Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

タグ

csrfに関するitochanのブックマーク (11)

  • ウイルス作成罪で初の逮捕者が出る | スラド セキュリティ

    コンピューターウイルスを作成・送信したとして、大阪府在住の男性が不正指令電磁的記録供用の疑いで逮捕され、その後不正指令電磁的記録作成容疑と合わせて送検された。不正指令電磁的記録作成は「ウイルス作成罪」とも言われているが、この罪状の適用は初めてとなる(時事通信)。 読売新聞によると、容疑者は別の男性と共同で運営していたアニメサイトの運営方法を巡ってトラブルとなっていたという。問題となるウイルスはWebサイトに埋め込むタイプのもので、埋め込まれたWebサイトにアクセスすると「容疑者が運営していたサイトに書き込みをしたように発信記録を偽装する」という。 容疑者は男性に対しウイルスを設置したサイトに誘導するメールを送信、ウイルスを使って「さっさと閉鎖しろ。さもないと、お前の両親を殺して家を燃やす」との文言を男性が書き込んだように偽装し、「男性に脅迫された」と大阪府警に相談したという。

  • 【衝撃事件の核心】「ウイルス作成罪」初適用 大阪府警の“大勝負”(1/6ページ) - MSN産経west

    「ブログを閉鎖しなければ、両親を殺す」。自分のサイトにこんな書き込みがあったと男が大阪府警に被害を届け出たが、実はコンピューターウイルスを駆使して他人から脅されているように見せかけた自作、自演だった。府警は今年1月、この男について昨年7月の成立以来、初となる不正指令電磁的記録作成容疑、いわゆる「ウイルス作成罪」を適用した。これまで、ウイルス作成そのものを取り締まる法律がなかったため、著作権法違反や器物損壊などの罪に問われることが多かったサイバー犯罪。今回の事件をめぐる裁判はすでに始まっており、今後の成り行きが注目されている。 私は被害者 ウイルス作成罪などで起訴されたのは、大阪府松原市天美南の無職、小林浩忠被告(28)。小林被告は昨年9月、「『さっさとブログを閉鎖しなければ、両親を殺して家を燃やす』という書き込みが自分のサイトにあった」と府警に訴え出た。 府警はこの訴えを受け、脅迫文を書き

    itochan
    itochan 2012/05/19
    ウソ殺害予告、ウソ爆破予告って、警察への業務妨害罪でニュースになってたことなかったっけ? / こんにちはこんにちは
  • 『【緊急】アメーバなう利用中の皆さんへ【ご注意!】』

    友達の書き込みに「こんにちはこんにちは!!」というものがあったら 絶対にクリックしないでください!!!! アメーバスタッフさんの記事によると、 その書き込みをクリックすると自分の日記にも 自動的に同じ内容の記事が投稿されるそうです! その結果、それを見た他のアメンバーさんにも、どんどん感染していきます! これはワームというウイルスで、 まるでチェーンメールのように悪質です!! その上、プロフィールなどの個人情報が漏洩する場合があるかもしれません! 詳細は不明ですが、とても不気味です…! 「こんにちはこんにちは!!」というタイトルの日記が いつのまにか投稿されていないか、 自分の「ブログ」と「アメーバなう」で、どうかご確認を! あったら即刻削除してください!!!!!! (1日のタイムラグの後にウイルス発動するという説もあります!) 現在、ameba管理者の方でも対応できないほどのスピードで

    『【緊急】アメーバなう利用中の皆さんへ【ご注意!】』
    itochan
    itochan 2009/12/11
    こんにちはこんにちは!!
  • Google (finally) adds protection for common Web 2.0 attack

    itochan
    itochan 2009/10/03
  • Pwning Opera Unite with Inferno’s Eleven

    Opera Unite, the upcoming version of the Opera browser has a strong vision to change how we look at the web. For those who are unknown to this radical technology, it extends your browser into a full-blown collaboration suite where you can chat with people, leave notes, share files, play media, host your sites, etc. (Wow!!). Opera Unite comes bundled with a bunch of standard services such as Fridge

    Pwning Opera Unite with Inferno’s Eleven
  • ぼくはまちちゃん!

    はてなダイアリー (メインブログです!) → ぼくはまちちゃん! (Hatena) はまちや2のツイッターです! 気軽にフォローしてみてくださいね! → Twitter / はまちや2 はてなブックマーク → Hamachiya2のブックマーク タンブラーです! かわいい絵をあつめたりしています! → [tumblr] hmcy ゲームの動画をあげて、ぼくもモテモテユーチューバーになるつもりです! → はまちや2(Hamachiya2)のYouTube (以下は過去の記事など) きみのライフを可視化するよ! → [JavaScript] ライフカウンター 空から女の子が…! → 空から女の子が降ってくる AIRアプリの簡単な作り方 → [AIR][JavaScript] JavaScriptでかんたんAIRアプリに挑戦 つくってみました! → ドリームメーカー : ブラウザで簡単にノベルゲ

    itochan
    itochan 2008/12/09
    こんにちは!こんにちは! でおなじみ、ウェブアイドルはまちちゃん
  • Domain hijack fears over Gmail exploit

    itochan
    itochan 2008/11/25
    特定のメールが第三者に転送されるようなフィルタを作成されてしまい、その特定のメールによってパスワードなどの重要情報が漏洩
  • クロスサイトスクリプティング(XSS)とCSRFの違い早分かり - ockeghem(徳丸浩)の日記

    昨日の日記で、DK祭りで使われている脆弱性がXSSかCSRFかという問題になった。どうも、XSSとCSRFがごっちゃになっている人もいるように見受けるので、簡単な整理を試みたい。 XSSとCSRFには似た点がある。 どちらも「クロスサイト」という言葉が先頭につく なりすましのようなことが結果としてできる どちらも受動型攻撃である それに対して、もちろん違う点もある。専門家から見れば「似てるも何も、そもそも全然違うものですよ」となるのだろうが、現に混同している人がいるのだから紛らわしい点もあるのだろう。 私思うに、XSSとCSRFの決定的な違いは、以下の点ではないだろうか。 XSSは攻撃スクリプトがブラウザ上で動くが、CSRFはサーバー上で動く このため、XSSでできる悪いことは、すなわちJavaScriptでできることであって、攻撃対象のCookieを盗み出すことが典型例となる。一方、CS

    クロスサイトスクリプティング(XSS)とCSRFの違い早分かり - ockeghem(徳丸浩)の日記
    itochan
    itochan 2008/03/25
    とりあえずブクマ 「サーバー上で『スクリプトが』動く」っていう言い回しがいまいち納得できないんだけど…
  • crossdomain.xmlの脆弱性の話が人気だけど、簡単に解説するよ!:しっぽのブログ

    ついったー足あと帳 このサイトを一昨日とかに見てびっくりした人も多いと思うんだけどcrossdomain.xmlの設定をあやふやにしておくと、ユーザーのセキュリティもあやふやになっちゃうんで、そこはWebサービスとしてはまずいよね?っていう話が話題。 Twitter の crossdomain.xml 問題について。 - てっく煮ブログ crossdomain.xml と CSRF 脆弱性について - 川o・-・)<2nd life だけども、てっく煮の中の人が言うように このような「取得」のゆるさが理由で、Twitter API を活用したサービスを作る人が多発して、それがまた Twitter の人気を押し上げたのは事実。 という具合に、Webサービスのcrossdomain.xmlを全部厳しく(もしくはそもそも置かない)すればそれでいいかっていうと、それだとユーザーの自発的なサービスを

    itochan
    itochan 2008/03/23
  • 高木浩光@自宅の日記 - 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない

    ■ 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない 「ぼくはまちちゃん」 ――知られざるCSRF攻撃, 上野宣, @IT, 2005月4月27日初版、2006年11月8日修正版 ●リファラーで発信元をチェック HTTPリクエストを受けたとき、そのリクエストがどこのWebページから発行されたものかを示すリファラー(REFERER)と呼ばれる情報を得ることができる。この情報を活用し、来意図したWebページ以外からのリクエストを拒否することで、CSRFによる外部からのリクエストを防ぐことができる。 ただし、ユーザーがリファラー情報を出力しないブラウザを使っている場合、このチェックを導入すると正当な操作でも受け付けなくなってしまう。 懸念されるリファラー情報偽装に対する問題だが、以前はリファラー情報を発行するのは攻撃を踏んでしまった自分自身なので、リファラー情報を偽装する動機がなく

  • @IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃

    ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください

    @IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
  • 1