セキュリティ企業のSecuniaとVUPENは4月27日、Operaブラウザに未修正の深刻な脆弱性が報告されたとしてアドバイザリーを公開した。 両社によると、脆弱性は「document.write()」機能を使ってWebページに大量のデータを書き込む際にメモリが初期化されない問題に起因する。攻撃者は細工を施したWebページをユーザーに閲覧させ、任意のコードを実行できてしまう恐れがある。 脆弱性が存在するのは現行のOpera 10.52までのバージョン。危険度はSecuniaが5段階評価で上から2番目に高い「Highly critical」、VUPENは4段階で最も高い「Critical」としている。 Operaの公式パッチはまだリリースされておらず、SecuniaとVUPENは当面の対策として、JavaScriptを無効にすること、信頼できないサイトを閲覧しないようにすることなどを挙げてい
Twitterユーザー、あるいはこのプラットフォームを利用しているデベロッパーや企業は、2010年6月30日に向けて適切な対応を図る必要がある。Twitter APIのBASIC認証が廃止されるためだ。 意外と知られていないこととして、APIの制限のほかにユーザーごとの制限があると丹羽氏。1日当たりのツイートやフォロー、ダイレクトメッセージなどに上限があるが、ダイレクトメッセージの250件/日制限に引っかかってはじめてそれに気付く企業アカウントも少なくないという 「Twitter Development Talk(Twitter-Dev)」や「Twitter API Announcements」などではかなり前からアナウンスされていたが、2010年6月30日を最後に、Twitter APIのBASIC認証はエラーが返ってくるようになる。一見地味に映るこの出来事だが、カウントダウンサイトも用
前職の会社から不正アクセス防止で訴えられました。 先程、警察の方が来られて自宅PCを押収されたました。 警察からは事情を聞きたいので近々警察署に来てくださいと言われました。 ただ、玄関で内容を説明している時に写真を取られたり、PCの設置している場所の 写真を撮られたりしました。 前職の会社でIT責任者でした。アクセスしたのは私が作成したシステムですWEBから 利用できるシステムで主に顧客情報が載っております。退職後は管理者のIDでアクセス しましたが特に個人情報等を持ち出しはしておりません。ただ、ブラウザの機能で パスワードが残っていたので興味本位で中を閲覧しました。 ただ、押収されたPCの中には前職で利用したメールデータ、資料等が保存されています。 中には個人情報に関するものもあります。これらは自分を守るために保存しておりました。 それは退職前に経営陣に関して内部告発をして退職しました。
「Twitter Support」から届いたように見せかけて、詐欺サイトに誘導する迷惑メールが出回っているという。 セキュリティ企業の米McAfeeは、Twitterユーザーをだますことを狙った新手のフィッシング詐欺メールが出回っているとして、ブログで注意を呼び掛けた。 それによると、問題のメールは「Twit 73-923」などの件名が付き、「Twitter Support」から届いたように見せかけてある。本文は「You have delayed message from Twitter」といった文面でTwitterに未読メッセージがあることを知らせる内容を装い、リンクをクリックするよう仕向ける。 リンクのURLは一見すると、「http://twitter.com」で始まる正規サイトのように見える。しかしリンクは偽装されたものだという。同社は、リンクを安易にクリックすると、マルウェアに感染
ブログ パスワード認証 閲覧するには管理人が設定した パスワードの入力が必要です。 管理人からのメッセージ 閲覧パスワード Copyright © since 1999 FC2 inc. All Rights Reserved.
Mac用ウィルス対策ソフト
以前は Norton くらいしかメジャーな製品がなかった Mac 用ウィルス対策ソフトですが、 2010年版から急に選択肢が増えてきました。それだけ Mac 用ウィルス対策ソフトの需要が増えてきたということなのでしょう。少しまとめてみましょう。 Norton http://www.symantec.com/ja/jp/norton/products/index.jsp Norton ブランドは古くから Mac ユーザーにおなじみですね。以前はライバルが少なかったせいで Mac 版は Windows 版よりずいぶん割高でしたが、 2010年版では Windows 版と同等価格になっています。 Kaspersky http://www.justsystems.com/jp/products/kasperskymac/ Kaspersky も Mac に参入です。 Norton と違い Wind
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
多少、CGIをかじったことがある人ならお分かりでしょうが、アドレスバーにパスワードが含まれるのは、GET METHODで FORMデータのやり取りをしているからです。 さらに、セッション管理ではないので、延々とHIDDEN プロパティで全てのページにパスワードを含むURIを投げる仕組みになっているようです。 漏れている、URLをみると、httpsになっていますが、これは、URLの情報がインターネットを経由する時に、プレーンテキストで流れないという意味合いを持つに過ぎません。 どういうことかは、後述します。 さて、そのサイトさんで、今日付けで、CGIの対策を行ったと書かれているので見てきました。 管理プログラムがGoogleにインデックスされないようにする 2010年04月02日 単に、一般仕様に基づく検索エンジンにクロールされないようにする対処しかされていません。 つまり、Meta tag
更新: 2010年4月3日23時20分頃 メッセサンオー (www.messe-sanoh.co.jp)で個人情報が流出したというお話が。 秋葉原ゲームショップの顧客情報が閲覧可能に - アダルトソフト購入履歴なども流出 (www.security-next.com)PCゲーム通販大手の顧客名簿が流出 (www.yomiuri.co.jp)メッセサンオー、PCゲーム通販の顧客情報がネットで流出 (internet.watch.impress.co.jp)Internet Watch の記事には追記がありますね。 なお、メッセサンオーが通販サイトで導入していたショッピングカートを提供するWEBインベンターは、Googleにインデックスされないように対策した最新の管理プログラムを公開し、利用者に対して適用を呼びかけている。 以上、メッセサンオー、PCゲーム通販の顧客情報がネットで流出 より ほ
by Paul Snelling 個人だけでなくいろいろな企業もTwitterを利用し始め、着実にユーザー数が増えているわけですが、そうなってくると本人ではないのに本人を名乗る「なりすまし」などの問題が発生します。Twitter側では認証済みアカウントを用意するなどして本人証明する方法を提供していますが、それは単純に「ここが公式だよ」「これが本人だよ」と証明しているだけであり、Twitterを利用していない場合などにはまったく意味がありません。 そこで、勝手に自分になりすましているアカウント自体を削除するにはどうすればいいのか、実際にGIGAZINEもなりすましアカウントを作られたのでその際の対応手順をメモしておきます。同じような問題で困っている個人・団体・企業などは参考にして下さい。 詳細は以下から。 まずTwitterの規約については以下のページ内にある「コンテンツの範囲とTwitte
● 簡単で完璧な阻止率100%のスパム対策の実装について 日々増大する中国からのスパムアクセス。全てのWebサーバ管理者が悩まされていると言っても過言ではないだろう。これを低コストで完璧に排除する活気的な方法を思いついたので、以下に提案する。キーワードは「発想の転換」である。 ブラックリスト方式 (DNS) 中国からのアクセスを弾くために という排除方法を考えてみる。この場合、問題が2つある。 効率性 (HostNameLookups on にする必要がありパフォーマンスが悪い) 完全性 (全ての中国IPが .cn のDNS付与されているわけではない) 1の速度面を我慢したとしても、「中国で利用されているホスト情報」というブラックリストが定義不能であるため、この方式は完全ではない。 ホワイトリスト方式 (DNS) 発想を逆にして、ホワイトリストを定義してみる。話を簡単にするために、もう大雑
■ 2年前に書いた懸念がいよいよ現実のものになりつつある 2008年に書いた懸念、 単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する, 2008年5月5日の日記 これが現実になりつつある。 先週、長崎市立の中学校の校長が、自宅のパソコンで、児童ポルノに該当し得ると疑われるファイル名のファイルを開いたと疑われる事態が、ウイルス(トロイの木馬)によって暴露され、三流下劣メディアから嘲笑されるという事件が起きた。 中学校校長がロリコン画像を大量所持か / 性的画像と一緒に学校資料も, ロケットニュース24, 小林涼子編集長(システム担当 矢野さとる)(29日16:30修正、下記の追記2参照), 2010年3月21日 (略)この人物が校長だといわれているのはなぜか? それはロリコン画像のほかに最近使ったデータとして学校名付きで学力向上対策.jtd、学校生協への学校紹介.
あやしいサイトや知らないサイトを訪れる前に、URLを入力するだけでサイト背景情報を調査したり、迷惑メールの送付経路を表示したりすることが出来ます。
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2010年03月25日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり このエントリでは、DNSリバインディング攻撃によりブロードバンドルーターの設定を外部からの侵入を許すように変更してみたので報告する。 DNSリバインディングに対する関心が高まってきている。本年1月12日には、読売新聞夕刊一面トップで、iモードブラウザ2.0のDNSリバインディングによる不正アクセスが報じられた。3月17日のcomputerworld.jpでは、『2010年に最も警戒すべきセキュリティ脅威は「DNSリバインディング」』という翻訳記事が紹介された。実は「最も警戒すべきセキュリティ脅威」というタイ
先日のセキュリティソフトの調査で、フリーの総合環境で最も優れたウイルス検出率を示したのが「COMODO Internet Security」だ。高機能なアンチウイルスとファイアウォール機能がセットになっていて、日本語にも対応済み。さっそく導入と初期設定を解説していこう。 先日、マルウェア100体の検出率を調べたセキュリティソフト実験が話題となったが、実験結果の上位を占めたのは、有料ソフトと非常駐型の無料ソフトばかり。1位の「F-secure」と2位の「kaspersky」は有料ソフトだし、3位の「a-squared」と4位の「BitDefender」はフリーだが、常駐保護機能がないためOSの保護には使えない。5位の「ウイルスバスター」と6位「Gdata」も有料ソフト…・・・。 というように上から順に見て行って、フリーの総合セキュリティソフトで最も成績が良かったのが、6位の「COMODO I
■ 音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する 音楽6団体、違法ダウンロード防止の啓蒙キャンペーン, ケータイWatch, 2010年3月4日 プレスリリース, 音楽関係6団体「やめよう!違法ダウンロード」キャンペーン開始, 社団法人日本レコード協会, 2010年3月4日 【特設サイトURL】 パソコン http://www.happy-musiccycle.jp/ 携帯電話 http://www.happy-musiccycle.jp/mobile/ このURLがあちこちに貼られて宣伝されているようだ。たとえば、懸賞情報のメールマガジンなどに掲載されているようだ。 社団法人日本レコード協会 QUOカード1000円分300名プレゼント, 無料サンプル&懸賞情報サイト 社団法人日本レコード協会 QUOカード1000円分300名プレゼントキャンペーン! エルマークを広めよう
Amazon.comからの注文確認に見せかけて、不正サイトに誘導しようとするメールが出回っているという。 SANS Internet Storm Centerは3月3日、Amazon.comの注文確認を装って不正なリンクをクリックさせようとする詐欺メールが大量に出回っているとして注意を呼び掛けた。 それによると、問題のメールはAmazon.comから届いたように見せかけてあり、本文には英語で「あなたの注文を確認しました。注文の内容は以下の通りです」などと書かれている。ユーザーがだまされて「ORDER INFORMATION」というリンクをクリックすると、難読化されたJavaScriptやマルウェアを仕込んだページに誘導されるという。 これは1週間ほど前に出回った攻撃のパターンを変更したものとみられるといい、使われているドメインは多岐にわたるとSANSは伝えている。
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日(木)からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/vuln/websecurity.html 近年、ウェブサイトを狙った攻撃が継続しています。攻撃の実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*4)」で、「脆弱性対策情報データベースJVN iPedia(*5)」のアクセスログを解析した事例を図1に示します。 図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
