人気のタグ:
仮想化 DNSセキュリティ 形式的検証 到達可能性解析 C言語 コンパイラエラー マクロの衝突 Web拡張機能 開発フレームワーク コモドール64 すべてのタグ

VercelのBotIDリバースエンジニアリング:驚くほど基本的なボット対策?

2025-06-30

この記事では、Vercelが最近リリースしたBotIDボット対策システム、特に無料の基本モードについて詳しく説明します。著者は、基本モードの現在の検出メカニズムは驚くほど基本的なもので、ブラウザのプロパティを操作することで簡単に回避できることを明らかにしています。BotIDはブラウザのフィンガープリントやGPU情報など、さまざまなシグナルを収集しますが、これらのシグナルの処理方法は基本的であり、高度なボットを効果的に識別できません。著者は、Vercelが基本モードを使用して将来の、より堅牢なボット対策モデルのトレーニングのためのデータを静かに収集していると推測しています。有料のDeep Analysisモードは、Kasadaのボット対策スクリプトを使用しており、基本モードよりもはるかに複雑です。

続きを読む
(www.nullpt.rs)
開発

パスキーの偽造:FIDO2/WebAuthnの攻撃対象領域の調査

2025-06-24

この記事は、FIDO2パスキーのセキュリティについて深く掘り下げています。著者は、市販のハードウェアキーとプラットフォーム認証子をリバースエンジニアリングし、カーネルドライバなしでFIDO2デバイスを模倣するソフトウェアオンリーの認証子を構築しました。これにより、ヘッドレスログインのためにパスキー署名を偽造および再生することが可能になりました。詳細なプロセスには、現実世界のトラフィックのキャプチャ、HIDハンドシェイクのデコード、アテステーションデータの検証、ソフトウェアCTAP2エンジンの構築、Chromeの組み込み仮想認証装置の悪用が含まれます。著者は、実際のセキュリティキーなしでログインすることに成功し、署名カウンタの強制適用、CDP権限の制限、およびパスキーセキュリティを強化するためのrelying party側のチェックなどの軽減策を提案しました。

続きを読む
(www.nullpt.rs)
テクノロジー パスキーセキュリティ