お漏らしが発生。お名前.comさんで自分もドメインを1個管理してました。メールマガジンの受信を遠慮する設定にしていたので、幸い、他所様のお名前とドメイン名が入ったメールマガジンは届きませんでした。しかし、下記の文面からは自分の情報が漏れていない…

2014-07-05 記事もブックマークコメントも参考になりました。 Windows の人は Putty/WinSCP がデフォルトで 1024 ビットの鍵を作るので要注意 http://b.hatena.ne.jp/Magicant/20140705#bookmark-202660386 自分の鍵を確認したらその通りだったので、2048bit…

仕事から帰ってきてネットを見ていたら、IPAから新しいセキュリティの資料が出ていることに気づきました。 情報処理推進機構：情報セキュリティ：脆弱性対策：「『新しいタイプの攻撃』の対策に向けた設計・運用ガイド」を公開 http://www.ipa.go.jp/securit…

鍵交換方式でSSHを使うなら、ssh-agentもssh-keysignも有効にしておく必要があります。 作業メモ: setuid/setgidされているコマンドを見てみる - 虎塚 ・・・などと書いたのだけれども、調べたらUSO-800だったので、訂正します。 ssh-keysignは、ユーザ認証…

Linuxサーバを堅牢化する方法のひとつに、「余計なsetuidやsetgidを無効にする」というのがあります。rootが不正利用されたときの危険性を減らすためです。 サーバを構築する際には、常にその用途を心にとどめておき、それに応じてシステムを構築します。可…

EC2を使う際に、セキュリティを保つためにできることは色々あります。インスタンスへログインするために、独自に作成した鍵を使うことも、その1つです。次の文書でも解説されています。 Amazon Web Services: Overview of Security Processes（PDF） 2011年4…

Webアプリケーションのログインに使うユーザパスワードは、安全のため、平文のままデータベースに保存してはいけません。保存するのは、ハッシュ化した値を利用します。保存したデータと、ユーザが入力した文字列をハッシュ化したものを突き合せて、認証を行…

パブリッククラウド上の仮想インスタンスでセキュリティを保つ方法を、昨夜から調べています。トレンドマイクロさんの資料に、このあたりのネタが載っていました。 Encryption in the Public Cloud: 16 Bits of Advice for Security Techni… 観点のヒントに…

火曜の夜、第1回 神泉セキュリティ勉強会へ参加してきました。 http://atnd.org/events/8398 自分はこの分野の知識が足りないので、内容をレポートするのはムリです。。。というわけで、感想だけ。徳丸さんの講演を聞いていて思ったのは（内容に対する直接的…

絵描きにおなじみ dot per inch ではなく。 IT Business Edge | News, Analysis, and Trends 11ページ目に、セキュアなクラウドコンピューティング環境において重要なテクノロジ、と題されたグラフが載っています。1番にきているNetwork intelligence system…

一応メモ。にしてもCloud Controlsですか。なんという、ざっくりした名称。思い切ったなあ。 Cloud Security Alliance (CSA) - security best practices for cloud computing 概要 The Cloud Security Alliance today has announced the availability of ver…

公にしているメールアドレスで探して発見されたい人には、便利な機能ですが・・・。# 適当なバリデーションの方が気になる。"Avalilable!"てヲイ。仕事用のメールアドレスで登録したことをうっかり忘れて、アレゲな発言ばかりしていた人とか、就職活動中の学…

http://d.hatena.ne.jp/BEW/20100115 http://d.hatena.ne.jp/BEW/20100121/1264078657 楽天のWebサイトで他の人のログイン後画面が見えてしまう件についてメモ。2007年にも見られた不具合なんですね。今回もこれと同じでしょうか。 プロキシサーバーを利用し…

秋の情報セキュリティスペシャリスト試験に合格したので、勉強に使った本をメモしておきます。ここでは、試験対策に特化したいわゆる参考書・問題集的な本のみをふり返っていますが、セキュリティに関する一般の入門書やWebも、広く浅く読みました*1。試験対…

先々週に本屋で見つけて、おっと思って買っておいた雑誌。やっと読んだ。セキュリティExpert 2009作者: 編集部,B5出版社/メーカー: 技術評論社発売日: 2009/09/12メディア: 大型本購入: 3人 クリック: 4回この商品を含むブログ (1件) を見る感想：若干、期待…

DBマガジンの大野さんのセキュリティの連載。11月号のテーマはセキュリティアーキテクチャで、MLSを取り上げている。 Bell-LaPadula機密性モデル 下位権限が、上位権限のオブジェクトに書込みできるのは、追記を許可するため。 上位権限が、下位権限のオブジ…

読んだのでメモ。すでに2009年版が出てるけど、図書館にこっちがあったので借りてしまった…。情報セキュリティ白書〈2008〉脅威が見えない脅威―求められるプロアクティブな対策作者: 情報処理推進機構出版社/メーカー: 実教出版発売日: 2008/06メディア: 大…

引きつづき、セキュリティの基礎を勉強中… 情報収集 http://isec-rss.ipa.go.jp/ 世界のセキュリティ・ラボから:ITpro （要ログイン） セキュリティ対策の最新動向を追う！：連載｜gihyo.jp … 技術評論社 まだ第1回なので、これから楽しみ。 読み物 ITエンジ…

情報セキュリティ入門 | 日経 xTECH（クロステック） 会社の人に教えてもらったセキュリティの入門ページ。昼休みに読もうかな。