[B! security] shidhoのブックマーク

能登半島地震の避難所に“Suica”配布　マイナカード活用は断念　河野大臣「リーダー確保できず」

デジタル庁は1月26日、令和6年能登半島地震の避難者情報の把握のため、Suicaを利用すると発表した。避難者にSuicaを配布し、名前や住所、連絡先などの情報をひも付けすることで、その居場所や行動を把握する仕組み。能登半島地震の被災者たちは現在、1次避難所から2次避難所やそれ以外の場所などに移動する機会が増えており、その居場所や各避難所の利用状況の把握が難しくなっている。この課題を解決するためデジタル庁と防災DX官民共創協議会は、JR東日本に協力を要請。JR東日本はSuicaカード約1万8000枚とリーダー約350台の無償提供を決めたという。実施めどについて、河野太郎デジタル大臣は26日の記者会見で﹁来週中にカードの配布と利用を始めたい﹂と説明。約310カ所の1次避難所にいる約1万人の避難者への配布を想定している。河野大臣は以前﹁今後は災害の際にもマイナンバーカードを避難所で活用でき

shidho 2024/01/26

保険証のマイナ対応、救急部分は救急車搭載で頑張るみたいだけど(現在一部地域で対応開始)、それ秋までに全国に配備できるのかしら。

security

リンク

【特集】公衆無線LANではVPNを使ったほうが安全？知っておきたいVPNの仕組み

shidho 2023/05/29

ソフトによってはVPN繋いでてもそこ経由での通信をしない場合があったりしてジオブロック回避もなかなか難しいんだよな。

リンク

ICクレジットカード取引におけるPINバイパス廃止に関するご案内｜クレジットカードなら三菱UFJニコス

2023年4月28日三菱UFJニコス株式会社 JCA（日本クレジット協会）にて公表されている「クレジットカード・セキュリティガイドライン（以下ガイドライン」）」に記載があるとおり、PINバイパス（暗証番号入力をスキップし、サインにて本人認証を行う取引）は2025年3月をもって原則廃止となります。弊社は安全なクレジットカード取引をご提供するため、ガイドラインに記載のとおり、既存のICクレジット決済端末を、2025年3月までにPINバイパスを許容しない設定へと順次変更を行っていく予定ですので、何卒ご理解賜りますようお願い申しあげます。なお、レストランにおけるテーブル決済等、お客様にご移動いただく事が難しいお取引先様におかれましては、持ち運びが可能なモバイル端末への置換えをご案内いたしますので、弊社営業担当者、または下記の加盟店デスクへご連絡下さいますようお願いいたします。電話でのお問い合

shidho 2023/04/30

平文で置かれてはいないけど、クレジットカードの暗証番号はカード内にハードコーディングされてるので変更が難しい。取扱いに注意してね。

security

リンク

Cache Storage がめちゃくちゃ肥大化する問題について調べる | ぴんくいろにっき

Cache Storageがめちゃくちゃ肥大化する問題 TBSのニュースサイト、TBS NEWS DIGがめちゃくちゃブラウザのストレージを消費しているという話がはてブや増田で話題になっています。 TBSのニュースサイトヤバない？ – はてな匿名ダイアリー同・はてなブックマーク確かに、手元でも同様の状況を観測できる。当該サイトのストレージ使用状況はたして、これは真実なのだろうか。本当に1.4GBも食うことがあるのだろうか…… そんなわけない、ということで調査まずは再現性を確認するためにChromeのゲストモードで当該のサイトのDevtoolを開いてましょう。すると、StorageのUsageは386MBになっていました。︵適当なページを開き、リロードした時点で340MB程度であった︶当該サイトのストレージ割合上記のスクリーンショットをよく見ていただけるとわかると思いますが、こ

shidho 2023/04/27

わかっててついてるなら嘘つきだな。

リンク

Pixel 6/7採用のSamsung製モデムに脆弱性。対策までLTE/Wi-Fi通話オフを推奨

shidho 2023/03/17

こないだ「アップデートがあるので再起動してください」って言われたのはこれのせいか。

リンク

やはりお前らの「公開鍵暗号」はまちがっている。

※タイトルの元ネタは以下の作品です。はじめにこの記事は、公開鍵暗号の全体感を正しく理解するためのものです。数学的な部分や具体的なアルゴリズムは説明しません。気になる方は最後に紹介するオススメ書籍をご覧ください。少し長いですが、図が多いだけで文字数はそこまで多くありません。また、専門的な言葉はなるべく使わないようにしています。ただしSSHやTLSといった通信プロトコルの名称が登場します。知らない方は、通信内容の暗号化や通信相手の認証︵本人確認︶をするためのプロトコルだと理解して読み進めてください。公開鍵暗号の前に‥暗号技術とは公開鍵暗号は暗号技術の一部です。暗号と聞くと、以下のようなものを想像するかもしれません。これは情報の機密性を守るための﹁暗号化﹂という技術ですが、実は﹁暗号技術﹂と言った場合にはもっと広い意味を持ちます。まずはこれを受けて入れてください。念のため補足して

shidho 2023/03/07

25年前のブルーバックスの暗号関係本でも「公開鍵暗号は計算の負荷が高いから、本文は別の方式で暗号化して、その鍵をやりとりするために使うよ」って書かれてたな。どのくらい遡ると本文の暗号化になるのかな?

リンク

noteの独自ドメインセッションの脆弱性について報告した件

note_vuln.md noteの独自ドメインセッションの脆弱性について報告した件文責: mala 前置き note.com (以下note) に2020年に報告した脆弱性(現在は修正済み)を解説する個人の活動として行っており所属組織とは関係がない自分がnote社に対して、問題があると指摘していたのは主に広報対応についてですが、この記事は技術的な知見を共有することを目的とするため、技術的な解説を中心にします。公開にあたってはnote社に対して確認の上で行っています。note社による修正対応は2021年までに実施されていますが、その修正内容が適切であるかどうかについて保証するものではありません。(網羅的な確認や追加の検証をしていません) note社のサービスに他の脆弱性が無いことを保証するものではありません。経緯 2020年9月30日に公開されたnote社の記事で https:/

shidho 2022/12/23

面倒くさい話なのに、わかりやすい。

リンク

なぜ我々はsession.cookieを変更しなければならなかったのか - BASEプロダクトチームブログ

はじめにこんにちは。バックエンドエンジニアの小笠原です。今回は、2022年2月18日から2022年3月4日にかけて発生していたこちらの障害に対し私達開発チームが実施した、session.cookieで定義しているCookieのkey名を変更するという影響範囲の大きい対応について、実施に至るまでの経緯や対応過程についてご紹介したいと思います。ショップオーナー向けに掲載していたお知らせの内容背景全ては iOS14.5から端末識別子の取得に同意が必要になったことから始まったことの発端は、iOS14.5以降からIDFA︵端末ごとに持つ固有識別子︶の取得に端末所有者の許可が必要になったことでした。この変更は、端末所有者側から見ると情報の活用範囲を自身で管理できることでよりプライバシーに配慮されるようになった良い変更と言えるでしょう。一方で、広告出稿側から見た場合は拒否をしたユーザーの

shidho 2022/04/13

頑張ったけど、なんか営業ドリブンでえいやっと簡単に決められた話に振り回されているように見えるのは気のせいだと思いたい。

リンク

隠しカメラを見つける方法

指向性マイクや隠しカメラなどの監視装置は、普通の人にとってはスパイ映画に出てくる小道具ですが、現実の世界にも普通にあります。アパートの一室、高級ホテルの客室、オフィスの中やスポーツジムなどに仕掛けられていることがありますし、もしかすると自宅に仕掛けられているかもしれません。今回は、そうした監視装置を見つける方法を探っていくことにしましょう。小さなスパイたちミニサイズのカメラは、それほど高価ではありません︵本記事執筆時点では約4,000円〜︶。また、普通のWi-Fiに接続してクラウドなどにデータを送信する機能を持っています。ということは、誰でもスパイごっこができるということです。そんなことをする人の動機は何なのでしょうか？例えば、賃貸アパートの大家が、盗難や器物破損に備えて設置する場合が考えられます。相手の行動を疑う配偶者や、どんな手を使ってでもライバルを蹴落としたい人にも、そうする理

shidho 2022/01/14

「AirBnBの規約では隠しカメラの設置を明示的に禁止しています」だから、サイト上はどの物件も隠しカメラはない前提なわけで、それでも10%以上発見されているというね。

リンク

Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog

2021年12月10日、Javaベースのログ出力ライブラリ﹁Apache Log4j﹂の2.x系バージョン︵以降はLog4j2と記載︶で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。1．何が起きたの？ Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性︵CVE-2021-44228︶を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software

shidho 2021/12/17

リンク

会社で外部者を自称する人が「床に落ちていた」とUSBを手渡してきた→人事に報告したらスパイ映画のような事実が判明した

Nori🍹 @NoriSecurity 昨日会社に不審な人物が入ってきたので名前と所属を聞くと、外部の人でCISO(自宅勤務のはず)と面談を終えて帰る所だと言う。更に「床にUSBドライブが落ちてました」と手渡してきた。あまりに怪しいので人事に報告し追跡したら、外部委託のオンサイトペンテスターだったそうだ。初めてリアル体験した😀 2021-12-08 05:41:38

shidho 2021/12/09

俺が人事なら、その後1週間くらいはオンサイトペンテスターで検索してSNS投稿されてないかチェックするところまでをテストにするけどな。

リンク

総当たり攻撃時のパスワード最大解読時間の表(by 上野宣)について分析した - Qiita

昨日、上野宣（@sen_u）さんがパスワードの総当りに要する時間の表をツイートされ、話題になっています。総当たり攻撃時のパスワード最大解読時間の表を日本語化した。https://t.co/cVSNUZkAKv pic.twitter.com/rtS8ixwOqi — Sen UENO (@sen_u) August 17, 2021 1万件を超えるリツイートがありますね。大変よく読まれているようです。しかし、この表は何を計測したものでしょうか。上野さんにうかがってもわからないようでした。何ですかね？パスワード空間が大きくなると解読に時間が掛かるということくらいがわかりますかね。 — Sen UENO (@sen_u) August 17, 2021 一般に、パスワードの総当たり攻撃（ブルートフォースアタック）というと、以下の二通りが考えられます。ウェブサイト等でパスワードを順番に試す

shidho 2021/08/20

ところで、使っているサイトがパスワード保存にどのハッシュを使っているかはどうやって調べればいいのかしら。わからない場合はMD5前提とするしかないのでは? (平文保存していたサイトの過去は見なかったことにする)

security

リンク

【Omiaiまとめ①】個人情報171万件の流出「クソ過ぎる対応が話題」 | MY-TERRACE（マイテラス）

本記事の位置づけ本記事は、2021年5月21日に発表された、Omiai運営会社ネットマーケティング社の﹁免許証など重要身分証明データ171万件を流出した可能性の事件﹂について、2021年5月28日までに起きた、運営側の様々な﹁違和感しかない対応︵最初の1週間分︶﹂をまとめています。 2021年5月29日以降の動向は別記事に分けましたので、こちらを参考にしてください ⇒︻Omiaiまとめ②︼個人情報171万件の流出﹁発表2週目以降の対応﹂注記本記事は2021年5月28日の夜時点で、執筆を終えています。そのため、今後の運営の動きなどで、本記事の情報と齟齬が生じる可能性もあります。ただし、2021年5月28日時点において、運営側から一方的に負担を受けたユーザー視点での見え方だったり、不安や心配などを、ほぼまとめていると思います。今後、時間が経過するにつれて、過去のことをうやむやにされない

shidho 2021/06/02

消えたやつのWeb Archive

リンク

本気で匿名性を保つために留意すべきこと（八田真行） - エキスパート - Yahoo!ニュース

私はTorやI2Pを始めとする、ネット上での身元を隠す匿名化技術に関心があり、開発したり実際に使ったりもしているが、一方私自身がオンラインで何か情報発信するときは、基本的に実名で通している。それは、幸か不幸か個人的には匿名で書く必要があまりないということもあるが、どちらかと言えば倫理というより自衛の問題である。なまじ匿名だと思うと心理的なガードが下がり、不用意なことを書きがちだからだ。しかし、権力者の不正を内部告発する場合など、本当に匿名性が必要な局面というのもある。匿名化技術はまさにそういったケースのために開発されているのだが、それでもユーザの素性がばれてしまったことが無いわけではない。ただ私が知る限り、これまで技術的な欠陥のせいで素性が暴かれたというケースはほぼ皆無で、大体はうかつに知り合いに話したら通報されたとか︵チェルシー・マニングのケース︶、匿名投稿と他のところで実名で書いた投

shidho 2019/03/27

いつ捕まって人肉検索されてもいいよう、時々Twitterには飲酒運転や万引きなど犯罪報告している。次はコカイン使用についてでもつぶやくか。

リンク

警察からの問い合わせ電話にこたえるにあたって - davsの日記

警察からの照会電話がたびたびかかってくる職場で働いていたことがある。警察からの照会だからこたえることが許される、あるいはこたえなければならない照会が多かったのだが、必ず守らなければならないルールがあった。それは、その電話ではこたえず、一旦、電話を切ることだった。その後、ネットなりで警察本部や警察署の代表番号を調べて、回答の電話をかけるのだ。それはもちろん、警察をかたる電話を警戒してのことだが、この警察からの問い合わせへの回答ルールには続きがあった。問い合わせ電話の担当を把握していても、その人物を電話口に呼び出さず、﹁こういう照会があったのですが、担当者を失念しました。問い合わせされたのはどなたですか﹂というのだ。これは、照会者が真正な警察官であっても、公務でない照会をしていることを恐れるためだ。乱暴な要約をすれば、悪徳警官でないかを心配しているということだ。前段の警察の代表番号にかけ

shidho 2014/11/18

リンク

某有名ショッピングサイトで不正ログインされた...

某有名ショッピングサイト︵以下、某サイト︶で不正ログインされたので警察の捜査状況を含めて記録として残します。それでは、時系列で...11/25 02:28某サイトからメールアドレス変更の案内メールが届く。変更前のメールアドレスにも送信しているとのこと。これはありがたい。メールアドレスの変更を受け付けました。なお、メールアドレスを変更された場合、変更前のメールアドレスにもこのメールを送信させていただいておりますのでご了承ください。本メールにお心当たりのない方、その他ご不明な点・ご質問などございましたら、カスタマーサポートセンターまでお問い合わせください。11/25 04:11某サイトで使用しているクレジットカード会社から以下の文面︵抜粋︶のメールが届く。不正利用検知システムがあるのは大変助かる。カードの利用停止は普段現金を使わない人間としては正直かなりイタイ。本メールは、現在お客様がお持ちの

shidho 2013/11/26

ここでの白戸さんって「国家の犬」っていう意味なんじゃないだろうか。ホワイト家族的に。

リンク

NICOSパスワード8文字切り詰め制限祭りまとめ

NICOSカードのパスワードがなぜか8桁に切り詰められた、元々9桁以上に設定していた人が知らずにログインしようとして失敗して大変な目に遭っているようです。

shidho 2012/11/20

パスワードがバズワードになったのか。

リンク

ゆうちょ銀行のパスワード紛失したので、再発行手続したら、パスワード印字した藁半紙が届いた。＼(^o^)／ - それマグで！

ゆうちょ銀行のスクレーパーを書くに当たり、パスワードと合言葉がわからなかったので初期化をお願いした。初期化をお願いしたのに、窓口のお姉さんに﹁再通知ですね！﹂とか言われた。きっと言い間違いだろうと思ってたら、本当にパスワードが平文で届いた。パスワードを忘れたので郵送通知をお願いした。前のパスワード印字した藁半紙が届いた。＼(^o^)／おお紙よ。あなたは覚えていらっしゃった。忘れたパスワードが印字されて郵送されてきた。マジでドン引きしたわ。忘れたパスワードが送られてきたよ。 (パスワードが印字されて届いた。) (暗証番号も印字されて届いた。 ) さすがにこれはドン引きしたわ。これ情報処理センタのバイトが手作業で封してるんですよね・・・これね、紛失したパスワードが平文でそのまま届きましたよ。再発行じゃなくて、以前のものがそのまま。郵送で送るかぁ。。。。パスワードを平文で保持

shidho 2012/02/27

ゆうちょ銀行っていうか、郵便貯金のキャッシュカードってずいぶん後まで0暗証採用してなくてカードに暗証番号が記録されてた。まあ今はICカードになったわけだが。

リンク

シャットダウン事件と発見者の責任 | 水無月ばけらのえび日記

公開: 2011年5月22日13時50分頃こんなお話が。巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に (slashdot.jp)﹂。巫女テスター︵17歳︶、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終 (togetter.com)巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 (togetter.com)とあるシステムを見ていたら﹁パスワード再発行フォームのメールアドレス入力画面にＳＱＬを仕込むと全ユーザーの情報を引き出したり﹂といった致命的な脆弱性を発見してしまい、そして……本番環境を動かないようにしてシャットダウン。その後は警察を呼ばれそうになりつつも、クライアントの理解が得られて最悪の結果は回避できたようで。まとめには出ていませんが、﹁課長と部長に報告したし、埒があかないから更に上

shidho 2011/05/23

基本的にはその通りではあるのだけど、運営元から金もらって仕事をしている身分だと、その運営元が下手うって商売ポシャったら自分に来る金がなくなる、というリスクもあって。

security

リンク

Kozupon.com - BINDのセキュリティ！

DNSサーバをBINDで構築されている人は世の中ほとんどであろう！最近、BINDモジュールのセキュリティホールを突いて攻撃をかけてくるクラッキングも増えている。そのため、BIND8・9用のパッチモジュール等が公開され、パッチを施している人が多いと思う。また、BINDの設定方法を細かく説明する親切なサイトは多数有るため、ここでは説明しないがBINDの設定ミスが原因でセキュリティホールになる事実もある。さらにBINDのゾーンデータベースの内容が参照され、それがセキュリティホールになる場合もある。このような背景の中、BIND8・9には、セキュリティに効果がある拡張パラメータがあるので、その機能と設定方法をここでは説明する。1．　ゾーンデータベース変更の通知プライマリサーバとセカンダリサーバが存在するゾーンの場合、ゾーンデータベースが更新されたか否かの確認は、SOAリソースレコードで

shidho 2011/03/27

リンク

はてなブックマーク

タグ

関連タグで絞り込む (30)

securityに関するshidhoのブックマーク (23)

お知らせ

今週のはてなブックマーク数ランキング（2024年6月第3週）

今週のはてなブックマーク数ランキング（2024年6月第2週）

月間はてなブックマーク数ランキング（2024年5月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス