おうちでは、Repo Lookoutから親切に書き込み可能になっていたgitリポジトリのお知らせをメールで頂きました。ありがとう!
gitリポジトリが間違って書き込み可能で公開されていないかチェックしてくれている非営利団体
すでにShella Secure Serviceは終了しているけど、squidgard.orgのリストは役立ちそう
Gitlab CIのSASTでのパスワード検知、誤検知を除外したり、独自ルールを追加したり出来る
2021-10-27 to amazon.com, autotag, aws, ble, business, security, sed, tar, world, オンライントレーニング, セキュリティ, 日本語, 運用ツール / システム運用 by takuya
Debianパッケージのautopsyでフォレンジック分析という言葉を知る
あらま。
ここにもいた!仲間が。(2021/03/18)
Semgrep 静的セキュリティ分析ツール
GitLab CIのSASTで利用している(12を超える)静的分析セキュリティアナライザー一覧
検索しまくる!
GitLabでのDevOps開発プロセスでのセキュリティ確保 - 有料版だけどね
GitLab 13.4でセキュリティスキャンが大きく変わらるらしい。無料の範囲での利用では影響は少ないけど
$ docker run --rm -v /var/run/docker.sock
gbp (git-buildpackage)でのDebianソースのビルド方法についても役に立つ
マイナーなソースなハズなのにPullRequest来たと思ったら、GitHubのBotが依存しているnodeのパッケージのセキュリティチェックしてくれてpatchつくってくれた。
というPullRequestの前に当然なおしてリリースしてたら、Pull RequestのCloseまでしてくれてたよ。
EV証明書もユーザーが見なきゃ意味無し
Webサーバのセキュリティ度合い「TLS1.0を利用してないとか…」を評価してくれる
MacでZoomをインストールしたことがあると、ローカルマシンにはport 19421で動くwebサーバがあるはずです。これは、lsof -i
キーボードアプリ 気をつけないと情報持っていかれる。
がーん 2017年9月末で修了していたなんてしらなかったよ
2019-02-26 to abs, chromeウェブストア, chrome拡張機能, google chrome, googlenews, javascript, policy, security, アプリ, サポート, サーバー, セキュリティ, ツール, データ, ドメイン, プライバシー, ライブラリ, 企業, 安全, 研究者, 米国, 脆弱性, 調査結果, 開発 by takuya
見つけて攻められるより報奨金を払って教えて貰った方がトクという戦略
意味の無い あやしいURLを排除
ThinkPHPってDebianパッケージは無く一部で流行っているモノなのかな?
「ThinkPHP」フレームワークの脆弱性を利用して、サーバをこの新しいマルウェアに感染させている。
2018年10月のWindows 10アップデートは多くの問題が発生した。ファイルの削除、ZIPファイル展開時の上書き確認の欠如、フォントレンダリングのバグなどだ。fossBytesは12月17日(米国時間)に掲載した記事「Don't Click On "Check For Updates" In Windows 10; Here's Why」で、この問題はユーザーが自発的に設定から「更新プログラムのチェック」をクリックしたことで引き起こされたと指摘した。安定したアップデートを望むのであれば、このボタンは
United States Computer Emergency Readiness Team (US-CERT)は11月19日(米国時間)、「Google Releases Security Updates for Chrome|US-CERT」において、Chromeに脆弱性が存在すると伝えた。この脆弱性を突かれると、影響を受けたシステムの制御権が乗っ取られる危険性があるとされている。Windows版、macOS版、Linux版のChromeが対象。 脆弱性に関する詳細は次のページにまとまっている。 S
色々な言語の.gitlab-ci.ymlの書き方と 解析ツールについての説明へのリンク
Docker向けセキュリティスキャナClairのDocker Image版 GitLab-CIでも使っている
ニュース 「macOS Mojave 10.14.1」が公開 ~32人まで参加できるFaceTimeと新しい絵文字を追加 多数の脆弱性を修正。「High Sierra」「Sierra」「Safari」にもセキュリティ更新 - 樽井 秀人 2018年10月31日 13
日本時間の2018年10月30日深夜、Appleが開催したイベントの中で新型「MacBook Air」が発表されました。このモデルには高いセキュリティ能力を持つ「T2チップ」が搭載されているのですが、2018年発売のブック型Macは「物理的にマイクを切り離す」というこれ以上ない確実な方法で盗聴を防ぐ仕組みが取り入れられていることが明らかになりました。 Apple’s new T2 security chip will prevent hackers from eavesdropping on your m
Apple、Google、Microsoft、およびMozillaは米国時間10月15日、各社のブラウザでTransport Layer Security(TLS)1.0と1.1を2020年上半期中に無効化することを明らか ...
流出被害に遭っているかが分かる Mozillaが無料のチェックサービス
2018年8月29日からアメリカで開催されている「Open Source Summit 2018」で、Linux開発者のグレッグ・クロー=ハートマン氏がIntel製CPUに存在した「Spectre」と「Meltdown」の脆弱性情報について、「Intelの開示があまりにも遅かったために、多くのLinux開発者が大変な思いをした」ことを明らかにしました。 Linux Kernel Developer Criticizes Intel's Meltdown Disclosure http
グーグルのセキュリティキー「Titan Security Key」がオンラインストアで発売された。
外出先で仕事をするときなどに、公共のWi-Fiネットワークを使ってインターネットに接続する機会は多いだろう。ところが、実はすべてのWi-Fi接続が安全とは限らない。あなたの大切なデータや個人情報を守るために、いますぐできる「6つの方法」を紹介しよう。
By Steven Cooper カフェなどで時間を過ごしていると、お気に入りのブランドやメディアのロゴがプリントされたステッカーを貼ったノートPCを使って作業をしている人を見かけることがあります。自分だけのカスタマイズとしてドレスアップすることは決して悪いことではありませんが、一方ではセキュリティ上のリスクを含む行為であることを考えるべきであるとセキュリティ専門家が警鐘を鳴らしています。 Putting Stickers On Your Laptop Is Probably a Bad Security
by NDRU 今月も毎月更新されるWindowsのセキュリティ更新やバグ修正が配信されるWindows Updateの日がやってきました。今月は緊急が19件、重要が39件、合計60件の脆弱性にパッチがあてられています。早めにアップデートしておきましょう。 2018 年 8 月のセキュリティ更新プログラム (月例) – 日本のセキュリティチーム https
by mjmonty Googleは2009年12月3日にパブリックDNSサービス「Google Public DNS」を提供開始しました。Google Public DNSは完全無料で誰でも使うことができ、「8.8.8.8」「8.8.4.4」という覚えやすいアドレスでも話題となりました。そして、2018年8月12日をもって8年8カ月8日8時間を迎えたとのことで、2018年8月現在のGoogle Public DNSの使用状況をGoogleが公式ブログにまとめています。 Google Online Sec
githubどこかで公開されているパスワードだとおしえてくれるようになった
グーグルは、社内でテストを続けてきたセキュリティキー「Titan Security Key」の最新バージョンを、今後数カ月以内にオンラインストアで発売するという。
Image
セキュリティ企業のTripwireは6月18日、米Googleのスマートスピーカー「Google Home」とストリーミング用端末の「Chromecast」について、ユーザーの位置情報を高い精度で流出させてしまう問題が見つかった伝えた。この問題を悪用して住所を特定されれば、脅迫や詐欺などの手口に利用される恐れもあるとしている。 スマートスピーカー「Google Home」とストリーミング用端末「Chromecast」にユーザーの位置情報を流出させてしまう問題が見つかった Tripwireのブログ Trip
ニュース 「Node.js」に複数の脆弱性、修正版v10.4.1/9.11.2/8.11.3/6.14.3が公開 脆弱性もサービス拒否(DoS)につながる恐れ - 樽井 秀人 2018年6月14日 14
シマンテックのサイト分類 レビューリクエスト
PCの内蔵スピーカーや近くにあるスピーカーから音を鳴らすだけでPCをクラッシュさせる――そんな攻撃が行われる可能性を、ミシガン大学や浙江大学などのセキュリティ研究者グループが実証したとして、ESETのセキュリティニュースサイト「welivesecurity」が注意を呼びかけている。 動画「Blue Note
Googleは、2018年9月にリリース予定のブラウザ・Chrome 69から、HTTPSに対応したサイト接続時に出る「保護されています」という表示をなくすと発表しました。 Chromium Blog
Black Duck Software(Synopsys)は5月15日、オープンソースのセキュリティに関する年次報告書「2018 Open Source Security and Risk Analysis Report(OSSRA)」を ...
キヤノンITソリューションズ(以下、キヤノンITS)は、「第21回 組込みシステム開発技術展(ESEC2018)」(2018年5月9〜11日、東京ビッグサイト)において、同年3月末に仕様が確定したTLS(Transport Layer Security)1.3のデモを披露した。
NECは、IoTシステムを構成するエッジやデバイスにおいて、不正な接続や通信を見える化し、遮断できる「IoT Device Security Manager」の提供を開始した。IoTシステムのセキュリティ管理や運用を簡便にし、省力化にも貢献する。
NECは、IoTシステムを構成するエッジやデバイスにおいて、不正な接続や通信を見える化し、遮断できる「IoT Device Security Manager」の提供を開始した。IoTシステムのセキュリティ管理や運用を簡便にし、省力化にも貢献する。
プラスチック製のカードに貼られた磁気ストライプに情報を記録する「磁気カード」は銀行のキャッシュカードやクレジットカード、コンビニなどで売られているギフトカードなど広く使われています。しかし、近年は磁気ストライプの内容を自在に書きかえられる機器が簡単に手に入るようになっており、常に偽造の被害を受けるリスクにさらされているといえます。セキュリティ専門家のBrian Krebs氏は、フロリダ大学の研究チームが見いだした偽造カードを高精度で見抜く手法を紹介し、消費者が被害を受けないための方法を発信しています。 T
今日(米国時間4/16)サンフランシスコで行われた小規模なプレスイベントでMicrosoft は、マイコンを使用するデバイスを対象とする、安全なエンドツーエンドIoTプロダクトのローンチを発表した。それらは、小型で消費電力の少ないマイコン(micro control unit, MCU)を使って最小限のコントロールやネットへの接続を行うデバイスだ。そのようなデバイスは、玩具や家庭用品、産業向けアプリケーションなど、さまざまなところで使われているが、頻繁なアップデートは行われず、セキュリティに不安のあるもの
米Googleは5月10日(現地時間)、年次開発者会議「Google I/O」で、AndroidスマートフォンのOEMとの契約で、セキュリティパッチの提供を義務付けると発表した。 「What's new in Android security」というセッションで、Androidプラットフォームのセキュリティ責任者、デイブ・クライダーマッカー氏は「これにより、定例セキュリティパッチを受けられる端末数が激増するだろう」と語った。 Androidのセキュリティ責任者、デイブ・クライダーマッカー氏 Googleは
超音波を使ってデータをやりとりする超音波通信の問題点が顕在化し始めた。標準規格がないままスマートフォンアプリなどでの利用が拡大していることで、セキュリティーとプライヴァシーの問題につながる危険性が指摘されている。その有用性に価値を見いだしたグーグルによる標準化の取り組みもあるなか、超音波通信の活用は今後どのような方向に進むのか。
The GitLab + Google Kubernetes Engine integration's versatility speeds up software development and delivery while maintaining security and scale, allowing developers to focus on building apps instead of managing infrastructure. William Chia, Senior Produc
2018-05-11 to app, autotag, ble, developers, gitlab, google cloud, google cloud platform, kubernetes, live, man, scala, security by takuya
「JIS 27000
聞こえるかな? 世界中のハッカーや諜報員たちが大声で一斉に叫んでいるよ。Internet Engineers Task Force(IETF)が今日、全会一致で、Web上の暗号化されている接続を高速化し、盗聴しづらくするセキュリティフレームワークを承認した。
それはTransport Layer Security version 1.3と呼ばれ、派手な話題ではないけど、至るところに悪いやつがいるようになったWebの、安全強化策のひとつだ。IETFは、世界中のエンジニアたちの集まりで、このようなスタンダード
アップルの「iOS Security Guide」最新版には、「iCloud」のサポートパートナーとして「Amazon S3」および「Google Cloud Platform」の名が記載された。マイクロソフトの「Azure」の名は記載されていない。
クラウドだとsecurity技術が変わる?
英国や米国の政府機関を含む4千以上のWebサイトで、仮想通貨採掘スクリプトが埋め込まれる問題が11日に発生したそうだ(Texthelpのブログ、発見者Scott Helme氏のブログ、Register、The Guardianの記事1、記事2)。
「Adobe Flash Player」v28.0.0.137(執筆時現在の最新版)およびそれ以前のバージョンには解放後メモリ利用(Use-after-free)の欠陥があり、リモートからコードを実行されてしまう可能性がある。
メールサーバのBlockが重要ね
McAfeeとTrend Microは、既に大半の製品で互換性を確認済みだと説明。ただし、Windows Updateを通じてMicrosoftのパッチを適用するには、手動でレジストリを設定する必要があるとしている
特に古いプロセッサを搭載する「Windows 7」「Windows 8」(「Haswell」やそれ以前のCPUが稼働する2015年頃のPC)で、多くのユーザーが性能への影響に気づく可能性があるとしている。「Windows 10」でも、古いハードウェアが稼働している場合、一部のベンチマークで著しい性能低下を示したという
OSアップデートが問題を起こしたり、BIOSのupdateに時間掛かったり まだまだ混乱中
Debianのintel-microcodeにもSpectre Vulnerability)対策入る
01/03/2018にIntel/AMD/ARMを含むCPUのHW由来の脆弱性(Meltdown and Spectre Vulnerability)が公開されました。それに伴い、Linux Kernel等にも脆弱性情報の公開と修正情報(CVE-2017-5753, CVE-2017-5754, CVE-2017-57!5)が公開されています。
投機的実行を悪用?
2011年8月に、米政府機関用リージョン「GovCloud」の運用を米国西海岸で開始した。米政府のセキュリティ規制に対応し、司法当局が身元確認をした米国人のみがシステムの運用に関わるというリージョンだ。情報機関専用リージョンである「Secret Region」はセキュリティ規制をさらに厳格にし、米政府のトップシークレットすら取り扱い可能にしている
サムネイル目の消し忘れかぁ
ホスト−コンテナ間でのユーザー/グループの分離 コンテナに対しSELinuxやAppArmorを使った制限を適用する
ネットサービスによっては利用者のIPアドレスを最初から公開していることがある。
SymantecのWebサイトの分類データベースへの登録 Blue Coat Proxy SGとか
このランサムウェアには欠陥があり、「install_flash_player.exe」の実行後に生成される「C
