スマホや指輪でログイン、Googleが新たな認証技術を開発中---米メディアの報道
米Googleが新たなログイン技術の開発に取り組んでいると、米誌WIREDの電子版が現地時間2013年1月18日に報じた。Googleセキュリティ担当バイスプレジデントのEric Grosse氏とエンジニアのMayank Upadhyay氏がまとめた論文が、今月発行されるセキュリティ分野の米専門誌「IEEE Security & Privacy Magazine」に掲載される予定。 WIREDによると、Googleは「パスワードや単純な記号の組み合わせでは、ユーザーの安全性を確保するのにもはや十分とは言えない」とし、パスワードの代わりに小さいカードタイプの暗号生成デバイスをUSBリーダーに差し込んで、Googleサービスへのログイン認証を行う手法について実験している。 GoogleではワンタイムパスワードのUSBトークン「YubiKey」を手がけるスウェーデンYubicoと協力し、将来はス
「Java 7 Update 11でも脆弱性は残っているから引き続きJava無効化を」という話について
「Java SE 7 Update 11 でもバグが修正されていない」という専門家の意見が書いてあるロイター通信の記事(Oracle updates Java, security expert says it still has bugs)をTwitterで紹介しましたが、「やはり修正されていない」「修正されたのは2つの脆弱性の内の一つだけ」というニュース記事が複数出てきました。 これらのニュース記事には、「Java 7 Update 11でも脆弱性は残っているから、Java(Java appletを起動するためのブラウザ上のJavaプラグイン)をひきつづき無効化せよ」という内容のCERTの意見が掲載されています(無効化手順はこちら)。 しかし、日本語の記事が曖昧で、少し情報源のページを読んでみると、単に「片方が修正されていないから危険」というわけではない、ちょっとややこしい話のようだった
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
セッションアダプションに対する私の見解
先にエントリ「セッションアダプションがなくてもセッションフィクセイション攻撃は可能」に対して、大垣(@yohgaki)さんから、「セッションフィクセイションはアダプション脆弱性修正で防御可能」というブログエントリで反論をいただきました。 大垣さんのエントリは長いのですが、反論のポイントは、以下の2点だと思いました。 徳丸のPoC(概念実証コード)では、セッションDBが分かれていないが、現実のレンタルサーバー等はセッションDBが分かれているので、攻撃はできないセッションには有効期間があり、セッションアダプションがない場合は、有効期間の過ぎたセッションIDが送信されても、セッションIDは再生成される。だから攻撃はできない以下、上記に反論します。 セッションDBは元々関係ないセッションフィクセイション攻撃において、セッションを扱うのは、攻撃対象のサーバーだけです。大垣さんは、セッションフィクセイ
NICOSパスワード8文字切り詰め制限祭りまとめ
NICOSカードのパスワードがなぜか8桁に切り詰められた、元々9桁以上に設定していた人が知らずにログインしようとして失敗して大変な目に遭っているようです。
uu59のメモ | はるかぜちゃんエゴサーチシステムは任意のTwitterユーザーを脅迫犯に仕立て上げられるので即刻データを破棄して停止しろ
最初(2012-11-07)に見たときから現在(2012-11-14)までずっと、はるかぜちゃんエゴサーチシステム(以下HESS)において、投稿内容、ユーザー、ツイートIDなどを捏造して報告できる状態です。 画像について詳しくは説明しないけど、要するにHTMLに内容が埋め込まれているのでそれを改変してPOSTすれば任意の内容で投稿できます。 これが何を意味するかといえば、常識的に考えれば証拠能力が皆無であるということです。警察提出用ツールとのことなので、内容を捏造できるとあっては存在意義がまったくありません。 しかし自分が懸念しているのは、HESSで集めたデータを神奈川県警が「証拠能力あり」と認めた場合です。先に述べたとおり、HESSでは任意のユーザーの発言を好きに捏造して報告できるわけですから、まったく見に覚えのない脅迫容疑で神奈川県警に逮捕される可能性があるということです。Twitte
torによる匿名化について調べてみた - novtan別館
なんか例の犯人が一度だけ直接掲示板に書き込んだという話。2ちゃんはtorによる書込みを許可してないとその記事では言っているんで気になって調べて見たんだけど、torは経路の仕組みは面倒だから端折るとして、最終的には出口ノードとなったマシンが実際のアクセスを行うらしい。当然ながら、出口ノードは今回みたいな話になると当然一次捜査対象になるだろうし、そのときtorを使ってたから俺関係ないとか言ってもそもそもtorなんて使うのは犯罪幇助に近いと説教されるだろうし、嫌疑不十分で罪に問われることはないにせよ、捜査され、いろいろ見られたりすると不都合があるだろうし。つまり、誰も出口にはなりたくない。 すると、海外のこの手の法律がゆるい出口ノードに頼ることになる。で、そういう緩いのは頻繁に使われる結果として運営に捕捉され、「焼かれる」、すなわち制限をかけられて使えなくなる。だから新しい出口ノードはしばらくは
My docomoはパスワードのコピペを禁止するな - ただのにっき(2012-11-11)
■ My docomoはパスワードのコピペを禁止するな 今回SoftBankからdocomoにMNPしたので請求書の確認なんかをするのにWebサイトに登録しないといけないなと思って、My docomoにユーザ登録をした。携帯との紐付けにワンタイムパスワードをSMSで送ってきたりして、ほぼPCだけで完結する手順はまぁまぁわかりやすかったのだけど、パスワードを決めるところで途方に暮れてしまった。 8~20文字の英数記号と書いてあるので、いつものようにKeePass Password Safeで最大文字数・文字種のパスワードを生成し、さぁ入力、という段になってこれである: もうね、これでセキュリティが高まると思ってるんだとしたら大間違いだってことにそろそろ気づけよ。こんなこと言われたら、短くて入力しやすい文字種のパスワードしか作らないに決まってるだろ。この仕様を決めたのが発注者か開発者か知らんけ
スマートフォンアプリ「かんたん通話録音メモ」は”悪質なマルウェア”なのか否か 及び 通話録音の是非について
まとめました。 2012年11月7日、まとめに対する皆様の反応を追加しました! スマートフォン用アプリ「かんたん通話録音メモ」が”一部機種に存在する脆弱性をついた悪質なマルウェア”なのか否か 及び、スマートフォンアプリで通話を録音することの是非について ★ご注意★ 本まとめにて言及されております、スマートフォンアプリ「かんたん通話録音メモ」の安全性につきましては、まとめさせていただいた方々による個人の見解であり現時点および将来において、このアプリが「マルウェアではない安全なもの」であるということを保証するものではありません。 続きを読む
LINEやcommなどでやりとりした内容を運営会社が利用することは適法なのか | キャリア | マイナビニュース
主にスマートフォンにて、ユーザー同士が無料で通話できたり、多彩なイラストやメッセージを手軽にやり取りすることが可能な、メッセンジャーアプリと呼ばれるアプリケーションサービスの利用者数が急速に増加している。 NHNJapan株式会社が提供する「LINE」では、今年10月に全世界での登録ユーザー数が7000万人(うち国内ユーザー数は約3200万人)を突破し、株式会社カカオジャパンとヤフー株式会社が共同提供する「カカオトーク」も今年9月末時点の全世界での利用者数が約6500万人と、LINEに匹敵するユーザー数を抱えている。また、株式会社ディー・エヌ・エーも10月23日より「comm」の提供を開始し、配信開始初日に日本国内のAppStore無料総合ランキングで1位を獲得した。(※NHNJapanとカカオジャパンは韓国に本社を置く日本法人) このように高い人気を集めているメッセンジャーアプリだが、実
SymantecやSophosのウイルス対策ソフトに脆弱性、IPAらが注意喚起
IPAとJPCERT コーディネーションセンターは、SymantecとSophosの企業向けウイルス対策ソフトなどに脆弱性が見つかったと発表した。 情報処理推進機構とJPCERT コーディネーションセンターは11月6日、2件の脆弱性情報を「JVN」サイトで公開した。SymantecとSophosのウイルス対策ソフトに任意のコード実行などにつながる脆弱性が存在する。 まずSymantecのウイルス対策ソフトには、CABファイルを展開する際に使用するコンポーネントに脆弱性が存在し、任意のコードを実行されてしまう可能性がある。影響を受けるのは企業向けの「Symantec Endpoint Protection 11」と「Symantec Scan Engine 5.2」で、このほかの製品も影響を受ける可能性がある。最新版の「Endpoint Protection 12」と「Protection
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
武雄市市政アドバイザーのさすがの問題解決能力
Twitter / HiromitsuTakagi: こんにちわ〜o(^^)o LINE系アプリ続々すごいですね\(^o^)/ LINE POPが、READ_CONTACTS Permissionを要求しているのは、電話帳をアップロードしているのですか(・_・)?
Gmail乗っ取りが大流行中!被害報告まとめ
Engadget | Technology News & Reviews
遠隔操作事件「どんな些細なことでも」、CSRFのリンク踏んだ人は情報提供を 
【注意】LINEが勝手に電話帳を同期して友達を増やすバグアップデートで被害者多数の模様
「2ちゃんねる」管理会社捜索=PC遠隔操作で書き込み―威力業務妨害容疑・警視庁 (時事通信) - Yahoo!ニュース
NICOSパスワード8文字切り詰め制限祭りまとめ
高木浩光先生@HiromitsuTakagiの「スマホアプリでの情報流出、処分保留で5人釈放 東京地検」
