クッキーより怖いcanvas fingerprintingって何?迂回方法は?
クッキーより怖いcanvas fingerprintingって何?迂回方法は?2014.07.28 16:009,082 satomi 問題:ホワイトハウスとYouPornが共通でもってるもの、なーんだ? こたえ:canvas fingerprinting 「canvas fingerprinting(canvasの指紋採取)」というのは、最近大手サイトで採用が広まってる新手のオンライン追跡ツールのことです。クッキーと違って、ユーザー側からは探知もブロックもできないという、とんでもない野郎です。 まさにユーザーの知らぬ間にウェブの閲覧行動がサイトに筒抜け、というマジックミラー状態。その現状をProPublicaが記事にしていますよ。 「canvas fingerprinting」を最初に発見したのはプリンストン大学と英ルーヴェン大学の研究チームです。ここが発表した「The Web Neve
Internet Explorer 6~11にゼロディ脆弱性、攻撃も確認
米マイクロソフトは4月26日(米国時間)、Internet Explorer 6~11に脆弱性が見つかり、その脆弱性を狙った攻撃も検知していることをセキュリティ・アドバイザリー「Microsoft Security Advisory 2963983」で公開した。 米のセキュリティ・ベンダーであるFire Eyeもこの脆弱性を悪用した攻撃を確認しているが、攻撃の対象とされているバージョンはInternet Explorer 9~11としている。 マイクロソフトによると、脆弱性は削除されたあるいは適切に割り当てられていないメモリ内のオブジェクトにアクセスする方法に存在する。 攻撃者はこの脆弱性を悪用することで、Internet Explorerの現在のユーザーのふりをして任意のコードを実行したり、ユーザーを不正なコンテンツが仕掛けられたWebサイトへ誘導したりすることが可能になるという。 マイ
情報機関はどこまで暗号を”解読”している?(dragoner) - エキスパート - Yahoo!ニュース
元CIA(米中央情報局)、NSA(米国家安全保障局)職員のスノーデン氏が、情報機関で行われている違法な個人情報収集を告発し、世界に波紋が広がっております。9月5日には米ニューヨーク・タイムズと英ガーディアン紙が、スノーデン氏の提供した文書から、米英の情報機関がインターネットの通信の秘密を守る暗号までも破っていると報じました。 この報道は、日本のメディアでも引用の形で報じられていますが、ニューヨーク・タイムズ等の元記事を確認すると、どうも告発したスノーデン氏の意図と少しズレているのではないかと感じました。では、日本の報道をいくつか引用してみましょう。 アメリカの新聞ニューヨーク・タイムズは、アメリカとイギリスの情報機関が、インターネット上で広く使われている暗号の解読に成功し、銀行の決済や、医療記録などの個人情報をひそかに収集していると伝えました。 これは、アメリカの新聞ニューヨーク・タイムズ
健全サイトを「詐欺」、対策ソフトの誤検知多発 : 社会 : YOMIURI ONLINE(読売新聞)
コンピューターウイルスからパソコンを守る“必需品”のウイルス対策ソフトだが、健全なサイトを「危険」「詐欺」などと誤検知し、パソコンで閲覧できなくしてしまうケースが多発している。 激増する新種ウイルスに対応するため、数年前から導入され始めた自動判定システムが主な原因で、対策ソフト会社は「未知の脅威に対抗するには誤検知も仕方ない」と主張する。だが、誤検知された側からは「ネット社会で信用を失ってしまう」との困惑の声が上がる。 ◆長年人気でも◆ 「何度、苦情を申し立てても改善されない。もう疲れた」。さいたま市のシステムエンジニア矢吹拓也さん(33)は10月、10年以上続けてきた新作ソフトの無料提供を中止した。パソコンの処理能力を高めるソフトなどを開発しては公開していた矢吹さんのサイトは、毎月、数万件がダウンロードされるほど人気だった。 ところが、今年5月から急に、「アクセスしようとすると『詐欺サイ
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
高木浩光@自宅の日記 - やはり起きていた刑事的萎縮効果による技術停滞 岡崎図書館事件(13)
■ やはり起きていた刑事的萎縮効果による技術停滞 岡崎図書館事件(13) 12月12日の夕方、Twitterの#librahack界隈で以下のサイトが発掘された。 杉並区立図書館 新着図書 更新情報 (非公式), http://www.naotaka.com/library/ 更新停止のお知らせ 突然ですが、2010年6月22日をもちまして、「杉並区立図書館 新着図書 更新情報 (非公式)」の更新を停止させていただきます。 当ページをご利用の皆様にはご迷惑をおかけしますが、ご理解のほど、よろしくお願いいたします。 6月22日といえば、librahack.jp が公開された翌々日だ。東京の杉並区立図書館といえば、使われている図書館システムは三菱電機ISのMELIL/CS(新型)だ。 このサイトの公開された当時に書かれたサービス説明が、以下にある。 杉並区立図書館の、「その日の新着図書」がわか
novtan別館 - 初心者が実名でブログを書くならば
実名でブログを書くことは、非常に危険です。ましてや何を書いて良いかもわからない初心者の人はスタート地点でいきなりタブーを犯してしまう危険性があります。例えば、現状と照らし合わせて、個人のブログが炎上して日常生活に影響を及ぼす大半の理由は実生活までトレースされうる情報が掲載されているからに他なりません。 ここで予め言っておきます。ネット上に蔓延る匿名の悪意、あるいは社会正義の名の元の鬱憤晴らしを認めているわけでも、減らそうとしていないわけでもありません。ただ、それは現実にそこにあることを認めないと危険だ、ということです。それがなくなる前に実名での活動を勧めるのは、こちらが有益なものを提供しているのであるから襲われまいとヨハネスブルクを丸腰で一人で歩くようなものです。装甲車に乗って声を張り上げられる人は限られています。まずいちばん最初に自覚しなければならないのは「現実として」いつでも襲われえる
iモードが契約者IDを非公式サイトに対してもデフォルトで自動送信へ | スラド モバイル
2月28日に発表されたNTTドコモの「重要なお知らせ」によると、3月31日から、新たに「iモードID」なる契約者固有IDの通知機能が提供開始されるという。iモードではこれまでに、公式サイトにだけ自動送信するユーザID「UID」と、ユーザの同意確認を毎回必要とする端末ID(携帯電話製造番号又はFOMAカード製造番号)の送信機能を提供してきたが、さらに別のIDが提供されることになる。このIDは、「UID」とは異なりドコモの課金代行の利用には使えないが、用途としては、非公式サイトにおいて以前に訪れたユーザを同定することでログインを自動化することなどが想定されているようだ。 携帯電話の契約者固有IDをめぐっては、2005年4月のストーリ「 EZwebのサブスクライバIDが4/14から非通知設定可能に」にあったように、プライバシー上の問題が認識されている。auのEZwebでは、「サブスクライバーID
ネット規制法案に与野党が合意 - コデラノブログ 3
昨日の夜、新聞メディアを中心に報道されたが、実務レベルで与野党の合意があったようである。 基本的に多くの規定は努力義務となり、事実上骨抜きとなった格好で決着しそうだ。個人的には法案じたいを廃案にしたかったところだが、力及ばずという形である。もっともまだ国会があるので、決まったわけではないが。 このうち、PCと携帯のフィルタリングは義務となった。携帯はすでに行なわれていることなので、その是非はともかく、実質的には何も変わらない。 PCのプレインストール義務は、微妙だ。実際に国内メーカーのPCの多くには、すでにフィルタリングソフトの体験版がプレインストールされているが、体験版でOKなのか、というところが曖昧なままである。 つまり多くの体験版は、買ってすぐはちゃんと動くが、30日限定なので、それ以降はデータベースが更新されない。更新されないまま放置されれば、新しく生まれてくるサイトには当然対応で
第1回 悪意のJavaScriptで情報が漏えい:ITpro
Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた,2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。従来の脅威対策は全く通用しない。今この瞬間にも,エンドユーザーは個人情報を盗まれる危険にさらされている。 ブログ/SNSなどユーザー発信型のサイト,Ajax,RSS──。華やかさがクローズアップされるWeb 2.0。ところがその裏側では,エンドユーザーに情報盗難などの危険が広がっている(図1)。インターネット・バンキングやEC(電子商取引)サイトのユーザーIDやパスワード,クレジットカード番号はもちろん,企業内のシステムにアクセスするためのパスワードや,パソコンに読み込んだ機密文書データなど,対象はあらゆる情報だ。 2006年12月末,米国のセキュリテ
情報処理推進機構:情報セキュリティ:H18年度ウェブアプリケーション開発者向けセキュリティ実装講座の開催について
※講演資料を掲載しました。 独立行政法人 情報処理推進機構(IPA)は、安全なインターネットの利用をめざして、最近、IPAが届出を受けた脆弱性関連情報を基に、届出の多かった脆弱性や攻撃を受けた場合の影響度が大きい脆弱性を取り上げ、その解決策を紹介するセキュリティ実装講座を企画しました。 本講座は本年2月、4月に実施しましたが、好評でしたので、今回は、新たに脆弱性の深刻度評価を用いた届出情報の分析結果や、ウェブアプリケーションの発注者が考慮すべき点なども紹介します。また、開発者の方から安全なウェブアプリケーションの開発に向けた取組み状況を紹介していただきます。 IPAでは、2004年7月8日に脆弱性関連情報の届出受付を開始してから2年4ヶ月が経過し、10月末までにソフトウエア製品に関するもの330件、ウェブアプリケーション(ウェブサイト)に関するもの687件、合計1,017件となり、1
ITmedia Biz.ID:優れたパスワードの選定と記憶法
100個のパスワードを覚える必要はない。100個のパスワードを生み出す1個のルールがあればいい。(Lifehacker) 【この記事は、2006年7月5日付で米ブログメディア「Lifehacker」に掲載された記事を翻訳したものです。】 安全で記憶しやすいパスワードを設定すれば、自分は簡単に思い出せて、他人には推測されにくい。 →ほかのLifeHack(ライフハック)関連の記事はこちら 最近は、至るところでパスワードの登録を求められる。何十ものサイトでログインの際に入力を求められるパスワード。ATMで必要なキャッシュカード暗証番号。ワイヤレスネットワークにログインするためのパスワード。皆さんは、どのように新しいパスワードを設定しているのだろう? いや、もっと重要なこととして、どのように記憶しているだろうか。 「すべてに同じパスワード」はダメ すべてに同じ1つのパスワードを使うやり方の問題点
Webシステム開発でセキュリティが軽視される理由 - @IT情報マネジメント
Webシステムでは、アプリケーションレベルでのセキュリティ対策が不可欠であるにもかかわらず、軽視されがちだ。この現状を改善する方法を考える。 昨今の個人情報などに対する不正アクセス関連事件では、Web経由で提供されているアプリケーション(ここではWebシステムと呼ぶ)のセキュリティ上の欠陥に付け込まれる例が多発している。この種の不正アクセスからWebシステムを守るには、ファイアウォールなどの事後的な、外付けのセキュリティ対策だけでは不十分である。システムを開発する時点で、セキュリティ上の欠陥が生じないようにしなければならない。 一般的なWebシステムでは、開発作業が外部に委託されるケースが多い。このため、開発提案を依頼する(RFP)段階において、セキュリティ対策を含めた提案をしてもらうべきである。セキュリティ対策が明示的な形でシステム要件に含まれないと、受注側で対策を施すインセンティブが働
高木浩光@自宅の日記 - 「高橋メソッド」的突貫工事と、脆弱性を排除する構造設計は両立するか
■ 「高橋メソッド」的突貫工事と、脆弱性を排除する構造設計は両立するか こんな記事が出ていた。 「3年で陳腐化するWebサイトの構築には軽量言語のほうが向いている」,日本Rubyの会,高橋征義会長, 日経ソフトウェア, 2006年2月10日 高橋氏は「Webサイトは構築してから3年経つと陳腐化する」と指摘する。ただ,壊れたわけでもないWebサイトを3年でリニューアルするには,事前に顧客と話をつけておく必要がある。3年で捨てる予定のアプリケーションの予算は少ない――これが,WebにはPHPやRubyといったLLが向いている理由である。Javaのような重量級の言語だと,10年持ちそうな設計や構造のアプリケーションを作ることになり,費用もそれなりに高額になってしまう。 それは話が逆だろう。「10年持ちそうな」という言葉で比喩されるような、つまり、しっかりとした設計や構造のアプリケーションを作ると
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは
A. WEBプログラマコース
http://lovemorgue.org/xss.html