はじめに はじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってください。 前提 発端はWeb上でテキストの文字数をカウントできるサイトが閉鎖する際の話です。カウント対象のテキストデータがサイト運営 (やサイトを改竄した攻撃者) に盗み取られていないかという議論が巻き起こっていました。「盗み取られていない」側の主張は、ブラウザの開発者ツールのネットワークタブにリクエストを送信した形跡がないというものでした。ここで ブラウザの開発者ツールのネットワークタブに表示がなければ外部へデータを送信していないのか？ といった疑問が

Published 2024/07/14 21:08 (JST) Updated 2024/07/14 21:25 (JST) 政府はサイバー攻撃に先手を打って被害を未然に防ぐ「能動的サイバー防御」を巡り、インターネットの住所に当たるIPアドレスや通信量の変化などの付随的な「メタ情報」について、政府機関による監視を平時から可能とする方向で検討に入った。プライバシーに配慮し、メールの件名や本文のようなデータ本体は原則、収集の対象外とする。複数の政府関係者が14日明らかにした。 ネット空間の監視強化には憲法21条が規定する「通信の秘密」を侵害するとの懸念がある。攻撃元検知を目的に、直接的に個人が特定されないメタ情報限定で収集するならば、正当な行為として許容されると判断した。 関係者によると、国内の通信事業者が保有するメタ情報を政府が取得する仕組みの構築を検討。情報の収集、管理は内閣サイバーセキ

WEB広告のマーケターの仕事をしているんだけど、AIイラストの誕生以来仕事の効率化が進んで本当に助かっている イラストにこだわらないといけないジャンルは知らないけど、「広告のアイキャッチとしてちょうどいいイラストが欲しいなぁ」ってくらいのときに人間の絵師に発注するって考えはほとんど湧かなくなってきている だって人間の絵師ってクソめんどくさいから 数年前はちょっとしたアニメ系のイラストが欲しいときには全部人間の絵師に発注しないといけなかった その経験から断言するけど、マジで絵師はめんどくさい 社会性の欠片もないやつばっかりで本っっっっ当にうんざりするよ こちらとしてはとにかく料金システムが明瞭で社会的な常識を持っていてやり取りがスムーズで後からギャーギャー喚かない人に依頼したいだけ でも、こんな社会人として当たり前の簡単な条件すら達成できない奴が蔓延ってるのが絵師界隈なんだよね 俺が経験した

健康管理アプリ「あすけん」を手掛けるaskenは7月8日、小中学生向けにあすけんの無料アカウントを発行すると発表した。夏休み期間限定の施策で「自由研究や、親子で取り組む食育に役立ててもらうことで、栄養や健康に関する意識の向上や食生活の改善のサポートができれば」（同社） あすけんは、食べた料理などの情報を入力することで、摂取したカロリーや栄養量を可視化できるスマートフォンアプリ。通常の個人向けサービスは15歳以上向けだが、普段は法人向けに提供している低年齢版のアカウントを期間限定で発行する。低年齢版では必要な栄養量などを調整している他、広告配信など一部機能を無効化しているという。 無料版の利用申し込みは8日から17日にかけての第1回と、27日から8月4日にかけての第2回に分け、あすけんアプリ内で受け付ける。いずれの場合でも、受け取ったアカウントは9月30日まで利用できる。 関連記事 体組成計

もう行く前から小池百合子が300万ぐらい得票を得て勝利するってわかりきってるじゃん それなのになんで投票に行く意味があるの？ 俺はリベラルだけど、俺が選挙に行って蓮舫に投票したって小池百合子が勝利することはもうわかってるじゃん 投票の比率に合わせて蓮舫の政策が取り入れられるとかなら行く意味もあるけど、小池勝利で100%小池の政策で今後進むんでしょ？ 小池300万、蓮舫70万、田母神と石丸がそれぞれ20万ぐらいかねぇ 現職が有利って言うけど、そうじゃねえんだよ 選挙期間だけ頑張ってるやつが勝てるわけがないって話なんだよ だいたい選挙、選挙ってうるさいやつって国民の政治参加を選挙だけに矮小化しようとしている亡国の民なんだよ 政治参加の仕方は選挙だけじゃねえし、選挙行くよりもロビー活動したほうがマシだよ 選挙だけ頑張ってる奴らに日本を良くする力なんてねえんだよ 選挙行くよりも増田で「日本死ね」っ

Canonicalが「Everything LTS」発表。あらゆるオープンソースを用いたDockerイメージに12年間の長期サポートを提供 Canonicalは、たとえUbuntuのディストリビューションに含まれていないオープンソースであっても、あらゆるオープンソースを用いたDockerイメージに12年間セキュリティパッチなどを提供する長期サポート「Everything LTS」を発表しました。 重要な脆弱性に対しては24時間以内にセキュリティパッチを提供するとしています。 Cannonical offers a 12 year LTS for any open source Docker image! We will build distroless Docker images to customer specifications that include upstream compon

総務省が6月25日に発表した、ふるさと納税仲介サイトでのポイント付与禁止に対し、楽天グループの三木谷浩史氏（代表取締役会長兼社長最高執行役員）は、「意味が不明だ」と禁止に反対する旨を表明。楽天内に立ち上げた署名サイトで、禁止に反対する署名を呼びかけている。 ふるさと納税でのポイント付与について、総務省は地方自治体がポータルサイト事業者に支払うコストを問題視。松本総務相は「ふるさと納税は、返礼品目当てではなく寄付金の使い道や目的に着目して行われることが意義あることと考えている」と会見で述べている。 これに対し三木谷氏は「プラットホームが負担しているポイントも禁止とか、意味が不明だ。小さな自治体が自助努力で財源を確保しようとして、一般の方が楽しみにしている、創意工夫、地方に恩返しという思いをぶっ潰そうとしている。断固反対する。傲慢すぎる」と、怒りをあらわにした内容をX（旧Twitter）に投稿