教えて君.netで書いたGoogleマップの「マイマップ」問題なんだけど 参考:非公開設定に大バグが!アレなGoogleマップが大量晒され中 :教えて君.net 「ウェブプラットフォーム」なんて言葉が、まぁ正にそうなんだけど、ウェブは大量の個人情報を扱うようになりつつある。GMailに仕事の機密メールから女の子とのやりとりまでを全て放り込んであるという人も多いはずだ。 同時に、ウェブは「トラッキング」という方向に向かっている。それこそ「Web2.0」というものが、別の側面としてそれを求めるからだ。つまり、SBMは、「意図的にトラックを行わせるサービス」、「自分が見て面白いと思ったウェブページをSBMというサービスに送信することで、例えばそのページを『はてブ』人気ページに掲載させるサービス」とも言える。パストラックは、これを半意図的(そもそもパストラックをインストールすること自体が「意図的」
「60m離れて撮影した写真」から合鍵を作るソフトウェア 2008年11月 4日 ハッキング コメント: トラックバック (0) Brian X. Chen Photo: UCSD 鍵の写真さえあれば、他人のアパートのドアを開けることができる新技術を、カリフォルニア大学サンディエゴ校(UCSD)のコンピューター科学者たちが開発した。 Stefan Savage教授(コンピューター科学)が指導する学生グループが開発したのは、鍵の写真を解析するだけで、そこから合鍵を作れるというコンピューター・プログラムだ。UCSDのJacobs School of Engineeringの発表によると、鍵の山谷の1つ1つが数値コードと関連づけられ、その鍵が対応する錠前の開け方を完全に記述しているのだという。 学生グループは、米計算機学会(ACM)のコンピューター・セキュリティ会議『Conference on C
先日の話。やはり納得いかないのでごちゃごちゃ綴ってみる。 興味ない人はスルーの方向で。I・O DATA製の無線LANアクセスポイントでWDSを有効にした場合、アクセスポイント間の通信が暗号化されないという話。 無線LANアクセスポイントにはノートPCなどの無線端末を収容する機能に加え、複数のアクセスポイント同士を接続するWDSと呼ばれる機能がある。これを使ったブリッジを有効にすると、インターネット回線のある部屋と離れた居間などを無線でつないだりすることができる。アクセスポイントに暗号化の設定をするとノートPCとアクセスポイントの間の通信は確かに暗号化されるが、アクセスポイント同士の通信は平文でやりとりしているようなのだ。つまりアクセスポイントをまたぐ通信は結局すべて丸見えとなる。これではせっかく封をして投函した封書をほどいて郵送しているようなものだ。暗号化の意味がまるでない。この件に関し
一時1バレル76ドルと約4年ぶり高値を付けた後、40ドル台半ばまで急落した2018年の原油相場。石油輸出国機構(OPEC)と非加盟の主要産油国は19年も協調減産を続けることで合意し、相場の下支えを…続き 米利上げ路線 岐路に FRB、来年2回に減速へ 中東に空白、世界のリスク [有料会員限定]
_書籍「PHP×携帯サイト デベロッパーズバイブル」の脆弱性 「PHP×携帯サイト デベロッパーズバイブル」という携帯サイト開発のノウハウを解説した書籍が今月初頭に発売され、話題になっている。Amazonの「インターネット・Web開発」カテゴリで1位ということで、たいしたものだ。私も発売前から予約して購入した。 私がこの書籍を購入した動機は大きく二つある。一つは、携帯サイトの最新の開発ノウハウをまとめた書籍に対する期待をしていたということ。もう一つは、セキュリティに対する記述がどの程度あるのかを見てみたいというものだった。 このうち、前者については、期待は叶えられた。非常に盛りだくさんのテーマが手際よくまとめられていて、かつ読みやすい。あまり原理・理屈のことは書いていないが、開発現場では、コピペの情報源として重宝されることだろう。 しかし、問題はセキュリティについての記述である。 本社のサ
9,000円で偽造可能な日本のICパスポート【セキュリティ魂】 2008年09月21日10時00分 / 提供:ネットセキュリティ 写真拡大 実際の日本人のIC旅券のデータを読み出し、スマートカードに移植したクローンの読み取り画面 写真一覧(2件) 8月上旬、BlackHat USAでプレゼンを行ったオランダのセキュリティ研究者のJeroen van Beek氏が、コンファレンスに参加した日本人のIC旅券のデータを読み出し、ブランクのICカードを使いクローンを作成するデモを披露した。これは、「日本のIC旅券はクローンを阻止する技術が搭載されていない」のが理由で可能となった。Beek氏によれば「日本のIC旅券には、データが偽造された場合、それと分かるような技術が搭載されている」が、「データの偽造があったことを出入国の際に確認する手段を講じている国は、世界で数カ国だけ」だそうだ。外務省の「IC旅
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
独立行政法人情報処理推進機構(IPA)は4日、 「セキュリティ専門家の萌え擬人化」 に成功したことを明らかにした。擬人化に関してはこのところ技術の発展がめざましいがセキュリティ専門家での成功例ははじめて。機構では同萌えキャラの商品化により今後一年間で10億円の売り上げを見込む。 IPAがこのたび開発した擬人化キャラの名前は、 「ひろみちゅたん」 だ。「セキュリティ専門家というと“細かいことにうるさい”“すぐクレームの電話をかける”というイメージが強く、これまで敬遠されがちだった。擬人化で隠れた魅力をアピールし親しまれる存在にしていきたい」とIPAの広報担当は話す。 ひろみちゅたんには「具体的なモデルがいるのではないか」と思わされるほど ベースは“ツンデレ”(ツン十割) 趣味はオレオレ証明書の収集 無断リンクするときは内容証明を送っちゃうくらい礼儀正しい 寂しがり屋だから、すぐWebサイト担
■ ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。am/pmで使ったEdyは渡さない。 高度ユビキタス化社会の到来は、プライバシーを守ろうとする人々のリテラシーをこうもややこしくする。一昨年書こうと思って準備したもののその後放置していた話を以下に書く。 2004年7月11日の日記に書いていたように、コンビニエンスストアのam/pmには、club apという会員サービスがある。am/pmで販売されているEdyカードには図1のように、club ap用の「仮パスワード」を記した紙が同封されている。 このサービスで特徴的なのは、「Edyご利用実績」という、am/pmでの買い物履歴を閲覧できるというものである。 一度メンバー登録すると、以後IDを使って、 Edyの決済やチャージの記録とお買い上げ品の明細がウェブ上で閲覧できます。小づかい帳、経費管理に、家計簿にと、便利な機能です
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
新たなXSS(CSS)脆弱性、EBCSS 2006-03-30 かなりヤバめなXSS的攻撃方法が見つかりました。詳細は以下のリンク先をご覧下さい。 文字コード(SJIS)とHTMLエンコードとCross-Site Scriptingの微妙な関係 文字コードとHTMLエンコードとCross-Site Scriptingの微妙な関係 (EUCの場合、UTF-8の場合) 何がヤバいのかというと、この攻撃方法に対する根本的対策がほとんどのサイトで行われていないと思われるからです。 今までCross-Site Scripting脆弱性への対策はHTMLで使われる文字列を実体参照に変換するのが基本でした。しかし、マルチバイト文字列の仕様を突いて半端な文字列を送信しクオート文字を無効化(escape)することで、実体参照に変換されていてもスクリプトの実行が可能なケースがあることが判明したのです。 ちなみ
ドメインウェブの設定が見つかりません 考えられる原因 ドメインウェブの設定がまだ行われていない。 ドメインウェブの設定がまだ反映されていない。(反映には数時間~24時間かかることがあります) ドメインウェブ・DNSの設定が誤っている。 アカウントが存在しない、契約が終了している、削除されている。
■ WinnyのDownフォルダをインターネットゾーンにする いくつかの国々では、貧困層に薬物乱用が蔓延し、注射器の回し打ちで悪性の感染症が広がっているとき、無料で注射セットを配布するのが正義なのだという。 ニートにWinny乱用が蔓延し、Downフォルダのダブルクリックで悪性のトロイの被害が広がっているとき、私達にできることといえば、せめて安全なファイルの開き方だけは伝えていくことではないだろうか。どうしてもWinnyを使いたいならDownフォルダをインターネットゾーンにして使え、と。 Vector Softライブラリに、「ZoneFolder.VBS」というVBスクリプトのパッケージがある。 この中にある「インターネットフォルダ.VBS」を実行すると、作成するフォルダ名を入力するよう求められるので、できるだけランダムな名前を入力する。
「正規のサーバー証明書を使ったフィッシング・サイトが2005年末から登場している」。フィッシングを研究するセキュアブレインの星澤裕二プリンシパルセキュリティアナリスト(写真)はこう警告する。 第3者機関に認証をもらっていないサーバー証明書は,アクセスした瞬間にポップアップで警告が出るため,不正を見破りやすい。ところが,正規のサーバー証明書を使って暗号化するWebサイトでは,警告画面を表示せず,すぐにWebブラウザの右下に「鍵マーク」が出る。 これまで正規のサーバー証明書があれば,フィッシング・サイトである可能性は低いと考えられてきた。というのも,正規のサーバー証明書を取得するには,企業の身元を証明する必要があったからだ。身元を明らかにしたくない犯罪者にとって,サーバー証明書を取得するのはリスクが高い。ところが星澤氏によれば「電子メールのやり取りだけで,サーバー証明書を取得できるサービスが最
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く