タグ: セキュリティ
LastPassのBASIC認証が効かないときは
パスワードの管理については、ローカルのメールソフトにメモ書きしていた時代、サービスの頭文字と共通の4-6文字を使っていた時代、ブラウザに保存させていた時代など色々あるのですが、最近ではもっぱらパスワード管理サービスの「LastPass」を使って管理しています。
LastPass|パスワード マネージャ、自動フォーム入力、ランダム パスワード ジェネレータ、安全なデジタル ウォレット アプリ
ChromeでもFirefoxでも動き、iPhoneでもアプリを通じてパスワードを管理することが出来てとても便利です。この導入のおかげで、自分が覚えやすいパスワードを設定することがなくなり、まあ今どきはランダムな文字列なら強いとは限らないわけですけど(cf. あのパスワード規則、実は失敗作だった – WSJ)、だいたい12文字から16文字程度のサービス毎に異なったパスワードを設定するようになって、どこかで何かあっても芋づる式にログイン情報を抜かれるということはなくなりました。
(その代わり、自分で覚えなくなったけど)
LastPassはじめパスワード管理サービスについては、紹介する記事はたくさんあると思うのでそちらを見ていただくとして、LastPassを使っていて唯一不便を感じるのは、ブラウザのBASIC認証(上記画像のようなダイアログ)に対応していないこと。いつかのリリースで対応したとか、対応する設定があるとか読んだ気がするんですけど、それらしき場所をいじっても対応してくれないので多分対応してません。
で、どうするか
セキュリティ維持を考えるなら「諦める」一択なんですけど、今どきBASIC認証使ってるところなんて大してセキュアな場所ではないことが多いので、逆に割り切って、ブラウザで管理することにしたらいいんじゃない?(セキュアな場所では使わないでくださいね) 通常、LastPassでパスワード管理している時は、ブラウザのパスワードマネージャはオフにしていると思います。パスワードマネージャをオフってことはパスワードを管理しないって言う意味と思いきや、Chromeの場合、新規のパスワードを保存しなくはなりますが、既に保存しているパスワードは自動入力します。それでいいのかと思いますが、そういう仕様です。 というわけで、- 「Chrome設定 > 詳細設定 > パスワードを管理」と入って、オンにする。
- パスワードを保存したいサイトにアクセスしてBASIC認証
- パスワードを保存
- 「Chrome設定 > 詳細設定 > パスワードを管理」と入って、オフにする。 ← 忘れずに
ものすごいカジュアルなフィッシングメール。
From:三菱東京UFJ銀行 件名:【三菱東京UFJ銀行】本人認証サービス 本文: こんにちは! 最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。 お客様のアカウントの安全性を保つために、「三菱東京UFJ銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。 以下のページより登録を続けてください。 https://entry11.bk_mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001こんにちは!こんにちは!
【小ネタ】 パスワードを保存できないサイトでパスワードを保存する 【Firefox】
ある程度どうでも良いサイトの場合、パスワードを保存するリスクより利便性の方が上回るので、 結構積極的に保存してたりするんですが、サイトによっては保存できない設定になっている場合があります。 例えば…アフリエイトのMicroAd。 BTパートナー|行動ターゲティング,ブログ広告,リターゲティングのマイクロアド 左上にログインフォームがありますが、ここで入力したパスワードは保存されません。 (保存しますか?と聞かれない)
iptablesを設定した(VPSその5)
はてなブックマークで上位に来ていたこちらを参考に、iptablesを設定しました。 これぐらいやっとけ ~Linuxサーバのセキュリティ設定~ – nabeの雑記帳 恥ずかしながら何もやっていなかったので。 (iptablesでどういう事が出来るのかも知らなかった) 処理手順は設定のための処理を書いたシェルスクリプト(iptables-init.sh)を用意し、 それを実行して設定を反映、その上で設定をファイルに書き出して再起動しても適用されるように。 そんな感じ。
【読書感想文】 パーフェクトPHP / 小川 雄大/柄沢 聡太郎/橋口 誠
 | パーフェクトPHP (PERFECT SERIES 3) 小川 雄大 柄沢 聡太郎 橋口 誠 技術評論社 2010-11-12 売り上げランキング : 4615 Amazonで詳しく見る by G-Tools |
AutoPagerizeはGreasemonkey版からFirefoxアドオン版に移行するみたい(でもまだ満足に動かない)
先日、Greasemonkeyに関するセキュリティリスクが報告され、それに合わせていくつかのスクリプトが更新されました。AutoPagerizeもその一つです。 AutoPagerize セキュリティアップデート – SWDYH
malaさんによる解説:
外部コンテンツを読み込む系のGreasemonkeyやブラウザ拡張を作る際の注意事項 – 金利0無利息キャッシング – キャッシングできます – subtech AutoPagerizeをご利用の方は、こちらのページから最新版をインストールしてください。 AutoPagerize for GreasemonkeyWindows XPが重い場合の対処法 – wuauclt.exeさん大暴れの巻。
8月に入ってから、Windows XPを中心に起動や起動後の動作が極端に重くなる現象が起きているらしく、彼女の人のPCも重いというのでウィルス感染の可能性も含めていろいろと調べてみたのだけど特に異常なプロセスはなさげ。唯一怪しかったのは「wuauclt.exe」なんですけど、これ、名前からも想像できるとおりWindows Updateのアップデート監視用。これを切るとWindowsのアップデートを関知できないので余り推奨できなません。 …が、これを切ると快適にサクサク動くのだよなぁ。さて、どうしたものか。 というわけで、そんな場合の対処法。
セキュリティは難しいけれども。。
これ読んだ。
なんだこれ。ツッコミどころが多すぎて手が回りませぬ。WEBンベンターのご利用に心から感謝いたします。 さて、当社のカートを利用しているお店で個人情報流出の事故が発生しました。それは、管理プログラムがGoogleにインデックスされてしまったことによるものです。原因は調査中ですが、しかし、そのような場合でも検索エンジンに拾われないような対策を施してありますので、お知らせいたします。(問題のプログラムは2004年ごろのプログラムのようです。) 対処方法: 1.パスワードの管理に気をつける 2.最新の管理プログラムを使う 3.検索エンジンにインデックスされてしまったときの対処
管理プログラムがGoogleにインデックスされないようにする 2010年04月02日サーバーエージェントのセキュリティ対応の件
サイバーエージェント運営のブログサービスで、セキュリティの欠陥による被害が相次いでいる。新しいミニブログ「アメーバなう」にスパム感染が広がったほか、「アメーバブログ」でもプロフィールが消える被害が次々見つかった。なぜこんな初歩的な対策漏れがあったのか。
確かに、ぜい弱性は認識していましたが、『アメーバなう』の場合、年明けにも反響を見ながら対応する予定でした。
リスクの判断については、今後見直す
いつもAmebaをご利用いただきまして、ありがとうございます。 一部の皆様より質問いただきました、弊社サービスのセキュリティ対応について、 ご報告いたします。 弊社では新規サービスの開発時はリリース前に、 既存サービスは定期的に、外部セキュリティ監査会社による調査を必ず実施しております。 調査報告は深刻度別に分類され、これまでユーザーの皆様のデータ漏洩や 破壊につながる可能性がある部分については即時の対応を、 それ以外の部分については一定期間内での対応実施を徹底して参りました。 現在、昨今の事情を鑑み、影響の大きな部分については優先度を最上級にし、 緊急対応を行っております。 ご迷惑をおかけいたしますが、ご理解いただきますよう、お願いいたします。
弊社では新規サービスの開発時はリリース前に、既存サービスは定期的に、外部セキュリティ監査会社による調査を必ず実施しております。