メンテナンス 2024年04月30日 eduroamの証明書更新予告【5/7実施予定】 一般 2024年04月15日 【注意喚起】転送設定の間違いが非常に多く発生しています。 セキュリティ 2024年03月12日 学内eduroamネットワークの外部接続IPアドレス変更について 一般 2024年01月05日 認証ネットワークKUENET無線LAN接続に関する構成変更について 障害 2024年01月05日 【復旧済】 停電復旧後のネットワーク障害について 開館日程 2023年12月28日 年末年始のIPC閉館及びネットワーク停止について 障害 2023年12月14日 【復旧済】 学内専用の一部のサイトで証明書エラーが発生する セキュリティ 2023年12月11日 プロキシのセキュリティ強化 一般 2023年10月30日 プロキシ経由のFTPアクセス廃止について 障害 2023年09月21日
2022/01/17追記:この方法では無効化できません。【Chrome】ServiceWorkerを今度こそ決定的かつ完全に消去するを参照してください。 ServiceWorkersというAPIが存在します。 ブラウザをフルスクリーン表示したり、デスクトップにアイコンを作成したり、PUSH通知を行ったり、バックグラウンドでJavaScriptを動作させたりといった機能を提供します。1 見てのとおりユーザには何一つ利のない機能なので、必ず無効化しましょう。 なに、動かなくなるサイトがあって困る? 大丈夫。 ServiceWorkersがないと動かないサイトは、存在そのものが不要なサイトです。 手順 PC版Chrome URLにchrome://flags/と入力すると、全面英語の設定画面のようなものが出てきます。 最上部の検索欄に「Worker」および「PWA」「Progressive」と入
しかし今回一般の人の目にも触れる形でSNIやHTTPSのことが報じられた結果、エンジニアも含めて明らかに技術に関して勘違いをしているのではないかと感じる発言を見ることがありました。このまま放置するのも良くないと感じているので、Q&Aという形でSNIやHTTPSに関する誤解を少しでも解ければと思います。 Q&AQ: そもそもSNIって何?以前書いた記事にも書かれているので是非読んでみてください。 簡単に説明すると、HTTPSではSSL/TLSを利用して通信が暗号化されます。なので1つのIPアドレスで複数の証明書を扱おうとした場合、最初の通信時にどの証明書を利用すればいいか分かりません。そこでSNIが必要になります。 SNIは最初の通信時に今から通信したいサーバーネーム(ドメイン名と考えてください)をサーバーに平文で渡すことで、通信したいSSL証明書を指定できます。SNIは現在の一般的なブラウ
「宅ふぁいる便」不正アクセスによる情報漏えいの第3報を発表、パスワードは暗号化しておらず(オージス総研) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト] 流出した情報は以下の通り 氏名 しめいふりがな ログイン用メールアドレス ログインパスワード 生年月日 性別 職業・業種・職種 メールアドレス2 メールアドレス3 居住地の郵便番号 勤務先の都道府県名、勤務先の郵便番号 配偶者の有無 子供の有無 第1報 第2報 第3報 暗号化してないパスワードが流出したというニュースが出てきたのですが、「は、なんで?」ってなりました。と言うのは、次のページをご覧ください パスワードを忘れた方へ(パスワードを再発行します)- 無料大容量ファイル転送サービス「宅ふぁいる便」 元々、パスワードを忘れた人に、パスワードを再生成して 送るという方式は、セキュリティの為に、サ
2019年1月25日、国内ファイル共有サービスで高い利用率を誇る「宅ふぁいる便」が不正アクセスの被害を受け、サービス提供元で有るオージス総研は480万件を超える情報漏洩が発生した可能性が有ると発表した。 宅ファイル便は無料で利用できる「宅ふぁいる便」と、有料サービスの「宅ファイル便プレミアム」「宅ふぁいる便ビジネスプラス」が有り、今回全てのプランが不正アクセス被害の対象となっている。なお、類似サービスの「オフィス宅ふぁいる便」は今回の不正アクセスの影響を受けていない。 現在不正アクセス被害を受けたサービスは停止中で有り、2019年1月28日23時時点では復旧の目途は立っていない。 企業の情報システム管理者は今回の「宅ふぁいる便」の不正アクセスについて、単なる1サービス事業者の不正アクセス被害と軽く受け止めるべきでは無い。まずは自社のプロキシサーバのアクセスログ等を調査し、自社の社員が「宅ふ
(2019/2/18追記)方針が変わったようで、この記事の内容は古くなりました。広告ブロック機能への影響はこの記事で書いているほどにはひどいことにはならないようです。ただ最終決定ではありませんので、どうなるかは流動的です。 After outrage over Chrome ad-block block plan, Google backs away from crippling web advert, content filters • The Register Chromeの機能拡張の仕様が変更となり広告ブロッカーが使えなくなるかもしれないとの話について。調べた範囲でまとめます。簡単にはURLブロッキングは使えるが、要素非表示は使えなくなるような気がします。 ニュース:Googleがウェブ上の広告を非表示にする広告ブロック機能をChromeなどで無効化するための施策を進める – GIG
中国の国営電気通信企業が「欧米諸国の重要なインターネットバックボーンを乗っ取っている」と、米海軍大学とテルアビブ大学の研究者らが米国時間10月21日に公開した学術論文で報告した。 その国営電気通信企業とは、中国電信(チャイナテレコム)のことだ。チャイナテレコムは2000年代初めに同社初のPoP(Point of Presence)を設置して以来、北米のネットワーク内で存在感を発揮している。 トラフィックはBorder Gateway Protocol(BGP)を使ってASネットワーク間を移動する。これを利用したBGPハイジャックと呼ばれる攻撃は、不正なBGP経路情報を流して、自分のネットワークに向けられたものではないトラフィックを受信するというものだ。 研究者らは論文の中で、チャイナテレコムがインターネットで最も確信的なBGPハイジャッカーの1つだとしている。 研究者らの指摘によると、中国
1. はじめに 最近わけあってNodeのセキュリティ調査をしているのですが、今年の5月に開催された North Sec 2018 でセキュリティ研究者の Olivier Arteau 氏による 「Prototype pollution attacks in NodeJS applications」という面白い発表を見つけました。 この発表の論文や発表資料、デモ動画などもgithubで公開されていますし、ちょうどタイミングよくセッション動画も最近公開されました。 github.com Olivier Arteau -- Prototype pollution attacks in NodeJS applications この発表で解説されているのは、悪意のある攻撃者が、JavaScript言語固有のプロトタイプチェーンの挙動を利用して、Webサーバを攻撃する方法です。 発表者は、npmからダ
LINEペイの利用を急拡大させるには、まずはそれを使える場所を格段に増やす必要がある。LINEはLINEペイが使える場所を、現在の9万4000カ所から、年度内に100万カ所まで一気に増やすという意欲的な目標を掲げている。 その達成に向けてこの8月から始めたのが、LINEペイの手数料無料化という戦略だ。LINEはスマホにインストールするだけで決済端末となる専用アプリを店舗に無料配信しているが、このアプリを使って決済した場合には、店舗(中小業者)側の手数料を3年間無料とする。 販売額に応じて課される決済手数料は現在、日本では3~4%が主流だ。アメリカでは2.5%、中国では0.5~0.6%がスタンダードとされている。 LINEの場合、とりあえずは3年間という限定ではあるものの、無料というのはかなり衝撃的だ。ヤフーのスマホ決済サービスも10月から手数料を無料にする予定で、今後は手数料無料化がスマホ
アップルバウム氏はかつてイスラエル軍情報機関のテクノロジー部隊に所属、現在は米メリーランド州に本拠を構えるセピオ・システムズの共同最高経営責任者(CEO)を務める。同社はハードウエアのセキュリティーを専門とし、通信会社の大型データセンター数カ所の調査に起用された。アップルバウム氏は顧客と秘密保持契約を結んでいるため、ブルームバーグは問題が見つかった企業の名称を明かさない方針。 アップルバウム氏によると、スーパーマイクロ製サーバーで異常な通信が見つかり、サーバーを綿密に調査した結果、ネットワークケーブルをコンピューターに接続するサーバーのイーサネットコネクタに問題のチップが埋め込まれているのを発見した。 同氏は別の複数企業が中国の下請け業者を使って製造したハードウエアの中にも、同じように手が加えられているのを見たことがあるとし、スーパーマイクロの製品だけではないと述べた。「スーパーマイクロは
職場に現れる不審者を追え! 私の間借りしている職場に夜な夜な現れる不審者を特定するために、家庭用監視カメラを購入し「開封の儀」をば行いました。 moneyreport.hatenablog.com 3,500円と安価なのに、HD画質で暗闇でも撮影できるスグレモノで、スピーカーから声を出して威嚇する事も出来たりとなかなか良さげな監視カメラ。 買ってみたのは下記のカメラです。 ・Sricam SP020 HD 720P WiFi IP Indoor Security Camera これを職場の窓が映る天井付近の壁に設置してみる事に。 本日は、アプリの連携編です。 【目次】 職場に現れる不審者を追え! 専用アプリで監視カメラを操作 監視カメラを起動! 夜に監視。遂に不審者の正体が!? 専用アプリで監視カメラを操作 まずは専用アプリをダウンロードしましょう。 【Sricam SP020専用アプリ】
「Amazon Echo」シリーズや「Alexa」アプリの通話・メッセージ機能がついに日本でも使えるように。ディスプレイ付きスマートスピーカーの「Echo Spot」でビデオ通話を試してみました。 Amazonの音声アシスタント「Alexa」には、スマートスピーカーの「Amazon Echo」シリーズや「Amazon Alexa」アプリ(iOS/Android)をインストールした端末同士で、音声通話やボイスメッセージができる機能の「Alexaコール・メッセージ」があります。 9月5日、日本でもこの機能がやっと使えるようになりました。米国でこの機能が追加されたのは2017年5月なので、随分待ちました。 「Echo」や「Echo Dot」で音声通話ができるのはもちろん、ディスプレイ付きスマートスピーカーの「Echo Spot」なら、ビデオ通話もできます。ビデオ通話もできるコミュニケーションサー
はじめに バグバウンティを本格的に始めて約2ヶ月で獲得報奨金100万超えたよ!no1zyです。 獲得報奨金額100万円達成しました!去年は5000円だったので200倍稼げました!w https://t.co/7yrCj27ITL— no1zy (@no1zy_sec) 2018年8月29日 この記事はバグバウンティを始めたいという人向けの入門記事です。私がどのように脆弱性を発見して報奨金を得たかについて紹介します。 私はwebサイトを中心にバグハントをしているため、Web中心の話になります。 筆者のスペック まず、筆者がバグバウンティを始める前に持っていた、身分、スキル・経験を紹介しておきます。 9/6現在、情報系の専門学生。 バグバウンティの運営サイドでアルバイトの経験(10ヶ月)がある。 PHP, Javascriptは読める。 Webセキュリティは基礎的な部分はわかる。 CVEは2つ
スマートフォンなどで電話やデータ通信を行うために必要なSIMカードですが、アメリカではSIMカードが乗っ取られてしまう「SIMハイジャック」が増加傾向にあります。SIMカードを乗っ取られてしまうと自身の端末で通話やデータ通信ができなくなるだけでなく、SNSの2要素認証を悪用され、SNSアカウントまで乗っ取られてしまうとのこと。ハッカーは何が狙いでSIMハイジャックを行っているのか、海外メディアのMotherboardがその理由に迫っています。 The SIM Hijackers - Motherboard https://motherboard.vice.com/en_us/article/vbqax3/hackers-sim-swapping-steal-phone-numbers-instagram-bitcoin 2017年9月頃、ソルトレークシティに住むレイチェル・オストルンドさん
Malwarebytesは7月2日(米国時間)、「New macro-less technique to distribute malware - Malwarebytes Labs|Malwarebytes Labs」において、米セキュリティベンダーのSpecterOpsのセキュリティリサーチャーであるMatt Nelson氏が、Microsoft Officeのドキュメントにおいて、マクロを悪用せずにマルウェアの感染を行える方法を発見したと伝えた。 Windows 10特有のファイルに拡張子が「.SettingContent.ms」というものがある。これはフォーマットとしてはXML形式のファイルで、コントロールパネルに対してショートカットを作成する目的で使われている。問題はこのファイルのDeepLink要素に任意のコードを書くことが可能という点にあり、ここに指定したコードがユーザーに許
こんにちは。去る11月8日に、BadUSB体験会という社内勉強会を開催しましたのでその内容を簡単に紹介します。 (KLab Advent Calendar 2016 の2日目の記事になります) 概要 BadUSBとはUSBメモリのファームウェアを書き換えてHIDデバイスとして動作させ、任意のキー入力を行う攻撃手法の事なのですが、今回はその攻撃手法の 「任意のキー入力を行うHIDデバイス」 という部分を自作してみる事で、この攻撃について学んでみます。 デバイスの入手 任意のキー入力を行うHIDデバイスの作り方には様々な方法があり、PS/2キーボードの通信プロトコルを実装してUSB -> PS/2変換アダプタを通す などの手法がありますが、現状もっとも手軽な方法としては、 キーボード操作を行えるArduinoを利用する方法があります。 Arduino には標準で、キーボードとマウスを操作するラ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く