AES暗号アルゴリズムに初の欠陥を発見 - うさぎ文学日記
研究者によってAESアルゴリズムに欠陥が発見されたようです。この新しい攻撃によって、専門家の予想よりも4倍速く秘密鍵を見つけることができるとのこと。 AESは過去10年はさまざまなテストが行われていましたが、これまでは欠陥は見つかっていなかったとのことで、AESアルゴリズムにとっては初の重大な欠陥と言うことになります。これは長期的な暗号解読プロジェクトの末に、主にMicrosoft社の研究者によって発見されました。 Researchers identify first flaws in the Advanced Encryption Standard 特定のアプリケーションに使っているAESの問題ではなく、AESアルゴリズムとしての問題ですので、もちろん使用しているアプリケーションにも影響が出てくることでしょう。 4倍速いぐらいでは、AESアルゴリズムの安全性は即座に揺らがないとは思います
みずほダイレクトの謎 - ockeghem's blog
ソフトバンク携帯電話のSSL方式変更に伴い、みずほ銀行のモバイルバンキングが一部使えなくなっていましたが、昨日復旧したようです。 7月3日時点では、みずほダイレクトのトップに以下のように表示されていました。URLは魚拓のものです。 現在、ソフトバンクの携帯電話からアクセスいただいた、みずほダイレクト(モバイルバンキング)の[ネット決済振込サービス]および[Pay-easy(ペイジー)税金・料金払込みサービス]において、一部のお取引がご利用いただけません。「ご利用の端末のユーザーIDを「ON」に設定し、再度アクセスしてください。」と表示された場合には、パソコンなどでご利用ください。 お客さまには大変ご迷惑をおかけしておりますことをお詫び申しあげます。 (原因につきましては現在調査中です。) http://megalodon.jp/2011-0703-0032-51/www.mizuhoban
関係者が一斉反論「OpenBSD IPSECのバックドアはあり得ない」 | エンタープライズ | マイコミジャーナル
OpenBSD OpenBSD IPSEC初期コードにFBIに依頼して開発されたバックドアが仕込まれているという主張を書いたメールが公開されてから、関係者やセキュリティの専門家が相次いで意見を表明した。まず、公開されたメールに名前が記載されていたScott Lowe氏はブログにおいて関与を否定。FBIやほかの政府機関に雇われたことはないし、たぶん自分ではない方のScott Lowe氏を指しているのではないかとし、公開されたメールが虚偽の内容であることを指摘している。 もうひとり、名前が掲載されていたJason Wright氏もメールで関与の否定を表明。なぜこのようなメールが作成されたのかその意図がわからないとした上で、あの内容は実際の名前や日付、時間をいれることでよりそれらしくなるといった都市伝説と同じ類のものだと指摘している。Jason Wright氏の説明によればそもそもOpenBSD
続パスワードの定期変更は神話なのか - ockeghem's blog
2008年2月にパスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記を書いた時の反応は、賛否両論という感じだったが、その後、twitterでのつぶやきなどを見るに、「パスワードは定期変更しなくてもいいんじゃない?」という意見は、セキュリティの専門家にも多くなっているような印象を受けている。 そのよう状況の中、以下の記事を読んだ。 辞書攻撃がうまくいかない場合、クラッカーは総攻撃(ブルートフォース攻撃とも言います)を仕掛けます。【中略】仮に1秒間に1000万回の計算ができるとすれば、パスワードのクラックに要する時間は1年にもなりません。どんなに強固なパスワードであっても、1年ももたないということになります。だからこそ、3カ月に1回とか半年に1回はパスワードを変更する必要があるのです。(2ページ目より引用) http://www.itmedia.co.jp/enterp
Techinsight » ペニオクでお目当ての商品を確実に落札するコツは?狙い目の商品、時間帯は?内情を知る運営者に直撃
トピックス ペニオクでお目当ての商品を確実に落札するコツは?狙い目の商品、時間帯は?内情を知る運営者に直撃 【イタすぎるセレブ達】ジャスティン・ビーバー、ブラジルのアイドル誌表紙はまるでオカマちゃん。 【エンタがビタミン♪】「火垂るの墓」のよう。聞くものが目頭を押えた財津一郎の終戦直後の体験。(後編) 【エンタがビタミン♪】「アドリブは怒られないの? 」。タモリも仰天した、NHK大河で福山龍馬が妻お龍に囁いたアドリブメッセージ。 【イタすぎるセレブ達】ジャスティン・ティンバーレイク、女優オリヴィア・マンと浮気か。 【エンタがビタミン♪】「僕面白くないですか?」。岡田将生が巨匠・堺正章に惨敗。 【エンタがビタミン♪】「今の言い方謝れ」。土屋アンナが詫びを入れさせた超大女優とは? 名前を明かして番組終了の危機に。 【エンタがビタミン♪】あのリーダーがお説教?! 嵐・大野が後輩に放ったキツーい一
ヤマト運輸の対応が素晴らしかった
クロネコヤマトモバイルサイトで情報流出があり読売新聞で取り上げたられた件に関し、早速ヤマト運輸で対応が取られ、発表がありました。 携帯版「クロネコメンバーズのWebサービス」クイックログイン機能の脆弱性への対応について|ヤマト運輸 この対応の素晴らしさは、タイトルでわかります。「脆弱性への対応」と書かれていて、ヤマト運輸のシステム側に不具合があったことを自ら認めて発表しています。 自らのミスを被害者に見せかける「プロの脆弱性対策」を使うのであれば、ここは「スマートフォンのアプリを利用したなりすましによる不正ログインについて」などと発表してもおかしくありません。 今回の件は読売新聞でも「iPhoneで人の情報丸見え…閲覧ソフト原因」と報道されているわけで、閲覧ソフトに責任転嫁するのは簡単な状況でした。それでもヤマト運輸は自らシステムの「脆弱性」だと認め、どういう状況で発生したのかまで発表しま
岡崎市立中央図書館利用者情報漏洩の原因が簡単なミスで起きたと印象のある報道に???: 日々是・・・
疑問は、簡単にanonymous FTP状況の設定が出来るか?、と言うことです。 これはサーバの環境が違えば設定方法や手間も違ってきますので、私の確認した方法とは実際のえびの市様の7月~8月、そして今の状況もOSやWebシステムの詳細を知らないと言う前提でお読みください。 私の確認した環境は OS:Windows Server 2003 Standard Web機能;IIS 6.0 IIS 6.0でFTPもWeb(http;//…で見るもの)も設定も管理も出来るもので確認しました。 この場合、『匿名接続を許可する』と言う設定があり、これはチェックマーク(マウスをそこでクリックするとチェックが付いたり外れたりするもの)を操作し、設定変更する(OKボタンをクリック)することでその表記どおり、『匿名での接続』が可能になります。 ただし、これだけでは見るだけです。 メンテナンスするものが見るだけで
【マジコン続報】偽ポケモンパッチで、割れ厨のデスクトップ大公開感謝祭wwwwww : オレ的ゲーム速報@刃
29 名前:Opera最強伝説(dion軍) 投稿日:2010/09/21(火) 03:12:28.17 ID:xZUWSDC80
「Webアプリの脆弱性対策は簡単です」
「Webアプリケーションの脆弱性対策は簡単です」。 セキュリティ関連の取材をするようになって10年以上になるが、セキュリティ対策が「簡単」だと聞いたのは恐らく初めてである。取材の相手は、TISの早矢仕善弘氏(技術本部 セキュアワン室 室長)。ソースコードを対象にした脆弱性チェックツールとして広く利用されている米Fortify Softwareに、同社ソフトの検証を依頼されたこともあるというセキュリティの専門家である。 早矢仕氏によるとWebアプリケーションの脆弱性は、たった四つの原則を守れば防げるという。SQLインジェクションやクロスサイトスクリプティング(XSS)など著名なものはもちろん、最近になって発見されている数多くの脆弱性が、いずれかの原則の対象になる。四つの原則を紹介しよう。 (1)ユーザー入力を精査する Webページのフォームなどに入力された文字列は、きちんとチェックしなければ
実在証明つきSSL(企業認証SSL)は無意味じゃね? | beroの日記 | スラド
まとめ: 一般利用者が実在証明の見方を知らない現状では、実在証明つきSSLは無意味。 「VeriSignシール」という幻想(高木浩光@自宅の日記) VeriSignのセキュアシールを間違って使ってるサイトがある、という話なのだが、 開発会社ですらこうなのだから、まして一般利用者が理解してるかどうか。 あの「セキュアシール(サイトシールと呼ぶ業者も)」(VerisignとかGlobalSignのロゴ画像)がただの飾りではなく、クリックして確認するものである、ということを(自称詳しい人も含めて)自分の周りでは誰も知らなかったことに愕然とした。 webの安全啓蒙資料の類でも、「クレジットカードや個人情報を入力するときは鍵マークを確認しましょう」くらいは説明していても、セキュアシールに言及しているものは(SSL業者自身の広報資料を除くと)少ないと思う。 シールをクリックして実在証明を確認するという
高木浩光@自宅の日記 - クッキー食えないのはドコモだけ
■ クッキー食えないのはドコモだけ ろくに安全な作り方も確立していないくせになぜかやたら蔓延ってしまった「簡単ログイン」。そもそもUI設計からしておかしい。ボタンを押せば入れるなら、ボタンがある意味がない*1。ログアウト不可能な常時ログインサイトだ。(それなのに「ログアウト」ボタンがあったりする。) 「そんなこと言ったって便利だから必要なんだ」とか、「ケータイでパスワードなんか入れてられない」だとか、「お客さんが付けてくれって言ったら俺たちIT土方には何も助言なんてできないんだ」とか言う人が出てくるわけだが、そんなのは、一般のインターネットのサイトだって、昔から「□ 次回から自動的にログイン 」とか「□ 次回から入力を省略」といったチェックボックスが普通に用意されている。amazon.comなんか大昔からログインしっぱなしだ。 そしてそれはcookieによって実現されてきた。個人識別番号な
前職の会社から不正アクセス防止で訴えられました。…
前職の会社から不正アクセス防止で訴えられました。 先程、警察の方が来られて自宅PCを押収されたました。 警察からは事情を聞きたいので近々警察署に来てくださいと言われました。 ただ、玄関で内容を説明している時に写真を取られたり、PCの設置している場所の 写真を撮られたりしました。 前職の会社でIT責任者でした。アクセスしたのは私が作成したシステムですWEBから 利用できるシステムで主に顧客情報が載っております。退職後は管理者のIDでアクセス しましたが特に個人情報等を持ち出しはしておりません。ただ、ブラウザの機能で パスワードが残っていたので興味本位で中を閲覧しました。 ただ、押収されたPCの中には前職で利用したメールデータ、資料等が保存されています。 中には個人情報に関するものもあります。これらは自分を守るために保存しておりました。 それは退職前に経営陣に関して内部告発をして退職しました。
高木浩光@自宅の日記 - ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を
■ ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を 昨年示していた、 やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合, 2009年8月2日の日記 日本の携帯電話事業者の一部は、「フルブラウザ」にさえ契約者固有ID送信機能を持たせて、蛸壺の維持を謀ろうとしているが、iPhoneのような国際的デファクト標準には通用しないのであって、今後も、他のスマートフォンの普及とともに、蛸壺的手法は通用しなくなっていくであろう。 そのときに、蛸壺の中の開発者らが、このニコニコ動画の事例と同様のミスをする可能性が高い。「IPアドレス帯域」による制限が通用しない機器では、アプリケーションの内容によっては特に危険な脆弱性となるので、関係者はこのことに注意が必要である。 の懸念が、今や、さらに拡大し、ケータイ業者のみならず、一般のシステムインテグレータの思考
高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[スタパ齋藤の「スタパブログ」] 位置情報をネットで大公開しまくりの件
Twitter / 涼菜: 私のサイトをオンラインブクマしないでって言ってるのに ...
オノ サトシ on Twitter: "要は「ノウハウ=ばれたら破られるセキュリティ」じゃなくて「ノウハウ=会社の財産」でしょ?そんな事もわからないの?ばかなの? http://togetter.com/li/27829"
電波チェッカーに関してソフトバンクモバイル宮川CTOに「じゃあ説明するから来社して下さいよ」と誘われた件
日大が職員情報流出で緊急会見「業務情報は無断持ち出しだった」 
『高木浩光@自宅の日記 - ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を』へのコメント
