セキュリティ
こういうまとめ、意外にないので重宝します。ありがとうございます。security.nekotricolor.com社内に共有するかどうかちょっと悩ましいところ。あんまりこれ以上出すと仕事が増える&自分たちのいろんな作業への制約が増えそうで。システム開発会社がWebア…
「宅ふぁいる便」というオージス総研がやっていたサービスで、480万件のアカウント情報が流出した件、パスワード情報が平文*1で保管されていたという件が盛り上がっています。 internet.watch.impress.co.jp これで「パスワードが暗号化されていない」という…
開発作業で使っているGitLabのリポジトリーから、そのプロジェクトでは使ってなかったPCへクローンでソースを持ってこようとしたのですが…… 現象 コマンドラインからクローンしようとすると git clone https://gitlab.com/XXXXX-products/YYYYY/ZZZZZZZZ.git…
ESETを最新版にする 長らく使っているESET ファミリーセキュリティ、よく見たらバージョン9で、最新版はバージョン11になっていました……。先ほどGoogle Chromeが「セキュリティソフトのバージョンが合わない」的なメッセージを出していたので、重い腰を上げ…
なんとなく仕事でこういうのに近いものを定めたりしないといけなくなったりしそうなので用語等をメモ。 ISO 15408 コモンクライテリア 規格などで用いる形式、用語などについて定めた「コモンクライテリア」と呼ばれるもの。 TOE(Target Of Evaluation)…… …
会社のお金で申請している情報処理安全確保支援士の資格維持に必要な購入の一つ、オンライン講習を開始しました。受講開始から3か月が期限なのでほぼ11月末まで。法人名義での支払いを選択して、支払い完了後に確認依頼を出すと1日ほどで確認&受付の通知が…
研修でC#によるアプリのセキュリティ関連の話をした流れで、CAPTCHA認証という「画像として与えられた文字を入力することで、自動的なログイン試行などを除外する」という機能を盛り込んでみることになりました。下記のマイクロソフト系サイトのコードをサン…
某所で話題になっていたので自分用メモ。ExcelなどのスプレッドシートソフトにCSVデータを取り込んだ際に、CSVにテキストとして仕込まれたコードが実行される可能性があるという問題。以下のサイトに例などが挙がっています。 The Absurdly Underestimated D…
どうもIPAのサイトで国家資格 情報処理安全確保支援士(情報セキュリティスペシャリスト:情報セキスペ)に関するページに到達しづらいので、自分用メモ。 過去に情報セキュリティスペシャリストか、テクニカルエンジニア(情報セキュリティ)に合格している…
先に書いたパスワードの定期的変更に関する内容で、NISTのガイドラインを英語で少し読んでみて以前から疑問におもってた「compromise」ってなんなの?を調べました。www.backyrd.netevidendce of compromiseという形で文章に出てきます。compromiseは「妥協…
NIST(National Institute of Standards and Technology、米国国立標準技術研究所)がセキュリティに関する文書の中で、 パスワードの定期的な変更など現時点で結構常識として扱われている方針について「やるべきではない」との見解を示したようですね。inte…
作業メモ。McAfee Application Controlに関連する既知の不具合、報告情報。 MAC 6.1.1 Known Issues https://kc.mcafee.com/corporate/index?page=content&id=KB78591 MAC 6.1 Known Issues https://kc.mcafee.com/corporate/index?page=content&id=KB76457 …
ホワイトリスト方式で利用可能なアプリなどを制限する、McAfee Application Controlが出すログについての情報がMcAfeeのKBにあったのでメモ。 ログの種類と内容について https://kc.mcafee.com/corporate/index?page=content&id=KB80155&locale=ja_JP&viewlo…
何に情報を持たせられるか、という観点で考えていくと、データを伝える方法は画面出力だけではないんですよね。 Time-based SQL Injectionは意外に実用的だった/徳丸浩の日記 http://blog.tokumaru.org/2015/04/time-based-sql-injection.html 条件に一致す…
セキュリティ回りの設定調査の過程で、ACRegl.exeというプログラムとそれに関連するスクリプト(実体はバッチファイル)について調べることがあったので、関連情報をメモしておく。あとでまとめること>自分。 Citrix User Profile Manager (UPM) and the Br…
ちょっと仕事の調べ物メモ。 発行元証明書の取り消しを確認する にチェックが入っている場合に、Imageのロードに時間がかかる/MSDNフォーラム http://social.msdn.microsoft.com/Forums/ja/wpfja/thread/c88e0466-900b-46d2-8dbd-59ac98ddd77a WIC 対応コー…
実家PCのNorton InternetSecurityの期限切れにあわせて、値段がばからしいので新しいAntiVirusに換える(Internet Securityの更新は4800円もする。2台のPCを合わせると、AntiVirusを2本買った方が安い)。で、インストールしたAntiVirusが、疑わしいファイル…
