米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその対策について発表した。 同社はPOODLEのセキュリティアドバイザリーもPDFで公開した。 SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。 この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。 Googleはシステム管理者はWebサイトの
嘘のような本当の話。 編集部記者の知人宛てに、LINE乗っ取り犯からやり取りに使用する台本が送られてきたとのこと。本来、購入してほしい商品の写真を説明として相手に送信するつもりが、間違ってやり取りに使用する台本を添付したものだと思われます。 そのファイルの中には日本語と中国語の対応表のような例文が並べられ、「すみません、ちょっといいですか。」からはじまり、コンビニで指定した金券を購入するよう指示した内容になっています。なんと画像にして19枚分! あらゆるパターンに対応できるよう工夫されているのがわかります。 以下は、今回送られてきた台本の内容すべてになります。このようなメッセージが届いたときは注意しましょう。また、以前にLINEアカウントが乗っ取られたときの対処法を紹介しているので、もし乗っ取られてしまった際は参考にしてみてください。
友達の LINE 乗っ取られて Web マネーのやつ来た!!とか嬉々として報告している人をよく見ますが セキュリティ意識の低い人と友達であるということはあなたのセキュリティ意識が低いということです 例えば友達の Facebook アカウントが乗っ取られれば、あなたが友達まで公開している Facebook の情報が抜かれたりするわけです LINE でもうっかりタイムラインとかにシリアスな秘密の情報を書いたりしていませんか? 乗っ取りが話題になって以降に乗っ取られた人はセキュリティ意識に重篤な問題がある人なので直ちに関わりを断ちましょう 追記 そういえば私も Skype アカウント乗っ取られたことあるので私に注意したほうがいいです。 back to index of texts Site Search
昔自分が利用者だったサイトのセキュリティ問題(XSS)をいくつか報告していたのですが、おそらくそのリクエストを理由にインターネットが使えなくなりました。プロバイダに接続を止められたのです。 そのサイトで問題をみつけたとき、サービス提供者側の反応を示す兆候がありました。 問題を発見後、しばらくしてアクセスしようとすると、アクセスを拒否されたからです。 サービス提供者には問題を報告し、アクセス拒否についても、一応、今報告してる通りこれは攻撃ではないので誤解なきようよろしくとメール連絡したところ、問題は修正されました。 これで真意は伝わり、アクセスと関連付けられ、アクセス拒否に対する誤解も解決しただろうと思ったのですが、その後急にインターネットが使えない事態にまでなるとはだれが予想できたでしょうか…。(今は携帯の回線を使っています) プロバイダから書面が届き、書面には問題の報告時とほぼ同じ日付に
LINE代表の森川です。普段なら一記事についてコメントを出すことはないのですが、今回は看過できない記事が出ているので、本件についてコメントさせていただきたいと思います。 本日発表された、一部記事で、韓国政府機関が当社サービス「LINE」の通信内容を傍受している旨の記載がありましたが、そのような事実はございません。 記事では、LINEシステム自体ではなく、外部との通信ネットワーク上に関して傍受があったとされていますが、LINEはシステム内であってもシステム外の通信ネットワーク上であっても安全です。LINEの通信は、国際基準を満たした最高レベルの暗号技術を使って通信されていますので、記事に書かれている傍受は実行上不可能です。 47. John Doe 2014年06月19日 12:40 「暴露 スノーデンが私に託したファイル」(新潮社)を読んだ今、LINEが韓国の情報機関にバックドアを提供して
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? もしも運用しているサーバにDDoS攻撃をされて、大量のトラフィックを理由にホスティング業者から、そのサーバの利用停止を唐突に宣告されたらどうしますか? なにか対策を考えていますか? by woodleywonderworks. CC BY 2.0 「ファイアウォールでそういった攻撃を防いでいるから大丈夫」「まさか契約上そんな一方的なことができるはずない」と思うかもしれません。私もそのような認識でした。しかし、実際にDDoS攻撃を受けてみると業者の対応は次のようでした。 ホスティング業者は味方をしてくれない ホスティング業者は技術的に的は
Modern Ciphersuite: ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES1
mixiが2013年9月31日からはじめた脆弱性報告制度を利用し、いくつかの脆弱性の報告を行ったので、その結果とミクシィセキュリティチームの対応について記載しようと思う。 脆弱性報告制度 https://developer.mixi.co.jp/inquiry/security/ 1. 報告内容と報酬について 対象・脆弱性・報酬を表にまとめてみた。 対象脆弱性報酬 Find Job! XSS 12.5万円 Open Redirect (なし) mixi Open Redirect / OpenID漏えい 6万円 mixi research SQL (ログイン) 50万円 SQL (ログイン(Ciao)) SQL (検索) SQL (検索(Ciao)) SQL (パスワードリマインダ) 他人のデータの閲覧・改ざん (なし) 他人のデータの閲覧 (なし) XSS 12.5万円 XSS XSS
下記のメールに気付いたのは、今日の昼ころで、BBCの大井真理子記者のツイートで、そういうメールが来ているとのことで、もしやと思い迷惑メールボックスを見たところ入っていました。私や大井記者以外に23名、合計25名に送られていて、アドレスを見ると、ほとんどがマスコミ関係者です。前に真犯人から送られたメールの宛先と、ほぼ重複しているのではないかと思います。 差出人名は小保方銃蔵で、ヤフーメールのアドレスが使われていました。件名は、かなりえげつなくて、まずそうなところを(省略)としつつ紹介すると、 皇居にロケット砲を撃ち込んで(省略)を始末する地下鉄霞が関駅でサリン散布する(省略)裁判官と(省略)弁護士と(省略)検事を上九一色村製AK47で射殺する(省略)病院爆破する(省略)小学校で小女子喰う(省略)を去勢して天皇制断絶(省略)の閉経マンkにVXガス注射してポアする(省略)店に牛五十頭突っ込ます
8/25 22:30ごろ 今でも夢だったような気がします 友人と食事後,寮に帰ろうと思い,友人と別れた後,普段どおりXperia neoでGPSを確認しながら方向を確認していました 私はアメリカ上陸直後にAT&TのプリペイドSIMを契約したので,Xperia neoが日本と全く同じ感覚で使えていたのです そして横断歩道を渡っていたら突然フードを被った黒人が私の手にあるXperia neoを奪い取りました 私はとっさに”WAIT!”と叫び,走って服を掴みました すると横断歩道の向こう側に仲間が大量に待機していてその中の何人かに殴られました あまりちゃんとは覚えていないのですが,私が倒れて,そこに赤色のスカーフを笑いながら黒人女性が私の顔に落としてきたように思います この赤色のスカーフだけは何故か記憶にあって,警察への証言でも私がどこに倒れていたのかを知る有力な情報となりました そして私は失神
米Googleは4月16日(現地時間)、Google Mapsの番地特定に使っている画像認識アルゴリズムの性能が向上し、90%の確度で数字を読み取れるようになったと発表した。 このアルゴリズムは、ユーザーがGoogle Mapsで目的地の住所を入力した場合などに地図上で正確な位置にマーカーを表示するために使われている。ストリートビューで撮影した写真に写っている番地などの数字を探し出して読み取り、既知の住所と照らし合わせることで位置を特定するというものだ。 このアルゴリズムの開発には、同社のreCAPTCHAチームも協力した。reCAPTCHAは、Webサービスが人間とボットを識別するために歪んだ画像で表示した文字や数字を入力させる「CAPTCHA」機能を無料で提供するサービス。reCAPTCHAでは数年前からGoogle BooksなどのOCR画像とともにストリートビューの番地の画像を採用
片山祐輔氏は、保釈翌日の3月6日に、江川のインタビューに応じた。その重要部分は、週刊朝日に掲載したが、紙幅の都合上落とした部分もあったので、改めてここに公開することにする。 自由になったらまずネット――夕べはどう過ごしましたか。 保釈翌日の片山氏(主任弁護人の事務所で)「弟と焼き肉を食べて、ホテルに泊まりました。部屋のパソコンで、僕が(保釈後の記者会見で)しゃべったことに対する反応をネットで見ました」 ――どんなものを見たんですか。 「ホリエモンのツイッターとか、江川さんのブログとか、落合弁護士の反応を見ました。昨日は、弟の携帯で2ちゃんねるも見たんです」 ――2ちゃんねるの反応はどうでしたか? 「好意的なものもあれば、『こいつ口悪いなー』と思うものもあれば、半々ですね」 ――ネットは懲り懲りとはならなかったのですか? 「いや。やっぱりネット自体好きなので。面白いというか、情報を得るために
3月13日の第3回公判。検察側2人目の証人は警察庁の技官で、現在は東京都警察情報通信部情報技術解析課所属の岡田智明氏。平成23年(2011)4月から、同課で不正プログラムの解析業務に当たっている、とのこと。これまで分析を担当したサイバー犯罪は「細かいものも含めて1000件を超える」とのこと。PCの遠隔操作をした事件も100台程度の解析に関与した、という。 本件では、問題の遠隔操作プログラムの動作の解析と、何種類かあるiesys.exeの比較解析を担当した。 今回もまた、 ――ウェブページとは? 「インターネット上で公開される文書の一種でございます」 といった基本的な用語の確認から始まった。 ただし、ウェブブラウザについて、「ウェブページを見るためのプログラムで、HTML言語を解釈するものでございます」という説明が、裁判官にどの程度理解されているのかはよく分からない。 岡田証言の要旨以下、岡
正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「PHPer向け、Ruby/Railsの落とし穴」には、Rubyの落とし穴として、完全一致検索の指定として、正規表現の ^ と $ を指定する例が、Ruby on Rails Security Guideからの引用として紹介されています。以下の正規表現は、XSS対策として、httpスキームあるいはhttpsスキームのURLのみを許可する正規表現のつもりです。 /^https?:\/\/[^\n]+$/
この記事を読んだ。 なぜhao123に汚染されるのか - ex セットアップしたばかりのマシンのIEから、デフォルトの検索エンジンであるbingで「chrome」を検索すると怪しいサイトが広告に出てくるという話。 この記事を見てあっ、と思った。というのは一昨日、ちょうどbingで検索したら似たような広告が出てきたから。 【セキュリティ ニュース】「Adobe Flash Player」が今月2度目の緊急更新 - 別のゼロデイ脆弱性を修正:Security NEXT これ見てさっさと更新しようと思い、普段使わないIEを立ち上げてデフォのままになってるbingで「Flash」と入れた。すると出てきたのは次の画面。 普段なら広告なんてスルーして「get.adobe.com/jp/flashplayer」から更新するところを、adobeの文字が目に入ったので「adobe.fastsoftdownl
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く