はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Facebookの恥汚染、数千の架空IDは、どうもあの国の仕業らしいの証拠|More Access! More Fun
もうすぐタイムライン形式の表示になり、自分がいつ、どのような行動を取ったのかが友人が手に取るように分かるようになるFacebook。 いままで数度にわたり、Facebook上にはびこる数千に及ぶ架空IDについての警告のブログを書いてきましたし、MSNでも警告を発しているのですが、いまだ8割方、とくにセキュリティ感覚の無いに等しいリテラシーの低い方のFacebookアカウントには、たくさんの架空IDがぶら下がっています。数もますます増えて、おそらく数千規模は軽くいます。アクティブユーザー500万のFacebookユーザーの1000人に一人とかが組織的な架空IDです。いろいろ見て来ましたが、友人数が1000人を超えた人に架空IDがぶら下がっている確率はほぼ100%近いと思われます。 とくに最近、手口が非常に巧妙になりました。 1 髪の毛の一部をカットした写真をプロフィールに使用し、画像検索され
AppLogSDKの脆弱性に関する報告
AppLogSDKの脆弱性に関する報告 2011年10月12日 株式会社ミログ 株式会社ミログ(以下、弊社)が提供している AppLogSDK の脆弱性のご指摘に関してご報告申し上げます。 ■ 脆弱性指摘の概要 現在 AppLogSDK につきましては、弊社サーバのとの通信内容を SSL(Secure Sockets Layer) を用いて暗号化しております。しかしながら、SSL の通信内容についてどのようなパラメーターで弊社サーバとの通信が行なわれているかが解析され、不正に第三者のAndroid端末に対して AppLog 送信の許可を行なう事ができるのではないかとの指摘を頂いております。 ご指摘を頂いた内容に関しましては、第三者から不正に AppLog 送信の許可フラグを操作される事も想定し、IPアドレスの監視を用いて不正検知を行うよう準備は進めておりましたが、指摘の通り第三者
高木浩光さんのデータプライバシーへの侵害に対する懸念と対策、そして実験のお願い - Togetter
Hiromitsu Takagi @HiromitsuTakagi いろいろヤバい。ネタのストックは大量にあるが、ウイルス罪やら番号制度やらが優先で、書いていく時間が足りてない。もうTwitterで先出していくしか。 Hiromitsu Takagi @HiromitsuTakagi UDIDやスーパークッキー同等の問題は英語圏でいずれ必ず問題視されて路線変更に至るが、日本の人たちがそれに取り残されてしまって、後で困ったことになることが国家的損失。そうならないよう早め早めに啓蒙していくことが重要であるところ。残念ながら政府の取組みは極めてお粗末で、… Hiromitsu Takagi @HiromitsuTakagi …政府の取組みは極めてお粗末で、セキュリティについては2003年ごろから積極的に取り組まれるようになったが、データプライバシーはそれとは全くの別物とみなされていて、政策課題に
mixi足あと廃止に寄せて - 最速転職研究会 | コメント mixiって今ほとんどがモバイルでアクセスされてたはずだけど、スマホ以外のガラケーでもこの問題が起きるの?
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
Macのパスワードを簡単に抽出できる脆弱性、復旧ソフトメーカーが新機能に利用
コンピュータ犯罪捜査などに使われる電子証拠収集ソフトのメーカーPasswareは、AppleのMac OS Xに、コンピュータのメモリからパスワードを引き出せてしまう潜在的な脆弱性があることが分かったと発表した。 Passwareは7月26日に発表したパスワード復旧ソフトの更新版「Passware Kit Forensic v11」に、Mac OS Xのユーザーログインパスワードをコンピュータのメモリから抽出できる機能を追加した。この機能ではFireWire経由でメモリをキャプチャして分析する。パスワードの抽出は、強度にかかわらず数分しかかからないという。 同社によれば、Mac OS Xには端末にロックがかけられた状態やスリープモードの状態であっても、ログインパスワードがシステムメモリに保存される問題があるという。この問題は、リリースされたばかりのMac OS X 10.7「Lion」やM
ソフトバンクのゲートウェイ型SSLの脆弱性を振り返る
WEB & NETWORK SSL/TLSより引用 わざわざSSLの場合にもゲートウェイを割り込ませている目的としては、ケータイID(UID)を付与することと、絵文字の変換があるようです。 ※注意:EZwebにもゲートウェイ型のSSLがあります(仕様)がProxyサーバーのホスト名が見えているわけではないので、今回報告するような問題はありません。 ゲートウェイ型SSLの問題点 ゲートウェイ型SSLが廃止されるきっかけは、高木浩光氏と、ソフトバンクモバイル取締役専務執行役員CTOの宮川潤一氏のtwitter上のやりとりであると言われています。この内容は、Togetterにまとめられています。これを読むと、ゲートウェイ方式のSSLでは、httpとhttpsでドメインが異なるため、Cookieを引き継ぐことができないことが問題として説明されています。現場のニーズとしてこの問題は大きいと思うのです
怪しげな動画窓に注意──クリックするとアダルトサイトを「いいね!」
サイト上の動画窓をクリックしたらアダルトサイトを「いいね!」してしまった──一般のサイトに見せかけてFacebookのいいね!を押させるクリックジャッキングが見つかっており、注意が必要だ。 動画共有サイトのようなデザインのあるWebサイト。「生放送中に起きたハプニング!」というタイトルの動画窓の再生ボタンを押すと、動画は再生されず、アダルトサイトをいいね!してしまう。こうしたサイトが複数見つかっている。 いいね!してしまう以外の実害はないようだが、動画窓に限らず、怪しげなサイトへのアクセスとサイト上でのクリックには最大限の注意が必要。いいね!はFacebookトップページ左上の自分のアイコンからアクセスした自分のウォールから、いいね!したリンクごと削除することができる。 関連記事 Facebookでクリックすると広がるワーム的スパムに注意 「In order to PREVENT SPAM
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
いまさらですけど「OAuthなら安心」という誤解について
Twitter の BASIC 認証が廃止され OAuth が標準の認証方法になりましたね。 BASIC 認証と OAuth ものすごく簡単に言うと、 BASIC 認証というのは毎回 ID とパスワードを使う認証方法なので 外部のサービスを利用するには その運営者に ID とパスワードを預けることになる。 それに対して OAuth というのは Twitter から専用のアクセストークンというものが提供され アプリケーションはそのトークンを使って Twitter にアクセスするので 外部サービス運営者にパスワードを渡す必要がない。 そのサービスの利用をやめたい場合も サービス側に申請する必要はなく、 Twitter のサイト上で「許可を取り消す」というボタンを押すだけ。 これは安心。 安心じゃない 確かに、ID とパスワードを渡すということは 相手がその気になれば何でもできるということ。 ア
文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2010年9月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPカンファレンス2010にて「文字コードに起因する脆弱性とその対策」というタイトルで喋らせていただきました。プレゼンテーション資料をPDF形式とslideshare.netで公開しています。 文字コードのセキュリティというと、ややこしいイメージが強くて、スピーカーの前夜祭でも「聴衆の半分は置いてきぼりになるかもね」みたいな話をしていたのですが、意外にも「分かりやすかった」等の好意的な反応をtwitter等でいただき、驚くと共に喜んでいます。土曜にPHPカンファレンスに来られるような方は意識が高いというの
今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた
「安全なSQLの呼び出し方」というSQLのセキュリティに焦点を当てたドキュメントが、2010年3月にIPA(独立行政法人情報処理推進機構)から公開された。 これは2006年1月から提供されている、Webサイト開発者や運営者向けのセキュアWebサイト構築のための資料「安全なウェブサイトの作り方」の別冊として書かれたものである。「安全なウェブサイトの作り方」が92ページなのに対して、SQLインジェクションについてだけで40ページもの分量がある。なぜこんなに分厚いのだろうか。 このドキュメント作成に協力したという、独立行政法人産業技術総合研究所 情報セキュリティ研究センターの高木浩光氏にお話を伺うことができた。高木氏は個人ブログ「高木浩光@自宅の日記」で、セキュリティ関連の問題を追求する論客としても知られている。筆者も以前、この連載の「今夜わかるSQLインジェクション対策」の回(2006年11月
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
BrowserID: A better way to sign in.
iPhoneアプリ「バーコードカノジョ」が個人情報を盗んでる?
TechCrunch | Startup and Technology News