「最もよく使われるパスワード」が判明:流出情報分析で | WIRED VISION
前の記事 プロジェクト・チームを指揮するための6カ条 不思議な雲と、その成因:画像ギャラリー 次の記事 「最もよく使われるパスワード」が判明:流出情報分析で 2009年10月 7日 Kim Zetter Photo: Sharon Rosen/flickr。サイトトップ画像はWikimedia Commonsより 先日『Hotmail』『MSN』『Live.com』の1万件に上るパスワードがオンラインに流出したが、このリストを調べた研究者が、分析結果を発表した。これによると、最もよく使われているパスワードは「123456」だった(64件)。 パスワードの42%では小文字の「a〜z」のみが使われ、アルファベットと数字、その他の記号が混在するものは6%しかなかった。 2000件近くのパスワードは、長さが6文字しかなかった。最も長いパスワードは、30文字の「lafaroleratropezooo
CSRF - クロスサイトリクエストフォージェリ
■CSRF - クロスサイトリクエストフォージェリ CSRF - クロスサイトリクエストフォージェリ SpecIII - CSRF - クロスサイトリクエストフォージェリから引用させて頂きます。 CSRFの概略 CSRFはCross Site Request Forgeriesの略です。恥ずかしながら私は最近こういったこういった攻撃方法があることを知りました。日頃のアンテナの低さがバレますね。 CSRFはサイトに対する正規のユーザーの権限を利用した攻撃です。あるサイトのある処理を行うページに正規のユーザーを誘導し、強制的に望まない処理を発生させます。 具体的には記事の編集や削除といった機能を持つページのURLをダミーのリンクに埋め込んで踏ませたり、imgタグのsrcとして指定して知らず知らずのうちにアクセスさせます。特に後者の例ではユーザーが全く気がつかぬうちに攻撃が完了します。攻撃の結果
ファイル名は「左から右に読む」とは限らない?!
ファイル名は「左から右に読む」とは限らない?!:セキュリティTips for Today(8)(1/3 ページ) 私たちの常識が世界では通用しないことがあります。攻撃者はそんな心のすきを狙って、落とし穴を仕掛けます。今回はそれを再認識させるかのような手法と、その対策Tipsを解説します(編集部) 皆さんこんにちは、飯田です。先日、セキュリティ管理者の方々と「今後のウイルス対策のあり方」について意見交換をする機会がありました。参加者からは活発な意見や質問も飛び交い、盛り上がりを見せた意見交換会となりました。私自身も多くの気付きや学びを得ることができ、貴重な時間を過ごすことができました。 その意見交換会の中で、Unicodeの制御文字を利用したファイルの拡張子偽装の話題が出ました。この手法は目新しい手法ではなく、数年前からすでに指摘されていたものです。しかし、久しぶりに本手法について議論するこ
高木浩光@自宅の日記 - エコポイント申請画面が共用SSLサイト上にある件
■ エコポイント申請画面が共用SSLサイト上にある件 「エコポイント」の情報システムがわずか3週間で完成した理由, 有賀貞一, NIKKEI NET, 2009年8月26日 こうした問題を解決するために、エコポイント事務局と関係省庁が選択したのが、米セールスフォース・ドットコムの基盤サービス「Force.com」だった。セールスフォースはこのForce.comを「クラウドコンピューティングプラットフォーム」と表現している。利用者はサーバーなどのインフラを持つことなく、この基盤上で独自のシステムを構築できる。 という記事を読んで、「エコポイント」のサイトを初めて訪れたのだが、これはまずい。 「エコポイント」公式サイトの運営者は、「グリーン家電エコポイント事務局」となっていて、プライバシーポリシーでも個人情報取扱責任者が「グリーン家電エコポイント事務局」として書かれている。しかし、国民の視点か
高木浩光@自宅の日記 - 「WPA-TKIPが1分で破られる」は誤報
■ 「WPA-TKIPが1分で破られる」は誤報 先月、無線LANのWPA-TKIPが1分以内に破られるという報道があり、話題となった。 無線LANのWPAをわずか数秒から数十秒で突破する新しい攻撃方法が登場、早期にWPA2に移行する必要あり, Gigazine, 2009年8月5日 今回の方法は昨年11月に発表された「Tews-Beck攻撃」(略)がQoS制御を利用する機器に限定されるものであり、鍵の導出に15分もの時間が必要であったのに対して、わずか数秒から数十秒で導出してしまうことができるというもの。(略) 今回発表される方法では、TKIPにおける定期的に変更される鍵について、TKIPのプロトコルの新たな脆弱性を利用して極めて短時間(数秒から数十秒)で導出し、その鍵を効率よく利用する方法として新たな中間者攻撃を開発したとのこと。 無線LANセキュリティ「WPA」をわずか1分以内で破る手
iPhone画像から位置情報ダダ漏れ、個人情報流出のビッグウェーブktkrww:アルファルファモザイク
■編集元:ニュース速報板より「iPhone画像から位置情報ダダ漏れ、個人情報流出のビッグウェーブktkrww」 1 ノイズx(東京都) :2009/09/27(日) 02:11:54.06 ID:p6eXURLG ?2BP(3001) 株主優待 iPhoneで撮影した写真の危険性と対策のまとめ なにげなく撮影した写真から個人情報が流出してしまう可能性があるということをご存じですか? iPhoneで撮影した写真にはジオタグというものが自動で付加かれてます。(位置情報サービスをオンにしている場合。)ジオタグには撮影場所の緯度経度が記録されていて、写真をそのままブログなどに上げてしまうと簡単に位置がばれてしまいます。 解析するツールは結構あってまずJpegAnalyzer Plusこのツール このツールでiPhoneで撮影したおいしそうなステーキの写真を読み込むと・・・ 全文はソー
高木浩光@自宅の日記 - 児童ポルノ単純所持処罰化とタイムマシン
■ 児童ポルノ単純所持処罰化とタイムマシン 日曜が休日出勤だったので今日は代休をとった。 先週末、はてブ界隈で児童ポルノ法改正の国会審議の話題が上がってきていたので、所謂「まとめサイト」を見たところ、参考人のアグネスチャンがずいぶん酷く言われていた。いったいどんなだったんだと、衆議院TVで録画を観たところ、そんなにひどい話ではなく、やはりネットのこの手の「まとめ」は真に受けてはいけないなと思った。それはともかく、与党案と民主党案の2つの法案が出ていて、法案提出者との質疑がなかなかディベートとして面白いものになっていた。単純所持での冤罪の懸念に関する議論では、コンピュータ技術に関わる部分があり、興味深い。 まず、提出されている法案を確認しておくと、与党提出法案では、(1)目的によらず、「何人も、みだりに、児童ポルノを所持し、又は(略)記録した電磁的記録を保管してはならない」と、罰則なしで禁止
アカウント乗っ取り?
b:id:guldeen に何があったのだろうか。 http://b.hatena.ne.jp/guldeen/20090921 この日を境に、ブクマエントリの様子がおかしい。 アカウント乗っ取りされたのだろうか?
第11回 スクリプトインジェクションを防ぐ10のTips | gihyo.jp
前回はスクリプトインジェクションがなくならない理由を紹介しました。それをふまえて今回はスクリプトインジェクションを防ぐ10のTipsを紹介します。 デフォルト文字エンコーディングを指定 php.iniには、PHPが生成した出力の文字エンコーディングをHTTPヘッダで指定するdefault_charsetオプションがあります。文字エンコーディングは必ずHTTPヘッダレベルで指定しなければなりません。しかし、デフォルト設定ではdefault_charsetが空の状態で、アプリケーションで設定しなければ、HTTPヘッダでは文字エンコーディングが指定されない状態になります。 HTTPヘッダで文字エンコーディングを指定しない場合、スクリプトインジェクションに脆弱になる場合あるので、default_charsetには“UTF-8”を指定することをお勧めします。サイトによってはSJIS、EUC-JP
「WEP」はもう危険? 家庭の無線LANセキュリティ対策を考える
無線LANの暗号化方式「WEP」が、わずか10秒で解読されるという発表がコンピュータセキュリティシンポジウム2008で行われた。今回の特集ではWEPの危険性を踏まえた上で、家庭内で行える無線LANのセキュリティ対策について考えていく。 ■ 「WEPは約10秒で解読できる」と大学教授が発表 2008年10月に開催された「コンピュータセキュリティシンポジウム2008」で、神戸大学と広島大学のグループから無線LANの暗号化方式である「WEP」の解読にわずか10秒で成功したという興味深い発表がなされた(関連記事)。 無線LANは、電波を利用することで、面倒な配線をすることなくPCやゲーム機などをネットワークに接続することができるという利便性を持つ反面、そのセキュリティも問題になりがちだった。PCやゲーム機の間を流れるデータが電波の形で存在するため、これを盗聴することでその内容が第三者にも見えてしま
Windowsのnslookupの基本的な使い方(MXレコード編)
対象OS:Windows 2000 Professional/Windows XP Home Edition/Windows XP Professional/Windows 2000 Server/Windows 2000 Advanced Server/Windows Server 2003 解説 nslookupは、DNSサーバの動作をチェックするために使われる非常に基本的なコマンドである。別稿の「TIPS―nslookupの基本的な使い方(イントラネット編)」では、イントラネット用途におけるnslookupの基本的な使い方について解説した。ここでは、別の使い方としてドメインのMXレコードの取得方法と、その意味について解説する。 ●メール・サーバ情報を定義するMXレコード DNSサーバには、Aレコード(名前→IPアドレスの定義)やPTRレコード(IPアドレス→名前の定義)、NSレコード
ウノウラボ Unoh Labs: いまさら、ディレクトリトラバーサルについて語ってみる
Keitaです。 ディレクトリトラバーサルという言葉があります。 今では、常識になっており、開発するときには無意識に対策する(されている)人がほとんどだと思います。 ただ、DBにデータを格納することが当たり前の昨今ファイルの扱いをちゃんとできない人もたまーにお会いするのでので、個人的にPHPでやっていることを書いておきます。 どんなものか 詳しい定義は各自調べてもらうとして一例を一つ。 次のコードをみてください <?php $file = $_GET['file']; $dir = '/pngdir/'; $filepath .= $dir . $file; if (! file_exists($filepath)) { $filepath = $dir . 'nofile.png'; } header("Content-Type: image/png"); header("C
Windowsで使うポートとセキュリティの落とし穴
○ 以上のように、ほとんどのWindowsでデフォルトでオープンしているのは、135と137,138,139,445の5種類のポートである。以下にこれらのポートの役割を整理してみる。これを把握すれば、ポートを開けておくことでどのような危険があるのかが推測でき、対策を立てやすくなるだろう。 危険なポート135 危険だと言われながらも用途がわかりにくく、脅威を実感しにくいポートの代表が135番だ。しかし2002年7月に、その危険性を実証するようなツールが登場した。「IE’en(アイーン)」だ。 IE'enはInternet Explorer(IE)を遠隔操作するツールである。ネットワークでつながった他のパソコン上で起動しているIEから情報を取得したり、そのIE自体を操作できる。具体的には ◆起動しているIEのウィンドウの一覧 ◆各ウィンドウが表示するWebサイトのURLやCoo
泥棒が教えてくれない13のこと : らばQ
泥棒が教えてくれない13のこと 盗難にあったことはありますか。 日本でも犯罪が増え、盗難に遭ったという被害の声もよく聞くようになってきました。 欧米では家宅への不法侵入が多いですが、「泥棒たちが教えてくれない13の項目」と言うものが話題となっていたのでご紹介します。 1. もちろんどこかで見たことがあるさ。先週、掃除夫をしていたかもしれないし、冷蔵庫の配達をしたかもしれない。 2. 君の家の庭で仕事をしているときにトイレを使わせてくれてありがとう。トイレにいるときにトイレの窓の鍵は開けておいたよ。 3. その花はいいな。住人の趣味がわかるよ。趣味と言うくらいだから、いいものが家にあるってことだ。外にある子供のおもちゃを見て、家の中にはどんなゲーム機があるのかなと想像するんだ。 4. 新聞紙の山を探したり、デリバリーピザを玄関前に置いたりして、それらが住人を動かすのにどれくらい時間が掛かるか
KOOBFACE - TwitterへのDDoS源?世界最大のWeb2.0ボットネット:Geekなぺーじ
KOOBFACEというマルウェアに関して調べてみました。 KOOBFACEは登場してから1年ほど経過しているようですが、Web2.0を活用するマルウェアとしては最も巨大なボットネットを構成しているようです。 また、Web2.0を活用するマルウェアとしては、1年は非常に長生きな部類に入るようです。 TwitterへのDDoSとKOOBFACE 昨晩、Twitterに対するDDoSが発生しました。 ITMediaでは次のように報じています。「ITMedia : TwitterとFacebookがDoS攻撃で一時ダウン、マルウェア攻撃も復活」。 この記事を読むとKOOBFACEというマルウェアとTwitterへのDDoSには関連があるような感想をうけました。 ITMediaがソースとしているロシアのセキュリティ企業Kaspersky Labのブログには以下のように書かれています。 Virusli
DDoS、SPAM送信、トロイの木馬ソフトの値段:Geekなぺーじ
迷惑メール送信やDDoS攻撃がビジネス化しているという話は良く聞きますが、実際の値段がどれぐらいなのかに関しては見た事がありませんでした。 色々見ていたら、PandaLabs Blogで様々なネット犯罪が行われる「価格」が公開されていました。 2007年4月(2年前)の記事なので、今とは価格が変わっているかも知れませんが、思ったよりもずっと安価でびっくりしました。 様々な価格が公開されているのが、以下の2つの記事です。 発売元としてはロシアとウクライナが多いみたいですね。 Cybercrime... for sale (I) Cybercrime... for sale (II) 以下、掲載されていた値段の一部を抜粋してみました。 詳細は元記事をご覧下さい。 DDoS攻撃 DDoS攻撃は時間単位で課金されるようです。 最初に10分間の無料評価時間があるので、有効性を評価してからサービスを購
クライアントサイドで使える可逆暗号化ライブラリ·jCryption MOONGIFT
インターネット上でユーザ認証やセンシティブな情報を集める際にはSSLを使うことが一般的だ。とは言え個人やレンタルサーバレベルでは証明書を取得するのはコスト面や技術面で難しいことがある。だからといって、そのような情報を平文のまま流すのは気になる所だ。 フォームの内容を暗号化して送信 簡単な暗号化だけでも良いから行いたい、そんな時に使えそうなのがjCryptionだ。 今回紹介するオープンソース・ソフトウェアはjCryption、JavaScriptベースの暗号化ライブラリだ。 jCryptionはRSA暗号(公開鍵暗号)に則ったアルゴリズムを使った暗号化ライブラリだ。復号化可能なライブラリであり、jCryptionではPHPのクラスを提供している。実装はjQueryを使って行われているのでjQueryを使った開発では利用がとても簡単に行える。 公開鍵を送信しているスクリプト部分 送信直前にサ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://twitter.com/guldeen/status/4170749637
無線LANにただのりする人をこらしめる「Upside-Down-Ternet」 - GIGAZINE
PHPでのセキュリティ対策についてのメモ - Liner Note