OpenSSLのコマンドでmd5を取ったり ファイルを暗号化したり出来るのね
Black Duck Software(Synopsys)は5月15日、オープンソースのセキュリティに関する年次報告書「2018 Open Source Security and Risk Analysis Report(OSSRA)」を ...
オープンソースのセキュリティ脆弱性検査ツール
Adobe Readerなどの「編集」メニューから「環境設定」を選択。表示されたダイアログで「信頼性管理マネージャ」を選択し、「外部アプリケーションでPDF以外の添付ファイルを開くことを許可
メールアドレスがあれば無料で証明書を手に入れることができる。
いつもつかっているサイトか確認できるツール
dkim-milterがObsoleteになっていると思ったらOpenDKIMに移行したのね。とりあえず設定ファイルはそのまま使えそう
2021-10-27 to amazon.com, autotag, aws, ble, business, security, sed, tar, world, オンライントレーニング, セキュリティ, 日本語, 運用ツール / システム運用 by takuya
SSLのチェック 最近チェックされたドメインリストに名前が出てしまうので、ドメイン名入力欄の下にあるチェックボックスをオンにしてリスト掲載を拒否する。
Semgrep 静的セキュリティ分析ツール
がーん 2017年9月末で修了していたなんてしらなかったよ
gitリポジトリが間違って書き込み可能で公開されていないかチェックしてくれている非営利団体
Debianパッケージを更新してハッシュ値が更新された場合。(最近のDebianでは自動的にやるみたい)$sudo rkhunter --propupd
「NTTドコモの携帯電話だけは違う挙動をします。どうやらドコモ側のメールゲートウェイではあらかじめ登録された拡張子以外の添付ファイルが付いたメールは、本文と添付ファイルが削除
HA-256 や MD5 といったハッシュ関数は、GPU を用いるか、もしくは専用のハードウェア (FPGA もしくは ASIC) を製作することで非常に高い効率で計算(攻撃)ができてしまうことが知られています。
tripwireの運用 tripwire -m c -s -c tw.cfg # チェック実行 tripwire -m u -r /usr/local/lib/tripwire/report/www-20070710-201429.twr #ファイルDBに追加
suによるroot 権限への昇格を制限する file
悪いWebサイトのブラックリストとずっとお世話になってきたけど、いつのまにかサービス終了。残念
仙石さんのstone 最近はconnect.cの方が流行っているかもしれないけれど
SIP,IAXで総当たり攻撃が来た場合にiptablesでブロックする
あら止められちゃうの
おうちのMyIPのアドレスが http
なぜSPFでrejectされたか教えてくれる。
すでにShella Secure Serviceは終了しているけど、squidgard.orgのリストは役立ちそう
そうSSHの鍵をどのように管理するかって悩む。 まーどんどん捨てる、必要ならば新しい鍵を作る。というのが答えなんだろうけど
sshでログインミスしたユーザ名top10と100
GitLab CIのSASTで利用している(12を超える)静的分析セキュリティアナライザー一覧
シマンテックのサイト分類 レビューリクエスト
日本時間の2018年10月30日深夜、Appleが開催したイベントの中で新型「MacBook Air」が発表されました。このモデルには高いセキュリティ能力を持つ「T2チップ」が搭載されているのですが、2018年発売のブック型Macは「物理的にマイクを切り離す」というこれ以上ない確実な方法で盗聴を防ぐ仕組みが取り入れられていることが明らかになりました。 Apple’s new T2 security chip will prevent hackers from eavesdropping on your m
聞こえるかな? 世界中のハッカーや諜報員たちが大声で一斉に叫んでいるよ。Internet Engineers Task Force(IETF)が今日、全会一致で、Web上の暗号化されている接続を高速化し、盗聴しづらくするセキュリティフレームワークを承認した。
それはTransport Layer Security version 1.3と呼ばれ、派手な話題ではないけど、至るところに悪いやつがいるようになったWebの、安全強化策のひとつだ。IETFは、世界中のエンジニアたちの集まりで、このようなスタンダード
今日(米国時間4/16)サンフランシスコで行われた小規模なプレスイベントでMicrosoft は、マイコンを使用するデバイスを対象とする、安全なエンドツーエンドIoTプロダクトのローンチを発表した。それらは、小型で消費電力の少ないマイコン(micro control unit, MCU)を使って最小限のコントロールやネットへの接続を行うデバイスだ。そのようなデバイスは、玩具や家庭用品、産業向けアプリケーションなど、さまざまなところで使われているが、頻繁なアップデートは行われず、セキュリティに不安のあるもの
身代金要求型不正プログラム(ランサムウェア)が依然として猛威を振るっており、対策は待ったなしの状況です。現状の被害傾向を踏まえ、最低限対策すべきことを紹介します。
オープンリゾルバ(Open Resolver)のチェックをしてくれる
コードサインしようと思って思い出したけどThawteの無料証明書は終わったんだった…
スラッシュの後付けなどをURL書き換えによって統一する方法
tripwireの設定ファイルの暗号化・復号化の方法
iptablesのフロントエンドufwのGUI 簡単にIP firewallの設定が出来る。 Desktop向き サーバ向きではない
たくさんのアンチウィルスソフトでの解析結果を出してくれる
Vulsの使い方 github上だけど日本語Getting Start
SymantecのWebサイトの分類データベースへの登録 Blue Coat Proxy SGとか
トラップスクリプトをしかけて、人に読まれていないか確認する。
2018年10月のWindows 10アップデートは多くの問題が発生した。ファイルの削除、ZIPファイル展開時の上書き確認の欠如、フォントレンダリングのバグなどだ。fossBytesは12月17日(米国時間)に掲載した記事「Don't Click On "Check For Updates" In Windows 10; Here's Why」で、この問題はユーザーが自発的に設定から「更新プログラムのチェック」をクリックしたことで引き起こされたと指摘した。安定したアップデートを望むのであれば、このボタンは
2000とXP SP2のサポート終了。 「Windows 7に移行するには当然コストがかかるが、その価値は十分あると考えている」って誰の価値?
スパイウェア対策
WindowsXPで KB2862330 が繰り返されるので非表示にした。 どうせ2014/3月末までだし
無線LANを利用するときには必須の更新プログラム
ソフトウェア制限ポリシーの生成 「管理ツール」から「ローカルセキュリティポリシー」を開き、「ソフトウェアの制限のポリシー」を右クリックして「新しいソフトウェアの制限のポリシー」
外出先で仕事をするときなどに、公共のWi-Fiネットワークを使ってインターネットに接続する機会は多いだろう。ところが、実はすべてのWi-Fi接続が安全とは限らない。あなたの大切なデータや個人情報を守るために、いますぐできる「6つの方法」を紹介しよう。
超音波を使ってデータをやりとりする超音波通信の問題点が顕在化し始めた。標準規格がないままスマートフォンアプリなどでの利用が拡大していることで、セキュリティーとプライヴァシーの問題につながる危険性が指摘されている。その有用性に価値を見いだしたグーグルによる標準化の取り組みもあるなか、超音波通信の活用は今後どのような方向に進むのか。
tcpdumpより賢そうなWireshark
クラウドだとsecurity技術が変わる?
Thales e-Securityの調査によれば、日本はデータ保護に関心を持ちながら、実際にはネットワークセキュリティに支出しているという。
普通のS/MIMEなら良さげ
インターネット ゾーンのフォルダーが出来る
MacでZoomをインストールしたことがあると、ローカルマシンにはport 19421で動くwebサーバがあるはずです。これは、lsof -i
なんかMicrosoft Security Essentialsをインストールもアンインストールもできなくなったようなので、これを試してみる
「Adobe Flash Player」v28.0.0.137(執筆時現在の最新版)およびそれ以前のバージョンには解放後メモリ利用(Use-after-free)の欠陥があり、リモートからコードを実行されてしまう可能性がある。
gbp (git-buildpackage)でのDebianソースのビルド方法についても役に立つ
UserDir disabled/enabled で /~user名 でのURLアクセスOn/Offをユーザごとに管理できる
2018年8月29日からアメリカで開催されている「Open Source Summit 2018」で、Linux開発者のグレッグ・クロー=ハートマン氏がIntel製CPUに存在した「Spectre」と「Meltdown」の脆弱性情報について、「Intelの開示があまりにも遅かったために、多くのLinux開発者が大変な思いをした」ことを明らかにしました。 Linux Kernel Developer Criticizes Intel's Meltdown Disclosure http
ニュース 「macOS Mojave 10.14.1」が公開 ~32人まで参加できるFaceTimeと新しい絵文字を追加 多数の脆弱性を修正。「High Sierra」「Sierra」「Safari」にもセキュリティ更新 - 樽井 秀人 2018年10月31日 13
ニュース 「Node.js」に複数の脆弱性、修正版v10.4.1/9.11.2/8.11.3/6.14.3が公開 脆弱性もサービス拒否(DoS)につながる恐れ - 樽井 秀人 2018年6月14日 14
CSRFなどの説明 クロスサイト
ClamAVに検知ルール追加
ファイルが人質にとられてしまった人を救う
MobileTerminal】をインストールして、rootとユーザのバスワードをalpineから変える
検索しまくる!
レジストリチェックなど、なかなか良さそうだ
シャドーでクラウドを利用しているのかぁ シャドーでプライベートクラウドしているのだとタイトルを見たときに思った
googleには無いMSのサービス
ここにもいた!仲間が。(2021/03/18)
ありゃ aguse.netはドメイン失効してしまったのね。便利に使っています。
たしかに識別できそうな気がする
Brute Force Attackされたときの対策メモ
ユーザーさまご本人がパスワード変更を行うまで、ログイン不可となります。
updated: 2008-12-06, original: 2007-04-08 to firefox, firefox plugin, firefoxお薦めadd-on, security by takuya
「シャドーIT」について、「管理者の立場から一方的に“敵視”するのではなく、ユーザー視点に立って(条件付きで)受け入れていくべきだ
げ、いつのまみかインスタントアップロードをONにしていたらiPhoneで取ったメモのための写真などがみんなGoogleにuploadされた!
ネット専業銀行がPhishWallプレミアムなどをはじめたけどIEだけなのね
投機的実行を悪用?
マイクロソフトの無償アンチウィルス
実は,Gumblarの攻撃用サーバー(図2の不正なWebサイト(1))は一部の亜種を含め,「gumblar.cn」「martuz.cn」「zlkon.lv」の三つのドメイン名しか使われていない
キーボードアプリ 気をつけないと情報持っていかれる。
今選ぶのであれば、SHA-2(SHA-224、SHA-256、SHA-384、SHA-512)でしょう。(SHA-3は2012年に選定予定) 米国だとSHA-1の代わりに使うのは、SHA-256だと言われているようです。
見つけて攻められるより報奨金を払って教えて貰った方がトクという戦略
2段階認証プロセスは、iPhoneアプリで使えばそんなに不便じゃないけれど
意味の無い あやしいURLを排除
これ良いかも!
多角的な認証、暗号化、電子証明などを組み合わることで、セキュリティを確保
って言ったってWindwos98,Windows Meは兎も角Windows2000はまだ残っちゃうよね~ といってもVMware上でしか残していないけど…
SFMTAのネットワークは開けっ放しだったので2000台のサーバーとPCが感染
運用観点で言うと大きな違いはInspectorはSaaSでVulsは自分で運用する点、あとはエージェントの有無でしょうか。VulsはSSHでチェックするのでエージェントは不要です。
PCの内蔵スピーカーや近くにあるスピーカーから音を鳴らすだけでPCをクラッシュさせる――そんな攻撃が行われる可能性を、ミシガン大学や浙江大学などのセキュリティ研究者グループが実証したとして、ESETのセキュリティニュースサイト「welivesecurity」が注意を呼びかけている。 動画「Blue Note
一瞬何の話か分からなかったのは AdBlock http
Macアドレスについて
AVGがWindows XPのuser32.dllを誤検知してOSが起動できなくなるらしい
