Some customers may not need to replace them because of their specific security needs, he said. "We believe and still believe that the customers are protected." Mr. Coviello said RSA will provide transaction monitoring and other detection capa... 続きを読む

• online.wsj.com
• テクノロジー

securityこの週末、アメリカで起きたロッキード・マーチン(Lockheed Martin)のネットワークに対する不正侵入が話題になっている。ロッキード・マーチンといえば、アメリカを代表する企業の一つであり、F22や F35などの最新鋭機を開発していることでも有名である... 続きを読む

• d:id:ukky3
• テクノロジー

Mac OS Xマルウェアが本格化 2011年05月26日22:31 mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン 1990年代、我々はMac製品を有していた。脅威がそれほど存在しなかったことから、最終的に販売を停止した。  　その後2007年10月、我々は常ならざるものを... 続きを読む

• blog.f-secure.jp
• テクノロジー

--------------------------------------------------------------------- ■（緊急）BIND 9.xのネガティブキャッシュ機能の実装上のバグによる namedのサービス停止について - バージョンアップを強く推奨 - 株式会社日本レジストリサービス（JPRS） 2011/05/2... 続きを読む

• jprs.jp
• テクノロジー

このところインターネットは、自分の個人情報を奪われるかもしれないという、恐怖と不安のタネが尽きない。PlayStationのネットワーク事故、それにFiresheepの情報盗み取り、そして今日はなんだろう？　それは、失効ドメイン(expired domains)だ。技術に詳しい... 続きを読む

• jp.techcrunch.com
• テクノロジー

expand TOP About Move Product Note 0.Beginner TOP 1.Linux 1.Tutorial 2.Command 3.Glossary 1.チートシート 1-1.開発環境 1.Mac 2.TextMate 3.CentOS 4.Windows 5.Ubuntu 6.Shell 7.Perl 8.Git 1-2.コマンド Git Network Perl screen 1-3.ミドルウェア Apac... 続きを読む

• doc.7kai.org
• テクノロジー

まず最初にSkype for Macを使ってるユーザーは自動アップデートした方がいいです。(2.x系列は影響を受けないとのことだけど2.x系列に未公開で深刻なバグがある可能性もあるしそこら辺は知らない) MSに買収されるだの何だのの少し前に話題になったSkype for Mac... 続きを読む

• g:subtech:id:mala
• テクノロジー

プラウダがハッキング 2011年05月11日17:14 mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン ロシアのメジャー新聞「プラウダ」 (Правда、すなわち「真実」）がハッキングされた。  　サイトには目に見える変化は無い。そのかわり、Javaの脆弱性を介して... 続きを読む

• blog.f-secure.jp
• テクノロジー

問題のある証明書 2011年05月10日02:40 mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン 最近の事件で、証明書、そしてコードサイニングおよびSSL証明書におけるアカウンタビリティの欠如が注目され、大きな問題となっている。  　SSL証明書を持つことは... 続きを読む

• blog.f-secure.jp
• テクノロジー

ホワイトリストという用語はセキュリティの分野では非常に基本的な用語ですが、セキュアプログラミングという文脈では意外に曖昧な使われ方がされているように見受けます。本エントリでは、ホワイトリストという用語の意味を三種類に分類し、この用語の実態に迫... 続きを読む

• d:id:ockeghem
• テクノロジー

If you followed my blog post about a year ago , me and another one of my friends Josh Kelley (twitter: @winfang98) built a CUDA cracking server that consisted of an ASROCK overclocker motherboard and 4 GTX 295′s which was a nice accomplishme... 続きを読む

• www.secmaniac.com
• テクノロジー

Web屋のネタ帳 Ｗｅｂビジネスに必要な「戦略」「システム」「デザイン」の３要素とそれらをまとめる「マネジメント」について現場の実感と独自の観点でお送りするコラム・・・のはずなんですが、要するにＷｅｂがらみのシステム＆デザイン業界に関する小ネタと... 続きを読む

• neta.ywcafe.net
• テクノロジー

ECナビさんのBlogを発端とした、パスワードの暗号強度を高めるためにストレッチングは行うべきかという専門家の方のつぶやきのまとめ。途中からパスワードの定期変更は不要なのかについても派生していっていますが、一緒にまとめました。 続きを読む

• togetter.com
• テクノロジー

� ��kwSg�&�9� +ΡB�)I�`� k �Bp7 �Tꌜ: ��l dI[�1��}�/�p1�� �@ � �`B� ���k�ԧ��F�ݣ{���Ϝ�u�d�I�:�Te��u}�����Ϝ����_� �?� ���t� z�w�`�� K$^��K$�G���� ٿ�i��:#�t���d �t.� 8... 続きを読む

• ja.wikipedia.org
• テクノロジー

LastPass is a password manager that stores your website login details in an encrypted container, protected by a master password, and synced between your various browsers and machines. They provide browser plugins, and also provide a web inter... 続きを読む

• grepular.com
• テクノロジー

著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対... 続きを読む

• www.jumperz.net
• テクノロジー

前回は、スマートフォンを狙うモバイルマルウェアの現状として、Symbian端末とiPhoneを狙う脅威の現状を紹介した。続いては、シェアを伸ばしつつあるAndroid端末を狙うマルウェアを見ていこう。 続々と登場し始めたAndroidの脅威 通常では審査済みのアプリケー... 続きを読む

• ascii.jp
• テクノロジー

先日、Google 日本語入力のHTTPを見てた id:tokuhirom さんに、HTTPレスポンスヘッダに「X-XSS-Protection: 1; mode=block」というのが含まれるというのを教えてもらったけど、"mode=block" というのが何か分からなかったので調べてみた。結論としては、今月3月... 続きを読む

• d:id:hasegawayosuke
• テクノロジー

HTTP Strict Transport Security (HSTS) is a proposed web security policy mechanism where a web server declares that complying user agents (such as a web browser) are to interact with it using secure connections only (such as HTTPS). The policy... 続きを読む

• en.wikipedia.org
• テクノロジー

水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest（ヘッダおよび、POSTの場合はボディを含む）を表し、黄色... 続きを読む

• takagi-hiromitsu.jp
• テクノロジー

自己紹介 ECナビ システム本部 春山征吾 @haruyama セキュリティ OpenSSH (本x2, OpenSSH情報) 暗号技術大全 18章(ハッシュ), 20章(電子署名)翻訳担当 全文検索システム Apache Solrの勉強会開催 続きを読む

• haruyama.github.com
• テクノロジー

■1 パスワードの保存に SMD5 (Salted MD5) や SSHA1を使う (MD5 への辞書攻撃とか) ブログが続かないわけ - MD5は復号できる!?という記事を読んだ。 MD5でハッシュ化されたデータを持っているオンラインデータベースがあって、そこに問い合わせると。。。 MD5 ... 続きを読む

• www.machu.jp
• テクノロジー

Friday, April 29, 2011 How to upload arbitrary file contents cross-domain HTML5, together with its sister specifications (XMLHTTPRequest level 2, File API etc.) has a really interesting property when it comes to security. Websites that are co... 続きを読む

• blog.kotowicz.net
• テクノロジー

WebアプリにおけるXSSの影響がどんなものかと、ローカルアプリにおけるXSSっぽい問題が起きたときの影響がどんなものかについて。 Boxcarというアプリ Boxcarというなんか色々通知してくれる便利サービスがあって、提供してるアプリ全部に深刻なバグがあった。 ... 続きを読む

• g:subtech:id:mala
• テクノロジー

Yesterday morning I woke up much earlier than I wanted. Instead of lying in bed, wishing I was asleep, I decided to get up and check out Hacker News. Better to waste my time reading industry news than lying around. One headline in particular ... 続きを読む

• razorfast.com
• テクノロジー

XSS脆弱性があった場合にそのサービスで使っているパスワードを盗むことが可能かどうかについて書く。 XSSを通してパスワードを盗むことができるのか？ 「現在のパスワードを表示する機能」があるなら出来る(そういう機能があるサービスはおかしい) メールアド... 続きを読む

• g:subtech:id:mala
• テクノロジー

オンラインストレージサービス「Dropbox」を提供する米Dropboxが、公開されているオープンソースソフトウェアのソースコードに対しデジタルミレニアム著作権法（DMCA）の仕組みを利用して削除を求めたことが問題となっている。 コンサルタント会社米Passive.ly... 続きを読む

• sourceforge.jp
• テクノロジー

ローカルのHTMLファイルからどこまで読み取れるか選手権 2011 - 金利0無利息キャッシング – キャッシングできます - subtech を読んでの補足。IE9 on Windows 7 においてXHRを使ってローカルファイルを読み取る場合について、「許可するとやりたい放題」と書か... 続きを読む

• d:id:hasegawayosuke
• テクノロジー

ブラウザ開発者の間では、よく知られている問題だと思うけど、普通にインターネットを使っているユーザーからすると、あまり知られていないのではないかと思うので書く。 例えば ~/.ssh/id_rsa にSSHの秘密鍵を保存している平均的なMac OS Xユーザーが居るとし... 続きを読む

• g:subtech:id:mala
• テクノロジー

Untitled12 sec agoUntitled11 sec agoUntitled27 sec agoUntitled32 sec agoUntitled1 min agoUntitled1 min agoUntitled1 min agoUntitledJava | 1 min ago 続きを読む

• pastebin.com
• テクノロジー

security先月、大手 CAの Comodoが外部からの攻撃によって、偽証明書を発行してしまうという事件が起こった。本記事では、この事件の問題点の整理、攻撃手法の詳細、改善策の状況などについてまとめたいと思う。 何が起こったのか？Comodoは認証局(CA)を運用し... 続きを読む

• d:id:ukky3
• テクノロジー

調べたところIEで警告が出るのでXSSフィルタを無効にしろとアナウンスしてる http://bit.ly/fFhQuh アホか、実際にXSSがあるんだよ http://bit.ly/hVGieW 続きを読む

• togetter.com
• テクノロジー

最古のコンピュータウイルス作成者にミッコが直撃インタビュー 2011年03月15日09:30 risa_ozaki 東京発  by：尾崎 コンピュータに感染するウイルスが初めて発見されたのは、1986年でした。 世界初のウイルスの名はBrain。 これは、5.25フロッピーディスクのブー... 続きを読む

• blog.f-secure.jp
• テクノロジー

エジプト、FinFisher侵入ツールそして倫理 2011年03月08日18:17 mikko_hypponen ヘルシンキ発  by：ミッコ・ヒッポネン エジプト、チュニジア、リビア、バーレーンなど、アラブ世界に不穏な空気がある。  　2日前、エジプト・ナスルの抗議者たちがエジプト国家... 続きを読む

• blog.f-secure.jp
• テクノロジー

「SHA-1+salt」はパスワードに十分だと思いますか？ 2011年02月09日17:39 fsecure_corporation ヘルシンキ発  by：ジャルノ・ネメラ アナーキーなインターネットグループ「Anonymous」が先頃、HBGary Federalとルートキットテクノロジの分析と開発に専心してい... 続きを読む

• blog.f-secure.jp
• テクノロジー

Javascript Security - Presentation Transcript JavaScript Security John Graham-Cumming Living in a powder keg and giving off sparks JavaScript security is a mess The security model is outdated Key examples Attacking DNS to attack JavaScript Wh... 続きを読む

• www.slideshare.net
• テクノロジー

1 携帯電話向け Web におけるセッション管理の脆弱性 Session Management Vulnerabilities in Mobile Web Application 高木 浩光* Hiromitsu Takagi あらまし 日本の携帯電話向け Web サイトにおいては、利用者認証を実現するため又はログイン状 態を維持する... 続きを読む

• staff.aist.go.jp
• テクノロジー

最近のモダンなWebブラウザがサポートしている、セキュリティに関連しそうな X- なHTTPレスポンスヘッダをまとめてみました。それ以外にもあったら教えてください。X-XSS-Protection0:XSSフィルタを無効にする。 1:XSSフィルタを有効にする。 XSSフィルタを有効... 続きを読む

• d:id:hasegawayosuke
• テクノロジー

Apache mod_headersでできます Header set X-Content-Type-Options nosniff Nginx add_header X-Content-Type-Options nosniff; 但し、上記だとproxyなんかで既にX-Content-Type-Options: nosniff;が付いていると X-Content-Type-Options: nosniff, nosniff の... 続きを読む

• blog.everqueue.com
• テクノロジー

Aggrajag and Mortimer.CA, among others, wrote to inform us that Theo de Raadt has made public an email sent to him by Gregory Perry, who worked on the OpenBSD crypto framework a decade ago. The claim is that the FBI paid contractors to insert... 続きを読む

• bsd.slashdot.org
• テクノロジー

I would like to warn current and future owners of .ly domains of a concerning incident regarding the deletion of one of our prime domains ‘vb.ly’ by NIC.ly (the domain registry and controlling body for the Libyan domain space ‘.ly’). In s... 続きを読む

• benmetcalfe.com
• テクノロジー

Debian Security Advisory DSA-2125-1 openssl -- buffer overflow Date Reported: 22 Nov 2010 Affected Packages: openssl Vulnerable: Yes Security database references: In the Debian bugtracking system: Bug 603709. In Mitre's CVE dictionary: CVE-20... 続きを読む

• www.debian.org
• テクノロジー

記事の最後のアップデートを最初に読んでください。 Facebookならたぶん、これを機能として実装したいだろうが、われわれ一般ユーザにとっては大きなセキュリティホールだ。今朝（米国時間11/20）、http://guntada.blogspot.com（今はまだ、ここへ行ってはいけ... 続きを読む

• jp.techcrunch.com
• テクノロジー

ニュース 中国の通信会社、米国へのトラフィックを18分間「ハイジャック」――米報告 意図的かどうかは不明だが、China Telecomが不正確なルーティング情報を送信し、米国サイトへのトラフィックが一時最短ルートではなく中国経由で送られていたと米中経済安全... 続きを読む

• www.itmedia.co.jp
• テクノロジー

［運用］ 巷に増殖中の「Free Public WiFi」にご注意を ―― 「Free Public WiFi」問題への理解と対処 ―― 井上 孝司 2010/11/11 飲食店、宿泊施設、公共施設などにIEEE 802.11無線LANのアクセス・ポイントを設置してインターネット接続を可能にするサービスは... 続きを読む

• www.atmarkit.co.jp
• テクノロジー

あとで書く 続きを読む

• g:subtech:id:mala
• テクノロジー

Introduction This article provides a simple positive model for preventing XSS using output escaping/encoding properly. While there are a huge number of XSS attack vectors, following a few simple rules can completely defend against this seriou... 続きを読む

• www.owasp.org
• テクノロジー

固定IDは"デジタル化された顔"――プライバシー問題の勘所 - NIKKEI NET:IT-PLUS 高木 浩光 産業技術総合研究所 グリッド研究センター, 2003年4月22日 以下は、過去に it.nikkei.co.jp に掲載されていた私のコラムで、2010年4月の日経新聞社サイトの改編に伴っ... 続きを読む

• takagi-hiromitsu.jp
• テクノロジー

行動ターゲティング広告はどこまで許されるのか - NIKKEI NET:IT-PLUS 高木浩光 産業技術総合研究所 情報セキュリティ研究センター, 2008年10月16日 以下は、過去に it.nikkei.co.jp に掲載されていた私のコラムで、2010年4月の日経新聞社サイトの改編に伴って... 続きを読む

• takagi-hiromitsu.jp
• テクノロジー

【特別企画】アカウントハックに遭ってしまった！（前編） 被害は救済されない。被害者になって見えてきた問題点と課題 Tweet Check 「アカウントハックに遭ってしまった!」。 2010年5月、ついに筆者自身がアカウントハックに遭ってしまった。ネクソンのオンラ... 続きを読む

• game.watch.impress.co.jp
• テクノロジー

■ かんたんログイン方式で漏洩事故が発生 ガラケーからiPhoneに乗り換えた人々が「ガラケーサイトが見れない!!」とご不満らしいという話は、聞いたことがあったし、そういう方々向けに「ガラケーサイトを閲覧できる」と謳うスマホ用の専用ソフトが提供されたと... 続きを読む

• takagi-hiromitsu.jp
• テクノロジー

あとで書く 続きを読む

• g:subtech:id:mala
• テクノロジー

ついに標的に狙われたSCADAシステム 2010年07月19日23:32 gohsuke_takama オフィシャルコメント  by：高間 先週よりWindowsのLNKショートカットファイルを使用する新たなゼロディ・エクスプロイットが、標的型攻撃に使われると懸念されています。しかし今回重要... 続きを読む

• blog.f-secure.jp
• テクノロジー

01:07 | ウェブ攻撃のいろいろ概要被害予防XSS(Cross Site Scripting)動的なWebページにスクリプトを混入させる。他のページへ誘導、CSRFへの踏み台、秘密情報の窃取、ページ偽装。 入力された値にHTMLタグを許可しない。入力された値を直接表示しない。値の出... 続きを読む

• d:id:temita
• テクノロジー