![HerokuのOAuthトークン流出で、やっておくといいことリスト(コメント大歓迎)](https://cdn-ak-scissors.b.st-hatena.com/image/square/1a4eecee5385221c45983653d7af3c5c531c9925/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--psRfDjEL--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3AHeroku%2525E3%252581%2525AEOAuth%2525E3%252583%252588%2525E3%252583%2525BC%2525E3%252582%2525AF%2525E3%252583%2525B3%2525E6%2525B5%252581%2525E5%252587%2525BA%2525E3%252581%2525A7%2525E3%252580%252581%2525E3%252582%252584%2525E3%252581%2525A3%2525E3%252581%2525A6%2525E3%252581%25258A%2525E3%252581%25258F%2525E3%252581%2525A8%2525E3%252581%252584%2525E3%252581%252584%2525E3%252581%252593%2525E3%252581%2525A8%2525E3%252583%2525AA%2525E3%252582%2525B9%2525E3%252583%252588%2525EF%2525BC%252588%2525E3%252582%2525B3%2525E3%252583%2525A1%2525E3%252583%2525B3%2525E3%252583%252588%2525E5%2525A4%2525A7%2525E6%2525AD%252593%2525E8%2525BF%25258E%2525EF%2525BC%252589%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3Ahiroga%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9saDMuZ29vZ2xldXNlcmNvbnRlbnQuY29tL2EtL0FPaDE0R2pfZHF2VHk5OFdpTG1EZ1Q1Ry1jLVNmWjRwaEdCcGdncGVKSjhqUzhzPXM5Ni1j%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)
情報処理推進機構(IPA)セキュリティセンターおよびJPCERTコーディネーションセンター(JPCERT/CC)は3月31日、ヤマハ製の複数のネットワーク機器に、受信したパケットの処理に起因するサービス運用妨害 (DoS) の脆弱性が存在すると伝えた。 脆弱性が存在するネットワーク機器は以下の通り。 ヤマハ LTEアクセスVoIPルーター NVR700W ファームウェア Rev.15.00.15 およびそれ以前 ヤマハ ギガアクセスVoIPルーター NVR510 ファームウェア Rev.15.01.14 およびそれ以前 ヤマハ ギガアクセスVPNルーター RTX810 ファームウェア Rev.11.01.33 およびそれ以前 RTX830 ファームウェア Rev.15.02.09 およびそれ以前 RTX1200 ファームウェア Rev.10.01.76 およびそれ以前 RTX1210 ファ
MSC32-C. 乱数生成器には適切なシード値を与える 疑似乱数生成器 (PRNG) は、乱数に近い性質の数列を生成できる決定性アルゴリズムである。各数列は、PRNG の初期状態と状態を変化させるアルゴリズムによって決定される。大半の PRNG は初期状態 (シード状態 とも呼ばれる) を設定可能である。初期状態を設定することを「PRNG にシードを設定する」と表現する。 明示的にシードを設定しない、あるいは同じシード値を設定するなど、同一の初期状態で PRNG を呼び出している場合には、プログラムを実行し直しても同一の数列が生成される。シードを設定して PRNG 関数を10 回連続で呼び出し、10 個の乱数からなる数列 S = {r1, r2, r3, r4, r5, r6, r7, r8, r9, r10} が生成されたとする。この後、同一のシード値を設定して再度このコードを実行すると
この資料は、アプリケーションのセキュリティテストを行う技術者に、クロスサイトスクリプティングのテストを支援するガイドを提供することに重点を置いています。この資料の初期版は、RSnake から OWASP に寄付されたもので、彼のセミナーの XSS チートシートが元になっています(http://ha.ckers.org/xss.html)。現在このサイトにアクセスすると、この新しいサイトにリダイレクトされるようになっており、今後はここで保守や強化が行われる予定です。最初に作成された OWASP 対策チートシート、XSS (クロスサイトスクリプティング) 対策チートシートは、RSnake の XSS チートシートをベースにしています。彼に謝意を表します。私たちは、攻撃に関する複雑なチートシートにあらゆる巧妙なトリックを列挙して、とにかくこれらを防ぐアプリケーションを構築せよと開発者に言うのでは
SecurityGit Submodule Vulnerability AnnouncedSecurity vulnerability in Git v2.19.0 and older The Git project has disclosed CVE-2018-17456, a vulnerability in Git that can cause arbitrary code to be executed when a user clones a malicious repository. Git v2.19.1 has been released with a fix, along with backports in v2.14.5, v2.15.3, v2.16.5, v2.17.2, and v2.18.1. We encourage all users to update th
Gentoo の GitHub リポジトリが乗っ取られて, 復旧作業のためアクセスできなくなってますね. infra-status.gentoo.org どうやら ebuild (パッケージビルド&インストールするためのbashスクリプトファイル)に "rm -rf /*"とかもしこまれていたとか. なんか見た感じやばそうだけど, 実際のところやばいんでしょうか? まあ, もちろんのっとられたからにはやばいし, しばらく該当 GitHub リポジトリを避けておくのがいいんですが, 実際どのぐらいなにが起きるぐらいやばいんでしょうか? ということで, 以下の話をします. やられたリポジトリがやばくない ミラーだから, 開発者は使わないよ いろいろないから, 一般ユーザも普通使わないよ プルリク受けつけと、まあバックアップぐらいのとこだよ 書かれたコマンドがやばくない ebuild の先頭に
Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。 多くのWebアプリケーションは、ユーザーの認証にユーザー名とパスワードの組み合わせを用いています。 しかしユーザー名とパスワードの組合わせを用いる方法にはさまざまな問題が指摘されています。身近なところでは、安全なパスワードを生成することの手間や、安全性を高めるためにパスワードの使い回しを避けようとした結果発生する多数のパスワードを管理することの手間などがあげられます。 そしてこうしたパスワードの不便さが結果としてパスワードの使い回しを引き起こし、いずれかのサイトで万が一パスワードが流出した場合にはそれを基にしたリスト型攻撃が有効になってしまう、などの状況
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く