サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
パスワードの管理において、「PolyPassHash」と呼ばれる新しい管理手法が提案された(slashdot、論文PDF)。 この手法が提案通りに機能するならば、個別のパスワードを対象としたクラッキングがほぼ無効化されるようだ。またサービスを利用するユーザー側でなにかを変更する必要はなく、パスワードを保存・管理する側(サービス提供側)でこの手法を採用すればいいだけとのこと。 すでにCおよびPythonによる実装も公開されている。 安全性の高さの説明として、「6文字のランダム文字列のパスワードが3アカウント分あったとして、salt+なんらかのhashで保管されている場合は3つのパスワードすべてをクラックするのに1台のノートPCで1時間ほどの時間しかかからなかったが、 PolyPassHashで保管した場合は地球上の計算機資源をすべて使って宇宙の終わりまでアタックしてもクラックされることはない
この投稿はWebPay Advent Calendar 2013の21日目の記事です。 20日目: Twilio + WebPay: 決済発生時にSMSで通知する 22日目: FlaskからWebPayを導入する ※注意 この記事は電話のキーパッド決済を実現するために試行錯誤した流れを記載していますが、現状ではクレジットカード番号がTwilioの管理画面に残りセキュリティリスクが高いので、本番環境でのご利用は控えてください。 電話通販時の決済の現状と課題 この前旅行に行った際に航空券をネットで購入したのですが、日程変更が電話でしかできなくて、しかも変更手数料を支払う際に、 電話越しに口頭でオペレーターに対してクレジットカード番号を告げるように求められました。 皆さんも御存知の通り、電話越しでオペレーター(つまり人)がクレジットカードの番号を直接聞くのは多くの問題をはらんでいます。 例えば、
不正に入手したIDとパスワード(PW)を使って東京外国語大(東京都府中市)の成績情報サイトをのぞき見したとして、警視庁は10日、同大国際社会学部2年の男(20)=埼玉県入間郡=を不正アクセス禁止法違反の疑いで書類送検し、発表した。 不正アクセスされた被害者の数が多いことなどから、同庁は起訴を求める「厳重処分」の意見をつけた。男は容疑を認め「成績の付け方に不満があった。他の人の成績と比べることで、自分の成績が正当に評価されているか確かめたかった」と話しているという。 サイバー犯罪対策課によると、男は昨年10月、成績を閲覧できる同大の学務情報システムサイトに、同大の学生55人のIDとPWを使ってログインし、55人の成績をのぞき見た疑いがある。 男は本物の学務情報サイトに似せた偽サイトを作り、教務課職員を装って学生計222人に「システムに不具合が起きた」とする誘導メールを送付。偽サイトに接続した
2013年12月ごろから、新たなDDoS攻撃▼(Distributed Denial of Service attack)がセキュリティおよびネットワーク技術者の間で話題となっている。このDDoS攻撃の特徴は、サーバーやネットワーク機器で一般的に利用されている「時刻同期(NTP)」の仕組みを悪用する点だ。 ▼DDoS攻撃とは、複数のコンピュータから攻撃対象に向かって一斉にパケットを送信し、攻撃対象のコンピュータの処理能力をオーバーさせ、本来提供しているサービスを利用できなくしてしまう攻撃のこと。 NTPとはNetwork Time Protocolの略で、パソコンやサーバー、ネットワーク機器などが正確な時刻を取得するためのプロトコルである。時刻を合わせたいNTPクライアントが、時刻情報を配信するNTPサーバーに問い合わせて正確な時刻を取得する。NTPサーバーソフトとしては、NTP Proj
JR大阪駅の駅ビル「大阪ステーションシティ」(大阪市北区)で通行人の顔をカメラ約90台で撮影し、その特徴を登録して同一人物を自動的に追跡する実験が4月から始まる。顔認証技術の精度を確かめるのが狙いで、データは個人が識別できない処理をしたうえで、JR西日本に提供されるという。不特定多数の人を撮影しデータを収集する行為に、専門家はプライバシーへの懸念を示している。 総務省所管の独立行政法人「情報通信研究機構」(東京都小金井市)がJR西日本とステーションシティを運営する「大阪ターミナルビル」の協力を得て、2年間実施する。 実験では、各カメラで3メートル四方にいる数十人の顔を撮影する。両目間の幅など100カ所程度の各人の顔の特徴を抽出して特定のIDを与えて登録し、別のカメラが同じ特徴を持つ顔を識別すると、同一人物と判断して追跡する仕組みだ。
WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記)。 例えば、機密情報を含む以下のようなJSON配列を返すリソース(http://example.jp/target.json)があったとします。 [ "secret", "data", "is", "here" ] 攻撃者は罠ページを作成し、以下のようにJSON配列をvbscriptとして読み込みます。もちろ
不正プログラムを中心としたセキュリティ被害は、クライアントPCでシェアの大きい Windows OS のみで起こるものと考えている方も多いのではないでしょうか。しかし、Linux など他OS においても被害は確実に発生しています。今回トレンドマイクロでは、Linuxサーバーを標的にした「SSHD rootkit」と呼ばれる攻撃の拡散を確認しました。 今回確認された攻撃は、一般に Red Hat系とも呼ばれる RPMパッケージ管理システムを使用した Linux(代表例:Red Hat Enterprise Linux、Cent OS など)を攻撃対象としています。被害が拡散している「SSHD rootkit」をトレンドマイクロ製品では「HKTL_SSHDOOR」として検出可能です。 この「SSHD rootkit」は、侵入した Linuxシステム上で活動開始すると、libディレクトリ内の「l
先日、非常に珍しい、GPSつかったチャットの脆弱性を発見したので、ここに注意もかねて書いておく。 簡単に言うと、WebSocketに生で自分でGPS座標を送り、相手との距離差を何度でも取得できる脆弱性で、離れてる、近いくらいしか分からないことを前提にGPS使用を許可してる時に〜町にいる、とわかってしまうという、聞いたことない感じの珍しい脆弱性である。websocketでイベント駆動にしてるとついうっかりステート管理があやふやになりがちである。 さて、下記は脆弱性の存在したchatpad.jpのサポートに送ったメールである。 Subject: GPSを使用した機能に関する脆弱性について 初めまして。いつも楽しくChatPad使わせて頂いております。 件名の通り、GPSに関する脆弱性を発見しました。これは相手の住所が相手の意図に反し 高精度(最大で市町村程度まで)特定できてしまうというもので、
SSH に Google Authenticator の認証を追加する Posted by yoosee on Debian at 2013-02-04 13:33 JST1 SSH + Google Authenticator最近アカウント乗っ取り系の話がよく出ていてつい先日も Twitter のパスワードリセットを食らったところなのだが、そう言えば ssh は 2 Factors auth に対応しているのかなと思って (秘密鍵とパスフレーズが既に2 Factorsに近い気もするが、そこへの追加認証手段という意味で) ちょっと調べてみると PAM に Gooogle Authenticator による認証を追加する方法が普通にあるのだった。やり方はほぼ Two Factor SSH with Google Authenticator のまま。 Debian だと libpam-goog
■ 不正アプリ供用事件の不起訴は何の立証が困難だったか 昨年4月の「○○ the Movie」事件、10月30日に警視庁が関係者を不正指令電磁的記録供用容疑で逮捕したものの、11月に処分保留で釈放となり、12月26日、嫌疑不十分の不起訴処分となった。この展開によって、今、次のような声があちこちで出ている。 情報流出アプリ「〓〓〓〓 the Movie」不正とは言い切れず不起訴!!, NAVER まとめ, 2012年12月29日 東京地検が不起訴処分にしたせいで再び横行? 新たなAndroid不正アプリ, INTERNET Watch, 2013年1月8日 不起訴処分となったアプリの事案はいわゆる「○○ the Movie」系の不正アプリだ。Androidアプリのパーミッション画面を経ていれば、裏で個人情報を収集することにユーザーが同意したとみなされると言えるかどうかは議論の余地が大いにある
(Last Updated On: 2018年8月18日)PHPのセッションアダプション脆弱性がどのように影響するのか、広く誤解されているようです。セキュリティ専門家でも正しく理解していないので、一部のPHP開発者が正しく理解しなかったのは仕方ないのかも知れません。 Webセキュリティの第一人者の一人である徳丸氏は「PHPのセッションアダプション脆弱性は脅威ではない」と書いていますが、いろいろ間違いです。私は2005年頃から現在まで様々な機会に問題であると何度も繰り返し説明しており、しばらくすれば間違いに自分で気付くのでは?と思っていたので特に反論していませんでした。しかし、まだ気づかれていないようなので、幾つかある攻撃パターンのうち解りやすい例を1つだけ紹介しておきます。 以下の簡単なPHPスクリプトを利用します。興味がある方は実験してみてください。結果はブラウザに影響されます。私はLi
ドキュメンタリーチャンネル「ディスカバリーチャンネル」は、テレビ史上初となるジェット旅客機墜落実験を行なった新番組『好奇心の扉:航空機事故は解明できるのか?』を11月6日(22:00~)に放送する。 実験は危険との隣り合わせ。UAV(無人飛行小型カメラ)で確認すると、墜落後もエンジンの1つがフル稼動していた。燃料経路に損傷があれば機体が炎上する危険性。タンクには2 時間分の燃料が積まれていた これまでは事故後のデータしかなかったために、推測しかできなかった墜落のメカニズム。番組では、そのデータを得ることにより、航空機の安全性を高めることを目的に、ジェット旅客機「ボーイング727」を、メキシコのソノラ砂漠に墜落させるクラッシュテストを行った。この企画のために、米国防省のミサイル計画従事者や元米海軍特殊部隊出身者などを含む400名の国際チームを結成。4年の歳月と数億円の費用をかけようやく実現に
Amazonクラウドで国内金融機関の安全基準は満たせる。SCSK、ISID、NRIの3社が調査結果を公開 しかしSCSK、電通国際情報サービス(ISID)、野村総合研究所(NRI)の3社は、金融庁の外郭団体である金融情報システムセンター(FISC)が策定したセキュリティに関する自主基準「金融機関等コンピュータシステムの安全対策基準」について、Amazonクラウドで対応するためのガイドライン「金融機関向け『Amazon Web Services』対応セキュリティリファレンス」(以下、セキュリティリファレンス)を公開しました。 セキュリティリファレンスは、全部で295305項目あるFISCの安全対策基準の項目それぞれについて、クラウド事業者であるAmazonクラウドの対応とSI事業者や利用者での対応を調査してまとめたもの。「ATM(自動現金預け払い機)のような、クラウドとは関係ないものは対象外
カルピスは7月13日、顧客の個人情報9万5689件がインターネット上に公開され、第三者に漏えいした可能性があると発表した。現在はデータを削除して閲覧できないようにしたといい、電話による専用窓口を開設するなどの対応を進めている。 同社によると、漏えいした可能性がある情報は2009年8~10月に実施いた「’09年秋のHAPPY REFRESH キャンペーン」で収集した個人情報。全体のうち5万4266件はキャンペーンに登録・応募した顧客のもので、氏名、フリガナ、郵便番号、住所、電話番号、メールアドレス、性別、年齢、応募した賞品コース、キャンペーンを知ったきっかけの情報(一部は任意)となる。残る4万1423件は、キャンペーンに登録したが応募をしなかった顧客のメールアドレスのみとなっている。 漏えいした可能性は7月5日に判明。キャンペーン参加者の個人情報がインターネット上に公開されているとの通報が外
東京メトロの30代の男性駅員が昨年、駅の業務用端末を使って、ストーカーの標的にしていた30代の女性の乗車履歴を引き出し、インターネット上に公開していたことがわかった。女性から被害の申告を受けた東京メトロは昨年3月、駅員を懲戒解雇した。 女性によると、駅員は2009年ごろから、帰宅時に女性の勤務先で待ち伏せるようになった。食事などにしつこく誘われ、夜道で尾行されたこともあった。 女性は、氏名や生年月日を登録する記名式のIC乗車券「PASMO(パスモ)」を使っていた。昨年2月、ネットの匿名掲示板「2ちゃんねる」で自分の乗車履歴に関する投稿を発見。自宅の最寄り駅など約1カ月間に利用した首都圏の9駅と乗降した日付、利用したバス会社名などが書き込まれていた。 うち1駅はラブホテル街に近いとして、男性と性的関係を持ったのではという事実無根の内容も書かれた。女性の名前はなかったが、事実上個人を特定できる
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く