Content Security Policy(CSP)の潜在力をフル活用してもらう目的で、XSS対策支援ツール「CSP Evaluator」「CSP Mitigator」を公開した。 Web上で横行するクロスサイトスクリプティング(XSS)攻撃の防止に役立ててもらおうと、米Googleが「Content Security Policy」(CSP)を活用した対策を支援するツールを発表した。 XSSは信頼されたWebアプリケーションに不正なスクリプトを仕込む攻撃で、そうした攻撃の阻止を目的とするCSPは主要Webブラウザにサポートされている。 ところがGoogleが10億あまりのドメインを分析した調査では、CSPポリシーの95%がXSS攻撃を防ぐ役に立っていないことが判明。これは開発者がホワイトリストで外部スクリプトの読み込みを許容している上位15のドメインのうち、14ものドメインでパターン
HSTS(HTTP Strict Transport Security)という仕組みがある。簡単にいうと、次のような仕組みだ。 「このサイトにはHTTPではなくHTTPSで必ず接続するように」と、サーバーがブラウザに指示するHTTPヘッダー。この指示を受け取ったブラウザは、その情報を記録しておき、以降は、そのサイトに対してアクセスするのにHTTPを使わず自動的にHTTPSで接続するようにする。 たとえHTTPSでサイトを構成していたとしても、通信を傍受されたりフィッシング詐欺に遭ったりする危険性がある(特に無線LANなどの環境で)。これを防ぐのにHSTSを利用できる。 グーグルは、HTTPSをランキング要因に組み込んだことを発表した際に、「サイトでHSTSを有効にするように」と指示している。 ところが、たしかにHSTSによってブラウザは必ずHTTPSで接続を試みるのだが、それは2回目以降だ
Rapid7の研究者によると、GoogleはAndroid 4.3(Jelly Bean)までのバージョンについて、WebViewの脆弱性修正パッチの提供を打ち切った。 世界でまだ9億台あまりの端末に搭載されている旧バージョンのAndroidについて、米Googleが脆弱性を修正するパッチの提供を打ち切っていたことが分かったという。脆弱性検証ツール「Metasploit」を手掛けるRapid7の研究者が1月12日のブログで伝えた。 それによると、Googleは最近まで、Android 4.3(Jelly Bean)の脆弱性について報告を受けると迅速に対応していた。ところが、このほど新たに4.4よりも前のバージョンのWebViewの脆弱性を報告したところ、Googleのインシデント対応担当者からメールで「もし影響を受けるのが4.4よりも前のバージョンであれば、我々は一般的に、自らパッチを開発
Not your computer? Use a private browsing window to sign in. Learn more about using Guest mode
米Googleは11月18日、Webアプリケーション向けのセキュリティスキャンツール「Firing Range」をオープンソースで公開した。さまざまなXSS攻撃やWeb脆弱性を大規模にテストでき、社内でも継続的テストなどに用いているという。 Firing Rangeは、社内で開発したWebアプリケーションのセキュリティスキャンツール「Inquisition」をオープンソースプロジェクトにしたもの。ライセンスはApache License 2。 Google App Engine上に構築したJavaアプリケーションで、Chrome、Google Cloud PlatformなどのGoogleが持つ技術で構築されている。XSSの解析技術「XSS Peeker」など、一部ミラノ工科大学の研究者の支援を受けた。低い誤検知率、使い勝手の良さなどを特徴とする。 ほかのXSSスキャナなどの脆弱性テストと
By Lee Davy セキュリティリサーチ会社のMalwarebytesが有名サイトの広告に不穏な動きがあることを確認し調査したところ、Googleの広告配信サービス「DoubleClick」とアド・テクノロジー企業「Zedo」の広告サーバからマルウェアが配信されていたことが判明しました。 Large malvertising campaign under way involving DoubleClick and Zedo | Malwarebytes Unpacked https://blog.malwarebytes.org/malvertising-2/2014/09/large-malvertising-campaign-under-way-involving-doubleclick-and-zedo/ Malwarebytesが不審な行動を検知したのはオンライン・ストリーミン
いまや、インターネットトラフィック全体の25%がGoogleによるものであるという調査結果や、Googleがダウンしている間にインターネットトラフィックが40%減少したという記事があり、同社のインターネットにおける存在感は拡大し続けています。 Googleは、Google Public DNS(8.8.8.8)という、キャッシュDNSサーバの無償サービスも提供していますが、その規模を推計した調査結果がRIPE-NCCで発表されています。 この調査結果は、IPv4アドレス枯渇時期推測などを行っていたGeoff Huston氏によるものです。 RIPE Labs: Measuring Google's Public DNS インターネットにおける通信の大半が名前解決から開始されますが、多くのユーザに対してキャッシュDNSサーバを提供しているということは、Webとは全く関係がない通信を含めて非常
メール共有サービス「グーグルグループ」で空港の設計図などをグーグル日本法人が流出させていた問題で、東京駅や新大阪駅の内部情報もインターネット上で誰でも閲覧できる公開状態になっていたことが、11日分かった。 空港に続いて駅の情報も流出していたことがわかり、2020年の東京五輪・パラリンピック開催に向けてテロ対策などの見直しなどを進めている国土交通省も調査に乗り出した。 東京駅では、JR東日本の子会社が運営し、駅に隣接するグラントウキョウサウスタワー(地上42階、地下4階)の地下1階部分が公開状態になっていた。外部には非公開の特別高圧線の位置や、ビルの心臓部とも言える「中央管理室(防災センター)」などの施設が詳細に記入されていた。同駅の改札内の地下1階にある商業施設「グランスタ」の図面には、「中央配線室」「機械室」などの各部屋のほか、各店舗が売上金を入れる「入金機室」の場所も明記されていた
By Dick_Wu セキュリティリサーチャーのIbrahim Balicさんは、GoogleのAndroid OSにメモリをクラッシュさせる恐れのある脆弱性を発見しました。その後Trend MicroがBalicさんの発見した脆弱性を調査したところ、悪意あるハッカーによって、ユーザー自身がデバイスに保存されたデータを全消去してしまうようなアプリの作成が可能であることが判明しています。 Android Vulnerability affected Google Play Bouncer (Emulator) | Ibrahim BALİÇ http://ibrahimbalic.com/2014/android-vulnerability-affected-google-play-bouncer-emulator/ New Android Bug Causes Bricked Device
ブラジルとベネズエラのネットワークで、Google Public DNSが運用されている8.8.8.8が、最大22分間BGPハイジャックされたとBGPmonがTwitterで表明しています。 https://twitter.com/bgpmon/status/445266642616868864/photo/1 BGPmonのTweetによると、ベネズエラにあるAS7908(BT LATAM Venezuela,S.A.)が8.8.8.8/32を広告したことが原因のようです。 ブラジルといえば、ブラジル国民のデータをブラジル国内に留めることを求めた法律が成立したことによって、昨年10月に同国からGoogle Public DNSが撤退しています(Renesys: Google DNS Departs Brazil Ahead of New Law)。 実際のところは知りませんが、その撤退に
By ntr23 オンラインマーケティング企業のDistilledでコンサルタントを務めるトム・アンソニーさんが、Google+のアカウントでログイン時に使用しているメールアドレスを盗み見ることができるバグを発見しました。 Google Exploit - Steal Account Login Email Addresses Tom Anthony http://www.tomanthony.co.uk/blog/google-exploit-steal-login-email-addresses/ アンソニーさんは、自身の勉強と、Googleのセキュリティホールを報告した際にもらえる報奨金のために、しばしばGoogleのバグ探しを行っているそうです。彼はこれまでにもバグを報告したことがあったそうですが、今回発見したものはとてもシンプルながら簡単に悪用できるものであったそうです。 Goo
米GoogleのWebブラウザ-「Chrome」に、パソコンを盗聴器に変えてしまう脆弱性が見つかったと、複数の米メディア(InformationWeek、Gizmodoなど)が現地時間2014年1月22日に報じた。悪意のあるサイトは同脆弱性を利用することで、パソコンのマイクを起動し、パソコン周辺の音声を拾って記録できるという。 Chromeの脆弱性を最初に確認したイスラエルのWeb開発者、Tal Ater氏によると、ユーザーが不正サイトから離れても盗聴は継続され、Chromeが起動している限り、パソコンのすぐそばで行われる会話や通話が記録される可能性がある。 ユーザーがChromeの音声認識技術に対応したサイトを訪れた場合、サイトはマイクを使用する許可をユーザーに求める。ユーザーが承認すると、音声認識が有効になっていることを示すアイコンがタブに表れる。通常、ユーザーが音声認識を無効に切り替
By marsmettn tallahassee Google Chromeは、バックグラウンドで自動的にアップデートを行ってくれるので、ユーザーはいつでも最新バージョンのブラウザを利用可能です。この機能により、拡張機能も最新の状態が保たれるのは非常に便利なのですが、拡張機能のアップデートにアドウェアやマルウェアを混入させている業者が増加していることが判明しています。 Selling a Google Chrome Extension is Easy but Monetizing is Tricky http://www.labnol.org/internet/sold-chrome-extension/28377/ Are Adware Companies Buying Up Popular Chrome Add-Ons? | OMG! Chrome! http://www.omgchr
Google Chrome runs web pages and applications with lightning speed. GoogleはChrome安定版の最新版となる「Chrome 30 (30.0.1599.101)」を公開した。Windows版、Mac OS X版、Linux版、Chrome Frame版の安定版がそれぞれ最新版として公開されている。既存のChromeユーザは自動的に最新版へのアップグレードが実施される見通し。 Chrome 30はバグ修正も実施されているが、それよりもセキュリティ脆弱性の修正が実施された点が注目される。通常、修正されたセキュリティ脆弱性に関する情報は公開されるが、今回はその特性上問題の詳細を明かすまでに時間を要すると説明がある。GoogleはChrome 30よりも前のバージョンを使っているユーザの大半がChrome 30以降(問題が修
Googleの脆弱性報酬制度の報酬がアップされましたね! Google、脆弱性情報に支払う報奨金を大幅アップ - ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1306/10/news027.html Googleアカウントページに存在するクロスサイトスクリプティング(XSS)の脆弱性情報については3133.7ドルから7500ドル accounts.google.comのXSSは$7,500 だそうです。みつけたいですね! みつけるのはかなり厳しいと思いますが、かつて2つみつけたことがあります。 今日はそのうち1つを紹介したいと思います。 oeパラメータを使ったXSS 2012年12月27日に報告し修正された問題です。 Googleは、一部のサービスで「oe」というクエリパラメータを付加することで、ページの表示に
要約: EC サイト運営者が Google Groups を経由して個人情報を大公開する事例が多々あります 現在話題になっている以下のニュース Googleグループに残る「非公開のつもり」のメーリングリスト 公開範囲設定に注意を http://www.itmedia.co.jp/news/articles/1307/11/news045.html に関連して、いろいろと検索をして遊んでいたのですが、最初は 会議 go.jp 出演 交渉 とかそんな感じのワードで検索して組織に関する情報を探し出しては喜んでいました。しかし検索ワードをちょっと工夫すると(どのように工夫するかは伏せます)、一般人の個人情報が沢山出てくることに気付きました。 以下のような実態があります 「**** という商品を買いたいのだがこれに **** は付属しているか」という問い合わせが本名つきで晒されている オタクグッズを
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
