TikTokのアプリ内でwebサイトを開いたら、すべてのタップやパスワードふくむ全ての文字入力がTikTokに取得されている。 そういう処理をするJavascriptコードが自動挿入されていることが発見され、会社側もそれを認めた。… https://t.co/RxCNaJNiEd
browserとsecurityに関するkoyhogeのブックマーク (35)
-
koyhoge 2022/08/21
-
Smoozサービス終了に寄せて
202012_smooz.md Smoozサービス終了に寄せて 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。 Smoozに報告した脆弱性2件 最近、Smoozというスマホ向けのブラウザアプリに2件脆弱性の報告をした。 この記事を書いている時点で、Smoozの配布が停止されていて、修正バージョンの入手が出来ない。 2件目についてはまだ返事が来ていない。 脆弱性情報の開示にあたって特段の許可は得ていないが、開発元からも利用停止す
-
国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している
調べた事実を列挙してみる。 ・デフォルトの設定では、設定・操作・閲覧情報がユーザーID、デバイスIDと共にアスツール社のサーバーへ送信されている ・検索窓に入力した文字は、検索ボタンを押さなくても、その内容が逐一アスツール社のサーバーへ送信されている ・検索内容がアダルト関連ワードかどうかがアスツール社のサーバーに送信され判定されている ・サービス利用データの提供設定をオフにしても、閲覧情報がアスツール社のサーバーに送信されている ・プライベートモードにしても、閲覧情報がアスツール社のサーバーに送信されている ・https通信であろうとも閲覧したURLは完全な形でアスツール社のサーバーに送信されている 様々な設定を調べたが、どのようにしても外部への閲覧情報送信を止めることはできなかった。 あなたが何を調べ、何を買おうとしているのか、何で遊び、どこへ行こうとしているのか。それらはあなたの知ら
-
Safariは危険なJavaScriptに対応しない - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? Firefox / Safari 先日Appleが、Safariは幾つかのWebAPIに対応しないと公言しました。 日本語記事も幾つか出ています。 しかし、どのサイトも対応しないAPIの一覧を並べてはいるのですが、それぞれのAPIが具体的にどのようなものなのかを記載した記事が見当たらなかったので、以下はそれらについて調べてみたものです。 対応しない理由 a threat to user privacy、すなわち、あくまでブラウザフィンガープリントなどの手段によって個人を特定・追跡できてしまうからという理由です。 セキュリティ的にも問題な
-
-
IEに重大な脆弱性、サポート終了のWindows XPは修正パッチの予定なし - GIGAZINE
By tim_d Internet Explorer 6から11までの全バージョンに関わる脆弱性の存在をMicrosoftが発表しました。対象OSはWindows 8.1やWindows Server 2012などほぼすべてのWindows OSで、当然、2014年4月9日にサポートが終了したWindows XPも含まれていますが、マイクロソフト セキュリティ アドバイザリの適用はありません。 Microsoft Security Advisory 2963983 https://technet.microsoft.com/ja-jp/library/security/2963983 New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks |
-
プロフィールを乗っ取るブラウザ拡張機能、Facebookで出回る
ユーザーのFacebookプロフィールを使って「いいね」ボタンを押したり、共有、投稿、友達とのチャットといったさまざまな操作を行う不正な拡張機能が見つかった。 米Microsoftは、Facebookのプロフィールを乗っ取る悪質なブラウザ拡張機能が“感染”を広げているのを確認したと伝えた。特にGoogle ChromeとMozilla Firefoxが標的にされているという。 Microsoftマルウェア対策センターの5月10日のブログによると、このマルウェア「Trojan:JS/Febipos.A」は、インストールされると、ユーザーが現在Facebookにログインしているかどうかを確認した後、外部のWebサイトから設定ファイルを取得しようとする。 この設定ファイルの内容次第で、ユーザーのFacebookプロフィールを使って「いいね」ボタンが押されたり、共有、投稿、グループへの参加、友達と
-
Internet Explorer Data Leakage
On the 1st of October, 2012, we disclosed to Microsoft the following security vulnerability in Internet Explorer, versions 6–10, which allows your mouse cursor to be tracked anywhere on the screen—even if the Internet Explorer window is minimised. The vulnerability is particularly troubling because it compromises the security of virtual keyboards and virtual keypads. The motivation for using a vir
-
IEに新たな脆弱性が発覚、当面は別ブラウザの利用を
既に攻撃コードが出回り、セキュリティ専門家はIEのユーザーに対し、Microsoftがこの問題に対処するまでの間、ChromeやFirefoxなど別のWebブラウザに切り替えることを勧めている。 米MicrosoftのInternet Explorer(IE)に、また新たな未解決の脆弱性が報告された。IE 7と8を標的とした攻撃が既に発生しているもようだ。米SANS Internet Storm Centerやセキュリティ企業各社が9月17日に一斉に伝えた。 IEの脆弱性を悪用するコードは、先に発覚したJavaの脆弱性(Oracleが8月30日に対処済み)について調べていた研究者が14日に発見し、最新のパッチを当てたWindows XP SP3上で悪用できることを確認した。 この脆弱性はIE 7/8/9に存在し、細工を施したWebサイトをユーザーが見ただけで被害に遭う可能性があるという。M
-
エフセキュアブログ : Oracle Java 7の脆弱性を狙った攻撃について
Oracle Java 7の脆弱性を狙った攻撃について 2012年08月29日00:54 ツイート hiroki_iwai オフィシャルコメント by:岩井 博樹 28日にJVNに登録されたJavaの脆弱性(0day)が話題です。 影響範囲は、Java 7 (Java SE7, JDK 7, JRE 7)となっています。 既に攻撃コードを悪用したウェブサイトも複数報告されており、警戒が必要な状況となっています。 JVNにも記載されていますが、現在のところOracle社からはセキュリティ・パッチが配布されていません。そのため、一時的な対策としてウェブブラウザのJava Plug-inを無効化することが推奨されています。 現在確認されている悪性サイトには、次のようなコードが含まれており、Javaの脆弱性を悪用後にDrive-by Downloadによりマルウェアをインストールします。 ※実際
-
Dolphin Browser HDにスパイウェア疑惑、開発元は緊急アップデートをリリース | アプリオ - Android -
人気ブラウザDolphin Browser HDの最新バージョン7.0(10月24日リリース)にスパイウェア疑惑が持ち上がった。Webzineという機能を利用すると、ユーザーの情報が外部サーバーに送信される仕組みになっていたという。 開発元は27日、緊急アップデートを行い、問題の機能を削除したバージョンをリリースした。 コミュニティサイトxda developersに掲載された情報によると、以下の情報が外部送信可能な状態になっていたとのこと。 クリックに関する情報 検索入力に関する情報 読み込んだページに関する情報 SSLのURL QUERY_STRINGS(URLに含まれる文字列) プライベートネットワークIPアドレスとファイルのアドレス 問題は、この機能を利用するに当たって、ユーザーに確認と承認(オプトイン)を得ていなかったという部分で、ユーザーが関知しないところでプライベートなデー
-
都道府県型JPドメインがCookieに及ぼす影響の調査
JPRSからのプレスリリース『JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定』や報道などで「都道府県型JPドメイン」というものが新設されることを知りました。 都道府県型JPドメインとは、現在活発に使われていない地域型ドメインを活性化する目的で、地域型ドメインの制約(ドメイン名が長い、一人・一団体あたり1つまで)を簡略化しようというもののようです。 しかし、現在の地域型ドメインは、ブラウザにとって処理がややこしいもので、IEなどは昔からまともに対応していません。このため、Cookie Monster Bugという脆弱性になっているという経緯があります。このルールをさらに複雑にすることになるということから、ブラウザセキュリティに関心の高い人たちが騒ぎ始めています。 そこで、高木浩光氏の日記「JPRSに対する都道府県型JPドメイン名新設に係る公開質問」の以
-
都道府県型JPドメイン名の新設に伴うセキュリティとかの話
Hiromitsu Takagi @HiromitsuTakagi ちょっと待てや。JPRSは、ドメイン名構造の変更に伴うセキュリティへの影響は検討したの? RT 2012年後半から: JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定 http://t.co/FAfe7g06 Tatsuhiko Miyagawa @miyagawa JPRS will launch prefecture based second level domains like tokyo.jp, osaka.jp etc. We expect big cookie monsters coming. 徳丸 浩 @ockeghem 地域型ドメインを現に使っておられる三田典玄氏のドメインはmita.minato.tokyo.jpで4レベルだけど、都道府県型ドメインに移行すると、mit
-
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
-
Google、Chrome向け行動追跡拒否機能を発表
米Googleは米国時間2011年1月24日、Webブラウザー「Chrome」のプライバシー機能強化について発表した。オンライン行動の追跡をユーザーが恒久的に拒否できる手段を提供する。米連邦取引委員会(FTC)が個人情報管理手段「Do Not Track」の搭載を提案したことにこたえるもの。米MozillaもWebブラウザー「Firefox」用の追跡拒否機能を検討中であることを前日に明かした。 GoogleがChrome向け拡張機能としてリリースした「Keep My Opt-Outs」は、オンライン広告業界の自主規制基準に準拠した広告企業の追跡を一括して拒否できる。すべてのクッキーを削除した場合でも、オプトアウトの設定は維持される。従来提供されているオプトアウト機能は、クッキーを削除すると設定内容もすべて消去されてしまった。 Keep My Opt-OutsはGoogleのWebサイトから
-
WebSocketにセキュリティの懸念。Firefox 4とOperaで機能を無効化へ
もともとHTML5の仕様の一部として検討され、現在は独立した仕様となったWebSocket。Webブラウザで柔軟な通信が行える機能として注目されていましたが、Firefox 4では、当面WebSocketのサポートを見送ることが発表されました。Operaでも同様に、デフォルトでWebSocketをオフにすることが発表されました。 原因はWebSocketプロトコルにセキュリティ上の問題が発生したため、とのこと。 WebSocketにはどのようなセキュリティ上の問題が発見され、影響はどういったところに及ぶのでしょうか? Mozilla Japanの浅井智也氏に解説をお願いしたところ、次のような文章を送っていただきました。 以下からは浅井氏による解説です。 なぜFirefox 4はWebSocketをサポートしないのか? 現在仕様策定途中のWebSocketプロトコルには重大なセキュリティ上の
-
MicrosoftがIEの脆弱性を報告 IE 6狙った攻撃も
米Microsoftは1月14日、Internet Explorer(IE)でリモートコード実行の脆弱性が確認されたと報告した。この脆弱性は、中国でGoogleなどの企業に仕掛けられたサイバー攻撃に利用されたという。 同社のアドバイザリーによると、この脆弱性はIE 6、7、8に影響する。この脆弱性を利用してIE 6を狙った限定的な攻撃が行われているが、ほかのバージョンのIEに対する攻撃は見られないとしている。 Microsoftは現在この問題を調査中であり、調査完了後に月例アップデートや臨時パッチなどにより対応するとしている。 この問題は、特定の状況下で無効なポインタにアクセスできてしまうことが原因。これを悪用すると、ユーザーを細工を施したWebページにアクセスさせることで、IEでリモートコードを実行することが可能になる。 Microsoftは、IEを保護モードで利用することでこの問題の影
-
MS vs グーグル:IEプラグイン「Google Chrome Frame」をめぐり舌戦
Microsoftは米国時間9月24日、「Internet Explorer(IE)」のレンダリングエンジンをGoogle製のものに置き換えるIEプラグイン「Google Chrome Frame」を激しく非難した。 Microsoftは声明で、最新技術を欲するユーザーはChrome Frameを使うよりも、新しいバージョンのIEに移行した方が良いと述べた。 「われわれはInternet Explorer 8で、重要な機能強化や更新を追加し、顧客がブラウザをより安全に使用できるようにした」とMicrosoftは述べた。「プラグイン全般、そして『Google Chrome』が抱えるセキュリティ上の問題を考えると、Google Chrome Frameをプラグインとして実行することにより、マルウェアや悪意あるスクリプトの攻撃対象となる領域は2倍になる。われわれは、こうしたリスクがあるものを友人
-
ブラウザに登録したオートコンプリートパスワードは丸見え! | 教えて君.net
ブラウザのオートコンプリート機能は、パソコンに直接触れられる人なら誰でもログインできてしまうのが難点。パスワードは隠された状態で入力されるので、別のマシンからはログインできないと高をくくっている人もいるかもしれないが、Firefoxの場合、設定で「パスワードを表示する」を選択すると、パスワードの内容が全部丸見えになってしまう。 またIEでも、「IEPassView」を使えば、オートコンプリートに登録してあるパスワードの内容をすべて見ることができる。ブラウザに保存した時点で、パスワードは実質的に丸裸になると考えた方がいい。オートコンプリートは無効にしておくか、重要度の低いサービスを登録するのに留めておこう。 ■Firefoxのパスワードは丸見え オートコンプリート機能ではパスワードは隠されているので、別のマシンからはログインできないと考えがちだが……
-
Google Chrome、ハッキングコンテストで唯一の生き残りブラウザに
Mac版Safariはコンテスト開始後数分で侵入され、IE 8、Firefoxも初日のうちにハッキングされた。 カナダのバンクーバーで3月18~20日に開催されたハッキングコンテストPwn2Own 2009で、参加者らはGoogleのChrome以外の主要Webブラウザすべてのハッキングに成功した。このコンテストはカナダのセキュリティ企業dragostech.comが2007年から毎年開催しているもので、今年はWebブラウザと携帯端末のセキュリティ侵入のテクニックが競われた。 ターゲットとなったWebブラウザは、Windows 7搭載のソニーのVAIOにインストールされたInternet Explorer(IE)8、Firefox、Chromeと、Mac OS X搭載のMacBookにインストールされたSafariとFirefox。Webブラウザの脆弱性を突くコード(エクスプロイトコード)
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しました