「それは、本当に安全なんですか?」 セキュリティ専門家が「GitHub Copilot」の全社一斉導入時に考えたあれこれ
AWS Shield – DDoS攻撃からアプリケーションを保護 | Amazon Web Services
Amazon Web Services ブログ AWS Shield – DDoS攻撃からアプリケーションを保護 オンラインの世界は時として不愉快な場所です!あなたがウェブサイトを公開するや否や、問題を起こしたり、サイトを停止させようとする多くの種類の攻撃の標的にされます。DDoS (分散型サービス妨害) 攻撃は非常に一般的な問題の一つです。攻撃者はウェブ上のあらゆる侵害されたリソースを利用し、活動を特定の標的に集中させます。 DDoS攻撃には一般的に3つの種類があります。 アプリケーション層攻撃 はアプリケーションのリソースを消費するように設計された、整形式かつ悪意のあるリクエスト(HTTP GETやDNSクエリが一般的)からなります。たとえば複数のHTTP接続を開き、数秒または数分かけてレスポンスを読むことで、過剰にメモリが消費され、正当なリクエストが処理されなくなります。 State
サイバーセキュリティ分野において初の国家資格となる「情報処理安全確保支援士」制度を開始しました (METI/経済産業省)
本日、サイバーセキュリティ分野において初の国家資格となる「情報処理安全確保支援士」制度を開始しました。 1.情報処理安全確保支援士制度 近年、情報技術の浸透に伴い、サイバー攻撃の件数は増加傾向にあり、企業等の情報セキュリティ対策を担う実践的な能力を有する人材も不足する中、情報漏えい事案も頻発しています。このためサイバーセキュリティの対策強化に向け情報処理の促進に関する法律の改正法が本日施行され、我が国企業等のサイバーセキュリティ対策を担う専門人材を確保するため、最新のサイバーセキュリティに関する知識・技能を備えた高度かつ実践的な人材に関する新たな国家資格制度を開始しました。 2.情報処理安全確保支援士とは 情報処理安全確保支援士とは、サイバーセキュリティに関する知識・技能を活用して企業や組織における安全な情報システムの企画・設計・開発・運用を支援し、また、サイバーセキュリティ対策の調査・分
【検証結果】 JSの取得元と通信先はローカルホスト上のHTTPサーバで正しい (#2958855) | カスペルスキーのセキュリティソフトを導入するとWeb閲覧中勝手にカスペルスキーと通信するJSコードが実行される | スラド
ie.kis.scr.kaspersky-labs.com (http://ie.kis.scr.kaspersky-labs.com/1B74BD89-2A22-4B93-B451-1C9E1052A0EC/main.js) = 185.85.13.154 gc.kis.scr.kaspersky-labs.com (http://gc.kis.scr.kaspersky-labs.com/1B74BD89-2A22-4B93-B451-1C9E1052A0EC/main.js) = 127.245.107.154 ff.kis.scr.kaspersky-labs.com (http://ff.kis.scr.kaspersky-labs.com/1B74BD89-2A22-4B93-B451-1C9E1052A0EC/main.js) = 127.245.107.154 me.kis
ImageMagickの脆弱性(CVE-2016-3714他)についてまとめてみた 2016-05-04 - piyolog
Let's Encrypt
A nonprofit Certificate Authority providing TLS certificates to 363 million websites. Read all about our nonprofit work this year in our 2023 Annual Report. From our blog Dec 28, 2023 A Year-End Letter from our Vice President A summary of how ISRG’s three projects, Let’s Encrypt, Divvi Up, and Prossimo continue to improve security and privacy. Read more Dec 13, 2023 Our role in supporting the nonp
2段階認証は「万全」! 思い知らされたドジな夏 : ジョブサーチ : 読売新聞(YOMIURI ONLINE)
Rubyで2段階認証(2FA)用のQRコードを生成する流れ - Qiita
2 段階認証は本当に安全なのか調べてみた | はったりエンジニアの備忘録
XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記
合わせて読んでください:Flashと特定ブラウザの組み合わせでcross originでカスタムヘッダ付与が出来てしまう問題が未だに直っていない話 (2014-02/07) XMLHttpRequestを使うことで、Cookieやリファラ、hidden内のトークンを使用せずにシンプルにCSRF対策が行える。POSTするJavaScriptは以下の通り。(2013/03/04:コード一部修正) function post(){ var s = "mail=" + encodeURIComponent( document.getElementById("mail").value ) + "&msg=" + encodeURIComponent( document.getElementById("msg").value ); var xhr = new XMLHttpRequest(); xhr
AWS IAMのAssumeRole APIで東京リージョンのエンドポイントを利用する | DevelopersIO
PHPのmb_ereg関数群は不正な文字エンコーディングをチェックしない
PHPのbasename関数には、マルチバイトに対応していないという誤解(実際にはロケールの設定をすればマルチバイトでも使える)があったり、不正な文字エンコーディングをチェックしないという課題があったりで、イマイチだなーと思っている方も多いと思います。 そういう方々が、preg_replace(u修飾子つき)やmb_ereg_replaceを用いて代替関数を作成している解説も見かけますが、それではこれら正規表現関数は不正な文字エンコーディングをチェックしているのだろうかという疑問が生じます。 ざっと調べたところ、以下の様な状況のようです。 preg_replace : 不正な文字エンコーディングをチェックしている mb_ereg_replcae : 不正な文字エンコーディングをチェックしていない ここでは、mb_ereg_replaceが不正な文字エンコーディングをチェックしない状況と、そ
hello
hello [ "::ffff:35.191.15.169", "GET", "/wp/?p=262", {}, { "host": "wate.jp", "user-agent": "HatenaBookmark/4.0 (Hatena::Bookmark; Analyzer)", "cache-control": "no-cache", "accept": "*/*", "x-cloud-trace-context": "f2b2c71e04db21b6017682e491266d0c/9480773545164747120", "via": "1.1 google", "x-forwarded-for": "153.120.13.138, 35.227.238.79", "x-forwarded-proto": "http", "connection": "Keep-Alive" }
Test your server for Heartbleed (CVE-2014-0160)
If there are problems, head to the FAQ Results are now cached globally for up to 6 hours. Enter a URL or a hostname to test the server for CVE-2014-0160. This test has been discontinued in March 2019. You can use the open-source command line tool or the SSL Labs online test. All good, seems fixed or unaffected! Uh-oh, something went wrong: Check what it means at the FAQ. It might mean that the ser
Qualys SSL Labs
HOW WELL DO YOU KNOW SSL? If you want to learn more about the technology that protects the Internet, you’ve come to the right place. Books Bulletproof SSL and TLS is a complete guide to deploying secure servers and web applications. This book, which provides comprehensive coverage of the ever-changing field of SSL/TLS and Web PKI, is intended for IT security professionals, system administrators, a
Security-Enhanced Linux Red Hat Enterprise Linux 6 | Red Hat Customer Portal
Security-Enhanced Linux 前書き 1. 商標に関する情報 2. はじめに Expand section "2. はじめに" Collapse section "2. はじめに" 2.1. SELinux を実行する利点 2.2. SELinux の使用例 2.3. SELinux アーキテクチャー 2.4. 他のオペレーティングシステム上での SELinux 3. SELinux コンテキスト Expand section "3. SELinux コンテキスト" Collapse section "3. SELinux コンテキスト" 3.1. ドメイン移行 3.2. プロセスでの SELinux コンテキスト 3.3. ユーザーの SELinux コンテキスト 4. ターゲットポリシー Expand section "4. ターゲットポリシー" Collapse s
リセット後のパスワードをメール送信するパスワードリセット方式の注意点
先日のエントリパスワードリマインダが駄目な理由にて、現在のパスワードをメール送信する「パスワードリマインダ」がパスワードリセット方式に比べてリスクがある(リスクのコントロールが弱い)という説明をしました。その際に説明したパスワードリセット方式は、パスワード変更の画面URLをメール送信するというものでしたが、もう一つのパスワードリセット方式としては、サイト側でパスワードをリセットして、リセット後のパスワードをメール送信するという方式もあります。このエントリでは、後者の仕様上の注意点について説明します。 とあるサイトのパスワードリセット方式 あるサイトのパスワードリセットの仕様を確認したところ下記の通りでした。 パスワードリセット画面では、ユーザIDとメールアドレスを入力する ユーザIDとメールアドレスが共に該当するアカウントがないとエラーになる サイト側でパスワードがリセットされ、リセット後
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JWTセキュリティ入門
SELinux上でMovableType 4 の設定(Fedora/RedHat環境のapache) - つれづれ日記
TwitterのOAuthの問題まとめ
