直ってた
たまたまかな

crt\.sh に繋がらない…
なんかアナウンス出てたっけ？

Goodbye innerHTML, Hello setHTML: Stronger XSS Protection in Firefox 148 – Mozilla Hacks - the Web developer blog Cross-site scripting (XSS) remains one of the most prevalent vulnerabilities on the web. The new standardized Sanitizer API provides a straightforward way for web developers to sanitize untrusted HTML...

setHTML() メソッドねえ

Goodbye innerHTML, Hello setHTML: Stronger XSS Protection in Firefox 148 - Mozilla Hacks - the Web developer blog hacks.mozilla.org/2026/02/good...

パスキー必須化やOTPは良いんだけどさ、
独自アプリを入れさせるのやめてくれないかな…

Algorithm Confusion: Critical 9.1 Flaw in Parse Server Allows Instant Google Account Takeover Parse Server patches a critical 9.1 CVSS vulnerability (CVE-2026-27804). Attackers can forge Google tokens using "alg: none" to hijack any linked user account.

securityonline.info/algorithm-co...

alg none attackって本当にあるんだ

Hackers exploit security testing apps to breach Fortune 500 firms Threat actors are exploiting misconfigured web applications used for security training and internal penetration testing, such as DVWA, OWASP Juice Shop, Hackazon, and bWAPP, to gain access to cloud en...

Pentera researchers found 1,926 live, vulnerable applications exposed on the public web, often linked to overly privileged IAM (Identity and Access Management) roles and deployed on AWS, GCP, and Azure cloud environments.

www.bleepingcomputer.com/news/securit...

OWASP Top10 2025 RC1が公開されてる
owasp.org/Top10/2025/0...

- 2021で単体項目だった「SSRF」がBroken Access Controlへ吸収
- Mishandling of Exceptional Conditionsが新設

バンダイチャンネルの更新があった。
全サービスを一時停止…。
ｰｰｰ
当障害の原因に不正アクセスによる疑いがあり、
またその場合には一部情報漏洩の可能性もあるため
緊急措置として全サービスを一時停止させていただきます。
info.b-ch.com/article/5188...

【復旧】ニコニコチャンネルが意図せず退会されてしまう｜ニコニコインフォ いつもニコニコチャンネルをご利用いただきありがとうございます。 下記の期間、障害が発生していましたが、現在は復旧しています。 意図せず退会された方は、有料会員に戻す対応をいたしました。 対象ユーザーの

同じ11月4日に発生したのは偶然なのかな。
バンダイチャンネルは24時間経った今も続報無いのが気になる。

【復旧】ニコニコチャンネルが意図せず退会されてしまう
blog.nicovideo.jp/niconews/261...
【障害】意図せずバンダイチャンネルを退会されてしまう事象に関しまして
info.b-ch.com/category/137...

[11月4日実施]緊急サーバーメンテナンスのお知らせ | メンテナンス情報 | サポート | レンタルサーバーのWADAX [11月4日実施]緊急サーバーメンテナンスのお知らせついて。レンタルサーバーのワダックスは、365日無料の電話サポートと、セコムの不正侵入検知防御（IPS）標準搭載で安心。WAF、Webサイトバックアップ等オプションも充実のレンタルサーバーです。

DKIM認証ポリシーの強化作業により、正当な送信元からのメール送信が阻害される状況になった、と。

「ポリシーチェックツール[Active! hunter]の厳格さが一般的なメール運用と乖離している」ってのはどういうことだったんだろう。

www.wadax.ne.jp/support/main...

NIST SP 800-63Bの更新で「記号や文字種混在を求めない」などが注目を集めてるけど、NISTの基準ってずっと前からそうだと思ってた…。

OWASP ASVSだと2019年のv4.0の時点で「使用可能な文字の種類を制限するパスワード規則が無い」云々が求められてたし、今まで違ったのが逆に意外。

［更新してシャットダウン］したのにPCの電源が落ちていない……Microsoftが根本的な解決へ／「Windows 11 Insider Preview」のBeta/Devでテスト中【やじうまの杜】 「やじうまの杜」では、ニュース・レビューにこだわらない幅広い話題をお伝えします。

［更新してシャットダウン］したのにPCの電源が落ちていない……Microsoftが根本的な解決へ - やじうまの杜 - 窓の杜 forest.watch.impress.co.jp/docs/serial/...

期待して良いのかしら

国家サイバー統括室 サイバー攻撃による被害発生時のインシデント報告様式の統一について

サイバー攻撃による被害発生時のインシデント報告様式の統一について - 国家サイバー統括室 www.nisc.go.jp/policy/group...

DDoSとランサムウェア事案の報告様式だ。
最低限どんな情報が必要なのか、参考になるかも。

Claude Codeで処理が完了したらmacに通知し、VSCodeに飛ばす方法

VSCodeに飛ばすっていう発想は無かった…。なるほど。
zenn.dev/shiruten/art...

脆弱性が診断ツールで見つかったり見つからなかったりする話

こないだコメントした脆弱性診断内製化ガイドにも触れてる。
あれだとツールをどう使ったのか全然分からないのよね。
いろいろあって実名出したくないのかなーとかはある。
zenn.dev/jins/article...

ObsidianとClaude Codeを使ったドキュメント活用

良かった。
Pocketから乗り換えのつもりでObsidian Web Clipper入れたけど、保存するだけで活用できてない。参考にしよ。
zenn.dev/oikon/articl...

ゼロ知識から挑んだ DMARC「none」から「reject」 へ、そしてBIMI導入までの取り組み

面白かった。
一定期間の全送信メールの約37%相当がなりすましメールだったと。
「当社なりすましメールの特徴」の観測はどうやってるんだろな。DMARCレポートだとその辺（表示名とか件名とか本文とか）分からないから、どうやってるのか気になる。
zenn.dev/wn_engineeri...

P.57
「DOMベースのクロスサイト・スクリプティングのような静的解析では検出しにくいなど～」

ん？なんとなく全部DASTだと思ってたけど、製品D～HのうちのどれかはSASTなのかな。

X-Frame-OptionsかCSPヘッダの設定が無かったら取り合えずNG出しておきそうなクリックジャッキングを検出してない製品Eがもしかして？

P.56
まあ、この結果も見方が難しい気はする。

同種の脆弱性5個のうち4個見つけても1個しか見つけられなくても「△：部分的に検出」なのだろうし。XSSなんて、Reflected / Stored / DOM Basedで検出傾向が明らかに変わりそう。

CSRFが全部「×：検出なし」も本当なのかな。csrftokenぽいパラメータが無いPOSTは全部NGにする過激な製品もありそうだけども。

脆弱性診断内製化ガイド | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構 情報処理推進機構（IPA）の「脆弱性診断内製化ガイド」に関する情報です。

面白い。
自動診断ツールの説明に「OWASP Top10に対応」って書いてある！もう診断ベンダに依頼しなくていいのでは！？とかいうのを黙らせるには使えそう。

脆弱性診断内製化ガイド | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構 www.ipa.go.jp/jinzai/ics/c...
www.ipa.go.jp/jinzai/ics/c...

株式会社テゲバジャーロ宮崎、ネットショップで709人分の個人情報が見られる状態に | サイバーセキュリティラボ プロサッカーチーム「テゲバジャーロ宮崎」が運営する公式オンラインショップで、709人分の個人情報が第三者に見られる状態になっていたことが分かりました。

株式会社テゲバジャーロ宮崎、ネットショップで709人分の個人情報が見られる状態に
www.gate02.ne.jp/lab/incident...

>ネットショップの管理画面には本来、パスワードなどの「ログイン認証」が必要ですが、システムを担当していた会社がこの設定をしていませんでした

管理画面を認証不要にできるECサイトがあるのか…

一番気になるのはフォーマットに強いこだわりがあるとこかな。
既存ファイル開くのはやめといたほうが無難そう。

Windows 11のメモ帳にMarkdown来てた。
テーブルや引用系は使えないみたいだ。
「書式付き」と「構文」の切り替えが結構面倒。
使いやすくなっていくといいな。

【お知らせ】旧アトレカードをご利用のお客さまへ｜アトレ -atre- アトレ「ニュース詳細」のページです。

www.atre.co.jp/news/5360/
>第三者により取得され、アクセスすると不審なWebサイトへ誘導される状況にあることが確認されております。
>このカードの裏面には、当該ドメインにアクセスするための二次元コードが印刷されております。

こういうの無くならないねえ…

Text Formatting in Notepad begin rolling out to Windows Insiders Hello Windows Insiders, today we are beginning to roll out an update to Notepad to Windows Insiders in the Canary and Dev Channels on Windows 11. Notepad (version 11.2504.50.0) [caption id=

Windows 11のメモ帳がMarkdownの表示・編集に対応。
相手が対応エディタ入れてるかなど気にせず、気軽にmdファイルを共有できるようになるなら嬉しい。
blogs.windows.com/windows-insi...