これ「自分を攻撃する能力をもったものが、攻撃しないと証明できない状態..
これ「自分を攻撃する能力をもったものが、攻撃しないと証明できない状態にいる以上警戒するのはしょうがないよね」と、「攻撃する意思を示していないものを攻撃者だと扱うのは差別だよね」ってのの衝突なんだよね。 理性的な状態でも双方の意見を聞いたときお互いに「それはそうだね、でも・・・」みたいになる話。 俺は後者派なんだけど、 グラデーションだなんだとかも言いたくはなるけどこれって結局その領域から排除するかしないかって話になるのでグラデーションとやらにはあんまり意味はない。 じゃあどうするのさ、ということになるけどどうすればいいんだろうな。 ある程度の不快や危険を受け入れてマイノリティに配慮するべき、ってのが基本路線ではあるんだろうけどその覚悟がある人ってどのくらいいるんだろう。 これではできたとしても次に来るであろう別の同様のパターンの時はどうだろう。
Google Chrome EV表示の終焉 - ぼちぼち日記
1. Chrome でEV証明書の組織名表示がなくなる ついにGoogleからChromeのURLバーからEV表示を削除する正式なアナウンスが出ました。 Upcoming Change to Chrome's Identity Indicators EV UI Moving to Page Info 現在(2019年8月) StableのChrome76では、以下の様にURLバー左側にEV証明書を利用していることを示す「組織名+国名」表示が付いています。 Chrome76のEV表示 2019年9月10日Stableリリース予定のChrome77からはEV表示がURLバーから削除され、鍵アイコンをクリックして表示されるPage Infoに「組織名+国名」が表示されるようになります。 Googleのアナウンスでは、 "on certain websites" と書いてあることから一気にではなく
パスポートのセキュリティ - AAA Blog
前回、運転免許証記載情報の真正性を確認する方法を紹介しました。 パスポートにも免許証と同様にICチップが埋め込まれており、海外渡航時の入国審査では本物のパスポートかどうかチェックが行われています。 不動産取引や民間サービスの本人確認業務でも、同じ方法でICチップの確認を行えば身分証偽造による詐欺行為を防ぐことができます。 今回パスポートのICチップにアクセスして真正性を確認するAndroidアプリをつくったのでその仕組みを紹介します。 目次 電子パスポート仕様パスポートは世界で通用する身分証明書です。 それぞれの国が独自仕様のパスポートを発行すると大変なので、 国際民間航空機関(以下ICAO)がICチップの技術仕様を標準化し、各国のシステムで相互運用できるようになっています。 ICAOはDoc 9303 Machine Readable Travel Documents(機械可読な旅券)と
合鍵、実物なしにネットで作製 「鍵番号」見せてしまい:朝日新聞デジタル
インターネット販売で合鍵を作り、女性宅に侵入したとして男が逮捕された。鍵の番号やメーカー名をもとに、実物なしに複製していたという。同じような被害に遭う恐れはだれにもあるのか。 事件が起きたのは、松山市の住宅街に立つマンションの一室だった。9月10日午後9時20分ごろ、一人暮らしの女子大学生(20)が帰宅すると、閉めたはずの玄関ドアの錠が開いていた。 女性と鉢合わせになった男は逃走。愛媛県警松山東署に約1時間後に愛媛大学医学部付属病院の契約職員の男(44)が自首し、住居侵入の疑いで逮捕された。「合鍵を使って侵入した。私生活を見たかった」と供述したという。 女性は合鍵を作ったり、他の人に渡したりした覚えはないという。なぜ男は侵入できたのか。 松山東署によると、男は事件前…
中国最大級の認証局「WoSign」がニセの証明書を発行していたことが判明
by Barney Moss 無料でSSL証明書を発行してくれることで、多くの自宅サーバーユーザーに重宝されている中国最大級の認証局「沃通(WoSign)」が、「偽物の証明書」を大量に発行していたことが明らかになりました。 The story of how WoSign gave me an SSL certificate for GitHub.com | Schrauger.com https://www.schrauger.com/the-story-of-how-wosign-gave-me-an-ssl-certificate-for-github-com Thoughts and Observations: Chinese CA WoSign faces revocation after possibly issuing fake certificates of Github,
「SPIRAL EC(R)」への不正アクセスによる個人情報流出について|情報資産プラットフォームを活用したソリューション提供のパイプドビッツ
(1) 2016年4月18日 15時52分頃、外部からの不正アクセスにより、スパイラルEC®上でECサイトを運営している1社のサイトから個人情報 10,946件を含む注文情報 15,581件がファイルとして第三者によりダウンロードされました。 個人情報には以下の事項が含まれます。 注文者氏名、注文者住所、注文者メールアドレス(PC / 携帯)、注文者電話番号、注文者コメント、管理者コメント、配送先氏名、配送先住所、配送先電話番号、注文金額、送状番号等 なお、会員ID及びパスワードは注文情報に含まれておりません。クレジットカード情報につきましては、システム側で保有していないため流出しておりません。また、現時点で個人情報を悪用された等の報告はございません。 (2)スパイラルEC®上でECサイトを運営している43社53サイト314名の管理画面にアクセスする運営者のログインID及びパスワードのメッ
「Amazonの個人情報や購買情報は流出している」はマジでした。 - canadieの日記
結果から先に書くと、即答に近い形で個人情報が漏れた。購買情報に関しては聞いてもないのに勝手に教えてくれた。 予想より反響が大きかったので文末にgmailを使った対策を追記した。 なお、米Amazonと同様、数日遅れて問い合わせ内容についてのメールが来たので追記しました。 Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明 - GIGAZINE http://gigazine.net/news/20160125-amazon-customer-service-backdoor/ こーんな記事があったものだから、嘘くせえと思って実際に(英語めんどくさいので日本の)カスタマーサービスにチャットで問い合わせてみた。いうまでもなく、ソーシャル・エンジニアリングはクラックの基本である。セキュリティにうるさいAmazon社がこんなにザルなわけがないと思ったからだ。 なお、ニセの住所
航空会社のサイトはどうして乗り方を説明してないのか
先日、ちょびっと夏休みを頂きまして、北海道へ行ってきたのであります。その際は、とりあえず往復AIRDOだったのですけども、まー、飛行機に乗ること自体がほんと稀でして、この時も一体何年ぶりなのか?というくらいで。 で、たまにしか飛行機に乗らない人にとって、空港とか飛行機とか、わからんことだらけすぎると思うのですよ。チケットを買うところから、もうわからない。 まず「eチケット控え」って何なんすか。もうこれがわからない。深く読み解けば、「eチケット」てのはたぶん物理的な航空券の電子版で、それの複製を印刷してるから、eチケット控えなんですかね。わからんけど。しかし最後まで控えだけでやり過ごせるんで、これはもう控えじゃなくて本物といってもいいのではないか。登記簿謄本を法務局へとりにいっても実際に持って帰ってくるのはその控えだ、っていうくらいの控えなのだろうか。「eチケット控え」じゃなくて「eチケット
警察からの問い合わせ電話にこたえるにあたって - davsの日記
警察からの照会電話がたびたびかかってくる職場で働いていたことがある。 警察からの照会だからこたえることが許される、あるいはこたえなければならない照会が多かったのだが、必ず守らなければならないルールがあった。 それは、その電話ではこたえず、一旦、電話を切ることだった。その後、ネットなりで警察本部や警察署の代表番号を調べて、回答の電話をかけるのだ。それはもちろん、警察をかたる電話を警戒してのことだが、この警察からの問い合わせへの回答ルールには続きがあった。 問い合わせ電話の担当を把握していても、その人物を電話口に呼び出さず、「こういう照会があったのですが、担当者を失念しました。問い合わせされたのはどなたですか」というのだ。これは、照会者が真正な警察官であっても、公務でない照会をしていることを恐れるためだ。乱暴な要約をすれば、悪徳警官でないかを心配しているということだ。前段の警察の代表番号にかけ
2 段階認証は本当に安全なのか調べてみた | はったりエンジニアの備忘録
このブログを読んでいる人なら Google や AWS の 2 段階認証(マルチファクタ認証)を有効にしていると思います。もしパスワードが漏れてしまってもワンタイムパスワードを入力しないと認証されないので安心です。 有名どころのサービスでは使えるところが増えてきましたが、2 段階認証を有効にしていれば万全なのでしょうか。エンジニアである以上、その仕組みを理解したうえで自信を持って安全と言いたいところ。 というわけで、2 段階認証は本当に安全なのか仕様を紐解きながら調べてみました。 ワンタイムパスワードの仕様 ワンタイムパスワードを生成する仕様は HOTP と TOTP の 2 つがあり、RFC の仕様になっています(TOTP はドラフト段階)。 HOTP (HMAC-Based One-Time Password Algorithm) TOTP (Time-Based One-Time P
妻に公開鍵暗号を教えてみた - 西尾泰和のはてなダイアリー
何気なく放送大学をつけていたら公開鍵暗号の話をしていた。 妻「この話、何度聞いてもわかんないのよね」 僕「え、どこがわからない?どこまではわかってる?」 妻「平文はわかるけど、鍵を共有するとか秘密にするとか、署名するとかがよくわからない」 僕「あー、鍵に例えているのが逆効果なのか」 「鍵」をNGワードに指定 僕「じゃあ『鍵』という言葉を使わずに説明してみよう。暗号って『平文を暗号文に変換する方法』で伝えたい文章を暗号文に変えて送り、受け取った人はそれに『暗号文を平文に戻す方法』を使って元の文章を得るわけだ。その目的は、途中の通信文が敵に取られたりしても通信の内容がバレないようにするため。」 妻「うん」 僕「昔の暗号化の方法は、片方の方法がわかるともう片方の方法も分かった。例えば『アルファベットを後ろに1個ずつずらすと平文に戻せます』って教えてもらったら、『なるほど、前に1個ずつずらせば暗号
ユニクロのクレジットカード決済って大丈夫?ICカード利用者は暗証番号の入力が必要ですが、それを断るとサイン不要で買い物が可能です。 - クレジットカードの読みもの
ユニクロでクレジットカード払いを利用すると、独立型の店舗であれば3万円以下はサインレス、つまり署名サインをしなくても買い物できることが多い状況があります*1。 これだとクレジットカードを店員さんに渡すだけで支払いが完了するため、支払いはものすごくスムーズ(コンビニ並の早さ)。 店員さんが『3万円以下の買い物でしたので、サイン不要でお支払いが完了しております。念のため、こちらのレシートと利用明細の金額をご照会ください。』と、2枚のレシートを並べて金額に相違がないかを確認してくれます。 ユニクロでのカード決済について: ICチップ付きの場合は暗証番号必要: 暗証番号の入力を断るケースが面白い: 疑問に思う人は他にもアリ: 暗証番号入力をしてもらえれば、店舗責任が無い: 暗証番号取引ではユニクロに責任がない: 参考リンク: ユニクロでのカード決済について: ICチップ付きの場合は暗証番号必要:
[まとめ]有名どころネットサービスの通信セキュリティ比較
各社サービスの通信暗号化をまとめてみた。 判定基準は Transport Layer Security - Wikipedia会社サービスプロトコル暗号化方式判定ゆうちょ銀行ゆうちょダイレクトTLS 1.0AES_128_CBC実装によるみずほ銀行みずほダイレクトTLS 1.0RC4_128安全ではない三菱東京UFJ銀行三菱東京UFJダイレクトTLS 1.0AES_256_CBC実装による三井住友銀行SMBCダイレクトTLS 1.0RC4_128安全ではないりそな銀行りそなマイゲートTLS 1.2AES_128_GCM安全シティバンク・ジャパンオンラインTLS 1.03DES_EDE_CBC強度不足、実装によるジャパンネット銀行ログインTLS 1.2AES_256_CBC安全住信SBIネット銀行ログインTLS 1.2RC4_128安全ではないAmazonアカウントサービスTLS 1.0AE
LINE森川亮社長の抗議について:阿部重夫主筆ブログ:FACTA online
阿部重夫主筆ブログ「最後から2番目の真実」 2014年6月19日 [ジャーナリズム]LINE森川亮社長の抗議について 弊誌最新号の「韓国国情院がLINE傍受」について、同社社長、森川亮氏が個人ブログで「本日報道の一部記事について」と題して「そのような事実はございません」とする否定コメントを出しています。 一部新聞社等から、このブログについて弊社のコメントを求められましたのでお答えします。 LINEからの抗議は正式にいただいておりませんが、形式的に抗議せざるをえなかったのだろうと考えています。しかしながら、「事実はございません」とする確証をLINE社はどこから得たのでしょう。システム内でもシステム外でも安全なのは、「国際基準を満たした最高レベルの暗号技術を使っている」からだそうですが、それが破られているというのが本誌の認識です。「最高レベル」とは自己満足の弁で、それは甘いと申し上げざるを得ま
WHATS - Les actualités les plus partagées !
Le Comité consultatif actuel doit fixer un calendrier précis pour la réouverture de tous les secteurs fermés en Belgique à partir d’avril ou mai, selon Paul Magnette, chef du parti socialiste francophone PS. Prioriser par secteurs La priorité des assouplissements … Depuis le début de la pandémie, les appels des dirigeants politiques du monde entier demandant aux entreprises technologiques de s’att
Heartbleed脆弱性と、その背後にあるWebアプリケーションアーキテクチャの一般的欠陥について
■Heartbleedのリスクと善後策 Heartbleedは、攻撃者が一定の条件を満たすOpenSSLが動作しているサーバの、任意位置のメモリを外部から読み出すことができてしまうという脆弱性です。具体的には、以下のようなリスクが想定されています。 秘密鍵の漏洩による、偽サイトの出現(あるいは中間者攻撃) 秘密鍵の漏洩により、(過去のものを含む)パケットキャプチャの解読 サーバの同一プロセスが行った処理に関連する(他のユーザーのパスワードやセッションキーを含む)データの漏洩 漏洩した秘密鍵を用いた攻撃には、ユーザーを偽サイトへ誘導できたり、パケットの経由点を管理しているなどの、経路上の要件が必要になります。他のユーザーのデータの漏洩については、経路上の要件は不要な一方、攻撃の実施に近いタイミングでサーバにアクセスしたユーザーのデータしか漏れない、という違いがあります。 どこまで対策を施すべ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
mstdn.jp
松屋にずっと帰らない男がいる→Facebookの写真を見ている様子だったがそこに写っていたのは「怖いわ」「気を付けなきゃだな」
TechCrunch | Startup and Technology News
Sass を今すぐ実務で使おうよ! « LINE Engineers' Blog