[B! Security] enemyoffreedomのブックマーク

OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog

2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。概要深刻な脆弱性が確認されたのはOpenSSHサーバー︵sshd︶コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC

enemyoffreedom 2024/07/02

Security

リンク

「AWSセキュリティを「日本語で」学習していくための良いコンテンツをまとめてみた」というタイトルでAWS Summit Japan 2024のCommunity Stageで登壇しました #AWSSummit | DevelopersIO

AWS Summit JapanのCommunity Stageで登壇した﹁AWS セキュリティを﹁日本語で﹂学習していくための良いコンテンツをまとめてみた﹂の解説です。こんにちは、臼田です。みなさん、AWS セキュリティの勉強してますか？(挨拶今回はAWS Summit JapanのCommunity Stageで登壇した内容の解説です。資料解説 AWSとセキュリティの勉強をしていく時、嬉しいことにAWS関連の情報はたくさんあります。しかし、どの情報から勉強していくか迷いますよね？そこで、AWS Security Heroである私がオススメする﹁日本語で﹂学習するための良いAWS セキュリティのコンテンツたちを紹介します。紹介するコンテンツは、最近実施しているAWS セキュリティ初心者がステップアップしていくことを目的としたmini Security-JAWSにてまとめたmini S

enemyoffreedom 2024/06/25

リンク

[令和5年最新][備忘録]YubikeyでSSH

YubikeyでSSHする方法は4種類メリデメとかは公式参照 Securing SSH with the YubiKey PIV PGP FIDO2 OTP FIDO2が比較的新しい OpenSSH 8.2 (was released on 2020-02-14) で追加されたらしく、それ以前のブログ等を読むとPIVでSSHする方法しか書かれていない。 FIDO2はクライアントとサーバー両方の対応が必要で対応しているサービスが少ないっぽい。GitHubがFIDO2のSSHに対応したのは2021年5月 GitHubの推しはFIDO2っぽい GitHubのドキュメントには、FIDO2を使った方法が書かれているので、盲目的にこれを使ってみることにした。 $ ssh-keygen -t ed25519-sk -C "YOUR_EM AIL" -sk がセキュリティキーを使用した鍵生成 ecdsa-

enemyoffreedom 2024/06/24

Yubikeyと連携するSSH公開鍵の作成・利用方法。ただし現状では普通に使えそうなのはGitHubくらい？

Security

リンク

GitHub - chaifeng/ufw-docker: To fix the Docker and UFW security flaw without disabling iptables

To Fix The Docker and UFW Security Flaw Without Disabling Iptables English 中文 TL;DR Please take a look at Solving UFW and Docker issues. Probl em UFW is a popular iptables front end on Ubuntu that makes it easy to manage firewall rules. But when Docker is installed, Docker bypass the UFW rules and the published ports can be accessed from outside. The issue is: UFW is enabled on a server that provid

enemyoffreedom 2024/06/17

リンク

Docker と iptables — Docker-docs-ja 24.0 ドキュメント

Linux 上では、 Docker はネットワークの分離(network isolation) のために iptables ルールを操作します。これは実装の詳細であり、 Docker が追加する iptables ポリシーを変更すべきではありません。しかしながら、 Docker によって管理されている追加されたポリシーを、自分自身で変更したい場合には、いくつかの影響が発生する可能性があります。 Docker を実行しているホストをインターネット上に公開している場合、コンテナやホスト上で実行しているサービスに対する許可のない接続を防ぐように、おそらく何らかの iptables ポリシーを追加しようとするでしょう。これをどのようにして行うか、そして、気を付けるべき警告について、このページで扱います。 iptables ポリシーは Docker 用ルールの前に追加¶ Docker は2つのカス

enemyoffreedom 2024/06/13

リンク

第798回　Ubuntuのセキュリティを支えるAppArmor入門 | gihyo.jp

Ubuntuではセキュリティ対策の一環としてAppArmorを採用しています。AppArmorを使えば、任意のプログラムに対して、意図しないファイルやデバイスのアクセスを阻害したり、サブプロセスに対するセキュリティ制約をかけたりできます。今回はあまり意識することのないものの、知っておくといつか役に立つかもしれない、実際に役に立つ時はあまり来てほしくないAppArmorについて紹介しましょう。 AppArmorとMACとLSMと﹁AppArmor﹂は﹁名前ベースの強制アクセス制御で、LSMを用いて実装されている仕組み﹂と紹介されることがあります。これはどういう意味でしょうか。まずはAppArmorの特徴となる﹁名前ベース︵もしくはパス名ベース︶﹂についてですが、これは﹁セキュリティ設定を対象となるファイルパスを元に設定する﹂ことを意味します。つまりファイルパスごとに、何を許可し何を許可し

enemyoffreedom 2024/06/08

リンク

GitHub - uBlockOrigin/uBOL-home: uBO Lite home (MV3)

enemyoffreedom 2024/06/07

そろそろManifest V2のブラウザ拡張が使えなくなりそうなので

リンク

パスワードはおしまい！　認証はパスキーでやろう

はじめにパスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ︵複雑で長い文字列、90日でパスワード変更など︶が要求される大きく問題をもった仕組みです。その根本的な解決策としてFIDO Allianceを中心に推進されている﹁パスワードレス﹂が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン

enemyoffreedom 2024/01/22

WebAuthnは仕組みが分散的でええやんと思ったが、利便性等のために結局クラウドに情報を置くPasskeyという形でGAFA等のビッグテックに集約・依存する体制に取り込まれていきそうなのがどうも

Security

リンク

パスキーとID連携の認証フローの共通点から見る認証技術の基本

ritouです。少し前にパスキーとID連携の関係を考えるときにこういう観点があるよという話をしずかな方に書きました。今回は、ログインに利用しようとした時のフローの中でここ似ているよね、こんな意図があるんだよっていう部分を取り上げます。認証フローの似ている点登場人物をUserAgent、RP、Authenticatorとして、あらゆるところを簡略化したシーケンスを用意しました。ID連携、いわゆるソーシャルログインでは次のようになります。登場人物をUserAgent、RP、IdPとするとこんな感じでしょう。もちろん細かいところは違うわけですが、全体の流れは似ています。 WebAuthnのchallenge, OIDCのnonce, state 先ほどのシーケンス、たまたま似ていると言うよりも、これは認証フローにおける基本の流れであると意識しておきましょう。パスキーやID連携の

enemyoffreedom 2024/01/04

Security

リンク

Firefox Monitor

Find out if your personal information has been compromisedStay safe with privacy tools from the makers of ⁨Firefox⁩ that protect you from hackers and companies that publish and sell your personal information. We’ll alert you of any known data breaches, find and remove your exposed info and continually watch for new exposures. Em ail addressCheck for breaches Why use ⁨Firefox Monitor⁩?Identifying an

enemyoffreedom 2023/11/06

同様のサービスは多々あるけど、下手に利用すると逆に活性なメアドを収集される恐れもありそうなのでMozillaに頼るのが良さそう

Security

リンク

【雑記】セキュリティガイドライン類約300時間読み漁ってみた - 2LoD.sec

23年3月末から勉強時間をガイドライン類の読み込み＆ブログ執筆にあてて7カ月が経ちました。特に良い区切りでもないのですが、ここらで一度振り返りたいと思います。なんで読み始めたの？どれだけ何を読んだの？色々読んでどうだった？ 1. 自分の発言に根拠と自信を持てる 2. 未経験の技術テーマでも取り扱いやすくなる 3.トレンドやビッグテーマが分かるおすすめのガイドライン類は？なんで読み始めたの？今更の自己紹介ですが、私は所属組織の中で3Line of Defenseにおける2nd Lineにおり、セキュリティの戦略立案、強化施策の推進、あるいは新しい技術を利用する際のルール作りを主に担っています。プログラム開発、サーバ、ネットワーク、クラウド、API、コンテナ、AI、様々な技術テーマがある中で、そのすべてにセキュリティは強く関わります。そして、セキュリティ担当は、現場から上記の

enemyoffreedom 2023/11/06

Security

リンク

Auth0にPassKeyが搭載されたぞ！！！

はじめに先日ふと Auth0 のダッシュボードを眺めていると、興味深い項目が表示されていました。 Passkey がある!!! なので、今回は Auth0 に搭載されたパスワードレス認証方式である Passkey の説明をしていきます。なお、Auth0 の設定方法についてはAuth0 からリリースされた記事を参考にして、記載しています。パスワード認証の課題 Passkey の説明をするまえに、パスワード認証の課題について見ていきます。認証方法として当然とされているパスワード認証ですが、以下の3つの課題を持っています。 ① パスワードの使い回し ② 推測されやすいパスワードの使用 ③ フィッシングアプリへのパスワード入力それぞれ見ていきましょう。 ① パスワードの使い回しログインが必要なアプリにはそれぞれ異なるパスワードを使用するというのは皆さんご存知だとは思います。とはい

enemyoffreedom 2023/11/06

リンク

第751回　イマドキのVPSでUbuntuをセキュアに保つ | gihyo.jp

今回はイマドキのVPSであるKAGOYA CLOUD VPSにUbuntuをセットアップし、セキュアに運用する方法を紹介します。とはいえ他のVPSサービスにもそのまま利用できます。 VPS放浪記筆者は諸般の事情でKAGOYA CLOUD VPSを借りることにしました。主に動作させるのはNextcloudサーバーです。一般的なVPSサービスのストレージ容量は︵プランにもよりますが︶100GB程度で、少なく感じていました。しかしKAGOYA CLOUD VPSは大容量プランと称して200GBや400GBのストレージが割安で使用できます。これはいいなと思って契約しました。筆者が使用したことのあるVPSサービスはこれで3社目ですが、いずれもOSテンプレートとして最新のUbuntu LTS︵今だと22.04 LTS︶が用意されています。Ubuntu使いとしてはこれを選択するわけですが、3社とも

enemyoffreedom 2023/09/14

リンク

第778回　Nextcloud Passwordsでログイン情報の記憶をアウトソーシング | gihyo.jp

今回はWebサイトのログイン情報をNextcloudに記憶させる方法を紹介します。ログイン情報は覚えない先日、とあるSNSが個人情報を流出させるという事件がありました。それ自体は大変残念なことにしばしば起こっていることですが、個人情報に含まれるパスワードのうち約半数が平文で保存されていたとのことです。通常パスワードは何らかの方法でハッシュ化されて保存するのがセオリーのはずですが、ユーザーとしてはパスワードの保存方法なんて知る余地がありません。流出した個人情報が販売されたという事実もあるようで、購入した人は当然倫理観なんてあるわけがないのでログインユーザー名とパスワードで他のサービスへのログインを試みるわけです。ログインに成功してクレジットカードの情報が登録されていたりすると、それはもう酷いことになることが容易に予想できます。このことからわかることは、パスワードは使い回されることが多

enemyoffreedom 2023/09/14

Security

リンク

GitHub - 99designs/aws-vault: A vault for securely storing and accessing AWS credentials in development environments

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

enemyoffreedom 2023/08/17

AWS
Security

リンク

NISCと気象庁が使用していたメール関連機器へのサイバー攻撃についてまとめてみた - piyolog

2023年8月4日、内閣サイバーセキュリティセンター(NISC)と気象庁はそれぞれ電子メール関連のシステム・機器から不正通信の痕跡が確認され、メールデータの一部が外部に流出した可能性があると公表しました。ここでは関連する情報をまとめます。政府組織に対しゼロデイ攻撃 NISCと気象庁及び気象研究所、国立科学博物館、教職員支援機構が各々運用を行っていた電子メール関連システム・機器に脆弱性が存在しており、その脆弱性に関連した不正通信が確認された。今回確認された不正通信により、メールデータの一部が外部に流出した可能性がある。両組織ではメールアドレス等の個人情報が漏えいした可能性を排除できないとして個人情報保護委員会に報告した他、対象者にも個別に連絡を行う。公表時点では流出可能性のある情報の悪用は確認されていないが、NISCでは約5,000件の個人情報が対象に含まれており、流出可能性のある事案が

enemyoffreedom 2023/08/08

「さらに特定のユーザー、組織を標的にする収集活動として、ASEAN外務省（MFA）、台湾および香港の外国貿易事務所、学術研究機関のメールドメインやユーザーを標的としたシェルスクリプトが確認されている」うーん露骨

Security

リンク

Dockerはなぜサイバー攻撃者に狙われやすいのか？

Check Point Software Techno logiesはこのほど、「Docker Images: Why are Many Cyber Attacks Originating Here? - Check Point Blog」において、Dockerイメージの危険性について伝えた。Dockerイメージには構築と使用に特有の脆弱性があることから、攻撃者の格好の標的となってしまっている。同社は既知の脆弱性を含む基礎コンポーネントの使用、クラウド環境の動的な性質、簡単な配布方法によって、セキュリティインシデントが引き起こされていると指摘している。 Docker Images: Why are Many Cyber Attacks Originating Here? - Check Point Blog Dockerイメージは攻撃者にとって好ましいターゲットの一つとなっている。一般的にさ

enemyoffreedom 2023/07/27

リンク

JSON Web Token - Wikipedia

JSON Web Token（ジェイソン・ウェブ・トークン）は、JSONデータに署名や暗号化を施す方法を定めたオープン標準 (RFC 7519) である。略称はJWT。概要[編集] JWTでは、トークン内に任意の情報（クレーム）を保持することが可能であり、例えばサーバはクライアントに対して「管理者としてログイン済」という情報を含んだトークンを生成することができる。クライアントはそのトークンを、自身が管理者としてログイン済であることの証明に使用することができる。トークンは当事者の一方（通常はサーバ）または両方（もう一方は公開鍵を提供する）の秘密鍵により署名されており、発行されたトークンが正規のものか確認することができる。 JWTのトークンはコンパクトな設計となっており[1]、またURLセーフであり[2]、特にウェブブラウザでシングルサインオン (SSO) を行う場合に使いやすくなっている。

enemyoffreedom 2023/07/12

リンク

河野大臣　マイナカード「番号知られても悪用されることはありません」　ＩＣには名前住所・生年月日・性別・顔写真だけと（デイリースポーツ） - Yahoo!ニュース

河野太郎デジタル相が30日、フジテレビ﹁めざまし8﹂に生出演。トラブル続発や使用に不安の声があがっているマイナンバーカードについて、理解を求めた。︻写真︼超大物タレント﹁本日マイナカード返納しました﹂河野大臣は﹁誤解があって、ＩＣチップに医療情報とか税金の情報が入っていて怖いという方がいらっしゃるんですが﹂としたうえで、﹁ＩＣチップに入っているのは、名前と住所、生年月日と性別、それとご自身の顔写真だけ﹂と語った。医療情報などが漏洩することは﹁ありません﹂とした。またマイナンバーを他人に伝える、知られる不安については﹁必要ない方には伝えない、必要ないときには聞かないのがルールだが、ナンバーそのものが他人に知られたからと言って、それで悪用されることはありません﹂と述べた。﹁銀行の口座番号と同じで番号を知られたからと言って別にお金が抜き取られるわけではありません﹂とした。﹁銀行のキャ

enemyoffreedom 2023/07/01

いわゆる個人情報を一つ二つ抜かれたところで直ちに問題が発生するとは限らないが、集積されると搦め手も色々あるからなぁ。河野氏ほど個人情報の扱いにオープン・楽観的にはなれそうにない

Security

リンク

WebサイトのログインにPasskeyを追加できる新サービス「Passwordless.dev」、Bitwardenが正式公開。月間1万ユーザーまで無料

オープンソースのパスワードマネージャ「Bitwarden」などを提供しているBitwarden,Inc.は、Webサイトのログイン機能にPasskeyを簡単に追加できる新サービス「Passwordless.dev」の正式公開を発表しました。 WebサイトをPasskey対応にすることで、ユーザーはパスワードを覚えておく必要がなくなると同時に、指紋認証などの手軽な手段でWebサイトにログイン可能になります。さらに、サーバ側でのパスワード流出や、ユーザー側での偽サイトに誘導されるフィッシングなどのリスクがほとんどなくなるというセキュリティ面での大きなメリットもあります。一方で、WebサイトをPasskey対応にするには、ログインに関わる認証のロジックを従来のIDとパスワードの組み合わせに加えて、Passkey対応を追加しなければなりません。今回正式公開されたPasswordless.dev

enemyoffreedom 2023/06/28

Security
Web

リンク

はてなブックマーク

タグ

関連タグで絞り込む (129)

Securityに関するenemyoffreedomのブックマーク (534)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第3週）

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス