最新記事一覧
ATHENEはDNSSECの設計に深刻な欠陥があると発表した。この脆弱性を悪用すると単一のDNSパケットで全てのDNS実装とパブリックDNSプロバイダーを停止状態にすることが可能だという。
()
第5回は、第4回の続きとして、テンプレート化した投稿アプリにセッションによる状態管理の仕組みを導入し、それを利用した入力情報の記憶やフラッシュメッセージの実装例を紹介します。
()
今回から数回に分けて、RustのWebアプリフレームワークであるActix Webを紹介します。題材は、シンプルな投稿アプリです。今回は、投稿アプリの基本形を作成し、Actix Webでのルーティングやハンドラー関数の書き方を理解して一覧表示機能まで実装してみます。
()
App ServiceによるWebサイトやWeb APIにAzure外で発行したSSLサーバ証明書を割り当てる場合、App Serviceに直接インポートすると更新時に手間が掛かりやすい。機密情報を安全に取り扱える「Azure Key Vault」を使って、効率良く証明書を更新できるようにしよう。
()
Rustを使った「Webアプリ」の開発はどのようなものになるのでしょうか? 本連載のスタートとなる今回は、アプリ開発の下準備として、Rustの現状を踏まえた連載の目的を紹介し、Webアプリ開発環境の構築を通じて、Rustのプロジェクト管理の基本をおさらいします。
()
オープンソースリレーショナルデータベースの最新バージョン「PostgreSQL 16」がリリースされた。
()
小型ボードコンピュータ「Raspberry Pi(ラズパイ)」を使って、低コストかつ現場レベルでIoT(モノのインターネット)を活用する手法について解説する本連載。第14回は、ラズパイのセキュリティとして暗号化通信を導入する方法を紹介します。併せて、不良実績入力の品質管理での応用も取り上げます。
()
BIND 9に複数の脆弱性が存在することが明らかになった。ISCはこれら脆弱性の深刻度を「重要」(High)に分類しており注意が必要だ。該当ソフトウェアを使用している場合は迅速にアップデートや回避策を適用してほしい。
()
Microsoftは2023年1月の累積更新プログラムを配信した。合計で98の脆弱性に対処している。これらの中には既に悪用が確認されているものもあるため、迅速にアップデートを適用してほしい。
()
Microsoftは2022年11月の累積更新プログラムを配信した。今回のアップデートで修正対象となった脆弱性の中には既に悪用されているものも含まれており、直ちにアップデートを適用することが求められる。
()
Internet Systems Consortium(ISC)からBINDの新たなバージョンがリリースされた。複数の脆弱(ぜいじゃく)性が修正されている。これら脆弱性はサービス運用妨害(DoS: Denial of Service)に利用される可能性がある。
()
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。2022年8月23日にKubernetes v1.25がリリースされました。このバージョンでは「Pod Security Policy」が削除され、「Pod Security Admission」がGAになり、Podセキュリティのデファクトスタンダートがバトンタッチされました。今回は、このPod Security Admissionについて詳解します。
()
RustでWebアプリケーションを開発する際に基礎となる要素技術からRustの応用まで、Rustに関するあれこれを解説する本連載。第2回ではAPIサーバを構築し、SNSアプリを簡易実装することでRustを使ったWeb開発での記述性や要素技術を解説する。
()
Kubernetesやクラウドネイティブをより便利に利用する技術やツールの概要、使い方を凝縮して紹介する連載。今回は、コンテナ/Kubernetesの脆弱性、機密情報、設定間違いを診断、検出するOSS「Trivy」を紹介する。
()
OSSはアプリケーションを開発する際に「利用しないわけにはいかない」ほど重要な存在になった。一方でOSSの脆弱性を悪用した攻撃が跡を絶たない。OSSを安全に利用するには、どうすればいいのか。
()
RustでWebアプリケーションを開発する際に基礎となる要素技術からRustの応用まで、Rustに関するあれこれを解説する本連載。第1回ではRustを使ったWebアプリケーション開発におけるデータベースと自動テストの位置付けとコード例を紹介する。
()
DevOpsツールベンダーのJFrogが、「Discord」ユーザーを狙った悪質なパッケージを発見した。パッケージがDiscordユーザーに害を与える仕組みや危険性を解説する。
()
Microsoftは2022年1月の累積更新プログラムを配信した。今回のアップデートでも深刻度が「緊急」(Critical)および「重要」(Important)に分類される複数の脆弱性に対処する。該当プロダクトを確認し、使用している場合には迅速にアップデートを適用したい。
()
Liquidは11月16日、ID/パスワードに顔認証を付け加えられるサービス「LIQUID Auth」を2022年1月から提供すると発表した。eKYCで培った技術とデータを活用し、ユーザーがスマホのカメラで自分の顔を撮影することで、簡単に本人であることを認証できる、クラウド型の顔認証サービスだ。
()
BINDにDoS攻撃を引き起こす可能性がある脆弱性が見つかった。CISAはユーザーにセキュリティ情報を確認するとともに、必要に応じたアップデートの適用を推奨している。
()
AutoML OSSを紹介する本連載第5回は、ノーコードでAutoMLが実行できるOSS「H2O」を解説します。H2Oは、最小限の時間で最適なモデルの構築を目指すだけでなく、分散処理フレームワークを活用した大規模なデータセットの高速処理や、Python以外の手法による機械学習の実現など、さまざまなニーズを満たす機能が実装されています。
()
Microsoftは2021年10月の累積更新プログラムを配信した。「緊急」(Critical)に分類される脆弱性の修正が含まれるため、迅速なアップデート適用が望まれる。
()
Microsoftは、2021年9月の累積更新プログラムを配信した。該当するプロダクトは37種にわたる。深刻度が重要(Important)に分類される脆弱性の修正も多数含まれるため、迅速なアップデートの適用が必要だ。
()
全世界で広く利用されるDNSサーバのプログラム「BIND」に脆弱性が見つかった。脆弱性を利用されるとDoS攻撃を引き起こされる可能性があるため、迅速にアップデートを適用してほしい。
()
Windows Terminalの正式版がリリースされたが、各種設定を行うプロファイルを編集する必要がある。今回は、キーボードショートカットと配色(カラースキーム)、起動オプションについて解説する。よく利用する操作を設定することで、Windows Terminalがより使いやすくなるはずだ。
()
「NXNSAttack」では、DNSで名前解決を行う再帰的リゾルバの仕組みを悪用することで、DDoS攻撃の威力を増幅させることが可能とされる。
()
20年という時間がたてば、インターネットの環境も、サイバーセキュリティの動向も様変わりする。AVARはその間ずっと、セキュリティコミュニティーのナレッジ共有の場として機能してきた。
()
2020年後半に予定されているセキュリティ更新プログラムでは、セキュリティ強化のために「LDAP」および「LDAPS」のセキュリティ強化が行われます。Active Directoryドメイン環境に影響する可能性があるので、事前にテストし、影響を受ける場合に以前の挙動に戻す方法を確認しておくことをお勧めします。
()
オープンソースのJavaScript/WebAssemblyエンジンの最新版「V8 release v8.0」が公開された。数週間後に正式リリース予定のWebブラウザ「Chrome 80」に搭載される。メモリ消費量が減ったために高速動作する他、プログラマーがバグを作り込みにくい仕組みを取り入れた。
()
本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、bashの補完候補を生成する/使用できるコマンド名を一覧表示する「compgen」コマンドです。
()
本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、bashで補完を行う際の方法を指定する「complete」コマンドです。
()
Linuxディストリビューション「Debian」の最新安定版「Debian 10」(コードネーム「buster」)が公開された。ビルド再現性やネットワークフィルタリングに特徴がある。
()
バグは至るところに、しかも堂々と潜んでおり、自信満々なプログラマーほど、目の前のバグに気付かないものです。「バグ検出ドリル」の第18回の問題は、相互に通信する機器のソフトウェアのバグです。IoT時代を迎えて利用場面が増えている、通信系のバグを見つけ出しましょう!
()
WSLを活用するには、bashのヒストリー機能をマスターするのが近道。またWSLとのWin32相互運用性を理解するのが重要だ。今回はこの2つについて解説する。
()
Microsoftは、オープンソースのプログラミング言語の最新版「TypeScript 3.2」を公開した。TypeScriptは、静的型付けができるJavaScriptのスーパーセット。
()
ユーザーが十分に注意することでサイバー攻撃に対抗できる。このような思い込みは危険だ。例えば、正しいURLを入力したにもかかわらず、攻撃者の用意した偽サイトに誘導されてしまう攻撃が存在する。なぜこのようなことが起こるのか。今回はインターネットの仕組みを悪用して偽の通信を成立させたり、盗聴できたりすることを再確認し、現在実際に発生している事例を基に対策を考えていく。
()
社内ネットワークは企業活動のインフラとして、動いて当たり前の存在だ。だが、問題を起こしやすい部分のみが脚光を浴び、DNSやDHCP、認証などは必ずしも十分に管理されていない場合がある。いざ停止したときの備えがないと、企業活動が滞ってしまうことはもちろん、サイバー攻撃の対象となった場合の被害も大きい。今、何ができるのか、もう一度確認しておこう。
()
本連載では、近年注目されている認証プロトコル「OpenID Connect」をサポートするオープンソースのシングルサインオン(SSO)ソフトウェア「Keycloak」の活用方法を解説していきます。Keycloakは、Active Directoryなどの外部ユーザーストレージと連携し、それらで管理されたユーザーによるシングルサインオンを実現できます。
()
本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、キー入力時の動作設定を確認、変更する「bind」コマンドです。
()
連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。今回は2018年3月13日に公開されたSambaの脆弱性情報(CVE-2018-1050、CVE-2018-1057)のうち、特にCVE-2018-1057について解説する。
()
本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、マウントポイントをツリー状に表示したり、マウント済みのファイルシステムを探したりする「findmnt」コマンドです。
()
本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、ファイルシステムをマウントする「mount」コマンドです。
()
2018年1月のセキュリティクラスタは「CPU」と「仮想通貨」に振り回されました。CPUに大きな脆弱(ぜいじゃく)性があるとすれば、現在のPCやスマホのほとんどが影響を受けるはずです。自分が当事者になったことで大騒ぎになりました。1月末には仮想通貨の取引所がハッキングの被害に遭い、約600億円分の仮想通貨が盗まれました。こうした中「Twitterのフォロー」の話題では和やかな雰囲気で盛り上がりました。セキュリティクラスタの個々人がどのTwitterアカウントをフォローしているのか、データを基に解析するというものです。
()
Windows 10 Fall Creators Updateで導入された新たなデザイン体系であるFluent Design SystemによりアプリのUIにはどう変わるのか。その概要を見てみよう。
()
本連載は、Linuxのコマンドについて、基本書式からオプション、具体的な実行例までを紹介していきます。今回は、ビルトインコマンドを優先的に実行する「builtin」コマンドです。
()
ある日、「ネットワークに接続できない」という苦情が相次いだ。果たして原因はどこにあるだろうか? 先ず疑うべきはネットワーク機器の故障や設定ミスだろうが、もしかすると、Windowsサーバやルータの付属機能で動作させていたDNS/DHCPサービスのトラブルかもしれない。地味だがネットワークに不可欠なDNS/DHCPを安定運用するには何が必要だろうか?
()
フロントエンド開発のアーキテクチャである「SPA(Single Page Application)」について、開発に必要となる各種フレームワークの特徴や作り方の違いなどを紹介する連載。今回は、状態管理の方法やCSSの適用、単体テストの実装方法について比較し、ReactとAngular2の違いを明らかにする。
()
新たなクラウド監視ツールとして注目され始めている「Sensu」の活用方法を解説する本連載。今回は、Sensuを本番(プロダクション)環境で使うための冗長化について解説します。
()
DNSサーバには、ドメインの情報(権威情報)を定義・公開するコンテンツサーバと、それを利用するリゾルバの2種類がある。今回はコンテンツサーバの機能についてまとめておく。
()