Developers Summit 2023 10-A-4 「フロントエンド開発のためのセキュリティ入門」の発表資料です。 https://event.shoeisha.jp/devsumi/20230209/session/4176/ 「HTTPS化」「CORS」「XSS」「脆弱なライブラリの…

リンク Yahoo!ニュース 他人の寿司にわさび乗せイタズラ...はま寿司が被害届提出へ 投稿動画が炎上→加害者謝罪も厳正対応（J-CASTニュース） - Yahoo!ニュース 他の客が注文した寿司にレーン上でわさびを乗せる、といったいたずら行為の動画がSNS上に投稿され、大手回転寿司チェーン「はま寿司」は、警察に近く被害届を出すことを2023年1月23日の取材に明らかに 285 users 1013

LIFULL に新卒入社し、もうすぐ4年目になるヒラノです。 普段はセキュリティエンジニアとして、セキュリティ/テスト自動化に関する推進、支援などを中心に取り組んでいます。 15日目の記事 では Dastardly を GitHub 上で動かしていましたが、今回はローカル（WSL2）上で動かしてみようと思います。 What is Dastardly? Dastardly は、無料で利用できる CI/CD パイプライン用の Web アプリケーションセキュリティ診断ツールです。 開発元は Burp Suite でおなじみの PortSwigger で、重要な7つの脆弱性に関して10分以内で見つけることができます。 Cross-site scripting (XSS) (reflected) Cross-origin resource sharing (CORS) issues Vulnerab

PlayStation 5(PS5)は、2020年の登場から記事作成時点まで入手困難な状態が続く超人気ゲーム機です。そんなPS5は多くのハッカーによってハッキングが試みられており、2021年11月8日には「システムのハッキングに成功した」とするハッカーが相次いで登場しました。 PS5 Kernel Exploit? TheFloW showcases Debug Settings menu on retail console, no plan to release. - Wololo.net https://wololo.net/2021/11/08/ps5-kernel-exploit-theflow-showcases-debug-settings-menu-on-retail-console-no-plan-to-release/ PS5 Exploit: Fail0verflow

深夜の駐車場から、すっと出ていく車。 車が盗み出される瞬間をとらえた防犯カメラの映像です。 「鍵は手元にあるのに、車がなくなっている」 いま、そうした事件が、全国で相次いでいます。 いったい車はどうやって盗まれたのか。 事件のカギを握る「ある特殊な機器」が、全国で初めて関西で押収されました。 （神戸放送局 記者 唐木駿太） 今年7月、千葉県の中古車販売店から高級ミニバンが盗まれました。 駐車場に展示していた車には、鍵をきちんとかけていました。 鍵が盗まれた形跡はありません。 では、車はどうやって盗まれたのか。 店の防犯カメラには、その一連の犯行の過程が記録されていました。

YubiKey のような暗号デバイスの代わりにスマホを使って FIDO U2F (Universal 2nd Factor) を実現できる製品があるというのは聞いたことがあったが，実は SSH の認証や git commit/tag 時の OpenPGP 電子署名も賄えるらしい。しかも Go 製でマルチプラットフォーム対応だってさ。 具体的な使い方については上の記事を見ていただきたいが，仕組みがイマイチ分からないんだよね。以下のシーケンス図でだいたい合ってる？ krssh と ssh の関係がねー。 krssh が全部を肩代わりしてるってことなのだろうか？ これで合っているという前提で話を進めるけど，ポイントはスマホは単なる鍵ストアではなく署名アプリケーションも兼ねているという点だろう。 Git commit/tag 時の OpenPGP 電子署名も似たような感じらしい，多分。 krgpg

Amazon Web Services ブログ AWS環境にセキュアなベースラインを提供するテンプレート「Baseline Environment on AWS」のご紹介 みなさんこんにちは。ソリューションアーキテクトの大村です。 このブログでは、私たちAWS Japanのソリューションアーキテクトが AWS Samples に公開している 「Baseline Environment on AWS（BLEA）」について詳しくご紹介します。 これはAWSのセキュリティのベストプラクティスを実装した環境を、迅速に実現するためのテンプレートです。 セキュリティサービスだけでなく、よく利用されるアプリケーションの実装サンプルも含んでいます。これによって基本的なセキュリティを実現した状態をスタート地点としてシステム構築を開始できます。このテンプレートは単一のアカウントでも、また AWS Contro

Amazon.com、同社内で使われていた従業員向けのセキュリティオンライントレーニングを無償で一般公開、日本語版も提供 Amazon.comは、これまで同社内で従業員向けに提供してきたセキュリティのオンライントレーニングコースを無償で一般公開しました。 Starting today, we're making the same cybersecurity training used by Amazon employees available to businesses and individuals around the world at no cost. #CybersecurityAwarenessMonth https://t.co/h1EXJf6lrn — Amazon News (@amazonnews) October 26, 2021 セキュリティトレーニングは「Cyber

こんにちは id:cohalz です。はてなブログでは2021年4月の公式ブログで、すべてのブログをHTTPSに一本化していくことを案内しました。 ▶ 「HTTPS配信」への切り替えと、ブログの表示の確認をお願いいたします この時点でまだ数百万件のHTTPのブログが残っている状態でしたが、2021年8月には上記の案内に追記したように、全ブログでHTTPS化を完了できました。 完了までに行ってきたことをこの記事で振り返ってみようと思います。 はてなブログのHTTPS化のこれまで はてなブログのHTTPS化は、2017年9月に最初のお知らせを行ってスタートしました。 当初の予定より時間がかかりましたが、2018年2月にHTTPS配信の提供を開始し、これ以降に作成されたブログは最初からHTTPSのみで配信されています。また、それ以前に作成されたブログでも、ユーザ側で設定を変更することで自分のブロ

[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 DevelopersIO 2021 Decadeで登壇した動画や資料を掲載、解説をしています。AWSのセキュリティについて網羅的に扱っています。ちょー長いのでご注意を。 こんにちは、臼田です。 みなさん、AWSのセキュリティ対策してますか？(挨拶 ついにやってまいりました、DevelopersIO 2021 Decade！私は「[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで]」というテーマで登壇しました。 動画と資料と解説をこのブログでやっていきます。 動画 資料 解説 動画はちょっぱやで喋っているので、解説は丁寧めにやっていきます。 タイトル付けの背景 今回何喋ろうかなーって思ってたら、2年前のDeve

これは、Let's Encryptを支えるこの二人のルートCAと OpenSSLの物語である。 DST Root CA X3 (2000-2021) ISRG Root X1 (2015-2035) 〜2021年1月〜 ISRG Root X1「いままで一緒にやってきたDST Root CA X3さんの寿命が間近・・・このままだと僕を信頼してくれていないベテランの（具体的にいうと2016年くらいまでの）古いクライアントたちは Let's Encryptさんを信用してくれなくなっちゃう・・・どうしよう」 DST Root CA X3「どれ、わしが死ぬ前に(有効期限が切れる前に)お前が信頼に値する旨を一筆書いて残せばいいじゃろう。サラサラ」 Issuer: O = Digital Signature Trust Co., CN = DST Root CA X3 Validity Not Bef

富士通が運営するプロジェクト情報共有ツール「ProjectWEB」が不正アクセスを受け顧客の情報が流出した問題で、警察庁のシステム情報も漏洩していたことが日経クロステックの取材で2021年9月6日までに分かった。 警察庁は日経クロステックの取材に対し、流出した情報は「過去に運用していたシステムの設計情報など」と書面で回答。「当該システム撤去後においても富士通が（データを）廃棄しておらず、同社に対する不正アクセスにより情報が流出したと、2021年5月末以降に報告を受けた」（警察庁）と説明した。富士通に対して被害の実態を調査するよう求めているという。 警察庁は「情報が流出したシステムは不正アクセスがあったとされる時点で既に運用を終了し撤去済みであり、特段の問題は生じていない」と説明。富士通に開発や設計、保守などを委託している現在運用中のシステムについては「追加の対策を講じるなどセキュリティーの

トヨタの無人レンタカー「チョクノリ」、アプリのBluetoothで鍵の開閉をするのだが、飛騨の山奥まで来たところで突然どうやっても接続できなくなりドアが開かなくなって詰んだ。トヨタはこういう事態を想定してなかったらしいのだが、エンジニアとしては「まじかよ」というほかない。

概要 Dockerの本番環境で秘密情報を使う際に、環境変数を使うことは推奨されてません。 秘密情報を扱うには、コンテナオーケストレーションのsecret supportを使うことが推奨されてます。 Docker Composeには秘密情報を扱うために、secretsがあります。(Docker ComposeのsecretsはDocker Swarmと併用することが前提の機能です) 環境変数で秘密情報を扱う時の問題点 秘密情報を扱う時に、よくある方法として、環境変数を使う方法があります。 (この記事において、秘密情報とはパスワード、APIキーを想定します。) しかし、Dockerのドキュメントhttps://docs.docker.com/get-started/07_multi_container/ には While using env vars to set connection set

回答 (14件中の1件目) ちょいちょいっと自分でできる人です。これまで20回以上作業しています。 その上で適正価格だと思います。 SSL証明書は、ハマりどころが実に豊富です。 1. SSL証明書自体の取得方法がベンダーによってかなり違い、日本の組織の存在証明など奇天烈な方法を要求するものもある。Nginx Apacheなどサーバーによっても変えなくてはならない。 2. 提供された中間証明書をこちらで一つのファイルにまとめなくてはならず、どのようにバンドルするか、ベンダーからの情報だけでは自明ではないものも結構あってハマる 3. SSLのプロトコルは実に余計なものがたくさんありそ...

Qualysは7月20日(米国時間)、「Qualys Security Advisory - Sequoia: A deep root in Linux's filesystem layer (CVE-2021-33909)」において、Linuxカーネルに特権昇格可能な脆弱性が存在すると伝えた。この脆弱性が少なくとも2014年7月にLinux 3.16に混入して以来存在していると説明しており、7年間にわたってLinuxカーネルに存在していたことになる。多くのLinuxディストリビューションがこの脆弱性の影響を受けるとみられる。 Qualys Security Advisory - Sequoia: A deep root in Linux's filesystem layer (CVE-2021-33909) これはLinuxカーネルのファイルシステムレイヤに存在するsize_t-int変

「中国人民はみんな、18桁の身分証番号（ID番号、公民身份号碼）が割り当てられている。このうち、最初の6桁が戸籍登録地の地域番号で、次の8桁が生年月日。残る4桁は認証番号だが、そのうち1桁は性別で決定される。このルールはたとえ国家指導者だって例外じゃない。中国のネットユーザーの間で、習近平の身分証番号が特定されたのは2018年9月のことだった」 目の前の若者が喋り続けていた。彼は中国の反体制的なインターネットコミュニティ（通称「悪俗圏è sú quān」）の主要人物の1人で、広東省深圳市生まれの肖彦鋭（26）という。

Osumi, Yusuke @ozuma5119 Threat Intelligence, Cyber Security Researcher, PenTester. CISSP,CISA https://t.co/8kTFSGuuoZ Osumi, Yusuke @ozuma5119 イオンカードさん、この注意喚起は大間違いです。 ドメインは「始まっている」ではなく「終わっている」部分を見ないと意味がありません。 https://aeon .co .jp .example. com/ のようなまぎらわしいドメインこそが、一番詐欺に使われます。出す前に、社内のエンジニアのレビューを受けましょう。 pic.twitter.com/hLVrhHisPH