USB memory を使うなと言うが… | okkyの日記 | スラド
どうやら、どこかの馬鹿たれがお客様の所で USBメモリを落としたらしい。幸いお客様が拾ってくれたので、最悪の事態は免れているようだが…。 よく、こういう状態になると、 ・USBメモリ、利用禁止 という話になる。現にうちでもそうなっている。その気持ちは判らなくもないが…この指示には2つ問題がある。 1) そもそも現在の世の中、輸送しなくてはいけないデータ量が莫大である そんな中で、あれもだめ、これも駄目、と駄目駄目尽くしをすればセキュリティが守られる、と考えているようだが、その発想こそが守ることは可能だが、仕事はできなくなるような状態を作り、結果としてルールはルール・実態は実態などという腐った状態を作り上げるのだ。 駄目駄目ルールを作る前に、一体どれぐらいの情報を持ち歩く必要があるのか、なぜ持ち歩く必要があるのか(大抵の場合、自宅に仕事を持ち帰らないと終わらないぐらい、一人ひとりに仕事を割り
Winny、二次放流者も著作権法違反容疑に問われる模様 - P2Pとかその辺のお話@はてな
兵庫県警の現役警察官が、ゼンリンの地図ソフトをWinnyからダウンロードし、その後もキャッシュを保持したままWinnyを利用し続けたことで、 誰もが自由にダウンロードできる状態にした 中日新聞:地図ソフトを勝手にネット公開 兵庫の警官書類送検へ:社会(CHUNICHI Web) として、本日中に書類送検される模様。また、詳細はわからないものの、この警官とは別の男も同容疑で書類送検されるとのこと。 中日新聞では、 警官らは、ファイル交換ソフト「ウィニー」を使えば不特定多数がソフトを閲覧したりダウンロードしたりできる状態にしていた。福岡県警は「悪質な著作権侵害行為」とみている。 中日新聞:地図ソフトを勝手にネット公開 兵庫の警官書類送検へ:社会(CHUNICHI Web) と、ちょっと良くわからない日本語で報じている*1。「警官らは、ファイル交換ソフト「ウィニー」を使えば不特定多数がソフトを閲
LAMPのPをPHPからPerl/Python/Rubyに替えるだけではセキュリティは向上しない証拠
(Last Updated On: 2008年4月3日)誤解を招く記事 – LAMPセキュリティを強化する4つの方法で紹介した記事ように、最近「言語を替えるとセキュリティが向上する」といった間違った認識が広まりつつあるように思えます。 結論からいうと、セキュリティに関連する機能が同等な言語であれば「言語を替えるとセキュリティが向上するいう考え」は妄想です。言語を替えても、正しいセキュリティ知識を持ち合わせた開発者が開発しないと、危ないアプリケーションが簡単に作れます。 ちょうど良い証拠となるPloneのCVEエントリが公開されています。PloneはPythonで記述されたCMSです。私も利用したことがありますが、なかなかよくできているCMSです。出来立てのCMSではなく何年も前から実用されています。フレームワークとしてPythonのWebシステムよく利用されているZopeを利用しています。
Webプロキシを利用したフィルタリングの回避は安全か
インターネットの利用を制限する企業,学校,政府機関が増えている。たいていの場合,ソーシャル・ネットワーキング・サービス(SNS)の「MySpace」「FaceBook」や,ギャンブル,ショッピングなどのWebサイトに対するアクセス禁止を定めたルールを設けている。 ただし,このようなインターネットのアクセス・フィルタリングを回避できる技術的手法がかなりの勢いで増えている。匿名プロキシ(別名:Webプロキシ)などのサービスは,インターネットのアクセス阻止システムを避ける手段として非常にポピュラーになってきた。 だが,これらのサービスそのものは安全なのだろうか。答えは「No」だ。 誰もが匿名プロキシを立ち上げ,第三者に公開して使用してもらえる。Webプロキシのリストは,どの検索エンジンでも簡単に見つかる。これらのプロキシ・サービスは悪用の危険性があり,故意にプロキシ上でデータが傍受され,オンライ
「例えば、PHPを避ける」ってなぁにその曖昧な書き方?:Web屋のネタ帳
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: music videos 10 Best Mutual Funds Free Credit Report Contact Lens Cheap Air Tickets Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy|Do Not Sell or Share My Personal Information
はてなブログ | 無料ブログを作成しよう
新米と秋刀魚のわた焼き お刺身用の秋刀魚を買いました。1尾250円です 3枚におろして、秋刀魚のわたに酒、味醂、醤油で調味して1時間ほど漬け込み、グリルで焼きました 秋刀魚のわた焼き わたの、苦味が程よくマイルドに調味され、クセになる味わいです 艶やかな新米と一緒に 自家製お漬物 土…
改ざんWebサイト対抗にHTTPプロキシ/認証プロキシの導入を――専門家が提言
2008年3月11日に発生したトレンドマイクロのWebサイト改ざん事件など,Webサイトにウイルスが埋め込まれる事件が多発している。こうしたWebサイトを閲覧して,社員のパソコンがウイルスに感染する可能性は高まっている。そこで,その対策としてフォティーンフォティ技術研究所の鵜飼裕司副社長は,「HTTPプロキシ・サーバーの導入」を勧める。 鵜飼副社長がこの対策を勧めるのは,「Webサイトの閲覧によって感染するウイルスがHTTPプロキシを経由して通信する機能を持たないことが多い」からだ。多くの場合,最初に侵入するウイルスはダウンロードを専門とするもので,感染するとインターネット上から情報漏えいや感染拡大などを実行するウイルスをダウンロードして実行する。つまり,HTTPプロキシを入れておけば,このダウンロード専門のプログラムが感染しても外部との通信ができず,実質的な被害が出ない。 ただしHTTP
高木浩光@自宅の日記 - Amazonは注文履歴の消去を拒否、アカウント閉鎖後もデータは残る
■ Amazonはやっぱり怖い そろそろ使うのをやめようと思う 今は朝6時。数時間前、寝ようとしたころに大騒ぎになっていた。 密かな趣味が全公開--Amazonのウィッシュリスト、改め「ほしい物リスト」に注意?, CNET Japan Staff BLOG, 2008年3月12日 これはひどいことになった。HATENA Co., LTD. では暗号解読の本をお求めのようだった。 幸い私は、ウィッシュリストを空にしていたので、何も見られることはなかったが、自分のAmazon登録メールアドレスを入れると、氏名と「茨城県」などの情報が表示された。(メールアドレスも非公開のものを使っているが、ワイルドカード指定もできたようなので、どうなっていたかわからない。もっとも、私は実名を隠していないが。) そもそも何年か前、この「ウィッシュリスト」なるサービスが始まったとき、やたらウイッシュリストへの登録が
トレンドマイクロのウイルス情報ページが改ざん 閲覧者にウイルス感染のおそれ
トレンドマイクロは3月12日、同社のウイルス情報ページが11日午後7時ごろから改ざんされ、アクセスしたユーザーに、ウイルスをダウンロードさせる状態になっていたと発表した。同社は、12日午前11時30分にウイルス情報ページを閉鎖した。 改ざんされたのは、日本語・英語のウイルス情報ページ。日本語ページは「ADW_BRUNME.A」「TSPY_AGENT.HS」など11のウイルス情報ページで、英語は「ADWARE_BHO_WEBDIR」「TROJ_CLAGGER.D」など21のページで改ざんを確認した。 該当ページにアクセスしてきたユーザーや、該当ページ内に挿入されたURLにアクセスしたユーザーに、ウイルス「JS_DLOADER.TZE」をダウンロードさせる状態になっていた。JS_DLOADER.TZEはJavaScriptを利用したウイルスで、ユーザーを特定のWebページにアクセスさせる仕組み
確認画面でhiddenに入力値を埋め込むのはセキュリティ的にダメか? | ブログが続かないわけ
お礼 先のエントリー(初心者プログラマーが簡単なフォームを作るときにやりがちな6つのミス)で、自分でもびっくりするくらいのブックマークを頂いた。この内容が参考になると思ってブックマークしてくれた人より、他の人にも紹介したいとか、よくあるよねといった共感に近い気持ちでブックマークしてくれた方が多かったのは、素直にうれしいしと思ったし、安心もした。 本題 ただ、何人の方から「確認画面でhiddenに入力値を埋め込むこと」に対して疑問を抱かれた。これに対して僕なりの解釈を付け加えておきたいと思う。 以下は、あくまでもフォームの話。 セッション管理されたシステム内におけるなんらかの書き込みシステムでは、話が全く変わってくることにご注意を。 結論から言うと「確認画面でhiddenに入力値を埋め込むこと」はセキュリティ的には問題ない。 (以下、この方法をhidden方式と呼ぶ) そもそも、セキュリティ
ブログが続かないわけ | 初心者プログラマーが簡単なフォームを作るときにやりがちな6つのミス
お問い合わせフォーム、登録フォーム、キャンペーンの申込フォーム。 Webにはいろいろなフォームがある。 Webプログラマーであれば誰もが一度は作ったことがあると思う。 新人プログラマーの初めての実務がフォームであることも多いだろう。 新人が作っているというのにもかかわらず、技術的にも面白い部分がないせいか、正しい知識のある人がレビューすることが少ないと思われる。 単純さゆえにテストが不足しているということもあるかもしれない。 上記の理由は憶測にすぎないが、杜撰なフォームがたくさん出回っているのは事実だ。 もう、CAPTCHAの話とか以前の問題だ。 よく見かける悪い例を簡単にあげておく。新人が初めての実務に当たるときにこれを気にしてくれれば、世の中のフォームがだいぶ良くなると思う。 1. クライアントサイド(JavaScript)でのチェックのみ。 2. 選択肢式の入力欄に対するチェックの漏
非接触カードは複数枚重ねて持つべきである、という話 - H-Yamaguchi.net
スイカなどの非接触型ICカードがどんどん普及しているが、これに伴ってスキミングのおそれも増大する、という話がけっこうある。特に、最近Safety Japanに出ていた話だと、海外の犯罪グループはかなり高性能の機械を使っていて、数m離れていてもスキミングできるらしい。これはこわいですね、とある場で話していたら、その場にいた某社の方が、「だったら複数枚重ねて持てばいいのではないか」と教えてくれた。 Safety Japanの記事にはこうある。 今、日本の犯罪グループが使っているスキマーは性能が低く、カードに約4センチまで近づかないとデータを抜き取れない。そもそも、正規に使われている無線データ送信機もその程度の出力レベルである。 しかし、韓国や香港ではもっと高性能の無線データ送信機が使われている。半径2〜3メートルの範囲まで読みとれる(理論上は10メートル近くまで可能だといわれている)ので、財布
高木浩光@自宅の日記 - 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと
■ 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと 「コンピュータセキュリティを基礎から」というと、暗号の解説、特に共通鍵暗号と公開鍵暗号の違いからなどといった解説をよく目にする。昔は専門の方によって注意深く書かれていたのに対し、ここ何年かはひどい状況になっている。先月、宮崎で開かれたSCIS 2008の席でも暗号研究者の方々との雑談でそういう話になった。私は暗号は専門でないのでその話題は迂闊に書けないできたが、このところの巷の誤り解説の氾濫ぶりは目に余るものがある。 最もひどく蔓延っていてしばらく消えそうにない間違い解説の典型例は次だ。 「公開鍵で暗号化したものを秘密鍵で復号するのと同様に、秘密鍵で暗号化したものを公開鍵で復号できるようになっている。」 事例1: 日本ベリサイン株式会社による公開鍵暗号方式の解説 このような共通鍵暗号方式の問題点を解決する暗号方式が、公開鍵暗号方式
a threadless kite - 糸の切れた凧
ここは、管理人yamagataが方針未定のまま、何となーく思いついたことを思いついたままにだらだらと書き付ける日記帳です。ふんわりほんわかな感じでお願いします。
8700件のFTPアカウントが盗難、専用ツールで転売も
世界大手企業や政府機関のFTPアカウント情報8700件が盗まれ、専用ツールで悪用・売買されているという。 セキュリティ企業の米Finjanは2月27日、企業などから盗まれたFTPアカウント情報8700件以上を記録したデータベースが見つかったと発表した。 このデータベースには、盗まれたFTPアカウントのユーザーネーム、パスワード、サーバアドレスが記録されていた。中には世界大手企業や政府機関の情報も含まれ、業界は製造、通信、メディア、小売、ITなど多岐にわたるという。 FTP情報を利用すれば、企業のサーバに侵入して悪質コードを挿入し、サイトを訪れたユーザーをマルウェアに感染させることが可能になる。 盗んだ情報を悪用・売買するための専用ツールも開発されているという。このツールは「サービスとしてのソフトウェア」(SaaS)のビジネスモデルを採用。盗んだFTP情報を値踏みしたり、ボタン1つで企業など
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IT news, careers, business technology, reviews
Rauru Blog » Blog Archive » SNMP で XSS
PC
http://www.asahi.com/national/update/0303/TKY200803020169.html
http://e0166nt.com/blog-entry-417.html
