスワードを定期的に変える利点は、パスワードが盗まれた場合に、犯人がシステムに侵入できる期間を制限できることです。もし、パスワードに有効期限がなく、またパスワードが盗まれたことにも気づかな
いつもならFaceBookに先に書いているんだけど、今日はこっちに。あとでFBにも貼る。 いつものごとく時間がないので、雑感を駄文で。 年金機構が所謂職員の失敗で、年金情報を流出するという事件が発生した。 詳しいまとめは、いつものごとく、高速に素晴らしいまとめをしてくれる日本年金機構の情報漏えいについてまとめてみたを参照。Kangoさん、いつも本当に素晴らしい。 さて。この事件とか事件について色々喋っている人とか、大臣と呼ばれる人とかを見ていて感じた雑感を。 非常に大量に情報を流出してしまった事件としては、ベネッセ事件があった。詳しくはベネッセの情報漏えいをまとめてみた。を参照。 この事件において、ベネッセは様々な方面から散々ぶん殴られた。マスコミもJIPDECも利用者も、好きなようにベネッセをサンドバッグにした。まぁ、自分も殴った側にいるのだから偉そうなことは言えない。この件について、株
2. 自己紹介 久保田展行 (@nobu_k) Preferred Infrastructure America, Inc. 取締役 本日の NG ワード「いつアメリカ行くの?」 MessagePack for C,C++ メンテナ 分散システム、 DB 、検索エンジン 最近 golang に夢中 2 3. 今日の話: Raft Raft とは 複製されたログを管理するためのコンセンサス ( 合意 ) アルゴリズ ム Raft はわかりやすさを重視して作られた 既存のアルゴリズムは難しすぎて正しく実装するのが困難 もしくは、難しい部分を簡単にしようとして安全ではなくなったり この先生きのこるには分散システムの理解が必須 コンセンサスは安全な分散システムを構築する上で必須のトピック ツールとして使うにしても、中身や特性は理解しておくべき
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
