「宅ふぁいる便」というオージス総研がやっていたサービスで、480万件のアカウント情報が流出した件、パスワード情報が平文*1で保管されていたという件が盛り上がっています。 internet.watch.impress.co.jp これで「パスワードが暗号化されていない」という…

ハッシュ値を実際に作ってみる

開発作業で使っているGitLabのリポジトリーから、そのプロジェクトでは使ってなかったPCへクローンでソースを持ってこようとしたのですが…… 現象 コマンドラインからクローンしようとすると git clone https://gitlab.com/XXXXX-products/YYYYY/ZZZZZZZZ.git…

GitLabからクローンしようとして認証失敗する場合の対応例

ESETを最新版にする 長らく使っているESET ファミリーセキュリティ、よく見たらバージョン9で、最新版はバージョン11になっていました……。先ほどGoogle Chromeが「セキュリティソフトのバージョンが合わない」的なメッセージを出していたので、重い腰を上げ…

セキュリティソフトアップデート

なんとなく仕事でこういうのに近いものを定めたりしないといけなくなったりしそうなので用語等をメモ。 ISO 15408 コモンクライテリア 規格などで用いる形式、用語などについて定めた「コモンクライテリア」と呼ばれるもの。 TOE（Target Of Evaluation）…… …

情報セキュリティ / 気になるワード / ISO/IEC 15408コモンクライテリア

会社のお金で申請している情報処理安全確保支援士の資格維持に必要な購入の一つ、オンライン講習を開始しました。受講開始から3か月が期限なのでほぼ11月末まで。法人名義での支払いを選択して、支払い完了後に確認依頼を出すと1日ほどで確認＆受付の通知が…

情報処理安全確保支援士のオンライン講習開始

研修でC#によるアプリのセキュリティ関連の話をした流れで、CAPTCHA認証という「画像として与えられた文字を入力することで、自動的なログイン試行などを除外する」という機能を盛り込んでみることになりました。下記のマイクロソフト系サイトのコードをサン…

C#でCAPTCHA認証を取り入れてみる

某所で話題になっていたので自分用メモ。ExcelなどのスプレッドシートソフトにCSVデータを取り込んだ際に、CSVにテキストとして仕込まれたコードが実行される可能性があるという問題。以下のサイトに例などが挙がっています。 The Absurdly Underestimated D…

CSVインジェクションなんてものがあるんですね

どうもIPAのサイトで国家資格 情報処理安全確保支援士（情報セキュリティスペシャリスト：情報セキスペ）に関するページに到達しづらいので、自分用メモ。 過去に情報セキュリティスペシャリストか、テクニカルエンジニア（情報セキュリティ）に合格している…

情報処理安全確保支援士 資格申し込みに関する情報

先に書いたパスワードの定期的変更に関する内容で、NISTのガイドラインを英語で少し読んでみて以前から疑問におもってた「compromise」ってなんなの？を調べました。www.backyrd.netevidendce of compromiseという形で文章に出てきます。compromiseは「妥協…

「compromise」の意味

NIST（National Institute of Standards and Technology、米国国立標準技術研究所）がセキュリティに関する文書の中で、 パスワードの定期的な変更など現時点で結構常識として扱われている方針について「やるべきではない」との見解を示したようですね。inte…

NISTがパスワードの定期的な推奨を「させるべきではない」としたガイドラインを公開

作業メモ。McAfee Application Controlに関連する既知の不具合、報告情報。 MAC 6.1.1 Known Issues https://kc.mcafee.com/corporate/index?page=content&id=KB78591 MAC 6.1 Known Issues https://kc.mcafee.com/corporate/index?page=content&id=KB76457 …

McAfee Application Control 既知の問題

ホワイトリスト方式で利用可能なアプリなどを制限する、McAfee Application Controlが出すログについての情報がMcAfeeのKBにあったのでメモ。 ログの種類と内容について https://kc.mcafee.com/corporate/index?page=content&id=KB80155&locale=ja_JP&viewlo…

McAfee Application Controlのログ

何に情報を持たせられるか、という観点で考えていくと、データを伝える方法は画面出力だけではないんですよね。 Time-based SQL Injectionは意外に実用的だった/徳丸浩の日記 http://blog.tokumaru.org/2015/04/time-based-sql-injection.html 条件に一致す…

Time Based SQL Injection、面白いですね

セキュリティ回りの設定調査の過程で、ACRegl.exeというプログラムとそれに関連するスクリプト（実体はバッチファイル）について調べることがあったので、関連情報をメモしておく。あとでまとめること＞自分。 Citrix User Profile Manager (UPM) and the Br…

Windows Server 2003で動くACRegl.exeって何？

ちょっと仕事の調べ物メモ。 発行元証明書の取り消しを確認する にチェックが入っている場合に、Imageのロードに時間がかかる/MSDNフォーラム http://social.msdn.microsoft.com/Forums/ja/wpfja/thread/c88e0466-900b-46d2-8dbd-59ac98ddd77a WIC 対応コー…

CRL（Certificate Revocation List）のこと

実家PCのNorton InternetSecurityの期限切れにあわせて、値段がばからしいので新しいAntiVirusに換える（Internet Securityの更新は4800円もする。2台のPCを合わせると、AntiVirusを2本買った方が安い）。で、インストールしたAntiVirusが、疑わしいファイル…

ウィルス？