各社のログインAPIで返ってくるIDは何であるのかと、PPIDの現状についてYou signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session.
WPA2の脆弱性 KRACKsについてまとめてみた - piyolog
2017年10月16日、WPA2のプロトコルに欠陥が確認され盗聴や改ざんの恐れがあるとして脆弱性情報が公開されました。発見者によりこの脆弱性は「KRACKs」と呼称されています。ここでは脆弱性の関連情報をまとめます。 脆弱性タイムライン 日時 出来事 2017年5月19日 Vanhoef氏が研究論文を提出。 2017年7月14日頃 Vanhoef氏が脆弱性の実験をした製品開発ベンダへ連絡。 その後 Vanhoef氏が影響範囲の広さを認識し、CERT/CCと協力し脆弱性情報を開示。 2017年8月24日 ラスベガスで開催されたBlackhatでVanhoef氏が関連研究を発表。 2017年8月28日 CERT/CCから複数の開発ベンダ*1に通知。 2017年10月6日 BlackhatのTwitterアカウントがWPA2をテーマとした発表があるとツイート。 2017年10月16日 SNSなど
マイナンバーカードでSSHする - AAA Blog
みなさんマイナンバーカードはもう手元に届きましたか? 私の住む大田区はとても混雑していて申請から5ヶ月かかって今月やっと交付してもらうことができました。 このカードに含まれる公的個人認証機能は以前から住基カードに入っていたものですが、今年から民間利用もできるようになりました。 しかし、この公的個人認証ですが詳細な仕様が公開されていないため、商用利用しようという動きはまだ聞きませんし、既に動いている行政サービスのe-govやe-taxはIE限定で、いまだにJava Appletが使われているなど大変残念な状況です。 カードに入っている電子証明書と2048bitのRSA秘密鍵は様々な用途に活用できる可能性があるのに、せっかく税金を費やして作ったシステムが使われないのはもったいないですね。 民間利用の第一歩として、カードに入っているRSA鍵を利用して自宅サーバーにSSHログインしてみましょう!
偶然にも500万個のSSH公開鍵を手に入れた俺たちは - slideshare
DeClang 誕生!Clang ベースのハッキング対策コンパイラ【DeNA TechCon 2020 ライブ配信】DeNA
正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう
正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「PHPer向け、Ruby/Railsの落とし穴」には、Rubyの落とし穴として、完全一致検索の指定として、正規表現の ^ と $ を指定する例が、Ruby on Rails Security Guideからの引用として紹介されています。以下の正規表現は、XSS対策として、httpスキームあるいはhttpsスキームのURLのみを許可する正規表現のつもりです。 /^https?:\/\/[^\n]+$/
TwitterのOAuth脆弱性
TwitterのOAuth脆弱性 Presentation Transcript TwitterのOAuth脆弱性 2013-03-01 Xtone Ltd. ピザ会 Aki / @nekoruri なにがおきたの?( ^o^) なんか友達からURL送られてきたお なにがおきたの?( ˘⊖˘) 。o(ID/Pass入力しなきゃ安全だよな……) なにがおきたの?|URL| ┗(☋` )┓三 なにがおきたの?( ◠‿◠ )☛ アクセストークンは頂いた、抵抗は無意味だ なにがおきたの?▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわあああああああ なにがおきたの?( ^o^)なんか友達からURL送られてきたお( ˘⊖˘) 。O(ID/Pass入力しなきゃ安全だよな……)|URL| ┗(☋` )┓三( ◠‿◠ )☛アクセストークンは頂いた、抵抗は無意味だ▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわああああ
高木浩光さんへ、しっかりしてください - 最速転職研究会
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
マシなインターネットを作る:malaさんインタビュー
こんにちは。今回はmalaさんのインタビューをお届けします。 malaさんはNHN Japanのエンジニアとして多くのウェブサービスの設計に関わるだけでなく、セキュリティやプライバシの観点から見たアーキテクチャについて、ブログでさまざまな情報や問題提起を発信されています。 特に昨年末に公開されたブログ記事「はてな使ったら負けかなと思っている2011」は、インターネットはどこへ行くかという私のもやっとした問題意識にピッタリとハマる素晴らしい文章でした。あの記事を読んで、これはぜひ一度お会いして、インターネットの現状やエンジニアの役割について、お話を聞いてみたい、と思ったのが今回の企画の発端です。未読の方は、まずそちらからどうぞ。 なお、インタビューは三月末に行われました。無職期間中に公開する予定で、ずいぶん時間がかかってしまいました。文中、私の所属する企業の話も出てきますが、例によってここは
github の mass assignment 脆弱性が突かれた件
Github に脆弱性。やった人は Rails に有りがちな脆弱性を issue に挙げていたが相手にされず、実際にそれを突いてきた。一見 childish だが、それだけ簡単に脆弱な実装がなされてしまうということだ。週明けの今日、Rubyist はまず関連情報に一読を。 — Yuki Nishijima (@yuki24) March 4, 2012 気になって調べたのでメモ。自分も気をつけないとなー。 Public Key Security Vulnerability and Mitigation - github.com/blog/ github に脆弱性があってそれが突かれたらしい。 Rails アプリにありがちな脆弱性の一つ、Mass assignment とかいうタイプの脆弱性である。 mass assignment 脆弱性とは mass assignment 脆弱性とは何か、
高木浩光@自宅の日記 - spモードはなぜIPアドレスに頼らざるを得なかったか
■ spモードはなぜIPアドレスに頼らざるを得なかったか spモードの事故 NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に影響, NHKニュース, 2011年12月27日 ドコモの“メアド置き換え”不具合、影響数や新事象が明らかに, ケータイ Watch,
サードパーティCookieの歴史と現状 Part2 Webアプリケーションにおける利用とその問題 - 最速転職研究会
前回 http://d.hatena.ne.jp/mala/20111125/1322210819 の続きです。 前回のあらすじ ブラウザベンダーはサードパーティCookieをデフォルトでオフにしたかったんだけどお前らがサードパーティCookieに依存したサイト作るし使うからオフに出来なかったんだよ!!!!! といった事情を踏まえた上でWebアプリケーションにおけるサードパーティCookieの利用の歴史について書きます。前提知識の共有が済んだので、ここからはある程度個人的な意見も含まれます。実装面での技術的な内容も含みます。 サードパーティCookieが必要とされてきた歴史 広告のためのトラッキングCookie以外にも、サードパーティCookieに依存したサービスが数多く存在してきた。個人的に把握しているいくつかのサービスについて時系列で述べる。ついでに広告業界の流れについても重要なのを幾
サードパーティCookieの歴史と現状 Part1 前提知識の共有 - 最速転職研究会
Web開発者のためのサードパーティCookieやらトラッキングやらの問題点について三回ぐらいに分けて書きます。 この文章は個人的に書いていますので、おい、お前のところのサービスがサードパーティCookieに依存してるじゃねーかというツッコミがあるかもしれないが、そういうことを気にしているといつまで経っても公開できないという問題が出てしまうので、そんなことはお構いなしに書く。ちなみに例外なく自社サービスに対してもサードパーティCookieに依存するな死ねと言っている。これはWebプログラマー観点で、自分がサービス開発に関わる上で知っておかねばならないだろう知識として十数年間だらだらとWebを見ていて自然に知っていたものと、あるいは興味を持って率先して調べたものが含まれている。ググッて直ぐに分かる程度の用語の定義的なことは書かない。あくまでWebサイト制作者側からの観点なので、ブラウザ開発関係
高木浩光@自宅の日記 - テレビ録画機「トルネ」の視聴ジャンルが無断公開されている
■ 何が個人情報なのか履き違えている日本 昨日の日記の件、みなさんからの声により、PlayStation 3をテレビ録画機にする製品「トルネ」についても同じ問題があり、どんなジャンルの番組をよく視聴しているかや、視聴時刻までもが公開状態になっていることが判明した。これについては後述する。 それより先に今言いたいのは、こういうことが起きるのは、何が「個人情報」なのかを、日本の事業者や行政がみんな揃って履き違えているためではないかということだ。 今回の件について、ソニーはこう釈明するかもしれない。「オンラインIDは個人情報に該当しない。オンラインIDに氏名などの個人情報を含めないよう登録画面で注意書きしている*1」と。しかしそういう問題でないのは明らかである。 日本の事業者はどこもかしこも、「個人情報」に該当しなければ何をやってもいいという誤った道に進み始めている。そして、日本の個人情報保護法
「SQLインジェクション対策」でGoogle検索して上位15記事を検証した - ockeghem's blog
このエントリでは、ネット上で「SQLインジェクション対策」でGoogle検索した結果の上位15エントリを検証した結果を報告します。 SQLインジェクション脆弱性の対策は、既に「安全なSQLの呼び出し方」にファイナルアンサー(後述)を示していますが、まだこの文書を知らない人が多いだろうことと、やや上級者向けの文書であることから、まだ十分に実践されてはいないと思います。 この状況で、セキュリティのことをよく知らない人がSQLインジェクション対策しようとした場合の行動を予測してみると、かなりの割合の人がGoogle等で検索して対処方法を調べると思われます。そこで、以下のURLでSQLインジェクション対策方法を検索した結果の上位のエントリを検証してみようと思い立ちました。 http://www.google.co.jp/search?q=SQLインジェクション対策 どこまで調べるかですが、以前NH
スマホアプリとプライバシーの「越えてはいけない一線」 - @IT
スマートフォンアプリは果たしてどこまで、端末に関する情報を取得してもいいのだろうか。 位置情報と連動してお勧め店舗情報を表示したり、過去の検索履歴を基に商品を提案したりと、端末の情報やユーザーの行動履歴を活用するスマートフォンアプリが登場している。中には便利なものも多いが、一歩間違えれば、ユーザーのプライベートな情報が筒抜けになりかねない。結果として、スマートフォンを活用したビジネスやそれを支える広告市場までもが、否定的な目で見られ、発展を阻害される恐れもある。 この議論が起こったきっかけの1つは、ミログが公開していた「AppLog」と「app.tv」というアプリだ。AppLogはSDKの形で提供され、これを自前のアプリに組み込むと、Android端末にインストールされているアプリの情報やその起動回数を収集し、同社のアプリケーション分析サービスに送信するようになっていた。開発者にはインスト
高木浩光@自宅の日記 - スパイウェア「app.tv」に係るミログ社の大嘘
■ スパイウェア「app.tv」に係るミログ社の大嘘 株式会社ミログが9月27日に提供開始した「AppLog」がスパイウェアまがいであるとして、朝日新聞10月5日朝刊に以下の記事が掲載された。 アプリ利用時間や回数丸わかり「アップログ」に批判, 朝日新聞2011年10月5日朝刊 AppLog: insidious spyware rolled out in Japan by Milog, Inc. *1, The Asahi Shimbun, 2011年10月5日 スマートフォンの利用者がどんなアプリ(ソフト)をいつ、何回使ったかを記録して好みを分析し、興味を引きそうな広告を配信する。そんなプログラムが現れ、インターネット上で批判を集めている。プログラムは電話帳など無関係に見えるアプリに組み込まれ、アプリ利用者への説明が十分ではないからだ。(略) 問題視されているのは、利用者に存在が見えに
朝日新聞デジタル:アプリ利用時間や回数丸わかり 「アップログ」に批判
スマートフォンの利用者がどんなアプリ(ソフト)をいつ、何回使ったかを記録して好みを分析し、興味を引きそうな広告を配信する。そんなプログラムが現れ、インターネット上で批判を集めている。プログラムは電話帳など無関係に見えるアプリに組み込まれ、アプリ利用者への説明が十分ではないからだ。 このプログラムは、ベンチャー企業「ミログ」(東京)が作成した「アップログ」。基本ソフト(OS)「アンドロイド」を搭載した携帯端末向けで、先月27日からアプリ開発者向けに無料で提供されている。 プログラムを組み込んだアプリがスマートフォンに導入されると、端末の固有番号、他に導入済みのすべてのアプリの名前、各アプリを使った時間帯などのデータを1日1回、同社に送信する。アプリ開発者には端末1台あたり月1円が報酬として支払われる。 ミログはデータを解析して利用者の年齢層や性別、好きなアプリの傾向などを推定。KDDI子会社
都道府県型JPドメインがCookieに及ぼす影響の調査
JPRSからのプレスリリース『JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定』や報道などで「都道府県型JPドメイン」というものが新設されることを知りました。 都道府県型JPドメインとは、現在活発に使われていない地域型ドメインを活性化する目的で、地域型ドメインの制約(ドメイン名が長い、一人・一団体あたり1つまで)を簡略化しようというもののようです。 しかし、現在の地域型ドメインは、ブラウザにとって処理がややこしいもので、IEなどは昔からまともに対応していません。このため、Cookie Monster Bugという脆弱性になっているという経緯があります。このルールをさらに複雑にすることになるということから、ブラウザセキュリティに関心の高い人たちが騒ぎ始めています。 そこで、高木浩光氏の日記「JPRSに対する都道府県型JPドメイン名新設に係る公開質問」の以
mixi足あと廃止に寄せて - 最速転職研究会 | コメント mixiって今ほとんどがモバイルでアクセスされてたはずだけど、スマホ以外のガラケーでもこの問題が起きるの?
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Exploits and defenses - Exploits and defenses