いつのまにかSSH鍵生成時のデファクトスタンダードが変わっていた 気付いた発端 実は前回の記事「Vertex AI WorkbenchとGitHubの繋ぎ込み」を書いている時に、GitHubのドキュメント「新しい SSH キーを生成して ssh-agent に追加する」を参照していたら、気になる記載が… ssh-keygen -t rsa なんてもう皆が何でも無いときにでも打ってしまうようなフレーズだと思っていたらいつのまにか ed25519 なるものが推奨されていたという衝撃。 調べて見るとここ数年はRSAよりEd25519のほうが強固だからそっちを使おう、みたいな話がたくさんヒットしてきて完全に乗り遅れていたことがバレてしまいました… せっかくなので、本記事では rsa と Ed25519 で何が違うかについて調べながら書いてみます。 ssh鍵生成の方式 とりあえずマニュアルで全方式を
電子メールの送信元ドメインが詐称されていないかを検証する送信ドメイン認証 (Sender Domain Authentication)。 本記事では、各送信ドメイン認証の簡易的なまとめや、各記事へのリンクを記載します。 SPF、DKIM、DMARC、ARCが対象です。参考までに関連技術としてBIMIも挙げます。 基本 背景 送信ドメイン認証は、電子メールを安心して使う上で重要な技術です。 メールの受信者にとっては “迷惑メール対策” の1つのような役割ですが、メールの送信元ドメインの所有者にとっては “第三者が自分のドメインを詐称してメール送信できないようにするもの (※)” です。つまり、”自ドメインを守る“ことにつながります。 これは、自ドメイン所有者 (=自組織) の社会的信頼の確保にもつながります。逆に、詐称メールを簡単に送られてしまうと、ドメイン所有者の社会的信頼を低下させるリス
迷惑メール振り分けの仕組み 迷惑メールフォルダには「勝手に入る場合」と「自分で入れる場合」があります。一度自分で迷惑メールに振り分けると次から同じメールアドレスから受信したメールは自動的に迷惑メールフォルダに入るという場合もあります。一体どのような仕組みで動作しているのでしょうか?迷惑メールフィルタは様々な種類があるため、今回は一般的なものを例に挙げて説明していきます。 迷惑メールフィルタはウィルス対策ソフトのような「アプリケーション」の一種ですが、一般の人がPCにインストールして使うよりは、メールを受信するレンタルサーバやGmailなどのサービス側でインストール・設定されていることがほとんどです。 このフィルタに受信したメールの情報を読み取らせることで、そのメールが迷惑メールか否かを判定してくれます。判定には「スコア制」が用いられていることが多く、「この送信元ならスコアプラス1」「この単
さくらのレンタルサーバ ライト スタンダード プレミアム ビジネス ビジネスプロ マネージド メールボックス DKIM/ARC/DMARCとは DKIM 送信する電子メールに電子署名し、受信者がDNSを経由して署名を検証することで、間違いなく送信されたドメインから送られてきていることを確認し、 送信ドメインのなりすましをしていないことが証明できる機能です。 ARC メール転送時にDKIM署名が失敗する問題を解決するために設計された仕組みです。 メールを転送すると、件名や内容、ヘッダーが変更されることがあり、これがDKIMの検証で「失敗」と見なされることがあります。 ARC署名は、各中継サーバーがメールを認証した結果をヘッダーに追加します。 この履歴情報を使って、受信側のサーバーはメールの信頼性を判断できます。 これにより受信者はメールが正当なものであるかどうかを確認しやすくなり、フィッシン
しばたです。 昨年10月にGoogle(Gmail)および米国Yahoo!においてスパム対策の強化がアナウンスされました。 この件に関してつい先日まで他人事でいたのですが、実は全然他人事では済まないことが発覚し突貫で知識を仕入れています。 アナウンスに対する具体的な対応策についてはこちらのZennの記事を見れば全部わかる感じです。 最高ですね。 また、メール送信にAmazon SESを使っている場合はAWSのブログを確認すると良いでしょう。 「これらの記事を読み解けば万事解決!」という感じではあるのですが、私自身が学んだなかで予め知っておくと良さそうに思えた点がいくつかありました。 本記事ではその辺を共有するのと、実際にAmazon SESの環境を作って動作確認をしたのでその結果も合わせて共有します。 はじめに覚えておくと良い基礎知識 Zennの記事でも詳細な解説がありますが、個人的に「最
不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセス
If you’re not using SSH certificates you’re doing SSH wrongUpdated on: May 20, 2024 SSH is ubiquitous. It's the de-facto solution for remote administration of *nix systems. But SSH has some pretty gnarly issues when it comes to usability, operability, and security. You're probably familiar with these issues: SSH user experience is terrible. SSH user on-boarding is slow and manual. Connecting to ne
こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut
数か月前、ゲームのコミュニティなどで人気のチャットアプリ「Discord」のデスクトップ用アプリケーションに任意のコードを実行可能な問題を発見し、Bug Bounty Programを通じて報告しました。発見したRCEは、複数のバグを組み合わせることによって達成される面白いものだったので、この記事では、その詳細を共有したいと思います。なお、現在脆弱性は修正されています。 調査のきっかけElectronアプリの脆弱性を探したい気分だったので、Electronアプリで報奨金が出るアプリを探していたところ、Discordが候補にあがりました。Discordは自分自身が利用者で、自分が使うアプリが安全かどうかをチェックしたいという思いもあったので、調査をすることにしました。 発見した脆弱性私は主に次の3つのバグを組み合わせることでRCEを達成しました。 contextIsolationオプションの
リモートでコンピューターにアクセスするためのプロトコルであるSSHは、コンピューターの認証を行うために公開鍵暗号を利用しています。公開鍵暗号の方式には「RSA」「DSA」「ECDSA」「EdDSA」があり、それぞれの仕組みと「SSHに適した方式」についてソフトウェア企業「Gravitational」のVirag Mody氏が解説しています。 Comparing SSH Encryption Algorithms - RSA, DSA, ECDSA, or EdDSA? https://gravitational.com/blog/comparing-ssh-keys/ 公開鍵暗号は、暗号化と復号に別々の鍵を用いる暗号方式のこと。例えば、ボブとアリスがやり取りを行う時、アリスは秘密鍵と公開鍵を作成し、公開鍵をボブに渡しておきます。ボブはアリスの公開鍵でメッセージを暗号化してアリスに送信。暗号
2023/07/22 『初めてのマルウェア解析』を追加しました。 2022/12/25 『実践バイナリ解析』を追加しました。 2021/8/22 『詳解セキュリティコンテスト ~CTFで学ぶ脆弱性攻略の技術』を追加しました。 2021/2/20 Web Security Academyの紹介を追記しました。 2021/1/1 一部の参考書を刷新いたしました。 2020/5/3 記事を書いて1年以上経ったので、大幅に加筆&修正いたしました。 どうも、きなこです(´・ω・`) 先日ツイートしたCTF初心者についての内容がちょっとばかり反響があったこと、そして、私自身がCTFに関して右も左も分からない状態から、ある程度経験を積んだことにより、簡単な問題なら解けるようになったので、今日はCTF初心者から考えた、CTF初心者向けの学習の道筋を書こうと思います(´・ω・`) ちなみに私はSECCON等
記事を開いてくださったみなさんようこそ。 ぴーよです(*- -)(*_ _)ペコリ 年末年始にかけて異様になぜかモチベーションが高くて勢いで前から気になっていたCTFを始めてしまいました。 初心者だった時の気持ちは脱初心者すると忘れてしまうとよく聞くので、覚えているうちにわかったこととか参考にしたものとかを時系列順でまとめておこうと思います。 CTFとは おそらくこの記事を目にしている方の大半は知っていると思いますが一応。 CTFは"Capture The Flag"の略で、『与えられた問題からFlag(旗)をゲットすることを目的とした競技です』みたいなことがググると出てきます。 旗ってなに.....??? 旗っていうのはほんとに旗があるわけじゃなくて、決まった形の答えの文字列*1がいろんな方法で隠されててそれを旗と呼ぶっぽいです。 例えば"FLAG{~}"みたいな形式の文字列がどこかに隠
サイバーセキュリティにおいてLANケーブル(有線LAN)からの侵入について考えたことがあるでしょうか?本稿では、LANケーブルをニッパーで切断してネットワークへ侵入・盗聴した実験結果を紹介します。切断してから何秒で侵入・盗聴できたのでしょうか? 本記事は、ケーブルを切断してネットワークへ侵入・盗聴されるリスクがある事を知っていただく事を目的としています。 ご自身の環境以外では試さないようお願いします。 なぜLANケーブルからの侵入? 技術部の安井です。長年制御システムを開発してきた経験から制御システムセキュリティ向上に取り組んでいます。制御システムの業界では、近年外部ネットワークを経由しての侵入や内部に持ち込まれたUSBメモリからの侵入が注目されています。一方で、なぜかネットワークを構成する大きな要素であるLANケーブルや光ケーブルからの侵入への注目度は低いようです。制御システムに関わらず
IT関連にとどまらず、多種多様なビジネスにおいて、データを集め、活用することが命題化した現在において、“データの集積地”であるデータセンターはインフラのひとつといえるでしょう。そしてインフラであるからには、いついかなる場合も、「当たり前のように動いている」ことが求められます。 さくらインターネット社が北海道 石狩に建設した「石狩データセンター」は、2011年の稼働開始以降、のレンタルサーバーやクラウド、大規模ハウジング(サービス)など、同社の多くのサービスの提供基盤であり、まさに「落としてはいけない」データセンターです。では、そんなデータセンターの安定を支える運用とは。 障害発生を未然に防ぎ、ときに大地震という災禍に遭遇しつつも、石狩データセンターを当たり前のように稼働させる運用の裏側を、石狩データセンター センター長の玉城智樹さんとハードウェアグループ 部長の小林潤さんに聞きました。 ※
[Update 2020-03-05: The most up-to-date summary is at 2020.02.29 CAA Rechecking Bug] Due to the 2020.02.29 CAA Rechecking Bug, we unfortunately need to revoke many Let’s Encrypt TLS/SSL certificates. We’re e-mailing affected subscribers for whom we have contact information. This post and thread will collect answers to frequently asked questions about this revocation, and how to avoid problems by r
これで防げると思ってたんだけど 実際 pingback.ping は呼び出せた。WordPressのソースを確認したら xmlrpc_enabled フィルタでチェックしているのは認証が必要なパターンのときだった。pingback.pingは防げない・・・ というわけでPinbackを無効にするにはやっぱりxmlrpc_methodsフィルタを使うのが良い。 if ( function_exists( 'add_filter' ) ) { add_filter( 'xmlrpc_methods', 'remove_xmlrpc_pingback_ping' ); } function remove_xmlrpc_pingback_ping($methods) { unset($methods['pingback.ping']); return $methods; } しかしながら xmlr
XML-RPC is a remote procedure call over HTTP formatted with XML. WordPress exposes XML-RPC APIs via xmlrpc.php. Some of the APIs have been abused in various ways by attackers. This entry is about the security of the implementation of XML-RPC by WordPress. First, let's see a simple example of XML-RPC call. Below is an XML-RPC request and response that lists all the API methods supported by WordPres
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く