スラッシュの有無だけでセキュリティにとんでもない大穴が空いてしまうNginxのありがちな設定ミスについて実例を踏まえて専門家が解説

2023/07/08 168 users nginx ウェブサーバー スラッシュ 実例 有無

多機能なウェブサーバーとして2004年に登場したNginxは、2023年6月時点では業界トップシェアとなるほど人気を集めるサーバーです。そんなNginxの設定において、スラッシュを一つ付けるか付けないかの差で大きなセキュリティホールができてしまう問題について、大手パスワードマネージャーやGoogle製のツールの例をとりあ... 続きを読む

電凸招いた「表現の不自由展」 美術家・黒瀬陽平さんが指摘するセキュリティホール - 弁護士ドットコム

2019/11/03 199 users いちトリエンナーレ 会期 波紋 従軍慰安婦 アイドリ

愛知県内で開催されていた国際芸術祭「あいちトリエンナーレ」（あいトリ）が10月14日、会期を終えた。過去最高の67万人（速報値）の来場者を記録したが、一方で会期中は絶えず問題が起きた。中でも最も波紋を広げたのが、企画展「表現の不自由展・その後」の中止だ。 従軍慰安婦を象徴する「平和の少女像」や昭和天皇の... 続きを読む

Linuxの「systemd」に新たなセキュリティホール - ZDNet Japan

2019/01/11 53 users systemd Qualys Linux 悪評 デフォルト

「systemd」は、ほとんどのLinuxディストリビューションでデフォルトのシステム／サービス管理デーモンとして採用されている。このため、Qualysが最近systemd内で発見した3件の批判の多いこのデーモンの悪評をさらに高めるものとなっている。 これらの脆弱性はいずれも、ローカルユーザーがルート権限を取得するために悪... 続きを読む

3万円で自作できる画期的な「人工すい臓」は医療機器のセキュリティホールを突くことで誕生した - GIGAZINE

2018/08/09 228 users インスリン 投与 注射 小型コンピューター 既存

血糖抑制ホルモン「インスリン」の分泌組織が死滅してしまう「1型糖尿病」の患者は、定期的にインスリンを注射で的確な量だけ投与しなければなりません。このインスリンの投与をすべて自動で行ってくれる「人工すい臓」を、既存の医療機器と250ドル(約2万7000円)の小型コンピューターを使って自作するプロジェクトが進め... 続きを読む

某弁護士が千人以上に懲戒請求された問題のセキュリティホール

2018/05/03 55 users 懲戒 某弁護士 問題 千人以上

例の弁護士（以下、Bとする）への懲戒請求。 親族12人の名前を無断で使って請求した人（以下、Aとする）がいた。 http://hikoland.com/2018/05/02/%E3%80%8C%E8%AA%B0%E3%81%8B%E6%95%99%E3%81%88%E3%81%A6%E3%81%8F%E3%81%A0%E3%81%95%E3%81%84%E3%80%81%E4%BD%95%E3%8... 続きを読む

インテルを突如襲った｢致命的なバグ｣の実態 | IT･電機･半導体･部品 | 東洋経済オンライン | 経済ニュースの新基準

2018/01/04 65 users インテル 電機 半導体 パク 実態

米国時間の1月3日、コンピュータ系情報サイト 「The Register」が「インテル製プロセッサのバグを原因とする深刻なセキュリティホールが発見された」と報道 。その対策にはハードウェアそのものの変更が必要であり、ソフトウエアで対策を行った場合には大幅な性能低下を引き起こすとの内容を含む記事を発表した。 バグはインテル製プロセッサのみで発生し、パスワード、ログインキー、キャッシュファイルなどを、... 続きを読む

CIAが悪用していたセキュリティホールを埋めた「Notepad++」v7.3.3が公開 - 窓の杜

2017/03/09 229 users 樽井 CIA テキストエディター WikiLeaks 機密資料

ニュース CIAが悪用していたセキュリティホールを埋めた「Notepad++」v7.3.3が公開 “Wikileaks”によって暴露されたCIAの機密資料“Vault 7”で判明 樽井 秀人 2017年3月9日 12:45 「Notepad++」v7.3.3 　テキストエディター「Notepad++」の最新版v7.3.3が、8日に公開された。今回のアップデートは、不具合の修正がメインのメンテナンス... 続きを読む

主要Linuxディストリビューションに深刻な脆弱性--Enterキーを押し続けるだけで悪用可能 - ZDNet Japan

2016/11/16 383 users 主要Linuxディストリビューション Enterキー 多く

主要なLinuxディストリビューションの「 Linux Unified Key Setup-on-disk-format 」（LUKS）に、セキュリティホールが存在することが明らかになった。LUKSはLinuxで使われているハードディスク暗号化のための標準的な仕組みだ。LUKSは多くの場合、「 cryptsetup 」というユーティリティを使用してセットアップされている。この脆弱性はcryptse... 続きを読む

Chrome Custom Tabsを使ってWebViewを置き換える | Tech Booster

2015/09/07 66 users WebView HTT Tech Booster 動作速度

Googleは、Chrome 45からCustom Tabs機能を導入しました。Custom Tabsを使うとアプリ内のWebページ読み込みを大幅に高速化できます。いままでのWebViewでは、動作速度のほかにもセキュリティホールが修正されないなど、OS組み込みブラウザ特有の問題がありましたが、アプリケーションとして更新しているChromeでは常に最新の環境でWebページを閲覧できます。 （htt... 続きを読む

Kazuho's Weblog: jailing - chroot jailを構築・運用するためのスクリプトを書いた

2015/05/14 107 users jailing chroot jail サーバソフトウェア

Thursday, May 14, 2015 jailing - chroot jailを構築・運用するためのスクリプトを書いた 個人サーバで外部に公開するサービスを動かすときには、chrootを使うにこしたことはないわけです。サービス毎にchrootしてあれば、サーバソフトウェアにセキュリティホールがあっても、他の情報が漏洩したりする可能性をぐっとおさえることができるわけですから。 でも、そのた... 続きを読む

UbuntuとCentOSどっちがいいの？正しいサーバOSの選び方 - lamichの日記 - 海外でイラスト制作を行う社長のブログ

2015/03/30 437 users Ubuntu Server サーバ サーバOS 検索語句

01:10 | ※Ubuntuにはデスクトップバージョンがあり、これによって統計数値に影響が出る可能性があるのですべての検索語句に「サーバ」「server」という複合キーワードをつけています。 サーバOSを選定する上で一番大切なことは何か、それはもちろん安定性とセキュリティである。それも将来に渡ってのということになる。セキュリティに関しては、万が一OSにセキュリティホールが見つかったとしても、それ... 続きを読む

NSAが原因でまたネットに大きなセキュリティの穴が開いたようです(山本一郎) - 個人 - Yahoo!ニュース

2015/03/07 54 users NSA Freak TLS ズボン SSLプロトコル

山本一郎です。稀にズボンの前チャックが大きなセキュリティホールになります。 ところで、ネットサービスで長年利用されてきた基本的な機能に不具合が見つかりセキュリティ的に大きな問題となる事例がまた発見されました。 米輸出規制に起因するTLS/SSLの脆弱性「FREAK」が発覚（ITmedia 15/3/4） インターネットの通信の暗号化に使われているTLS/SSLプロトコルに、1990年代の米国の暗号... 続きを読む

LenovoのPC全機種にプレロードされているアドウェアが実は恐ろしいマルウェアだった！ - TechCrunch

2015/02/19 517 users アドウェア TechCrunch Lenovo 煮え湯 プレ

Lenovoは今日（米国時間2/18）、同社の消費者向けPCの全機種に重大なセキュリティホールが見つかるという、煮え湯を飲まされた。 Lenovoの消費者向けPCのすべてに、出荷時にSuperfishというアドウェアが載っており、それは中間者証明を使ってインターネットのブラウザに広告を注入する。それが悪用されると、そのサービスが、ユーザのブラウザデータへのサードパーティアクセスを許可することになる... 続きを読む

Linuxに深刻なセキュリティホール「GHOST」、今すぐパッチが必要 - ZDNet Japan

2015/01/28 371 users Ghost Qualys Linux glibc バッチ

クラウドセキュリティ企業Qualysの研究者が、Linux GNU Cライブラリ（glibc）に深刻なセキュリティホールである「GHOST」（CVE-2015-0235）を発見した。この脆弱性を利用すると、ハッカーはIDやパスワードを知らなくてもシステムをリモートから乗っ取ることができる。 Qualysはただちにこのセキュリティホールについて主なLinuxの配布元に警告を送り、多くの配布元がすでに... 続きを読む

時刻同期のNTPに極めて深刻な脆弱性--「パケット1つで悪用が可能」 - ZDNet Japan

2014/12/22 106 users NTP 悪用 リモート 時刻同期 脆弱性

Network Time Protocol（NTP）に、リモートからのコード実行に悪用される可能性がある極めて深刻なセキュリティホールが複数発見された。ICS-CERTによると、この脆弱性の悪用に高度なスキルは不要で、悪用するための具体的な手法がすでにインターネット上で公開されているという。 NTPバージョン4の4.2.8未満はすべて脆弱性の影響を受けるため、それらのNTPはただちにバージョン4.... 続きを読む

Googleドライブで第三者にデータ流出のセキュリティホールが発覚、対処法も - GIGAZINE

2014/07/14 83 users オンラインストレージサービス GIGAZINE 改修 発覚

必要なデータをインターネット上に保存し、いつでもネット経由で参照することが可能なオンラインストレージサービスの普及が進んで活用するユーザーも増加しているわけですが、先日保存容量無制限・最大ファイル容量5TBの「Google Drive for Work」のサービスを発表していたGoogleドライブでは、予期せぬ第三者にプライベートなデータが流出するセキュリティホールが発見され、改修が行われていたこ... 続きを読む

Android端末にカメラの映像を盗み見られるセキュリティホールが存在 - GIGAZINE

2014/05/26 64 users GIGAZINE ウェブカメラ 遠隔操作 Android端末

By iamos ノートPCなどに搭載されているウェブカメラをハックして盗撮に悪用される危険性が指摘されるなど、ネットワークに接続されたカメラによるプライバシー侵害が問題になっていますが、Android端末でも遠隔操作によりユーザーに気付かれることなくカメラに写っているものを盗み見たり、画像やその他のデータを送信できてしまうセキュリティホールが存在していたことが明らかにされました。 Snacks ... 続きを読む

アクトキャットの「SideCI」は、コードレビューを自動化してセキュリティホールをふさぐ | TechCrunch Japan

2014/04/30 80 users CircleCI インテグレーション SideCI code

実はテストやコードレビューの自動化といったエンジニアの効率化支援サービスというのが米国で続々と登場しているそうだ。継続的インテグレーション、（CI：continuous integration）の自動化を実現する500Startups出身の「CircleCI」には、Heroku創業者のJames Lindenbaum氏やリーンスタートアップで有名なEric Ries氏らが出資しているし、「Code... 続きを読む

スマホを「2年縛り」で売っておいて、セキュリティの脆弱性を放置するのはおかしい。　アメリカ自由人権協会が勧告 – すまほん!!

2013/04/21 301 users 勧告 すまほん セキュリティ 脆弱性 アメリカ自由人権協会

日本の通信キャリアも耳が痛い？ スマートフォンをいわゆる「2年縛り」で売っておきながら、そうした端末をアップデートせず、セキュリティホールを放置しているのは問題であるとして、米自由人権協会（ACLU）は、米連邦取引委員会（FTC）に消費者の救済を求めました。 米国では多くのユーザーが、2年契約でスマートフォンを購入しています。特にAndroid OSが市場シェアの75%を占めていることを、ACLU... 続きを読む

なぜPHPでrequire("http://...")したらセキュリティホールなのに、Goならいいのか - kazuhoのメモ置き場

2013/03/23 152 users kazuho require Twitter mattn 言語

go言語なんか import "http://github.com/mattn/xxx " だったりする。rubyもそういうの面白いかもしれない。require "http://github.com/mattn/xxx "みたいな。Twitter / mattn_jp: go言語なんか import ...@mattn_jp それコンパイル型言語なら許されるけどスクリプト型だとセキュリティホールと... 続きを読む

誰もが注意すべき「5つのセキュリティホール」 : ライフハッカー［日本版］

2013/02/06 144 users ハッキング 防犯 アプリケーション ライフハッカー 自衛

オフにやること , セキュリティ , ソフトウェア , 最新テック , 生活術 , 防犯・防災 誰もが注意すべき「5つのセキュリティホール」 2013.02.06 21:00 セキュリティ上の問題はあらゆるところに存在します。ハッキングに弱いルーターから、データを流出させるアプリケーションまで。幸いなことに、簡単に自衛はできますので、方法を紹介しましょう。 セキュリティに関するすべてのニュースに目... 続きを読む

あなたのWebサービスは狙われている！最低限抑えておきたいセキュリティ対策 | 株式会社LIG

2013/01/15 281 users 株式会社LIG 最低限 セキュリティ対策 WEBサービス 入谷

最近上京してきたんだけど、入谷から会社までくるのに徒歩10分の道のりで迷子になっちゃって、なんか知らない間に浅草の方まで行っちゃって、会社に遅刻しちゃって、東京ってマジ迷路だよね。あ、どうも、僕です。 今日はWebサービスを開発する上で最低限おさえておきたいセキュリティ対策について書こうと思うよ！ セキュリティホールって、 案外簡単な見逃しでできちゃうんだよね。 バリバリのハッカーしかハッキングな... 続きを読む

Life is beautiful: 各種ブラウザーで Java (applet) を無効にする方法

2013/01/13 319 users applet Plugins Java Chrome 米国

こちら（米国）では、見つかった Java のセキュリティホールが大問題としてニュースで取り上げられ、急遽無効にすることを強く勧めている。 以下に各種ブラウザーでJava（正確には Java applet）を無効にする方法を紹介するので、すぐに対応することを私からも強くお勧めする。 Chrome の場合 アドレスバーに chrome://plugins と入力し、Javaというタイトルのプラグインを... 続きを読む

「バグったっていいじゃないか、人間だもの」 - シロクマの屑籠

2012/11/04 96 users シロクマ 屑籠 パク 禁句 フレーズ

コミュニケーション　　人間は、特定の状況や話題で「バグ」る。　　給湯室談義では「○○さんには××の話題は禁句」といったフレーズがしばしば用いられる。実際、××の話題を持ちかけた時に○○さんが誤作動を起こしたりフリーズしたりしたのが確認されているのだろう。人間は誰しも、そういう「話題にしただけでバグる」ようなセキュリティホールを一つや二つぐらいは持っている。　　精神科臨床で遭遇するレベルの「バグ」　... 続きを読む

正しい脆弱性情報通知の仕方 | WhiteHackerzBlog ハッカー養成学院　公式ブログ

2012/09/27 50 users WhiteHackerzBlog ハッカー養成学院 仕方

皆様方におかれましては、とあるサイトの脆弱性を発見した場合どのように対処するのかお分かりになって無い方もいらっしゃるのでは？と思い今号は『正しい脆弱性情報通知の仕方』を皆様へお伝え出来ればと思います。 そもそも脆弱性とは何ぞやですが、コンピュータ用語で言う所の脆弱性を改めてwikipediaで調べて見ると以下の事だと記載されております。 セキュリティホール (英: security hole) と... 続きを読む