会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
2008年05月30日カテゴリの文書一覧PerlのTaintモードについて -- 壱 -- [PDF]ファイル名securecoding_azurestone_2008_05_30最終更新2008-06-09 01:06種類PDF作成者AzureStoneAzureStoneによる問題提起の発表資料です。詳細は、http://securecode.g.hatena.ne.jp/azurestone/20080603/1212156333 こちらをご覧下さい。 RealVNCから学ぶローカライズのセキュアコーディング [ PDF ]ファイル名securecoding_localize_2008_05_30最終更新2008-06-07 11:50種類PDF作成者AzureStone参加者(hashyさん)による問題提起の発表資料です。詳細は、http://securecode.g.hatena
Firefox 用の拡張機能を公開するサイト兼駄文(目指せ!! 打倒 真鍋かをり)norah'# - "You do your job. If you get results and people thank you for it, so much the better" norahmodel.exblog.jp トップ | ログイン US の Bugzilla で報告したところ(もじら組の Bugzilla に報告した所24時間経っても連絡が来なかった)、それは脆弱性ではなく仕様だと言われたので、これがいかに危険か開示します。 複数のバージョンのプラグインがインストールされている場合 Firefox はプラグインのバージョンでは無くプラグインのインストール先によって、どのプラグインを優先して使うのかを判断してしまう。 これはシステムの管理者が一括してプラグインの管理をする場合や、開発
宮田 健 @IT編集部 2008/5/16 古くからのMacユーザーであれば、新しく手に入れたMacへ真っ先にインストールしていたのは「Disinfectant」だろう。これはジョン・ノースタッド氏がフリーウェアとして作成していたウイルスチェックツールで、いたずら目的で作られた初期のウイルスはほぼこのアプリケーションで防ぐことができた。しかしこのツールは、マクロウイルスが流行した1998年ごろ、個人では対応し続けることが難しくなりメンテナンスが停止した。 いま、多くのエンジニアがMacへの“スイッチ”を行っている。かつてのグラフィックデザイナーによるマウスさばきとは異なり、BSDをベースとしたMacOS Xをまるで「ウィンドウマネージャのよくできたUnixワークステーション」のように利用するユーザーが増えている。多くのブログで「Macを買ったらインストールすべきN個のソフトウェア」というよ
(Last Updated On: 2015年9月10日)国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。 典型的な攻撃のシナリオは次の通りです。 追記:Tokenizerを使った例に修正しました。 アバダなどの画像ファイルをアップロードできるサイトを探す ローカルファイルインクルードバグを探す 画像ファイルにサイトが利用している言語のコードを埋め込む 攻撃コードを含んだファイルを画像ファイルとしてアップロードする ローカルファイルインクルードバグを利用して攻撃コードを実行する PHPの場合、リモートインクルードバグを攻撃するための攻撃
■ 単純所持刑罰化ならウイルス罪を同時施行しないとセキュリティバランスが悪化する 私は、著作権のあり方に関心がないのにWinnyの問題について意見を述べてきた。これは、著作権が情報セキュリティに影響を及ぼしていたからだった。著作権法による規制の強化が、制御不能な流通システムを誕生させ、人々に維持し続けさせ、その結果、漏洩情報の拡散も抑制不能になるという情報セキュリティ上の深刻な問題を引き起した。(関連記事1、関連記事2) このところ、児童ポルノの単純所持の刑罰化や、青少年に対するコンテンツ規制の法制化の機運が高まっているようだ。私は、それらの是非については専門外であり、とくに意見を持ち合わせていない。しかし、それらが情報セキュリティに及ぼす影響について関心を持っている。 児童ポルノ、所持だけで懲役1年以下・与党PT , 日本経済新聞, 2008年5月2日 児童ポルノ:所持は1年以下の懲役ま
米大統領選で民主党の指名を目指すバラク・オバマ上院議員のWebサイトがハッキングされ、ライバルのヒラリー・クリントン上院議員の公式サイトにリダイレクトされていた。英インターネットサービス企業Netcraftなどが伝えた。 Netcraftによると、ハッキングされたのはオバマ氏の支持者が開設する公式SNS「my.barackobama.com」。クロスサイトスクリプティング(XSS)の脆弱性を突いて、クリントン氏の公式サイト「hillaryclinton.com」へリダイレクトされる状態に改ざんされていた。 動画共有サイトのYouTubeにも、オバマ氏のこのサイトでリンクをクリックすると、クリントン氏の公式サイトにつながる様子を示したビデオが投稿されていた。リダイレクトは4月19日には発生していたという。 Netcraftによると、オバマ氏のブログには20日付で、Moxと名乗るユーザーが「オ
国内サイトでSQLインジェクション攻撃による被害が相次いでいるのを受け、独立行政法人・情報処理推進機構(IPA)は4月18日、WebサイトのSQLインジェクション脆弱性を検出する簡易ツール「iLogScanner」を公開した。 Webサーバのアクセスログの中から、サイト攻撃によく使われる文字列を検出し、サイトが日常的にどの程度の攻撃を受けているのか、脆弱性による攻撃が成功している可能性があるかを検出する。ラックが開発した。 ログ解析による簡易ツールのため、実際の攻撃による脆弱性検査は行えない。IPAは「攻撃が検出されない場合でも安心せず、脆弱性検査を行うことを推奨する」としている。攻撃の成功が検出された場合は、サイト開発者やセキュリティベンダーへの相談を推奨している。 関連記事 音響機器・楽器販売サイトからカード番号流出の可能性 SQLインジェクションで 音響機器や楽器などを販売するサウン
Agile Web Solutions のパスワード管理アプリ、1Password をようやく使いこなし始めました。予想外のエラーのせいで(後述)手間取りましたが、うまく動き始めるとこれほど便利なものもありません。$30 という値段は決して安くはありませんが、それだけの価値はあります。 1Password はスタンドアローンのパスワード管理ソフトであり、ブラウザの拡張機能を通じてフォームの自動入力を便利にしてくれるツールです。一つだけマスターパスワードを決めておけば、残りのパスワードは 1Password が一元管理して、ブラウザのフォームなどに自動入力してくれます。 Firefox のパスワードマネージャもよいのですが、いろいろな理由でブラウザとパスワード管理を分離したいという方もいると思いますし、1Password を使えば対応しているブラウザに横断してパスワードを利用することができる
CNET Japanより。CanSecWestセキュリティカンファレンスでMac OS X 10.5.2(Leopard)搭載のMacBook Air、Windows Vista SP1搭載の富士通製ノート(U810)、Ubuntu 7.10搭載のソニーVAIOノート(VGN-TZ37CN)の3台を対象に侵入を試みるコンテスト「PWN to OWN」が催されたそうです。初日は成功者なし、標準的なアプリケーションまで攻撃対象を広げた2日目にLeopardがSafariの脆弱性を突かれて侵入され、一般的なアプリケーションまで対象を広げた3日目(最終日)にVistaがFlashの脆弱性を介して侵入されたそうです。一方、Ubuntuは3日目終盤の時点で侵入を許していないとのこと。 記事に明確な言及はありませんが、「標準的なアプリケーション」はOS付属で標準でインストールされるもの、「一般的なアプリ
■ CSRF脆弱性を突く攻撃行為を現行法で処罰できるか CSRF脆弱性が攻撃されることは、それがもたらす被害の内容によっては、不正アクセス禁止法が守ろうとしているものと同等のものが侵害される場合もある。たとえば、本人でなければ見ることのできないはずの情報が、CSRF脆弱性を突く罠を仕掛けた者に送信されるといった攻撃は、不正アクセス行為の典型的な侵害事例と同様の被害をもたらす。また、同法の目的である「アクセス制御機能により実現される電気通信に関する秩序の維持」(第1条)が損なわれるという点も共通する。 しかしながら、CSRF脆弱性を突く攻撃行為は、結果が同じてあっても手段が異なるために、不正アクセス禁止法による処罰は難しいのではないかと以前から思っていた。これについては、2005年7月3日の日記「クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか」にも書いた。
図1 ウイルス対策サイトに投稿された、「ウイルスサイト」に誘導する画像例(米サンベルトソフトウエアの情報から引用) セキュリティ企業の米サンベルトソフトウエアは2008年3月10日、Macユーザー向けのウイルス対策サイトに、「Macウイルス(Mac OSで動作するウイルス)」が置かれたサイトに誘導するアダルト画像が大量に投稿されていることを報告した。誘導先のサイトでは、ウイルスをコーデック(動画の再生に必要なプログラム)に見せかけて、インストールさせようとする。 今回サンベルトソフトウエアが報告したのは、「MacVirus.org」というウイルス対策サイト。同サイトには、Macウイルスに関する情報やニュースが掲載されている。Macウイルスに関する情報を自由に投稿できる掲示板(フォーラム)も用意している。この掲示板に、Macウイルスが置かれたサイトに誘導するアダルト画像などが投稿されていた。
■ 国民生活センターの不適切なアドバイス事例 国民生活センターのサイトに「あわてないで!! クリックしただけで、いきなり料金請求する手口」という、いわゆるワンクリック不当請求に対する注意喚起が掲載されている。2004年12月に公表されたものであるが、現在もセンターのトップページから案内されており、消費者に知らせるだけでなく、消費生活専門相談員や消費生活アドバイザーらのバイブルとして活用されていると思われる。 しかしながら、この資料うち、携帯電話の場合について解説された以下のページには、不適切なアドバイスがあり、これは修正するべきである。 携帯電話を利用した クリックしただけで、いきなり料金請求する手口, 国民生活センター, 2004年12月13日 ※サイトアクセスしただけで契約者名等の情報が伝わることは絶対にありません。 3. アドバイス (2) 個体識別番号”から個人情報は伝わらないため
ついったー足あと帳 関連でこんなブログ記事を発見した。今回は twitterのprotectな発言とかsettingからメールアドレスの取得や変更なんかできちゃってたわけで…2008-03-09 - skubotaの日記変更??間違った情報が広がるとよくないので勝手に補足。この記事には誤解がある。確かに取得はできるけど、変更はできない。実際に試した私が言うんだから間違いない。(補足)ためしたのは、ついったー足あとちょうを作ったらへん。今は仕様変わってるかも(?)たぶん、サーバー側でリファラを見て弾いてるんだと思う。SWF からリクエストする場合は、SWF の URL がリファラとしてつくようになっている。リファラをなしにして送ったらうまく行くことも確認した。だから、swf からのクロスドメインアクセスに対しては通用しないであろう。よって、(1)メールアドレスの変更、(2)パスワードリセット
2月25日、「中国雅虎(Yahoo!)」が提供するメールサービスにおいて、個人情報の一部が不特定多数の人によりアクセスが可能な状態であったことが報じられています(参考情報1)。 今回の被害にて注目すべき点は、被害発覚に至った経緯です。 被害はインターネットのサービスとしてもはや欠かせないものと進化した「検索エンジン」により、発覚しています。 図1 中国市場の検索エンジン「搜狗(Sogou)」により 「中国雅虎(Yahoo!)」メールサービスの個人情報漏洩発覚(出典:TechWeb) ロボット型検索エンジンはロボットまたは、クローラーやスパイダーと呼ばれるプログラムがインターネット上のWEBページを巡回、データを収集し、データベースに蓄積していきます。 プログラムが人の手を介すことなく収集される情報には、ノイズとも言える雑多な情報が数多く含まれています。この雑多な情報の中には時にセンシティブ
日本ヒューレット・パッカード(日本HP)は2008年2月29日、同社のWebサイトで収集した、13万9583件の顧客情報が流出したことを明らかにした。顧客が登録したデータが08年2月の約1週間、インターネットからアクセスできる状態にあった。「顧客からの指摘で2月18日に判明した」(日本HP)。 発覚後に履歴を調べたところ、一部の情報がインターネットからアクセスされた形跡があったが、「現在のところ情報が不正に利用されたという報告はない」(日本HP)。日本HPは2月18日の直後に措置を講じたものの、インターネット上の検索エンジンに登録されていたキャッシュを消去できたのが同20日だった。 流出した顧客情報は、日本HPが07年1月31日から08年2月18日までWebサイトで集めた氏名、住所、電話番号、メールアドレスなどのデータである。キャンペーンやセミナー申し込み、アンケートなどの情報で、直販サイ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く