nmtysh.log

Tech系のネタや日々の独り言などを書いています。

セキュリティ

MFA手段でFIDO2セキュリティキーを使った場合のPIN入力有無のメモ

利用しているサイトの内、MFA手段でセキュリティキーを登録できるサイトにYubicoのSecurity Keyを登録してみました。 FIDO U2Fのセキュリティキーが登録できるサイトでも、FIDO2のキーを使うとPIN入力が必須になるサイトがあったので、そのメモです。 ※2023/…

YubicoのSecurity Keyを購入した

GoogleのTitan Security Key(USB-AとBluetoothのセット)は持っていますが、このキーはFIDO U2Fのキーのため、MicrosoftアカウントなどFIDO2が必要なサイトでは利用できませんでした。 また、最近はUSB Cポートのみの端末も増えてきたので、この機会にとFIDO2…

PayPalでエラーが発生してセキュリティキーが登録できなかった

PayPalで2段階認証用のセキュリティキーを入れ替えようとしたら、エラーになって登録できませんでした。 その対処方法のメモ。 Cookieの設定を管理するで「エッセンシャル」に加えて、「パフォーマンス」も有効にする必要がありました。 Cookieの設定を管理…

読書記録 2023/05/04

フロントエンド開発のためのセキュリティ入門 知らなかったでは済まされない脆弱性対策の必須知識 フロントエンド開発のためのセキュリティ入門 知らなかったでは済まされない脆弱性対策の必須知識作者:平野 昌士翔泳社Amazon 入門とある通り、初心者向け。 …

Windows 11 HomeでWinREの脆弱性対処スクリプトを実行した時のメモ

下記の脆弱性に対応するPowerShellスクリプトが公開されたので実行してみました。 Homeエディションだからなのか、スクリプトの途中でエラーが発生しました。 Microsoftが「Windows回復環境」(WinRE)の脆弱性に対処するスクリプトを公開 - 窓の杜 KB502517…

Pixel 6aのGoogle Pixel Update - March 2023をサイドロードで更新した

普段より2週間遅れ、Pixel 6系以外より1週間遅れでPixel 6aのアップデートが3/20(現地時間)に公開されました。 英語版: Google Pixel Update - March 2023 - Google Pixel Community Pixel Update Bulletin—March 2023 | Android Open Source Project 日本語…

Pixel 6aで1.1.1.1のDNS-over-HTTPS(DoH)を有効にする

要約 Androidの「設定」→「ネットワークとインターネット」→「プライベートDNS」→「プライベートDNSプロバイダのホスト名」のホスト名に応じて DNS-over-HTTPS(DoH) と DNS-over-TLS(DoT) が切り替わります。 Cloudflareの1.1.1.1の場合 ホスト名 種類 one.o…

macのChromeでサイトにログインする際にAndroid端末を使った本人確認(MFA)ができない(解決済み)

環境 macOS Monterey 12.1 Google Chrome 97.0.4692.71 Android 12(Pixel 3a) まとめ Android端末を使って本人確認(MFA)をできるようにするには、mac側のChromeでBluetoothの使用を許可されている必要があります。 許可するには「システム環境設定」→「セキ…

macOSでESETのリアルタイムファイルシステム保護が動作しない問題(解決済み)

週末にmacOS MojaveからmacOS Catalina(10.15.7)にアップグレードしたのですが、アップグレード後以降から(ひょっとしたらもっと前から)ESETのリアルタイムファイルシステム保護が正しく動作していないため、その対処をしました。 環境 macOS Catalina 10.15…

ESETとMacの相性が悪い (3) ブラウザでサイトが開けなくなる(esets_proxyの暴走)

ブラウザでサイトがうまく閲覧できなくなったのでメモ 環境 ESET Cyber Security Pro 6.8.300.0 macOS 10.14.6 症状 読み込めないページ(サイト)が存在する。 Chromeは対策済みだったのですが、別のブラウザでも同様の症状が発生して、今度はCPU使用率が上が…

ESETとMacの相性が悪い (2) Time Machineバックアップに時間がかかる

環境 ESET Cyber Security Pro 6.8.300.0 macOS 10.14.6 症状 デフォルトだとTimeMachineの関連フォルダもリアルタイムスキャン対象になっているため、バックアップの作成に時間がかかる。破損するということがありました。 破損は本当にESETが原因なのかど…

ESETとMacの相性が悪い (1) ブラウザでサイトが開けなくなる

Chromeでサイトがうまく閲覧できなくなったのでメモ 環境 ESET Cyber Security Pro 6.8.300.0 macOS 10.14.6 症状 読み込めないページ(サイト)が存在する 対策 手元の環境だと、下記のいずれかの設定を変える必要がりました。 Webアクセス保護を無効化する H…

Micro Hardening v1.x@沖縄に参加しました!

6月2日(土)に行われたMicro Hardening v1.x@沖縄に参加しました!

CentOS 7でSELinuxを有効にしたままZabbixを動かす

ちょっとZabbix環境を構築する機会があってついでにSELinuxを有効にしたまま構築しようとしたら色々嵌ったのでその備忘録。

Hardening 1010 Cash Flowに参加しました

06/23,24に行われた[Hardening 1010 Cash Flow][h1010cf]に競技者として参加しました。 Hardeningには1年ぶりの参加となりますがまだまだ学ぶべきことは多いです。 (写真提供: Hardening Project)

Lightsailで構築したWordPressでBitnamiのページを削除する

bannerの無効化 だけではBitnamiのページは削除されないようです。 nmtysh.hatenablog.com という訳で、 /bitnami/index.html ページの削除(無効化)も行います。

Lightsailで構築したWordPressでBitnamiのbannerを削除する

Amazon Lightsailでお手軽にWordPress環境を構築できるようになりました。 Bitnamiというものを利用してWordPress環境が構築されるのですが、構築されたWordPressではページの右下にBitnamiのbannerがオーバーレイ表示されてしまいます。 bannerからリンクさ…

VagrantのSynced FoldersでNFSを利用するときにsudoのパスワード入力を省略する

※この記事はQiitaにも投稿しています。 vagrant up時に毎回パスワードを尋ねられるのが煩わしかったのでsudoersを設定したのですが初歩的なことに嵌っていたのでその備忘録。 まとめ /etc/sudoersに追記するときはこれよりも後ろに記述すること! %admin ALL …

JANOG 38 Meeting に参加しました

7/6(水), 7/7(木), 7/8(金) に沖縄かりゆしアーバンリゾート・ナハでJANOG 38 Meetingに参加しました。 JANOG 38 Meeting 日付: 2016/07/06(水) 〜 07/08(金) 場所: 沖縄かりゆしアーバンリゾート・ナハ 主催: 日本ネットワーク・オペレーターズ・グループ …

Hardening 100 Value x Value 参加報告。グランプリを取ることができました!!

先週の 06/04(土), 06/05(日) に沖縄コンベンションセンターで行われた Hardening 100 Value x Value に TEAM 8: No. Bee として参加してきたのでそのレポートです。 まずはお礼 このような素晴らしい競技会になったのは主催のWASForumを初めとした皆様、そ…

ウィルス付きメールが検知されずスルーされた

Gmailの迷惑メールフィルターは優秀で添付ファイルにウイルスが含まれている場合も検知してくれます。 業務アカウントでとあるメールが検知されていてzipの中身はどんなファイルなのか気になりましたがGmailはウイルス付き添付ファイルは安全のためダウンロ…

アップデート! アップデート! アップデート! アップデートに追われる日々……

ここ数日は検証環境を構築したり、代替機を構築したりと、OSの環境構築に追われてます。 OS自体をインストールするだけなら簡単なのですが、その後に必須のアップデートがとても大変。 VMのメモリー割り当てが少なすぎてアップデート処理が延々に終わらなか…

クレジットカード会社のセキュリティ対策が弱いと感じるがエンドユーザーに合わせた結果なのだろうか

時折、利用中のクレジットカード会社から電子メールのダイレクトメールがやってきます。 利用しているどの会社も大丈夫なのだろうかと感じてしまいます。 1.会社名とメール送信元ドメインが違う。 2.メール内に記載されたurlがhttp。 3.メール内のurlが検索…

アクセスさせたくないページのレスポンスコードは何が最適なのだろうか

Webサイトでセキュリティ対策の一環として一般ユーザーや特定IP帯以外からのアクセスは遮断したい領域がありますよね。 そのようなページにアクセスされた際にどのレスポンスコードを返すのが良いのか悩んだので考えてみました。 403 Forbidden アクセスを禁…

OWASP Night Okinawa #1 無事終了〜

OWASP Night Okinawa #1 無事終了しました。 04/02という期首でドタバタしがちな日程設定でしたが、16名の参加となり盛況のうちに終えることが出来ました。 前半はOWASP Japanの岡田さんからのメッセージや、 淵上さんの「OWASPってなんね?」と題したOWASP…

OWASP Night Okinawa #1開催します!

14時からだけどOWASP Night! OWASPの沖縄ローカルチャプターであるOWASP Okinawaの記念すべき第1回目のイベントを開催します! owasp-okinawa.doorkeeper.jp OWASPって何? という方向けにも安心なOWASPの紹介も行いますよ! 日時: 2016/04/02 14:00 - 17:00 (1…

Hardening 100 Value x Value募集開始!

今年もHardeningの季節がやって来ました! Hardening 100 Value x Value の参加募集の受付開始です! wasforum.jp Hardening競技は技術的な側面だけではなく、コミュニケーション、マーケティング、顧客対応などあらゆる側面から評価されます。 これは現実世界…

OWASP DAY(MINI Hardening)無事完了〜

OWASP DAY 開催されました。 多くの方が会場にお越しくださいました。またインターネットで3拠点を繋いでの中継や、YouTubeでのライブ配信もあり盛況でした。 今回、通常の3時間から1時間に短縮したMINI Hardening OWASP DAY特別版も併設して開催し、MINI Ha…

明日はOWASP DAYです!

明日はOWASP DAYです。 ということで一足早く東京入り。 沖縄と気温差がかなりあるということで防寒対策をしてきたのですが、思いの外暑い(汗 流石に外は寒いのですが、建物内や電車内は上着がじゃまになるほど暑く感じてしまいます。 明日のOWASP DAYはMINI…

Unifyingレシーバーのfirmwareを更新してみた

Unifyingレシーバーの脆弱性が見つかったようなので、更新しました。 普段Ubuntu PCで使っているので、公式のUnifying Softwareではなく、Solaarを使っています。 Solaarでは更新ができないようなので、久々にWindowsマシンを起動して更新しました。 Unifyin…