[B! security] ohbaryeのブックマーク

令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io

Intro CSRF という古の攻撃がある。この攻撃を﹁古(いにしえ)﹂のものにすることができたプラットフォームの進化の背景を、﹁Cookie が SameSite Lax by Default になったからだ﹂という解説を見ることがある。確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。今回は、﹁CSRF がどうして成立していたのか﹂を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。結果として見えてくるのは、今サービスを実装する上での﹁ベース﹂(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件例えば、攻撃者が用意した attack.examp

ohbarye 2024/04/29

リンク

セキュリティエンジニアを3年続けて分かったおすすめ勉強法

セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。セキュリティエンジニアとは﹁セキュリティエンジニア﹂という言葉は範囲が広いですが、私が今回記載する内容は脆弱性診断やペネトレーションテストに寄った内容となっています。インシデント対応やアナリスト業務などは専門ではないので、あくまで診断系の人が書いているということをご認識おきください。そもそもセキュリティエンジニアにどのような職種が含まれるかはラックさんが分かりやすい資料を出しているのでそちらをご覧ください(サイバーセキュリティ仕事ファイル1、サイバーセキュリティ仕事ファイル2)。 IT初心者時代セキュリティを学ぶ以前に基礎となるITを学ぶ時代を考えます。学校教育学生の場

ohbarye 2024/01/06

リンク

PCI DSSバージョン4.0について - ROBOT PAYMENT TECH-BLOG

こんにちは、開発統括室ペイメントシステム課マネージャーの戸田です。前回、決済システムの開発・構築・運用に深く関わるPCI DSSについて紹介いたしましたが、このPCI DSSはバージョンによって要件が多少異なっております。現在弊社はバージョン3.2.1に準拠しておりますが、PCI DSS自体は2022年3月にバージョン4.0にメジャーバージョンアップされました。今回はバージョン4.0リリースの影響と我々の取り組みについて少しご紹介したいと思います。バージョン3.2.1とバージョン4.0について主な変更点機密認証データの扱い暗号化フィッシング攻撃への対策公開用WebアプリケーションへのWAF導入決済ページスクリプトの管理パスワード関連カード会員データ環境へのアクセスのMFA実装監査ログレビュー内部脆弱性スキャンリスク分析バージョン4.0に向けた取り組みバー

ohbarye 2022/12/31

リンク

パスワードレス技術の現状と未来について | フューチャー技術ブログ

はじめにこんにちは。TIG の吉岡です。秋のブログ週間10本目の投稿です。 2022年の5月に Apple, Google, Microsoft そして FIDO Alliance がマルチデバイス対応FIDO認証資格情報を発表してから、パスワードレス技術に対する注目が高まっています。1パスワードレスの概要について調査してまとめてみました。目次私たちとパスワードパスワードの抱える問題パスワードマネージャ公開鍵暗号の活用パスワードレスと FIDO Alliance FIDO v1.0 FIDO2 FIDO の認証フロー Passkeys パスワードレスな未来私たちとパスワード今日、私たちのデジタルアイデンティティはパスワードに支えられています。私たちは日々 Google で検索し、Netflix を観て、Twitter でつぶやき、Amazon で買い物をしますが

ohbarye 2022/11/18

“FIDO, WebAuthn, passkeys ですが、強力なプラットフォーマーが協力して推進していくことから、今後採用が進んでいく” "1Password や Dashlane のようなパスワードマネージャも認証器機能を提供する予定"

security
web

リンク

Balance Security and Usability in the Field of 3D Secure

Kaigi on Rails 2022 "Balance Security and Usability in the Field of 3D Secure" https://kaigionrails.org/2022/talks/ohbarye/ セキュリティとユーザーの利便性をいかに両立させるか、という観点で3Dセキュアの歴史やプロトコルを見ていくセッションです。B/43の開発・運用の裏側も一部紹介しています。

ohbarye 2022/10/21

リンク

Google、パスワードレスを実現する「Passkey」の開発者向けサポート開始。Androidデバイス間の同期、Androidを使ってWin/MacでのWebサイトへのログインなど実現

Google、パスワードレスを実現する「Passkey」の開発者向けサポート開始。Androidデバイス間の同期、Androidを使ってWin/MacでのWebサイトへのログインなど実現 Googleは、パスワードレスを実現する「Passkey」のAndroidとChromeでの開発者向けのサポートを開始したと発表しました。 Google is bringing passkey support to Android and Chrome! Users can now create and use passkeys on Android devices. Passkeys are a significantly safer replacement for passwords and other phishable authentication factors Try passkey supp

ohbarye 2022/10/17

リンク

MongoDB、暗号化したままのデータベースを検索﹁Queryable Encryption﹂発表。データ格納時、メモリ上、データ転送、ログ、バックアップのすべてが暗号化データのまま

● 56 users ● www.publickey1.jp ●テクノロジー

Mongo DB、暗号化したままのデータベースを検索﹁Queryable Encryption﹂発表。データ格納時、メモリ上、データ転送、ログ、バックアップのすべてが暗号化データのまま Mongo DBは、6月7日から9日にかけて米ニューヨークで開催されたイベント﹁Mongo DB World 2022﹂で、データを暗号化したまま検索できるMongo DBの新機能﹁Queryable Encryption﹂を発表しました。現代の主要なデータベースであれば、データベース内にデータを暗号化して格納する機能を備えていますが、データ格納時に暗号化して格納し︵Encryption at Rest︶、検索時にはメモリ上でデータを復号して操作する実装が一般的です。今回のMongo DBが実装を発表したQueryable Encryptionは、データ格納時に暗号化するだけでなく、復号することなく暗号化したまま

ohbarye 2022/06/16

準同型暗号ではなくstructural encryption (構造化暗号?)と呼ばれる技術とのこと https://news.ycombinator.com/item?id=31653710

リンク

Wizard Bible事件・Coinhive事件・アラートループ事件を扱った本がリリースされました - はてな村定点観測所

本日、PEAKS出版﹃Wizard Bible事件から考えるサイバーセキュリティ﹄の電子書籍版がリリースされました。著者は私と、Wizard Bible事件の当事者であるIPUSIRONさんです。 Wizard Bible事件を中心にCoinhive事件やアラートループ事件も扱った本です。一連の事件を扱った一般本としては国内初になると思います︵法学雑誌・紀要を除く︶。一連の事件の取材・寄稿協力本書は複数の関係者の取材・寄稿をオムニバス形式で掲載しています。以下の方々から取材や寄稿のご協力を頂いています。 IPUSIRONさん︵Wizard Bible事件当事者︶ Lyc0risさん︵Wizard Bible事件関係者︶金床さん︵Wizard Bible投稿者︶元Coinhiveユーザーさん︵Coinhive事件当事者︶モロさん︵Coinhive事件当事者︶平野敬さん︵Coinh

ohbarye 2021/10/26

支援

リンク

Build and Learn Rails Authentication

@ Kaigi on Rails 2021, 2021/10/22

ohbarye 2021/10/23

リンク

踏み台EC2を廃止してSession Manager接続に置き換えました

こんにちは、エウレカ SRE チームの原田です。今年 (2021年) エウレカでは、公開鍵認証で接続するEC2の踏み台サーバを廃止し、代わりに各サーバへの接続をIAMで認証できるSSM Session Managerへのリプレースを行いました。本記事ではそのモチベーションや、実装のポイントを紹介していきたいと思います。旧来の踏み台サーバ旧来の踏み台サーバエウレカで長く運用されていた踏み台サーバ (Gateway) は以下のようなものでした。各開発者は、自分の秘密鍵を使って踏み台サーバへSSHを行う ( 踏み台サーバ上には各開発者の個別ユーザーおよび公開鍵が登録されている )踏み台上では、接続が許可されているSSH対象のサーバの秘密鍵がユーザー毎に配置されており、その鍵で各サーバにSSHするMySQL / Elasticsearch / Redis など、Private Subnet

ohbarye 2021/09/17

リンク

マイナンバーカードと電子署名の本(無料配布) - cuspy diary

2018年開催の技術書展5で配布した﹁マイナンバーカードと電子署名の本﹂を無料配布します。マイナンバーカードと電子署名の本(PDF)たまにSNSなどで再販しれくれないかと要望が来ていたのだけど、BOOTHなどの販売ページを用意するのが面倒で放置していました。そのたびに無料公開しようかなと考えていましたが、それは購入してくれた人に対して不義理になるのではと考えてるうちに3年が経ち、さすがにもう良かろうと思うので無料配布します。古い内容があるかもしれないのでその点ご注意ください。そういえば最近Markdownが話題ですが、この本もMarkdownで書いて組版しています。誤りなどありましたら、原稿レポジトリでissue報告をお願いします。 https://github.com/hamano/myna-book どうしてもお金を払って読みたいという人はGithub sponsorで支払いで

ohbarye 2021/09/07

security

リンク

スタートアップにおけるマルチアカウントの考え方と AWS Control Tower のすゝめ | Amazon Web Services

AWS Startup ブログスタートアップにおけるマルチアカウントの考え方と AWS Control Tower のすゝめこんにちは、スタートアップソリューションアーキテクトの松田 (@mats16k) です。今回のテーマはマルチアカウント（複数の AWS アカウントの利用）です。近年セキュリティやガバナンスの強化を目的にマルチアカウント構成で AWS を利用されているお客様が多くいらっしゃいます。また、AWS もマルチアカウントでの運用を推奨しており、関連する多くのサービスや機能がリリースされています。一方で、マルチアカウントに関する作業や知見はプロダクトの価値向上に対して直接的な影響を与えることが少なく、結果として対応や検討が後回しになっているスタートアップも多いのではないでしょうか。今回は特にシード・アーリーステージのスタートアップ向けに、マルチアカウントに対する考え方と

ohbarye 2021/09/01

リンク

Swiping left on magnetic stripes

Trust Swiping left on magnetic stripes August 12, 2021 | By Vicki Hyman In the early age of modern credit cards, they had to write down account information for each card-carrying customer by hand. Later, they used flatbed imprinting machines to record the card information on carbon paper packets, the sound of the swiping of the handle earning them the name, zip-zap machines. (They were also dubbed

ohbarye 2021/08/17

リンク

「Codecov」への第三者からの不正アクセスによる当社への影響および一部顧客情報等の流出について

（2022年9月26日追記）本件に関する、セルフチェックページとお問合せ窓口の提供を終了いたしました。この度は、お客さまをはじめ多くの関係者の皆様に多大なるご迷惑とご心配をおかけしましたことを、深くお詫び申し上げます。株式会社メルカリは、当社が利用している外部のコードカバレッジツール※「Codecov」に対する第三者からの不正アクセスにより、当社のソースコードの一部および一部顧客情報（フリマアプリ「メルカリ」で2013年8月5日〜2014年1月20日に実行された売上金の顧客口座への振込みに関連した情報17,085件、2015年11月〜2018年1月の間におけるカスタマーサービス対応に関連した情報217件、2013年5月に実施したイベントに関連した情報6件、「メルカリ」および「メルペイ」の一部取引先等に関する情報7,966件、当社子会社を含む一部従業員に関する情報2,615件）が外部流

ohbarye 2021/05/22

リンク

カスタムURLスキームの乗っ取りとその対策

カスタムURLスキームの乗っ取りとその対策 May 17, 2021 カスタムURLスキームは、モバイルアプリ内のコンテンツへ直接誘導するディープリンクに広く利用されている¹。そのような中で、2020年3月にLINEはカスタムURLスキーム line:// の使用を非推奨とした²。非推奨の理由をLINEは﹁乗っ取り攻撃が可能なため﹂と説明し、代わりにHTTP URLスキームによるリンクを推奨している。この変更に対して私は、なぜHTTP URLスキームによるリンクだと乗っ取り攻撃を防げるのか疑問を抱いた。この疑問に答えるためにLINEアプリの乗っ取りを試み、対策の有効性を確認した。要約 HTTP URLスキームによるディープリンクは対象のアプリを一意に特定できるため、不正アプリによるリンクの乗っ取りが発生しない。カスタムURLスキームでは複数のアプリが同じスキームを宣言できるため、モバイル

ohbarye 2021/05/20

リンク

元社員による松井証券の不正出金でSCSKが会見、PLの立場悪用した手口が明らかに

SCSKは松井証券の証券取引システムの開発・運用を受託しており、元社員はプロジェクトリーダー︵PL︶を担当していた。同システムの本番環境と開発環境の両方にアクセスできる権限を持っていた元社員は、本番環境で顧客情報を含むバックアップファイルを作成して開発用システムに転送。開発用システムで210人分の顧客情報を抽出して私用のメールアドレスに転送することで、IDやパスワード、取引暗証番号など取引に必要な情報を不正に入手した。この情報を基に元社員は証券口座にログインして株式を売却。さらに偽造した本人確認書類で松井証券の顧客と同姓同名の銀行口座を開設し、株式の売却代金や預かり金を計15回送金した。

ohbarye 2021/03/26

“偽造した本人確認書類で顧客と同姓同名の銀行口座を開設” システム側の手口は理解したけど、書類偽造と審査突破のほうが難しそう。本人確認がぬるい銀行があってそこを狙い撃ちしたりしたのかな。

リンク

マイナンバーカードとJPKIで本人確認の仕組みは普及するか【鈴木淳也のPay Attention】

ohbarye 2021/03/20

リンク

Dockerfileのベストプラクティス Top 20

本文の内容は、2021年3月9日にÁlvaro Iradierが投稿したブログ(https://sysdig.com/blog/dockerfile-best-practices/)を元に日本語に翻訳・再構成した内容となっております。 Dockerfileのベストプラクティスのクイックセットをイメージビルドに適用することで、セキュリティ問題を防ぎ、コンテナ化されたアプリケーションを最適化する方法を学びます。コンテナ化されたアプリケーションやマイクロサービスに精通している人なら、自分のサービスがマイクロサービスであることに気づいているかもしれません。しかし、脆弱性の検出、セキュリティ問題の調査、デプロイ後の報告や修正など、管理のオーバーヘッドがマクロな問題になっています。このオーバーヘッドの多くは、セキュリティをシフトレフトし、開発ワークフローの中で可能な限り早く潜在的な問題に取り組むこ

ohbarye 2021/03/14

リンク

SMS OTPの自動入力によるリスクとその対策

フィッシングサイトへの自動入力のリスク SMS OTPとWebサイトが紐付かない状態では、正規のSMS OTPがフィッシングサイトへ自動入力されるリスクが生じる。現実的なリスクとして、GutmannらはMITMと組み合わせた﹁ログインにおける2要素認証の回避﹂と﹁ソーシャルログインの偽装による電話番号確認の回避﹂、﹁オンライン決済における取引認証の回避﹂の3つのシナリオを示している⁷。2要素認証の回避につながるリスクは、iOSの自動入力がPayPayの偽サイトで発動した前回の検証で確認している。今回の検証ではAndroidの自動入力がPayPalの偽サイトで発動するか確認する。2要素認証の回避 PayPalの偽サイトは前回と同様にMITMフィッシングフレームワーク﹁Evilginx2﹂で複製し、一般利用者が誤ってアクセスしないようインバウンド接続を制御した。Android11のChro

ohbarye 2021/02/09

リンク

パスワードレスな認証方式やアカウントリカバリーについての振り返り2020

ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 19日目の投稿です。急に穴が空いたのでアカウントリカバリーとかの話でリカバリーしましょう。今年は認証やら本人確認などが騒がしい年でありました。大きな問題の話はおいといて、自分のブログ記事に書いたぐらいの話を用いて振り返ります。 1. 一般的なパスワード認証 - パスワード = メール/SMSを用いたパスワードレス認証? bosyuがTwitter/Facebookのソーシャルログインに加え、メールでリンクや認証コード的な文字列を送信、それを検証することでログイン状態とするパスワードレスな認証機能を実装されていました。 bosyuが実装したメールアドレスでの登録/ログイン機能とは!? - r-weblife (追記: ころちゃん氏が関連する記事を書いてました。パスワ

ohbarye 2020/12/24

リンク

はてなブックマーク

タグ

関連タグで絞り込む (98)

securityに関するohbaryeのブックマーク (82)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第3週）

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス