Access-Control-Allow-Origin に設定する値として”マシ”なのはどちらか – SSTエンジニアブログ

はじめに こんにちは。ご無沙汰しております。脆弱性診断員の百田です。 今回は、実際に脆弱性診断をしていたときに考えていた、そこまで重要でもないと思われることをここに吐き出します。 その内容は、題名にもあるとおりレスポンスヘッダの「Access-Control-Allow-Origin」に設定される値についてです。 注意点として…

FacebookからOAuthを停止されてわかった今時のセキュリティ – Uzabase Tech

NewsPicksの高山です。 この記事はUzabase Advent Calendar 2021の23日目の記事です。昨日は我らが赤澤剛さんによるAWS Organizationの記事でした。 去る2021年10月12日に突然NewsPicksのサービスでFacebookログインやFacebookへの投稿ができなくなりました。この状態は12月13日まで2ヶ月もの間継続していて、ユーザーさ…

Apple、開発者にApple Developer証明書の更新について通達

Appleは現地時間12月22日、アプリとプッシュ通知に関する今後の証明書の変更について開発者に通知しました。この変更は、開発者が使用しているXcodeのバージョンによって一部のソフトウェアに影響を及ぼします。 APN証明書が新しい中間証明書から発行 Appleは、「2022年1月27日以降、Apple Push Notificationサービス(A…

アリババ、「Log4jの脆弱性を中国当局に報告しなかった」として6カ月の提携停止処分に

中国工業情報化部が「Log4jの脆弱性情報を直ちに報告しなかった」として、提携関係にあるアリクラウドを6カ月間の提携停止処分とした。 Java向けログ出力ライブラリ「Apache Log4j」(Log4j)で12月10日に判明した脆弱性を巡り、中国の行政機関である中国工業情報化部はこのほど、提携関係にあるアリクラウド(阿里雲)…

WordPressのAll in One SEOプラグインの重大な脆弱性に注意、4.1.5.3への更新が必要

WordPressのAll in One SEOプラグインの重大な脆弱性に注意、4.1.5.3への更新が必要 サイバーセキュリティ企業のSucuriは12月21日(現地時間)、公式ブログの記事「Critical Vulnerabilities in All in One SEO Plugin Affects Millions of WordPress Websites」において、WordPressの人気プラグイン「All in One SEO」…

「Apache Log4j」の脆弱性を中国政府に最初に報告しなかったとしてAlibaba Cloudにペナルティ

Javaライブラリ・Apache Log4j・に存在するゼロデイ脆弱(ぜいじゃく)性「Log4Shell」を発見しApacheに報告したAlibaba Cloudのセキュリティチームについて、中国政府が「最初に政府に報告しなかった」ことを理由にペナルティを課したことがわかりました。続きを読む……