高木浩光@自宅の日記 - ダウンロード違法化反対家の知られるべき実像
■ ダウンロード違法化反対家の知られるべき実像 あるきっかけで、あるダウンロード違法化反対家の人の、自宅のものと思われるIPアドレスを知ってしまった。知ることができたのは、2007年と2008年のいくつかのある日におけるIPアドレスである。そのIPアドレスを手元のWinnyノード観測システムの接続ログと突き合わせてみたところ、5回の日時において、WinnyノードのIPアドレスとして観測されていたのを見つけた。 それらのIPアドレスがソースとなっていたキーを抽出し、16日の日記の方法で視覚化したところ、図1のとおりとなった。 他の区間でどうだったかを調べたいところだが、2007年の部分と2008年の部分では、ISPが異なっており、ポート番号も「4857」と「3857」という具合*1に違っていた。 一般的に個人宅に割り当てられるIPアドレスは時々変化しており、それを追跡することは通常、簡単でな
Trend Micro Incorporated
Trend Micro is temporarily unavailable. Please try back later. In the meanwhile, you might find useful information on our Support Center. We apologize for any inconvenience. Trend Micro カレンダーは一時的にご利用いただけません。 しばらくしてから、もう一度試してみてください。 また、ヘルプ センター (英語) でも、問題の解決に役立つ情報を提供しております。 ご不便をおかけしますが何卒ご了承ください。 Trend Micro est momentanément indisponible. Veuillez réessayer ultérieurement. En attendant, vous trouve
日本のWebサイトを狙う継続的な攻撃を確認--ラックが報告
ラックが日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、改ざんされたページへのアクセスによるマルウェア感染を引き起こす継続的な攻撃を確認したととして注意喚起を行っている。 これは、同社のリモートセキュリティ監視センターであるJSOC(Japan Security Operation Center)で検知されたもので、3月11日の夜から継続して観測されているという。特にASP(Active Server Pages)によるウェブアプリケーションの脆弱性を悪用するものが非常に多くみられ、それ以外の環境も攻撃対象になる可能性があるものの、現時点では確認されていない。 今回観測されている改ざん行為は、SQLインジェクションにより企業や組織等のサーバーのウェブページの一部に「www.2117966.net」へのリンクを埋め込むもの。このリンクは通常、ブラウザなどでは確認で
Amazonほしい物リストまとめ FrontPage - PukiWiki
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
Gmailバックアップソフトからアカウント情報が抜かれている | スラド セキュリティ
Google Maniacsの記事「【らめぇ】ログイン情報を盗む極悪Gmail用ツール(しかも有償)の存在が発覚」によると、Gmailバックアップ用シェアウェア($29.95)のG-Archiverというソフトにおいて、ユーザーのアカウントとパスワードをプログラム作成者に送信する機能が隠されていたそうだ。ソースはGuardianの記事「Coding Horror — G-Archiver gathers Gmail names and passwords」、また大元の情報はCoding Horrorのblog記事「A Question of Programming Ethics」。記事によると、G-Archiverを試してみたDustin Brooks氏がプログラム作者のGmailアカウントとパスワードがハードコーディングされているのに気づき、そのアカウントにログインしてみたところ、177
Amazonのすごいアクセス解析サービス - ぼくはまちちゃん!
こんにちは! Amazonほしい物リスト、すごい話題になってますね! なんでも、メールアドレスで検索すればAmazonに登録してある本名がでてくる (ケースもある) とか…。 で、さっそくぼくも試してみたよ! ほしい物リストサーチ! これって、いま話題になっているのは、誰かのメールアドレスを手がかりにして ウィッシュリストや本名、下手すると住所まで知られてしまうってところだよね。 それだけでも面白いんだけど、 あまり注目されていない機能として、こんなものがあったよ。 友だちにほしい物リストについて知らせる これ。 自分のほしい物リストを誰かにメール送信できちゃう機能らしいね! じゃあ試しにメール送信時のリクエストを確認してみると… http://www.amazon.co.jp/gp/registry/send-nudge.html?ie=UTF8&type=wishlist&__mk_j
クレジットカードも鍵も携帯も危険――ハッカーが実演 | WIRED VISION
クレジットカードも鍵も携帯も危険――ハッカーが実演 2008年3月12日 ハッキング コメント: トラックバック (0) Ryan Singel Photo:Quinn Norton カリフォルニア州サンディエゴ発――クレジット・カード、玄関の鍵、携帯電話のボイスメール、滞在するホテルのテレビ、ウェブ・ブラウザーなどはすべて、あなたが期待しているほど安全ではない。 そのことを、全身黒ずくめのハッカーPablos Holman氏が3月5日(米国時間)、『ETech』カンファレンスで、邪悪なマジシャンのごとく嬉々として実演して見せた。 ETechとは、3日から6日までサンディエゴで開催された、最新技術を紹介するカンファレンス『O'Reilly Emerging Technology』のことだ。 Holman氏は、電話の発信者番号のなりすましテクニックを利用し、カンファレンス主催者が使っていた米
Amazon「ほしい物リスト」に注意! - ネタフル
Amazonが開始したウィッシュリスト改め「ほしい物リスト」に、ちょっと注意が必要です。 「ほしい物リスト」は、自分が欲しいモノを登録し公開しておき、友だちや家族に知らせるというサービスなのですが‥‥。 名前やメールアドレスから検索できるようになったことで問題が発生しています。メールアドレスで検索した際に、その人の本名が分かってしまう場合があります。 ブログなどで公開しているメールアドレスと、Amazonに登録しているメールアドレスが同じ場合に、本名登録だと個人名が分かってしまいます。 「このリストの初期設定は公開になります」というのが曲者で、利用している人は設定を確認してみた方が良いかもしれません。 「ほしい物リスト」のページから「設定内容を変更する」をクリックします。 ここからリストの名前の他、公開設定、表示されるプロフィールなどを変更することが可能です。 公開する場合は本名ではなく、
WordPress で管理者パスワードが盗まれる恐れ | Standing Tall
WordPress 本家サイトではまだアナウンスが無いんだけど、 Upgrade to WordPress 2.2 or have your Admin PW stolen(WordPress 2.2 にアップグレードしないと管理者パスワードが盗まれる恐れ)という投稿があったので要点だけ書いとく。 WordPress 2.0 と 2.1 で管理者パスワードが盗まれる危険がある 2.1で安全にできるかも(may)しれない2つの方法 ユーザ名「admin」のユーザーIDを「1」以外にする データベースのプリフィックスを「 wp_ 」以外にする WordPress 2.2 とまもなくリリースされる 2.0.11 はこの危険は無い 2.1.xはメンテナンスされないので 2.2 にアップグレードするしかない 参考: Guide to Disaster: How The Tech Team Handl
パスワードを平文で管理するのはダメだ | ブログが続かないわけ
最近の入門書はとにかくセキュリティ面がおろそか 今日の話は既知の人に取っては当たり前のことばかりなんだけど、こういうことって最近の入門書には書かれていないし、受託案件でクライアントから出てくる要件に含まれていることがほとんどないから、もしかしたら普通にプログラミングの勉強をしているだけでは知らないままになってしまうかもしれないと思って書いてみた。 大手プロバイダで学んだセキュリティの意識 社会人1年目は大手プロバイダで働くことになった。まだ、僕がプログラミングの世界に入る前のことだ。そこでは、お客様からのお問い合わせに対応するというのが僕の仕事だった。当時、お客様を納得させるのがとても大変だった問い合わせが、パスワード忘れに関するものだ。 お客様は、問い合わせさえすればすぐにでもパスワードを教えて頂けるものと思っているのだが、ことはそう簡単には運ばない。 パスワードの伝達手段や、問い合わせ
MD5は復号できる!? | ブログが続かないわけ
前回のエントリ(パスワードを平文で管理するのはダメだ)のブクマコメントでYappoさんから貴重な情報を頂いた。 MD5が復号できるというのだ。 しかも、それができるDigest::MD5::ReverseというCPANモジュールがあるという。 これには驚いた。いろいろな情報を当たったところ、やはりMD5などのハッシュは復号できないと書いてあるからだ。 http://www5f.biglobe.ne.jp/~h-it/mlcont/mc0200.htm http://gimite.net/bcbqtree/qtreemain.cgi?mode=thread&thread=376 http://www.postgresql.jp/document/pg803doc/html/encryption-options.html しかし、こういうところでいう「復号できない」というのは「復号するアルゴリ
ブログが続かないわけ | 初心者プログラマーが簡単なフォームを作るときにやりがちな6つのミス
お問い合わせフォーム、登録フォーム、キャンペーンの申込フォーム。 Webにはいろいろなフォームがある。 Webプログラマーであれば誰もが一度は作ったことがあると思う。 新人プログラマーの初めての実務がフォームであることも多いだろう。 新人が作っているというのにもかかわらず、技術的にも面白い部分がないせいか、正しい知識のある人がレビューすることが少ないと思われる。 単純さゆえにテストが不足しているということもあるかもしれない。 上記の理由は憶測にすぎないが、杜撰なフォームがたくさん出回っているのは事実だ。 もう、CAPTCHAの話とか以前の問題だ。 よく見かける悪い例を簡単にあげておく。新人が初めての実務に当たるときにこれを気にしてくれれば、世の中のフォームがだいぶ良くなると思う。 1. クライアントサイド(JavaScript)でのチェックのみ。 2. 選択肢式の入力欄に対するチェックの漏
IEとFirefoxをインストールしている人は要注意--「非常に重大」なセキュリティリスク:ニュース - CNET Japan
「(Internet ExplorerとFirefoxの)どちらにも非がある」 「Internet Explorer」のゼロデイエクスプロイトについて当初はMicrosoftを非難していたセキュリティ研究者たちが今、このように述べている。この問題はウェブブラウザ「Firefox」のユーザーにも影響するからである。 IEと、Firefoxのバージョン2.0以降をインストールしているユーザーは、「非常に重大」なリスクにさらされている。攻撃者は、悪質なサイトをユーザーにIEで閲覧させることで、「firefoxurl://」というURLハンドラを利用しながら、ブラウザとウェブ上の特定のリソースとの間でやりとりをさせることが可能になる。この結果、ユーザーのシステムが遠隔地から悪用される可能性がある。 IEの問題を発見したセキュリティ研究者のThor Larholm氏とセキュリティ企業大手のSyman
PHPによる攻撃コードが出現--GIFファイルに隠される
セキュリティ研究者らは米国時間6月19日、PHPによって記述され、GIFファイルに埋め込まれた攻撃コードを大手の画像ホスティングサイトで発見した。SANS Internet Storm Centerへの投稿によると、この攻撃コードはファイルの先頭に正規の画像を配置することで監視の目をすり抜けたという。 同社のセキュリティブログでは「これは、ネットワークセキュリティツールを迂回し、警報を鳴らしたり注意を引いたりすることなく攻撃コードを他者に引き渡す狡猾な方法だ」と説明されている。 悪意のある攻撃者によってPHPで記述された攻撃スクリプトは画像ファイルに埋め込まれる。PHPは動的なウェブサイトを作成するプログラミング言語としてよく用いられている。 SANS Instituteの最高調査責任者(Chief Research Officer)であるJohannes Ullrich氏は、この手の悪質
同じIPを使っている他のサイトの一覧を出してくれる『myIPneighbors』 - 100SHIKI ~ 世界のアイデアを日替わりで ~
同じIPを使っている他のサイトの一覧を出してくれる『myIPneighbors』 June 6th, 2007 Posted in その他 Write comment ちょっと迷ったけどやっぱりご紹介。 共有サーバーを使ってホームページを立ち上げている人も多いだろう。その場合、一台のサーバーのリソースをほかの人と共有していることになる。 そうなると気になるのが「同じサーバーを共有している他の人は誰だろう?」ということだ。 それがまるわかりになってしまうのが「myIPneighbors」である。 このサイトではIPやドメイン名を入れると同じサーバーを共有しているサイトの一覧をずらずらと出してくれる。 これを見ながら奇妙な縁を感じてみたり、「最近遅いと思ったら人気サイトがあるじゃないか!」などといろいろ考えることができるのだ。 なんだかマンションの隣人を知るようでちょっと微妙だが、ツールとして
高木浩光@自宅の日記 - 住民票コードを市町村が流出させても全取替えしない先例が誕生する?, 追記
■ 住民票コードを市町村が流出させても全取替えしない先例が誕生する? 愛媛県愛南町の住基情報がWinnyネットワークに流出させられた事故では、住所、氏名、生年月日、性別と共に住民票コードも流出しているとのことだが、報道によると、愛南町は、「住民票コードの変更を求める住民については変更に応じる」とされていた。愛南町の発表文を確認してみると次のように書かれている。 愛南町では今後、5月21日(予定)から職員全員で関係する全世帯を訪問し、情報が流出したことについての説明とお詫びに伺う所存でございます。また、住民票コードの変更を希望される方には、変更申請を行っていただくようお願いいたします。 愛南町の住民の個人情報の流出に関するお詫びとお知らせ, 愛媛県愛南町, 2007年5月18日 「変更に応じる」と言っても、今回の事故の対応措置というわけではなく、元々、住民票コードの変更は平常時から用意されて
フィッシング(?)にご注意 - 池田信夫 blog
当ブログを丸ごとキャッシュしたサイトがあらわれた(アクセスすることはおすすめできない): http://blog.goo.ne.jp.tz.mine.nu/ikedanobuo ヤフーのブログ検索で当ブログを検索すると、トップにこのキャッシュサイトが本物と並んで出てくる(14:20現在)。この偽サイトからリンクをたどると、驚いたことに外務省からヤフーやウィキペディアに至るまで、あらゆるサイトが、このZettAgentなるサイトにキャッシュされている。ところが、このサイトにトップページはなく、グーグルでもヤフーでも、ZettAgentはまったく引っかからない。非常に新しいのかもしれない。 大規模なフィッシングの疑いがあるが、IE7のフィッシング検出機能では(かなり考えている様子があるが)引っかからない。この.nuというドメインは、怪しげなサイトに使われているようだ。グーグルの検索広告が
事実上名指し | 水無月ばけらのえび日記
乗口氏がセキュアスカイ・テクノロジーを設立した2006年3月以降,ユーザー企業のWebアプリケーションを検査してきたが,実際に顧客のシステムを検査してみると,必ず脆弱性が見つかるという。「多くの企業にとっては脆弱性があるのか無いのかということが問題なのではなく,脆弱性が発覚しないことが目的になっている」 余計なお世話かもしれませんが、この発言、大丈夫なのでしょうか。 セキュアスカイ・テクノロジーの主要取引先 (www.securesky-tech.com)のページを見ると、そこに掲載されている社名は 3つだけしかありません。この状態で、「100%」という数字を出しつつ先に引用したような発言がなされると、それは 3社を名指しして言っているも同然になってしまいます。 そして私はポケモン (www.amazon.co.jp)を好んでプレイしており、ポケモンだいすきクラブ (www.pokemon
スラッシュドット ジャパン | ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解
jbeef曰く、"セキュリティホールmemo経由、葉っぱ日記10月17日のエントリによると、2005年5月にIPAの脆弱性情報届出窓口に届け出られたmixiの欠陥の件が、1年半たってようやく決着したという。この欠陥は、mixi内でアップロードされた画像が、mixiにログインしていなくても画像のURLを指定すれば誰にでも閲覧できてしまうというもの。もっとも、数百万人の会員がいるとされるmixiでは、いずれにせよ誰にでも見られるのに等しいのだから問題じゃないという考え方もあろう。しかし、「友人まで公開」に設定している日記の画像はどうだろうか。普通のユーザなら、写真画像も「友人まで公開」だと信じて貼り付けるのではなかろうか。 葉っぱ日記によると、IPAはこれを脆弱性として受け付け、取り扱いを開始したものの、11か月後の2006年4月になって、ミクシィ側からギブアップの連絡があったという。その内容
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
新生活を迎えるにあたって役立つサイトまとめ :VIPPERな俺