タグ

2010年2月22日のブックマーク (8件)

  • ケータイtwitter(twtr.jp)においてDNS Rebinding攻撃に対する脆弱性を発見・通報し、即座に修正された - 徳丸浩の日記(2010-02-22)

    _ケータイtwitter(twtr.jp)においてDNS Rebinding攻撃に対する脆弱性を発見・通報し、即座に修正された twitterのケータイ版twtr.jpにおいて、DNS Rebindingによるなりすましを許す脆弱性が発見され、1/15に通報したところ、その日のうちに修正された。以下、その経緯について報告する。 経緯 今年の1月12日に読売新聞の記事が出たのを受けて、現実のサイトはどうなのだろうかと改めて気になった。 NTTドコモの携帯電話のうち、インターネット閲覧ソフト「iモードブラウザ2・0」を搭載した最新29機種を通じて、利用者の個人情報を不正取得される恐れのあることが、専門家の指摘で明らかになった。 同社は携帯サイトの運営者にパスワード認証などの安全対策を呼びかけている。携帯電話の機能が高機能化するにつれ、こうした危険は増しており、利用者も注意が必要になってきた。

  • 高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件

    はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ

  • DNSリバインディング: かんたんログイン手法の脆弱性に対する責任は誰にあるのか - 徳丸浩の日記(2010-02-12)

    _かんたんログイン手法の脆弱性に対する責任は誰にあるのか id:ikepyonの日記経由で、NTTドコモのサイトに以下のセキュリティ・ガイドラインが掲示されていることを知った。 iモードブラウザ機能の多様化により、機種によってiモードサイトにおいてもJavaScriptを組み込んだ多様な表現、CookieやReferer情報を有効に活用したサイト構築が行えるようになりました。 しかし、PC向けインターネットサイト同様に、セキュリティ対策が十分に行われていないサイトでは、そのサーバの脆弱性を突き(クロスサイトスクリプティング、SQLインジェクション、DNSリバインディングなど様々な攻撃手法が存在しています)、これらの機能が悪用される危険性があります。十分にご注意ください。 [作ろうiモード:iモードブラウザ | サービス・機能 | NTTドコモより引用] XSSやSQLインジェクションと並ん

  • ソーシャルネットサービスにおけるエンティティのグローバリゼーション - Nothing ventured, nothing gained.

    以前にもFacebookの日進出についてコメントを求められた時に言ったことがあるのだが、グローバルなソーシャルネットサービスにおけるエンティティの名前空間設計は難しい。 インターネットやグローバルなSNSというのは、ボーダーレスなコミュニケーションを実現するのは事実ですが、必ずしも地球上のすべての人がそれを望んではいません。グローバルなSNSにおいては、グローバルであることのメリットを活かしつつ、それを望む人には、いかに地域で閉じるためのバウンダリも用意できるかが課題でしょう。残念ながら、グローバルなSNSでそれを実現できているところはありません。簡単なところでは、たとえば自分の名前やプロフィールは日語で書けば良いのか、英語で書けば良いのか。当ならば、言語を超えたメタ情報を書き、相手によって自動的に適切な言語で表示されるようなことができれば良いのでしょうが、まだしばらく先のことになっ

    ソーシャルネットサービスにおけるエンティティのグローバリゼーション - Nothing ventured, nothing gained.
    Kiske
    Kiske 2010/02/22
  • ゲームの決定的瞬間を自動で画像キャプチャーしてTwitterへ投稿できる「shot2ss」NOT SUPPORTED

  • ペリーがパワポで提案書を持ってきたら :: デイリーポータルZ

    最近知ったのだが、いまセンター試験って国立大学だけじゃなくて私立大学もたくさん参加しているのだ。 きっとセンター試験に参加しませんかって提案書を持って大学を回った人がいるのだろう。パワーポイントで作ったA4横の資料だ。 紹介から始まって、費用や役割分担、スケジュール案だろうか。 そう思うとなんでも提案書が作れる気がしてきた。日でいちばんメジャーなあの交渉ごとで提案書を作ってみよう。 仕事じゃないパワーポイントって楽しいですね。(林 雄司) 開国させるための資料を作ります 自分がペリーになったつもりで日に開国を促す提案書を作ってみた。ペリーの肖像画は著者の死後50年が経っているために自由に使えるようになっていた。ラッキー。

    Kiske
    Kiske 2010/02/22
  • CNET Japan

    人気の記事 1“全国住み放題”の定額制シェアサービス「ADDress」--2019年4月に開始 2018年12月20日 2ホンダのビジネスジェット「HondaJet」が日初導入--千葉功太郎氏やホリエモンが共同購入 2018年12月20日 3JDI、静電容量式ガラス指紋センサの量産を開始--セキュリティ市場向けに提供 2018年12月20日 4マイクロソフト、「My Office」に代わる「Windows 10」向け新「Office」アプリ発表 2018年12月20日 5「けもフレ2」と東武動物公園がコラボ--ARや位置情報で“体験“をアップデート 2018年12月20日 6「ホーム・アローン」で「Googleアシスタント」が大活躍--マコーレー・カルキン登場のCM動画 2018年12月20日 7ストリートビューに映った「UFO」が話題に--その正体は 2018年12月20日 8VTub

    CNET Japan
  • カーリングについて自分が知っているいくつかのこと(続きあり)

    土曜の午後という多くの人が見ている時間帯に、地上波中継で「わかりやすいゲーム」で 勝てた事の意味というのはとても大きかったと、日チームの勝利に心から酔いしれた。 ただ、Twitterなんかを見ていると、素人の自分でもいくつか答えられそうな話題があったので、ちょっとそれらをまとめてみようと思う。 (技術、戦術については、それっぽく話す事もできるが自分には無理) ラウンドロビン後半戦に向けて、観戦者にとって何かの足しになってくれれば幸い。 (2/23 多くの皆様にお読みいただきありがとうございます。お礼を兼ねて続きを書きましたので、よろしければご覧ください。) 解説の小林さんの絶叫についてずいぶん話題になったあれだが、別に意味もなくかっこつけて「Yeeeeees!」と叫んでいたわけではない。 ハウス(サークル)の中央に、その後ろにある石を弾いて散らす事なしに自分の石を持ってくるには、 投擲時

    カーリングについて自分が知っているいくつかのこと(続きあり)
    Kiske
    Kiske 2010/02/22