高木浩光@自宅の日記 - 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。
■ 著名優良サイトでもiモード2.0の脆弱性に対応していなかった。なぜか。 今月中旬のこと。私は2テラのハードディスクを買溜めするため秋葉原の街に出た。しかし、どの店が最安か調べずに出たため、やむなく携帯電話で調べることにし、価格.comのサイトを探した。すると、携帯電話用のサイト m.kakaku.com があり、私は初めてそこを使った。 サイトはとても使いやすく、すぐに意中の製品を見つけることができた。が、ここで、画面に「履歴」というリンクがあることに気づいた。「履歴」の画面に入ると、なんと、閲覧した製品が既に記録されていた。ログインしていないのに。いや、アカウントさえないのに。 これはたしかに便利な機能ではあるが、契約者固有IDを用いて実現されていることにギョッとした。同様の機能は普通のPCのインターネットでもcookieを使って実現できるわけだけども、契約者固有IDの取得と保管は、
FTPソフトに脆弱性発覚「使用すると無価値なコンテンツをネットに垂れ流す」 - bogusnews
さあ、はやくSSHに乗り換えてIDとパスワードはTeraTermマクロで自動入力させるセキュアな世界に移行するんだ Webサイトコンテンツのサーバへのアップロードに使われる、いわゆる「FTPソフト」に危険な脆弱性が発覚。セキュリティ対策機関などは使用を控えるよう注意を呼びかけている。 対象となるのはFTP(ファイル転送)プロトコルを使用したソフトウェアすべて。セキュリティ対策機関のJPCERTによると、今回みつかった脆弱性をマルウェアなどに悪用された場合、Webサイト制作者は 「愚にもつかない内容のくだらないコンテンツをインターネットに垂れ流してしまう」 という。 すでに同脆弱性を衝いたゼロデイアタックが全世界規模で広がっており きょう食べたスイーツの記録 プロ気取りでアニメの作画乱れを指摘するページ 床屋政談 など無価値きわまりないコンテンツがネットにあふれ、トラフィックを圧迫していると
スピンドクターと脆弱性関連情報 | 水無月ばけらのえび日記
公開: 2009年11月10日22時5分頃 読み終わったので。 スピンドクター “モミ消しのプロ”が駆使する「情報操作」の技術 (www.amazon.co.jp)スピン = 情報操作のお話。さまざまな操作の例が紹介されているのですが、興味深いと思ったのは、先に情報を出してニュースとしての価値を低下させてしまうという手法。「しんぶん赤旗」にスクープさせると、他紙が後追い取材をしなくなるとか……。民主党偽メール事件の話も非常に興味深かったですね。 ※個人的に期待していたネット情報操作の話は、最後にちょこっと出ていただけで、ほぼ既知の話でした。そこは少し残念でしたが、他の部分は読み応えがあったかと。 しかし考えてみれば、脆弱性関連の報道やリリースなんてのは「スピン」の典型例でしょうね。 私が発見・報告して報道された事例としては、最近ではサンシャイン牧場、古くはニフティのXSS、JVNアンケート
プロの脆弱性対策
脆弱性対策には2種類あります。 「脆弱性を無くすように対策すること」と「脆弱性が発見されて被害が出た場合に、炎上しないように対策すること」の2つです。 スピンドクターと脆弱性関連情報 | 水無月ばけらのえび日記には、脆弱性を表に出さないための標準メソッドが書かれていました。 ・できるかぎりスルーし、事実を表に出さない ・スルーしきれなかった場合は控えめにアナウンスし、実害がないor少ないことを強調する。外部からの指摘だったことは極力隠し、運営者が自ら発見したかのような印象を与えるように努める ・被害の発生を認めざるを得ない場合は正直に報告するが、自分も被害者であるということを強調する。通常の手段では防げない高度な攻撃であったという印象を与え、被害を受けても仕方なかったという印象を与えるように努める 一般の利用者に気づかれないようにすることと、気づかれた場合には「悪質なハッカーにやられてしま
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
