[B! セキュリティ] Mistfealのブックマーク

Mistfeal id:Mistfeal

セキュリティに関するMistfealのブックマーク (8)

逗子ストーカー殺人事件、Yahoo!知恵袋に残された恐ろしい投稿履歴 - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
Mistfeal 2012/11/11
ホラー映画なんかより、よほど怖い。何が恐ろしいって、自分が同じ状況だったとして、『絶対に回答しなかった』だろうと、断言出来ないことが。自戒を込めてブクマ

犯罪

セキュリティ
リンク
PC通販「Faith」サイトからクレジットカード情報7万4000人分流出
MCJは9月27日、子会社ユニットコムが運営するPC通販サイト「Faith」から顧客のクレジットカード番号が最大7万4048人分流出したと発表した。同じサーバから「TWOTOP」サイトの会員ユーザーIDとパスワード18万74人分も流出した。 MCJによると、流出したのは、Faithサイトで2008年6月26日から今年8月17日までの間にクレジットカードで買い物をしたユーザー最大7万4048人分のクレジットカード番号とそのカード有効期限。氏名、住所などその他の個人情報は含まれていないという。以前にTWOTOPが同じサーバを使っており、TWOTOPサイトで1999年6月29日から08年9月10日までの間に会員登録した最大18万74人分の会員ユーザーIDとログインパスワードも流出した。 9月13日夜、クレジットカード会社から情報流出の可能性について調査依頼があり、ユニットコムが調べたところ、同月
Mistfeal 2010/09/28
この辺のショップは良く利用するから、他人事とは思えない・・・が、なんでNETから見える所に重要情報を置いておくのか

セキュリティ

不正アクセス

情報流出
リンク
中日新聞:岡崎市図書館の利用者情報流出　業者ミスで１５９人分:社会(CHUNICHI Web)
トップ > 社会 > 速報ニュース一覧 > 記事【社会】岡崎市図書館の利用者情報流出　業者ミスで１５９人分 2010年9月28日 15時26分愛知県岡崎市立中央図書館の利用者１５９人分の個人情報が、システム開発の管理会社三菱電機インフォメーションシステムズ（ＭＤＩＳ）のミスで、インターネット上に流出していたことが分かった。ＭＤＩＳが２８日、岡崎市役所で会見し、謝罪した。　同社によると、流出したのは２００５年６月末現在の「延滞予約本リストデータ」。利用者１５９人分の氏名や年齢、電話番号、貸し出し図書名などが含まれていた。　同図書館に新しいシステムを構築中だった０６年１月ごろ、同館のみに保存するはずだったデータを、誤って同社のコンピューターに保存。個人情報が混入したシステムを製品として、全国３７の自治体図書館に販売した。このうち宮崎県えびの市と福岡県篠栗町の図書館のデータが、別の保守管理
Mistfeal 2010/09/28
これを切っ掛けに、納入されたシステムが如何に貧相な物だったか、気付けると良いですね

librahack

これはひどい

セキュリティ
リンク
高木浩光＠自宅の日記 - Anonymous FTPで公開されていたGlobal.asaが示すもの岡崎図書館事件(6)
■ Anonymous FTPで公開されていたGlobal.asaが示すもの岡崎図書館事件(6) もしや三菱電機ISのシステムはフリーソフトを使っていたりはしないかと、「WwKensaku.aspx」でググってみたところ（図1）、そこに現れたのは、 Anonymous FTPサイト専門の検索サイトだった*1。そこでさらに「WwKensaku.aspx」で検索してみると、なんとそこに現れたリンク先は ftp://210.230.245.201/ （図2）、このリンクをクリックすると図3の画面が現れた。
Mistfeal 2010/08/21
つまり、開発会社側は自社製ソフトの欠陥を認識していながら、接続不能障害の原因を「外部からの攻撃」と報告していた、と

これはひどい

セキュリティ

librahack
リンク
高木浩光＠自宅の日記 - こたえはきっとソースの中に〜ドコモのCAPTCHAモドキ
そもそもこのサービスにとってCAPTCHAが何の意味をなすのか疑問*1だが、それはともかく、この部分のHTMLソースを見ると、画像のURLに答えが書かれている。（図2の「gifcat/call.php?SID=948545」）これでは何の意味もない。これの目的がもし、他サイトからのリンクで検索させられる事態を防ぐためであるなら、画像なんか表示せず、直接INPUTフィールドに値を埋め込むようにしておけばいい話だ。*2 <input name="attestationkey" value="948545" type="hidden"> ちなみに、図2で示される画像のURLに直接アクセスしてみると、図3のように、リロードする毎に（同じ番号の）違う画像が現れる。何回か繰り返してみると、1つの数字あたり4種ほどの画像が用意されているだけだとわかる。背景のノイズのようなものも、動的に生成されてい
Mistfeal 2009/10/02
ワロスw まさかとは思うけど、このCAPTCHAもどきを破ったら不正アクセス防止法違反になったりするんだろうか？

これはひどい

セキュリティ

ネタ
リンク
高木浩光＠自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日（略）こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。（略）iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。（略）契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
Mistfeal 2009/08/04
ケータイの流儀をiPhoneに持ち込んじゃった悪しき例。他山の石としたい（いい加減ケータイでもcookie使えるようになって欲しいところだけど・・・//もうURLにSessionIDを埋め込むお仕事は嫌でござるw）

セキュリティ

webサービス
リンク
Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した
Mistfeal 2009/07/21
身震いした・・・。極力使いまわさないように心がけてはいるけど、そうするとあまり使わないサービスのパスワードを忘れちゃうんだよなぁ・・・。

セキュリティ

怖い話
リンク
Firefoxからsshのダイナミック転送を使って非公開サーバへアクセスする - 射撃しつつ前転改
sshにはダイナミック転送という機能がある。この機能を使うと、sshはアプリケーション側にはSOCKSプロクシとして振る舞うが、そこからsshの接続先までは暗号化された状態で通信が行われる。これだけだと通常のトンネリングとどう違うのかよくわからないかもしれないが、ダイナミック転送の場合は転送ポートを指定する必要がない。ここがダイナミックと表現される所以だろう。例えば、オフィスAにある開発サーバdev1にオフィス外からアクセスしたいとする。しかし、dev1はオフィス外には公開されておらず、踏み台サーバladd1を経由してしかアクセスするしかない。ladd1はsshのみが動いており、これまではsshのトンネリング機能を使ってアクセスしてきたのだが、ウェブアプリケーションをデバッグする際はいちいちウェブアプリケーションのポート毎にトンネルを掘るのが面倒くさい。オフィスに限らずデータセンターへ
Mistfeal 2009/06/22
network

ssh

tips

セキュリティ
リンク
1