著者:ym
FirefoxでサードパーティCookieブロック
Firefox の新しいバージョン 67.0.2 付近から、表示しているページ URL 以外の場所のコンテンツから Cookie を書き込まれる場合に、拒否される様になりました。
URL欄に、盾マークが表示されている場合はブロックされています。
実際にブロック状態にあるトラッキングを見てみると。
すべてブロック中ですね。クッキーのスコープを同じドメイン名内で書き込んでいれば、サブドメイン名は大丈夫っぽいですが、別ドメイン名はことごとくブロックされてますね。
サービス提供側は大変ですが、インタレストマッチできなくなって嬉しい限り。
著者:takahashi
ついにHUAWEIがGoogleにAndroid関連のサポート停止を言い渡される
今朝、衝撃のニュースが飛び込んできました。
Google、Huawei端末へのサービス提供を一部停止 既存端末には影響なし – ITMedia
アメリカでHuaweiの締め出しが決まってから様々な動きがありましたが、とうとう今後発売されるHuawei製端末へのGoogleによるAndroid向けの基本サービス群(Google Playや開発者サービス、GmailなどのGoogle謹製サービス)の提供が停止されることになったようです。
よくよく考えてみれば、Googleはアメリカに本社のある企業なのでこういった規制もあり得る話ではあったのですが、プラットフォームの提供元による名指しでの提供停止というのはなかなか聞いたことがなかったので、とても驚きました。
ちなみにMicrosoftもアメリカに本社を置く企業ですが、万が一Microsoftもこの流れに追従することになった場合、Huaweiに対するWindows OSの提供が停止することも考えられるため、もしそうなった場合は事実上Huaweiが自社製のPCを製造できなくなることになります。(Linuxディストリや独自のOSを積むのであれば別ですが…)
もっともHuaweiは”自給自足”をして対抗するとのことで、今後どのような対策を打ってくるのかは非常に興味深いです。
Google公式サービスへのアクセスがブロックされたとはいえ、Android自体はオープンソースのOSであり、今回の規制に影響されることなく引き続きソースの入手は可能なので、Amazon KindleのようにAndroidベースの独自のエコシステムを構築する可能性も十分考えられます。
とりあえず、現在販売されている端末までは今まで通りGoogleの公式サービスを受けることができるようなので、既にHuawei製スマホを購入したユーザーは、心配する必要はなさそうです。
著者:ym
暗号化 WPA3と Wi-Fi
結構まえに WEP や WPA2 に脆弱性があり漏れるとなり WPA3 が出ていましたが、とうとう WPA3 も破られた様です。
その頃から、では無いですが結構前から会社 PC は 有線 LAN を使ってケーブルで LAN を使っていて超快適です。
みなさんも LTE と 有線LAN を使いましょう!
今の LTE の 100 倍でしたっけ、早く 5G になるといいですね。そうすれば Wi-Fi の脆弱性に悩まされずにすみます。
著者:ym
ラブライブと連休
ラブライブというドメイン名が乗っ取られてしまった様です。
「ラブライブ!」公式サイト、乗っ取られる
https://it.srad.jp/story/19/04/05/0819238/
ラブライブ自体はなんだかよくわかりませんが、JPドメイン名の乗っ取りは簡単にできてしまうので注意が必要です。
昔は、gTLD も同じく認証コードなどはなくて同じ状況だでしたが、gTLD などは認証コード (AUTH、ESP) がなければ移管申請を出すことはできません。しかし、JP ドメイン名については、欲しければ申請が行なえます。
移管申請を行った後、 10 日経過した時点で自動承認となります。JPRS 側もその点は考慮していて 1 日猶予をくれました。たった一日ですけどね。
著者:ym
人間には聞こえない音コマンド
Ok Google や、Alexa に対して音声で命令をしていると思いますが、音に別のコマンドを潜ませることで、音声アシスタントが聞き取ってしまうらしいです。
人間には聞き取れない音を聞き取る音声アシスタント
カリフォルニア大学バークレー校のエキスパート(英語記事)は、別の原理を利用しました。他の音声の断片に音声コマンドを潜ませて、Mozillaの音声認識システムであるDeep Speechを欺くことにしたのです。人間の耳では、加工された音とオリジナルとの違いはほとんどわかりませんが、Deep Speechは隠しコマンドを認識できるのです。
https://blog.kaspersky.co.jp/ultrasound-attacks/22339/
調査チームのWebサイトでこれらの音を聞いてみてください(英語記事)。最初の例では、「Without the data set the article is useless(データセットがなければこの論説は役に立たない)」というフレーズに、「Okay Google, browse to evil.com.(OK、グーグル。evil.comを開いて)」という、Webサイトを開くためのコマンドが隠されています。2つ目の例では、バッハのチェロ組曲に、「Speech can be embedded in music(音声を音楽に埋め込みできる)」というフレーズが追加されています。
超音波だけでなく、他の音声の断片に音声コマンドを潜ませることもできる様です。
著者:ym
SNIフィールドと遮断
https で暗号化通信をすることで、遮断を逃れられていたのですが、便利な SNI のおかげで逆に遮断できる状況になってしまった形。
韓国でSNIフィールドを使った特定サイトの接続遮断が始まる
https://it.srad.jp/story/19/02/13/0735240/
韓国でSNIフィールドを使った遮断が始まっている様です。
DNS over HTTPS は、SNI 部分とは関係が無いので、もっと前段階ですが、SNIフィールド遮断に対しては Encrypted SNI 。
著者:ym
サイバーセキュリティの安全性ランキングで日本が首位
日本がサイバーセキュリティの安全性ランキングで首位、英比較サイトが算出
最も安全な国は日本で、以下、フランス、カナダ、デンマーク、米国が続く。最も危険な上位5カ国はアルジェリア、インドネシア、ベトナム、タンザニア、ウズベキスタンだった。
https://www.atmarkit.co.jp/ait/articles/1902/08/news062.html
算出の仕方が日本に良かったのだとは思いますが、結構ITに強い国が危険と判断されているところもあって、気になります。
著者:ym
EUのGDPRデータ移転規則で日本は例外へ
欧州委員会が日本を「データ保護水準が十分な国」とし、域内の個人データを持ち出しできる移転先として正式に認定する。欧州に拠点をもつ日本企業が現地法人の人事情報を一括管理できるようになるなど、企業活動の円滑化につながる。
https://www.nikkei.com/article/DGXMZO4032267022012019MM8000/
日本は「データ保護水準が十分な国」???ほんと?という部分もありますが・・・EUとの間で決められた様子です。
これでこんな恐ろしいことは避けられるので、少し安心はできます。
フランスの「情報処理と自由に関する国家委員会」(CNIL)は21日、米アルファベット傘下のグーグルに5000万ユーロ(約62億3300万円)の制裁金を科したと発表した。
https://www.bloomberg.co.jp/news/articles/2019-01-21/PLP9M16TTDS001
著者:杉浦
OWASPの紹介
OWASP – Open Web Application Security Project とは、Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。
Japan – OWASPより引用
OWASPは上記にある通りセキュリティ関係の技術を公開しているコミュニティです。コミュニティとありますがOWASPのページ、プログラムは特別な会員にならなくとも閲覧、ダウンロードできます。wikiみたいなものです。
最近よくお世話になっているのがOWASP Cheat Sheet Series – OWASPです。webを介した攻撃は無数にありますが、パターン化されたありがちな攻撃というのもあります。パターン化されたといえども、それらは多彩で、自分だけの考えによって全て予防するのは困難です。チートシートは60種類以上あり、その内容はSQLインジェクション、XSSなどの予防、攻撃例など様々です。