はてなキーワード: セキュリティとは
俺も似たような経験あるなぁ
社内のエンジニアが「OAuthについて全員が理解する必要がある」って言ったのよ
俺はコードが動かせればいいレベルと思ってたが、いかにも深刻そうに「理解を」って言い始めたから、セキュリティの論文を読まなきゃいけねーと思い始めたの
それはそれは怖かったよ
ブログやIT技術者向けSNS等は利用しておらず、はてブやTwitterでやるにはやや長いので、増田に投稿
Windows 10 (22H2 19045.4170) 上のEdgeを、数十のタブを開いたまま新バージョン (123.0.2420.53) に更新したらハングアップしたため、タスクマネージャーで強制終了させた
その後Edgeを起動させようとすると、更新時に閉じたセッションを復帰させる段階で強制終了するようになり、使用不能になった
Edgeに導入していた拡張機能には、Session Budy (4.0.2。GoogleのManifest V3に対応するため、最近大規模改修を実施(1。増田の最終節の同番号を参照。以下同)) やuBlock Origin (1.56.0。新規のマイフィルターを多数追加中だった) 等があった
「Edgeが起動しない」と直截な語句で検索していくつかの解説ページにたどり着いた
いくつかの解決策(2・3)を実行したところ、有効ではなかったが次の知見が得られた
数日程度では修復できないだろうと判断し、別のChromiumブラウザを使いつつ、片手間で修復方法を調べることにした
Windowsの設定画面等にあるリンクが有効になるよう、デフォルトのwebブラウザをEdgeから変更した
パスワードは別ツールで管理してたため無くてもそんなに困らなかったが、uBlockの設定とSession Budyで雑に保存してた閲覧履歴は必要だったので、Chrome拡張の復旧作業をした
"Default\Local Extension Settings"以下のフォルダと、念のために"Default\IndexedDB""Default\Local Storage\leveldb"の中身を移植(8)して作業完了
アイテムの履歴データ破損が問題の原因ではと考えてその修復や初期化方法を検索したが、これは徒労に終わった(ただし、このアプローチが完全に無効だとは言い切れない。参考ページ5は、復旧作業完了後に見つけた情報で、今回の問題に活用できずに終わった)
「コントロールパネル→システムとセキュリティ→セキュリティとメンテナンス→信頼性履歴の表示→問題レポートをすべて表示」で確認できた、Edgeの問題の要約やイベント名等で検索したところ、再インストールを勧めるページが数点引っかかった
既に何日も経ちWindowsの再インストールかユーザーアカウントの作り直しをしようかと考えかけていたが、もう少し努力してみることにした
Edgeを (アプリファイルを手動で削除したりするのではなく) なるべく安全にアンインストールすれば、正常に再インストールできるのではと考え、検索結果通り(11・12)に作業してみた
それでも「アプリ」のアンインストールメニューは無効なままで操作できなかったが、他に事例が無いか、"IntegratedServicesRegionPolicySet.json"等の関連語句で再検索した
コマンドラインでアンインストールを試みた事例(13)が見つかり、実行したらEdgeが削除された (ただし、コマンドプロンプトでもポップアップウィンドウでも実行結果の表示がされなかった)
そして参考ページ4のインストーラを実行し、念のために修復とOSの再起動をかけ、Edgeの起動を確認した
Microsoftアカウントにログインしていたため、パスワードは簡単に復旧できた
拡張機能は全て死んでいたが、仮に使っていたChromiumブラウザからコピペしたりエクスポートしたりして終了
利用していた拡張が少なかったので、プロファイルフォルダの内容の移植よりもその方が簡単だった
1. SESSION BUDDY V3 END OF LIFE | Google グループ
https://groups.google.com/g/sessionbuddy-discuss/c/HQPcLOq3-Ik
2. Microsoft Edgeが直ぐ閉じてしまう。 | Microsoft コミュニティ
https://answers.microsoft.com/ja-jp/microsoftedge/forum/all/microsoft/c414d2f9-b685-471c-8e78-2054c2e26c6c
3. ある日突然「Microsoft Edge」が開かなくなった、さあどうしましょう:山市良のうぃんどうず日記(224) | @IT
https://atmarkit.itmedia.co.jp/ait/articles/2202/02/news009.html
https://www.microsoft.com/ja-jp/edge/download?form=MA13FJ
5. Windows10の「タスクバーにピン留めしているアプリ」の、「最近使ったもの」と「固定済み(いつも表示)」の設定ファイルとレジストリはここにある #Windows10 | Qiita
https://qiita.com/RyoIchimura/items/7e33980358f07e57a715
6. msconfig(システム構成)で解除してよいのは?使用場面と起動方法 | ドスパラ通販【公式】
https://www.dospara.co.jp/5info/cts_str_pc_msconfig.html
7. Windows Hello の概要とセットアップ | Microsoft サポート
https://support.microsoft.com/ja-jp/windows/windows-hello-%E3%81%AE%E6%A6%82%E8%A6%81%E3%81%A8%E3%82%BB%E3%83%83%E3%83%88%E3%82%A2%E3%83%83%E3%83%97-dae28983-8242-bb2a-d3d1-87c9d265a5f0
8. chrome.storageの実体の場所 #Chrome | Qiita
https://qiita.com/k7a/items/cf644471d34d31f398e9
9. 第2回 グループ・ポリシーとは何か:グループ・ポリシーのしくみ(3/5 ページ) | @IT
https://atmarkit.itmedia.co.jp/ait/articles/0602/23/news119_3.html
10. Microsoft Edge ブラウザー ポリシーに関するドキュメント | Microsoft Learn
https://learn.microsoft.com/ja-jp/deployedge/microsoft-edge-policies
11. Windows 11/10からMicrosoft Edgeをアンインストールするシンプルな方法が見つかる | ソフトアンテナ
https://softantenna.com/blog/windows-11-10-uninstall-edge/
12. Releases · thebookisclosed/ViVe | GitHub
https://github.com/thebookisclosed/ViVe/releases
弊社サービスをご利用いただいているお客様への重要なご報告とお詫び
このたび、弊社のサービス「WelcomeHR」におきまして、弊社のお客様の個人データが、限定された特定の条件下において外部から閲覧可能な状態にあり、これにより個人データが漏えいしていたことが判明いたしました(以下「本件」といいます。)。その内容と現在の状況について、下記のとおり、お知らせいたします。
お客様には大変ご心配をおかけする事態となりましたことを深くお詫び申し上げます。
1. 本件の概要
本来、お客様がストレージサーバーに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバーのアクセス権限の誤設定により、閲覧可能な状態となっておりました。
当該誤設定により、ファイルの一覧の情報をもとに各ファイルをダウンロードすることも可能となっており、実際に第三者によるファイルのダウンロードが行われていたことが発覚いたしました。
氏名、性別、住所、電話番号、お客様がアップロードした各種身分証明書(マイナンバーカード、運転免許証、パスポート等)、履歴書等の画像
162,830人(うち、第三者によるダウンロードが確認されたものは、154,650人)
なお、本件で漏えいした情報は、弊社と直接契約しているお客様環境のものです。OEM契約又は再使用権許諾契約に基づくお客様に関しては、別環境であるため、対象ではありません。
3. 期間
(1)ダウンロードが確認された期間 2023年12月28日から2023年12月29日
(2)閲覧が可能であった期間 2020年1月5日から2024年3月22日
4. 原因
5. 経緯
2024年3月22日、セキュリティ調査を実施していたところ、サーバーのアクセス権限の誤設定が報告され、同日、直ちに是正いたしました。その後の調査の結果、2024年3月28日、上記期間において第三者によるダウンロードが確認されました。
逆にこんなガバガバな意識とオペレーションで個人情報扱うSaaS立ち上げてるとこもあるんだなと逆に感心してしまった
やったもん勝ちなとこあるな
お前らの給料と違って収入が企業みたいな規模なんだから金の管理を人に委託するのは当然だし
預金保険制度の限度額も遥かに超過した大金を自分一人の力だけで管理できるわけないだろう。
そもそも昔から親族やエージェントに任せてた金を横領されたスポーツ選手なんてのはいっぱいいて、よくある悲劇でしかない。
30 for 30というESPNのドキュメンタリーのBrokeというエピソードでも
有名なアメフト選手のBernie Kosarが親に任せた金を使い込まれた例が紹介されている。
そもそも引退後に破産するアスリートは多く、NBAプレイヤーの60%が引退後5年以内に破産してるという。
大体説明責任説明責任と馬鹿の一つ覚えみたいに言うが、仮にも被害者とされてる人間に対してその口の利き方は何なんだ?
お前が泥棒に家を荒らされた時、こう言ってやろうか?
「どんな経緯で盗まれたのかちゃんと説明しろ!セキュリティに問題はなかったのか?泥棒と結託して保険金をだまし取ろうとしてるに違いない!犯人に鍵を預けてたのか?犯罪者とのつながりだ!」と。
iPhoneやiPadのパスコードを長らく設定しないで運用してるんだけど、OSのアップデート後にパスコードや生体認証を登録させようとしてくるUIもキャンセルが分かりづらくて面倒
出題科目
■必修科目
1. セキュリティ論
2. ネットワーク論
3. アルゴリズム論
- Rails, Laravel, Django, Spring
- React, Vue
8. OS
1. クラウドインフラ開発実務
4. アプリ開発実務
セキュリティの考え方って知ってるかなぁ🥺
「基幹系システムの場合、初期リリースが登場してから2~3年たったバージョンを使って稼働するシステムが多い」とNECの担当者は話す。機能追加などで保守の頻度が高い顧客向けのWebサービスなどと異なり、基幹系システムの構築には時間がかかる。また最新の技術よりも安定稼働を重視するケースが多い。
その結果、基幹系システムで採用するPostgreSQLのバージョンは最新版よりも古くなり、「稼働後2年でデータベースをバージョンアップする」といった事態に直面する。サポート期間が終了すれば脆弱性が発見されてもパッチの提供はない。サポート期間が切れたソフトウエアを基幹系システムで利用するのはセキュリティーの観点から大きな問題となる。
サポート期間は終了するが、有償のサポートサービスを契約してでもPostgreSQLのバージョンアップは避けたい――。こう考えるユーザー企業に向けたサービスがNECのパッチサービスだ。
https://xtech.nikkei.com/atcl/nxt/column/18/00989/032000143/
わろた
こんな土人みたいな速度でやってたらマジでインドやインドネシアや新興国に抜かれるぞ・・・
追記)
なにが土人かというと、「特に何の理由もなく2年遅れて使っている」という脳死ビジネスなところかな
2年遅れれば安定するっていう理由もないんだけどね
上乗せ型で複雑性の注入
土人すぎる
追記2)
2年遅れのものを使ってたらどう違うん?
良い質問ですね。
基本的には、「疎通先システムや対向システムが古いバージョンに対応しなくなっててんやわんや」
「最新バージョンなら一瞬で終わることが手間が数倍増えててんやわんや」
みたいな感じかな。
土人が騒いでるみたいな感じになるよ。
複合機(MFP、いわゆるコピー機)では、IPAの「デジタル複合機のセキュリティに関する調査報告書」にて、「PJLコマンドを悪用した攻撃(ディレクトリ・トラバーサル)」の具体例が示されている。 手順としては極めて簡素なもので、PJLコマンドでファイル名「passwd.txt」を探し、これをダウンロードするというものである。 対策としては、このような印刷以外の機能についてはプリンターや複合機がPJLのどの命令に対応しているかといった情報は探しても見つかりにくい為、複合機に対してジョブデータを投入できるホストを特定のプリントスプールサーバやスキャンとファクスのゲートウェイサーバなどに限定する方法が示されているにすぎないが、インターネットから誰もがアクセス可能な状態にしてしまっている複合機があり、2010年の調査ではこのような複合機を位置マッピングした結果、日本、台湾、アメリカ、ヨーロッパなどで国土の全域に渡って設置されていたので、使用者の根本的なセキュリティーに対する認識の甘さにも原因がある。 また、関連してPostScriptも攻撃に利用可能であり、開発者は注意が必要とされている。
いまだにhttp:なのがあるんだけどセキュリティガバガバ過ぎね?
おまけにセキュリティ設定でパスワード要求してくるんで危なっかしいったら無いわ。
信じられない人もいるかもしれないけど、
これを言う人は、おそらくデジタルカードにすれば役所に行かず自宅で作成・更新が完結すると思っているんだろう。
そのついでにカードを渡しているにすぎないので、デジタルカードにしても役所に行く必要性は変わらない。
またデジタルカード自体は既に実現されていて、物理カードを対応スマホに読み込めばスマホ内に電子証明書が作られて、スマホがマイナカード化する。
だからマイナカードでできること=スマホでもできることになる。
スマホが運転免許証や保険証として使えるようになるという話はそのため。
スマホを落としても、物理カードがあれば落としたスマホ内の電子証明書を無効化したり、また新しいスマホに電子証明書を作ったりできる仕組み。
物理カードがある方が普通に便利。無くすのはデメリットしかない。
役所に行かなきゃできなかった行政手続きも最近はマイナンバーカードを使えばスマホでできる。
しかしそういう非対面の手続きは、対面確認して作られた身分証の信頼性が担保になっている。
信頼性の大本になる身分証まで非対面で作れてしまうと本末転倒。
非対面で色々便利に手続きできるかわりに、最初は対面確認が必要ということ。
それマイナンバーが漏れただけでなりすましが続出するので無理に決まってるよね。
マイナカードは、カード本体とパスワードの二要素認証でセキュリティを確保している。
また本人確認にマイナンバーは関係なくて、マイナンバーカードに搭載された電子証明書によって本人確認している。
仮に色んな企業がマイナンバーを無差別に収集してしまうと、マイナンバーが漏れただけで色んな個人情報が名寄せ可能になってしまう。