「ケータイキット for Movable Type」のOSコマンドインジェクションの修正 | 水無月ばけらのえび日記
更新: 2016年4月27日11時5分頃 Movable Typeのプラグイン「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性があったという話が出ており、J-WAVEの64万件の個人情報流出はこれが原因だったとされています。 J-WAVEでも64万件の個人情報流出の可能性、原因ソフトの利用者は至急パッチ適用を (itpro.nikkeibp.co.jp)「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用 (internet.watch.impress.co.jp)ケータイキット for Movable Type の脆弱性についてまとめてみた (d.hatena.ne.jp)配布元のアイデアマンズからは、4月22日にまず「緊急パッチファイ
武雄市Facebook化の動機は実名利用にしたかったから | 水無月ばけらのえび日記
公開: 2011年12月31日0時55分頃 こんな記事が……「「2ちゃんねるで叩かれていた」――Facebookにはまり続ける武雄市長の“野望”とは (1/4) (www.itmedia.co.jp)」。 Webが紙と違うところは、ユーザーとの双方向性があることだと思っています。だからといって市の職員がHTML言語を使って頻繁にサイトを更新するのは無理だし、掲示板のようにすれば「2ちゃんねる」みたいに荒れてしまう。 例えば僕は大阪府高槻市に出向したとき関西大学を誘致しようとして、結果的にそれは成功したんですが、そのときもものすごく悪口を書かれましたね。しかも、それを書いているのが誰だか分かればまだいいんですが、分からないわけですよ。だから当時「これはだめだな」と思った。全然建設的じゃないし、“便所の落書き”だと。 (~中略~) 要するに、Facebookは基本的に実名利用というところが一番
ターゲティング広告を利用して属性と個人を結びつける | 水無月ばけらのえび日記
公開: 2011年12月11日22時55分頃 「サードパーティCookieの歴史と現状 Part3 広告における利用、トラッキング、ターゲティング広告におけるプライバシーリスク (d.hatena.ne.jp)」。サードパーティCookieやターゲティング広告の問題点についてのmalaさんのまとめ。良くまとまっていて参考になります。 特に、「パーソナライズされた広告配信によって広告出稿者がユーザーの個人情報を取得することが可能」という指摘は鋭いと思いました。ターゲティング広告では、対象者の属性を絞って広告を出すわけですから、その広告をクリックしてきた訪問者はその属性を持っている確率が極めて高いと言えます。すなわち、以下のようなことが起きると個人と属性が結びつきます。 属性を絞って広告を出稿するその広告をクリックしてランディングページにたどり着いたユーザーを追跡するそのユーザーが商品を購入す
公衆無線LANによる通信傍受、改竄のリスク | 水無月ばけらのえび日記
更新: 2011年12月13日23時35分頃 ものすごい話が出ていますよ……「公衆無線LANのConnectFree、利用するとTwitter IDとFacebookをMACアドレスと紐づけられ、いつどこでどのサイトを閲覧したか収集されるらしい (togetter.com)」。 以前から言われていた攻撃手法として、以下のようなものがありました。 悪意ある攻撃者が、無線LANのアクセスポイントを公開するSSIDを公衆無線LANサービスと思われるようなものにしておく誰かがそのアクセスポイントにアクセスすると、攻撃者は通信内容を自由に傍受・改竄して攻撃できるそして「野良無線LAN危ないから気をつけて」「HTTPSを使おう」という話になるわけですが、今回は、こういう攻撃が実際に、しかも公衆無線LAN提供会社によって組織的に行われていたという話ですね。おそらく当人には「攻撃」という意識はないと思いま
トルネのトロフィー情報から分かること | 水無月ばけらのえび日記
公開: 2011年11月15日2時20分頃 ※この日記にはトルネ (www.amazon.co.jp)の隠しトロフィーに関するネタバレが含まれています。隠しトロフィーの情報を知りたくない方はご注意ください。 「PS3のトロフィー情報からユーザーをプロファイリングする」の続きです。既に高木さんが「テレビ録画機「トルネ」の視聴ジャンルが無断公開されている (takagi-hiromitsu.jp)」という記事を書かれていますので、興味のある方はそちらも参照してみると良いでしょう。 さて、私のトロフィー情報は「プロフィール - MinazukiBakera (playstationhome.jp)」で公開されていますが、ここにはトルネのトロフィーもあります。 トルネのトロフィーは全てが隠しトロフィーのようで、端から見ても名前が分かりません。そのため、どのトロフィーを取得しているのかは分からない…
経営者は裁量労働を甘く見ていないか | 水無月ばけらのえび日記
また裁量労働制としながらも、納期やノルマを定められ、ときに営業といった制度対象外の仕事も要求されていたことから、要件を満たしていると認められないとして、残業代については請求通りの1136万円の支払いを命じた。 「裁量労働制だから残業代を払わなくて良い」と考えてしまっている経営者も存在するだろうと思いますが、それは大きな間違いなので注意しましょう。「裁量労働」という名前がついているかどうかは関係ありません。実態を見られます。 そもそも、裁量労働で残業代込みの支払いをしていても、深夜や休日の割増賃金は支払わなければなりません。それを払っていない場合、後で付加金つきで支払う羽目になる可能性があります。 (付加金の支払) 第百十四条 裁判所は、第二十条、第二十六条若しくは第三十七条の規定に違反した使用者又は第三十九条第七項の規定による賃金を支払わなかつた使用者に対して、労働者の請求により、これら
W3CのDTDを取りに行きすぎるとBANされる | 水無月ばけらのえび日記
Yet we receive a surprisingly large number of requests for such resources: up to 130 million requests per day, with periods of sustained bandwidth usage of 350Mbps, for resources that haven't changed in years. W3CのサイトにおかれているDTDなどに対して、1日に1億3千万回ほどのアクセスがあるそうで。 たとえば、.NET FrameworkのXmlDocumentでXHTMLを読むなんてシチュエーションはありがちだと思いますが、XmlResolver = nullを指定せずにそのまま使うと、いちいちDTDにアクセスしに行ってしまいます。世界中でそういうことをされると、まあ、大変です
楽天メールマガジンの変更画面から情報漏洩 | 水無月ばけらのえび日記
更新: 2008年10月1日 セキュリティホールmemoより: site:emagazine.rakuten.co.jp で検索すると個人情報っぽいものが見えるとか見えないとか。 (www.st.ryukoku.ac.jp) メールマガジンの設定変更の画面が第三者に見えてしまう、という話のようで。まとめると、 設定変更画面のURLは、ユーザごとにユニークなIDを含むものになっているユニークIDは複雑で、他人の変更画面のURLは簡単には推測できない (……と思うのですが未確認)が、そのURLさえ分かってしまえば、GETリクエスト一発で認証もなしに変更画面にアクセスできてしまうアクセスすると、現在の設定情報 (氏名、メールアドレスなど) が見えてしまうそして何故か、そのURLをGoogleやWindows Live Searchがクロールしており、検索でヒットして残念なことに…………ということ
128ビットカエサル暗号 | 水無月ばけらのえび日記
会社で Google Chrome をいろいろ見ていたのですが、HTTPSなサイトで情報を見ると……。 いや……単に128ビットとだけ言われてもなぁ。同じ128ビットでも、AESとRC4ではだいぶ違う気がするし……などと社内で話していたら、「ひょっとしたら128ビットカエサル暗号かもしれない」という話が。 カエサル暗号というのはローマ時代の暗号で、HELLO → IFMMP のように文字を前後にずらして暗号文を作るものです。この暗号における鍵とは、「何文字目の文字を何文字ずらすか」という情報になるでしょう。鍵が 12345 なら HELLO → IGOPT となるわけです。 ……これをバイナリに適用すると、バイナリデータの各ビットについてシフトする・しないを記したものが鍵ということになるでしょう。要は、鍵とデータとのXORをとるだけということですね。データの方が長い場合は (たいてい長いと
Firefox3のオレオレ警告 | 水無月ばけらのえび日記
……なんと「そのままアクセスする」とか「一時的に受け入れる」とかいう選択肢がありません。そのかわり「例外として扱うこともできます」という謎のリンクがあります。クリックすると、「例外を追加」というボタンが現れます。 「インターネット接続環境を完全には信頼できない場合や、これまでこのサーバではこの警告が表示されなかった場合は、このサイトを例外として追加しないでください。」という注意書きが。そして例外に追加しようとすると、だめ押しの一撃。 「本物の銀行、ショップ、その他公共サイトがこの操作を求めることはありません。」太字で断言ですよ。これは気持ち良い! ここまでされると、本物サイトをオレオレ証明書で運用するのもかなり抵抗が出てくるでしょう。 ※興味本位で一時的にアクセスしてみたりするのがやりにくくなりますが……。まあ、一般の人はそんなことをする必要がありませんしね。 「Firefox3のオレオレ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
吹田市立図書館を襲った謎の「サイバー攻撃」の報告書 | 水無月ばけらのえび日記