物理の駅 Physics station by 現役研究者

テクノロジーは共有されてこそ栄える

セキュリティ

Google Apps Script(GAS)でTOTPを生成する方法

Google Apps Script(GAS)でTOTPを生成するには、SHA1を実装している外部ライブラリを使うのが良いだろう。 ウェブアプリとしてJSON形式で表示させるところまで実装したコード function myFunction() { const secret = "ABCDEFGHIJKLMNOPQRSTUVWXYZ"; const c…

Google Authenticator から シークレットキーを抽出する方法

Google Authenticator(Google認証システム、認証アプリ)にインポートした 時間ベースのワンタイムパスワード TOTP のシークレットキーを確認したいことがあるのでその方法。 Google Authenticatorから、アカウントを移行→アカウントのエクスポートで、必要…

C#でGoogleのワンタイムパスワード計算アルゴリズム TOTP (RFC6238)を実装する

Stackoverflowのこの投稿で十分 stackoverflow.com だが、クリップボードにコピーして即プログラムを終了するように少し修正した。 using System; using System.Windows.Forms; using System.Security.Cryptography; namespace totp { class Program { publi…

LINEとSlackの暗号化の話 LINEは本当に危険か?

LINEは危険という話をよく聞く。本当なのか。コミュニケーションツール Slack と比べてどうか。 Slackはすべてのデータをサーバー側と経路で暗号化しているため、仮にSlackが不正侵入されたり、通信経路で盗聴されても平文(暗号化前の元の文やデータ)が漏…

なぜパスワードで暗号化したファイルをメールで送ってはいけないのか

セキュリティの基本は「人は愚かである」という前提に立つことである。しかし、我が国のセキュリティ意識は多くは「頑張ればなんとかなる」精神に立っており、しばしば誤った頑張り方が重大なインシデントを招く。その一つが、 個人情報や機密情報を送ろうと…

怪しいソフトウェア(exe等)がウイルスか否かチェックしてくれるサイト

VirusTotalという、Googleが運営しているウェブサイトは、アップロードしたソフトウェアを、数多くのアンチウイルスソフトウェアを使って、ウイルスかどうかをチェックしてくれる。ただし、VirusTotalにアップロードされたファイルは、一部のセキュリティ研…

Windows + ChromeであるURL以外を接続させないようにしたい

URLBlacklistで全てのURLを指定、URLWhitelistで特定の(この例ではGoogleのみ)を指定。 以下の内容を test.reg という名前で保存し、管理者権限で実行すると良い。 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chro…

updatestar.com について

このサイトから、2つほどファイルをダウンロードしたところ、一つはMicrosoft Defender君がきっちりガードしてくれた。 別のファイルをダウンロードしたところ、Microsoft Defender は動かなかったが、SHA-256を計算しVirusTotalで検索してみたところ見事引…