HTMLのカスタムデータ属性(data-*)へのアクセス

小ネタです。 HTML5でカスタムデータ属性(いわゆる「data-*」属性)が導入されましたが、JavaScript(やTypeScript)からのアクセスの際のキー命名規則については、MDNの記述がやや微妙です(ここでは原典として英語版を参照しています)。

TypeScript+ElectronでUDPポートで受信待ち受け

タイトルのまんまです。ただし、サンプルコードではなく実際的な話です。 Electronでsocketを使う時は、mainプロセスでNode.jsの機能を使うことになります。私の場合、UDPを扱いたかったので、 dgram を使います。 私が必要だった機能は、次のようなものです…

TypeScript最大のハマりポイント:this

TypeScriptは、全体としては整然として、素直に動作します。しかし、たまに意外な落とし穴があります(自分もはまったのですが、その時のコードが残ってませんでした。すみません)。 「なぜか型がundefinedになっている」などの問題が起きるようなら、次のT…

TypeScriptを使ってみて「使うべき」と思った話

最近、ずっとブログを休んでいましたが、そろそろ再開。ただ、以前のような話は少なくなる見込みです。 個人的にTypeScriptとElectronでアプリケーションを書いています(Eto.Formsもいいのですが、プラットフォームごとの挙動の違いの扱いがつらいところで…

RSAカンファレンス公式アプリ、再びデータ漏洩の指摘

セキュリティ・カンファレンスに参加すると、スマホアプリがあなたのデータを漏洩する arstechnica.com RSAセキュリティ・カンファレンスの公式アプリが、登録者の情報を漏洩しているという指摘がありました(ちなみに2014年にも、アプリのメーカーは違うも…

Telegram規制とDomain Frontingの終焉

もう1か月ほど前の話ですが、プライバシーをウリにするチャットアプリの1つTelegramがロシア(とイラン)で禁止された件は、それなりに(一部では)国内でも話題になったように思います。 「プライバシーを売り物にはしない」―Telegram創設者、ロシアでの禁…

米陸軍、サイバー防衛競技会を分析。対面コミュニケーションが成績と強い逆相関と確認される。

米陸軍の研究者達「最強のサイバーチームは非社交的なチーム」 arstechnica.com 米のサイバー防衛の学生競技 MACCDCでの、メンバー間のコミュニケーションと結果を、陸軍研究所が調べた結果、強い相関は次の2つの項目にみられたそうです。 リーダーシップ 対…

マイニング・マルウェアの標的は2018年からコンテナにも拡大

CoinMiner攻撃キャンペーン、DockerやKubernetes経由でクラウドへ www.bleepingcomputer.com 今やマルウェアの新たなスタンダードになった感のある暗号通貨マイニングですが、その標的はPCやサーバ、スマートフォンに加えて、仮想コンテナに向かっています。…

Chrome向けのゼロ幅文字チェッカー拡張が登場

「ゼロ幅文字」による追跡攻撃を検出する、Google Chrome拡張が登場 www.bleepingcomputer.com Marco Chiappetta氏は、Chrome向けに「Replace zero-width characters with emojis」という拡張を公開しました。ゼロ幅文字を絵文字に置き換える機能をもので、…

Pwn2Ownに表れる新たなリスク

もう1か月ほど前の件ですが、意外に報じられてない感じなので。 FirefoxやEdge、Safariが、有名なPwn2Ownで陥落 www.bleepingcomputer.com Pwn2Ownは毎年恒例のハッキングコンテストで、主催側が定めたターゲットをハックできた人に賞金が支払われます。 し…

Hajimeの活動が再び活発化。相変わらず悪行はなし。

Hajimeボットネット再来。今回はMicroTikルータを大規模にスキャン https://www.bleepingcomputer.com/news/security/hajime-botnet-makes-a-comeback-with-massive-scan-for-mikrotik-routers/ Mirai派生ボットネットの1つてあるHajimeが、再び活発化してい…

米国、令状なしでクラウド上のデータを取得可能とするCLOUD法を可決

米連邦議会、予算案に隠してCLOUD法を可決 www.bleepingcomputer.com 米連邦議会は、連邦政府のシャットダウン期限が迫る中、ギリギリで予算案を可決しましたが、これにはCLOUD(Clarifying Lawful Overseas Use of Data Act)法という別の法案が組み込まれて…

有力IT企業で相次いでセキュリティ担当者が退職へ

Google、Facebook、Twitterのセキュリティ関係役員、退職を発表 www.bleepingcomputer.com FacebookのCSO、Alex Stamos氏(8月末で退職との報道、今後の予定は不明) Googleの情報セキュリティ部門のdirector、Michal Zalewski氏(3月末で退職、今後の予定は不…

インターネットに露出したetcd、ただのHTTPアクセスで膨大なデータを露呈

「etcdの、セキュリティ自爆スイッチ」 elweb.co CoreOSの分散KVS、etcdは、後方互換性のために管理機能の認証がデフォルト無効です。しかもRESTful APIで利用できます。 この結果、デフォルト設定のetcdがインターネットに露出していると、中のデータは外か…

暗号通貨のハードウェアウォレットLedgerの脆弱性

Ledgerのセキュリティモデルを破る saleemrashid.com 耐タンパ性を謳う暗号通貨ウォレット、15歳のハッカーにより裏口を開けられる arstechnica.com PCに接続して暗号通貨を安全に保管する、と謳うLedgerのハードウェアウォレットの脆弱性についての記事です…

Slingshot APTに関し「米国の対テロ作戦」との証言

次の件の続報です。 mokake.hatenablog.com Kasperskyの「Slingshot」報告が、ISISに焦点を当てた諜報活動にダメージ www.cyberscoop.com 米関係者「Kasperskyの"Slingshot"報告が反テロ作戦にダメージを与えた」 arstechnica.com Slingshotは、Kasperskyが…

わずか数時間で40万台以上のPCにマルウェアが拡散

「汚染されたP2Pアプリ、Dofoilコインマイナーの急増を起爆」 cloudblogs.microsoft.com 「トロイの木馬化したBitTorrentソフト更新、先週40万台のPCを乗っ取る」 thehackernews.com BitTorrentクライアントツールMediaGetのアップデートに介入して、マルウ…

AMDの多数のCPU、APUに脆弱性。公開方法へは批判多数

「AMDのチップに多数の欠陥、悪意あるハックの影響が格段に悪化」 arstechnica.com 「13件のクリティカルな欠陥がAMDのRyzen、EPYCプロセッサで見つかる」 thehackernews.com AMDのEPYCやRyzenシリーズのプロセッサ(AMD Platform Security Processor)には…

StackOverflowの開発者アンケート(2018年版)

ソフトウェア開発者なら、ほぼ確実にお世話になっているサイトStack Overflowの2018年アンケート結果が公開されました。 insights.stackoverflow.com 個人的にはSOのアンケート結果をちゃんと見たのが初めてで興味深かったので、取り上げてみたいと思います…

中国CNNVD、脆弱性情報データベースを書き換えていることが判明

「中国、公的脆弱性データを改変。国家安全部による影響の隠蔽のため」 www.recordedfuture.com 以前からCNNVD(中国の脆弱性情報データベース)については、脆弱性によって公開タイミングが違うことが指摘されていました。 internet.watch.impress.co.jp こ…

きわめて高レベルなAPT「Slingshot」が報告される

Slingshot APTのFAQ(よくある質問) securelist.com Kasperskyは、高度なマルウェア群による攻撃(APT)を「Slingshot」と名付け、その詳細を発表しました(冒頭記事の末尾に25ページの報告書へのリンクがあります)。 Slingshotは、少なくとも2012年から活…

多くのメールサーバで使われるEximにまた脆弱性

「Eximの1つずれに基づく遠隔コード実行脆弱性:CVE-2018-6789を緩和要素をかわしつつ攻略」 devco.re SendmailやPostfixなどと同じカテゴリMTAの著名ソフトの1つeximに脆弱性が見つかりました。対応版(4.90.1)への更新が必要です。 この脆弱性は、記事タ…

Ciscoの遠隔管理ツールにハードコードパスワード

「Ciscoのソフトにハードコードされたパスワードが見つかる」 www.bleepingcomputer.com CiscoのPCP(Prime Collaboration Provisioning)という遠隔管理ツールに、ハードコードされたSSHパスワードがあることが判明しました。 この脆弱性はLAN内からのみ攻略…

パスワード漏洩確認サービス「Have I Been Pwned」、新チェック方式導入

Have I been pwned API v2 haveibeenpwned.com 「パスワードがハクられているかチェックしよう ― サーバへの送信なしで」 arstechnica.com 「新ツールでパスワード漏洩チェックが格段に簡単に」 www.bleepingcomputer.com セキュリティ研究者Troy Hunt氏が運…

memcachedによるDDoS問題、1.7Tbpsに到達。一方お手軽な対策も登場

memcachedが不正なUDPパケットを送りつけることで5万倍以上の強烈な増幅率になってしまう件についてです。 Shodanなどで見つかった、ネットに露出したmemcachedサーバを使ったDDoS攻撃は、ついに新記録1.7Tbpsに到達しました。攻撃を受けた対象は非公開です…

トルコで、あるアプリ群の1つ以上を入れた人々が誤認逮捕される

「秘密主義で知名度の低いスマホアプリは、いかにしてトルコ反乱後の弾圧の中心になったか」 www.theverge.com ByLockというメッセンジャーアプリがあるそうです。とりあえず検索しても見つかりませんが、公式ストアではなく、単体でダウンロード、インスト…

最近のロシアからの攻撃ネタ:五輪と独政府

「米政府言及:五輪をクラックし、北朝鮮の犯行に見せかけたのはロシアのスパイ」 www.washingtonpost.com 平昌五輪の開会式を狙った攻撃(通称「Olympic Destroyer」)について、米国の諜報関係者が「ロシア軍に属するスパイによるもの」と述べた、とワシン…

広告ブロッカーを回避するマイニングスクリプト

「広告ネットワーク、DGAアルゴリズムを使って広告ブロッカーを迂回、ブラウザ内でマイニング」 www.bleepingcomputer.com 広告ブロッカーはiOSで正式採用されたあたりから普及が進み、対策も進んだ感がありますが、一部の広告業者が入れてくる暗号通貨のマ…

偽のデジタル署名の調査報告が発表に

「偽のコードサイニング証明書の利用増大について」 www.recordedfuture.com 近年(2015年以降)、偽のコードサイニング証明書が使われることが増えているそうです。使用自体はイランの核施設に影響を与えたStuxnetなどでもみられますが、これは米国とイスラ…

米SEC、企業幹部に対し、脆弱性などの発表前に株式取引しないよう警告

「IntelとEquifaxの件を受けて、米SECが企業幹部にセキュリティ案件調査中の株式取引をしないよう警告」 www.bleepingcomputer.com Equifaxのデータ超大規模流出事件の発表前に同社幹部4人が合計2億円ほどの株式を売却した件や、IntelのSpectre/Meltdown脆弱…