デフォルトのままは危険? 「Windows 10」のプライバシー設定はこう変えよう | ライフハッカー[日本版]
便利な新機能が数多く搭載された「Windows 10」ですが、インターネットに出回っている情報を信じるなら、プライバシーと名のつくものすべてを骨抜きにしてしまう機能も盛り込まれているようです。けれど、そうした見方はちょっと大げさすぎます。ここでは、問題とされているWindows 10の設定が実際にはどんなものなのか、1つずつ検証するとともに、本当にプライバシーの侵害につながるものを洗い出していきましょう。 Windows 10は、これまでのバージョンと比べて「おうちに電話する」(Phoning Home:ユーザーが望まないのに、端末からサーバーに各種データが送信されること)頻度が高いと言われています。こうした評判はおおむね事実ですが、これらの機能の多くは「Windows 8」の時代からすでに存在していましたし、「Android」や「iOS」、あるいは「Chrome」などの他社製品にも搭載さ
![デフォルトのままは危険? 「Windows 10」のプライバシー設定はこう変えよう | ライフハッカー[日本版]](https://cdn-ak-scissors.b.st-hatena.com/image/square/6641d222bb1c6a51003a08769bfbfa7f4cfe28eb/height=288;version=1;width=512/https%3A%2F%2Fmedia.loom-app.com%2Flifehacker%2Fdist%2Fimages%2F2015%2F08%2F150814win10_privacy.jpg%3Fw%3D1280%26h%3D630%26f%3Djpg)
パスワードリマインダが駄目な理由
昨日、某著名サイトのパスワードリマインダの方式が変更になっていることに気がつきました。 旧: 現在のパスワードをメールで送信する(パスワードリマインダ) 新: パスワード再設定の画面のURLをメールで送信する(パスワードリセット) 新しい方式(パスワードリセット)の方が優れていますが、それでは何故パスワードリマインダは駄目で、パスワードリセットの方がよいのでしょうか。このエントリではその理由について説明します。 パスワードリマインダのリスク 良く指摘されるように、パスワードリマインダの場合、2つの問題があります。 現在のパスワードをメール送信できるということは、パスワードをハッシュ値で保存していない証拠である メールは平文通信なので、パスワードを書いたメールが盗聴されると被害が甚大になる これらのうち、パスワードの保存方法については別稿にゆずるとして、このエントリでは盗聴のリスクについて検
パスワード攻撃に対抗するWebサイト側セキュリティ強化策
Webサイトのパスワード認証を狙った攻撃が大きな脅威になっています。 Tサイト(プレスリリース) goo(プレスリリース) フレッツ光メンバーズクラブ(プレスリリース) eBook Japan(プレスリリース) My JR-EAST(プレスリリース) これらの事例のうちいくつか(あるいは全て)は、別のサイトで漏洩したIDとパスワードの一覧表を用いた「パスワードリスト攻撃(後述)」であると考えられています。パスワードリスト攻撃を含めて、パスワードを狙った攻撃が成立してしまう原因は、利用者のパスワード管理に問題がある場合が多く、攻撃を受けたWebサイト側には、直接の責任はないケースが多いと考えられます。 しかしながら、 大半の利用者はパスワード管理に興味がない パスワード認証を採用している理由は、コスト上の理由、すなわちサイト側の経済的な事情 インターネットが「とても危険なもの」となるとネット
【commと個人情報】電話番号から本名を特定される危険性について
「commを使っていると電話番号から本名がバレる可能性がある」ことがわかったので、その検証方法や、この件から考えられる危険性や注意点など、commを利用するかどうかを判断する参考になる項目について解説します。 ※【重要】2012年12月12日:バージョン1.2.6にて、本名が表示される部分が修正されました→詳しくはこの記事の末尾にある追記参照 目次 1. きっかけ2. 検証手順(電話番号から本名が割り出されるまで)2.1. 1.電話帳に「電話番号」を登録2.2. 2.commで「電話帳アップロード」をONにする2.3. 3.commの友だちリストを確認する2.4. 4.友だちの名前をタップする2.5. 5.プロフィールを表示する3. 実験結果4. ポイント4.1. 1.「本名がばれる」のが問題なのではない4.2. 2.電話帳のアップロードを拒否しても防げない4.3. 3.本名登録が推奨され
高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに
「高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」」というエントリーによってTポイントツールバーは「騙す気満々の誘導」であると指摘、その2日後にTポイントツールバーのダウンロードが一旦停止されたり、ほかにも「ダウンロード刑罰化で夢の選り取り見取り検挙が可能に」「ローソンと付き合うには友達を捨てる覚悟が必要」「武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て」「やはり欠陥だった武雄市の個人情報保護条例」というように、次々とセキュリティに関して絶大な影響を与え続けてきた独立行政法人産業技術総合研究所の高木浩光(通称:ひろみちゅ)氏によるCEDEC2012の講演が、非常に秀逸な内容となっており、ゲームに限らず、スマートフォンまでも含めてそもそも「個人情報」とは一体何か?ということから、個人情報の現在の扱い、プライバシーに関して今後あるべき方向に至るまで、縦横
ネットのプライバシーなんて本当に守れるのだろうか? - 続・はてなポイント3万を使い切るまで死なない日記
ネットでプライバシー侵害とセキュリティについての議論であれば、高木浩光氏のブログが素晴らしい。氏の議論は技術的な解説だけでなく法律的な側面からもいろいろな実例を紹介しており、まあ、総論としては、とても素晴らしいとしかいいようがない。氏の指摘により、ネットサービス側も、先日のはてなブックマークのように仕様変更をせざるを得なくなったケースも多くみられてネット社会に貢献しているサイトである。 少なくとも国内のネットサービス事業者においては氏の活躍により、プライバシー侵害についての意識が高まったことは間違いなく、今後も大いに活躍してもらいたいと思うのだが、やはり世の中の流れの全体としては、ネットのプライバシーなんて事実上なくなっていく可能性が高いなと、この前、Facebookを触っていて思った。 一昨年になるか、ぼくがFacebookのアカウントを取り直したときに気づいたことがある。自分の本名を入
ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech Blog)
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリストの戸田 薫です。 今回は、私たちが普段からヤフーのシステムに対する入力にどのような注意を払っているのか、そのいくつかをご紹介致します。 入力とは? Webサイトを運営している場合、どのような入力があるでしょうか? たとえば、Webサービスには、以下の入力があります。 Cookie URL GET/POSTのデータ ファイルのアップロード その他リクエストヘッダ そのほかにもいくつもあります。 環境変数 設定ファイル クローラが取得したデータ パートナー企業のAPIから取得したデータ(XMLやJSONなど) パートナー企業の入稿用 F
間違いだらけの「かんたんログイン」実装法
今回は、そのかんたんログインの問題点について説明します。 「契約者固有ID」を用いるかんたんログイン かんたんログインとは、携帯電話の「契約者固有ID」を用いたログイン手法です。 第1回で説明したように、携帯電話のブラウザのリクエストヘッダには契約者固有IDと呼ばれるIDを付けることができます。契約者固有IDは、携帯電話事業者によって詳細は異なりますが、すべての携帯電話事業者が対応しています。 図1は、NTTドコモの携帯電話がサポートしている契約者固有IDである「iモードID」がサーバに送信される様子です。この情報は、ユーザーがそれと意識することなく送信されます。携帯電話のかんたんログインとは、契約者固有IDのみを用いて認証を行い、ログイン機能を実現することです。 かんたんログインは、ベーシック認証のようにIDとパスワードを管理する必要もなく、Cookieのように対応する端末を考慮する手間
Gmailが不正アクセスされたときに自分以外のアクセスを一斉に遮断する方法 | ライフハッカー・ジャパン
自分のGmailが万が一、他の誰かからアクセスされてしまったときの対処法です。 Gmailは、IPアドレスごとに誰がログインしたかを記録していて、それを参照できます。さらに、自分以外のセッションをすべてログアウトさせる機能も備わっています。 詳細は以下より。 まず「Gmail」にアクセスしましょう。 Gmailのページを最下部までスクロールさせます。すると、自分以外にGmailにログインしている人がいると「現在もう○○カ所でこのアカウントが使用されています」というメッセージと共に、そのIPアドレスが表示されます。 すぐ横にある「アカウント アクティビティの詳細」にアクセスします。すると、直近のアクセス状況が事細かに参照可能です。 これで、アクセスタイプやログインの時間が分かります。 「同時セッションに関する情報」に「他のセッションをすべてログアウト」というボタンがあります。これをクリックす
ユーザ登録時にパスワード強度表示を入れてと言われた場合にサクッと実装できるjQueryプラグイン:phpspot開発日誌
ユーザ登録時にパスワード強度表示を入れてと言われた場合にサクッと実装できるjQueryプラグイン 2010年11月15日- SelectBox Plug-in ユーザ登録時にパスワード強度表示を入れてと言われた場合にサクッと実装できるjQueryプラグインのご紹介。 ユーザ登録の際に、パスワード強度を表示するサイトが多くなってきていますが、利用者がパスワードを決める場合に注意が働くためサイト全体としての安全性が高まるという点で効果がありそうですね。 仕事でサイトをつくっていて、あの機能入れてくれといわれた場合に、瞬時に実装できそう。 パスワードが弱い場合は次のように表示されます。 いい感じの場合はGoodが表示されます。 出し方は次のようにメソッドに渡すオプションを変更するだけでかえられます。 IDとパスワードが同じでもエラーを出せたりします。 関連エントリ パスワード生成や年齢計算等、P
文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2010年9月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPカンファレンス2010にて「文字コードに起因する脆弱性とその対策」というタイトルで喋らせていただきました。プレゼンテーション資料をPDF形式とslideshare.netで公開しています。 文字コードのセキュリティというと、ややこしいイメージが強くて、スピーカーの前夜祭でも「聴衆の半分は置いてきぼりになるかもね」みたいな話をしていたのですが、意外にも「分かりやすかった」等の好意的な反応をtwitter等でいただき、驚くと共に喜んでいます。土曜にPHPカンファレンスに来られるような方は意識が高いというの
文字コードに起因する脆弱性とその対策
4. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • その他 – 1990年にPascalコンパイラをCabezonを開発、オープンソースで公開 「大学時代のPascal演習がCabezonでした」という方にお目にかかること
WEBデザイナーの為のXSS(クロスサイトスクリプティング)入門
WEBデザイナーの為のXSS(クロスサイトスクリプティング)入門 情報処理推進機構のXSS(クロスサイトスクリプティング/Webアプリケーションに存在するセキュリティホール)が公開されて、ネット上では盛り上げっているようです。 まぁ、これを機会にXSS(クロスサイトスクリプティング)って言葉をはじめて聞いたデザイナー・プログラマーの方は、正しい知識・正しい対処法を勉強しましょう。 とくにプログラムなんてちょっと改造するだけというレベルの、WEBデザイナーさんに注意してもらいたいです。 XSSはwebページにスクリプトを埋め込む攻撃法方法 XSSは別のサイト(これはどこでも良い)から攻撃先のurlに対して特定の文字列を送ることにより攻撃先のurlでスクリプトを実行する攻撃方法です。 XSS脆弱性のあるスクリプトはこんなスクリプトである。 <input type="hidden" name="
Webサイトにメールアドレスを公開する場合のスパム対策 | ウェブ力学
Webサイトやブログに運営者の情報として、メールアドレスなどの連絡先を記述したい場合があるかと思います。ただ、メルアドをそのまま記述してしまうと、メルアドの自動収集ロボットに拾われてしまい、スパムメールが大量に送りつけられるというリスクがあります。 CGIを使ったメールフォームを利用すれば、安全確実なのですが、レンタルサーバによってはCGIを設置できないケースもありますし、手間もかかります。 (かなり今さら感もありますが)ここでは、何らからの理由で、CGIを設置できない環境において、手軽にメルアドを公開したい場合のスパム対策について5つの方法を紹介します。 なお、ここではサンプルとして以下のメールアドレスを用いますが、下記アドレスは架空のものです。 deadbeef@exsample.com 1.メールアドレスを画像化する 比較的手軽に出来る上にスパム対策の効果も高い手法です。現在のところ
GENOウイルスチェッカー
GENOウイルス対策情報まとめ、GENOウイルスチェッカー更新情報 2009 05/17 といってもウイルス側の挙動がかなり高度なので、誤判定はあります 万が一の事があってはいけないのでかなり判定厳しめに設定してあります。 ご理解の程よろしくお願いします 2009 05/17 いそいで作ったので判定機能以外はぐちゃぐちゃ 2009 05/17 開設 ウソクソ情報 ■javascriptを切ってても感染する(5/17現在) 今の時点ではウソだが将来的に、pdf or swfをjavascript経由せずに直接読み込ませるタイプのものが出てきたらアウト とにかく↓のアドビ関連のアップデートを怠らないこと。 GENOウイルス対策 ■adobe readerを9.1.1にアップデートする(9.1:9.1,0では駄目) http://ardownload.adobe.com
GENOウイルスまとめ
日本での最初の感染が通販サイトのGENOだったため、2ちゃんねるその他でそう呼ばれました。 このwikiでは2009年4~5月頃に話題となったウイルスを「GENOウイルス」と表記します。 (名前が名前なため、一般的には、攻撃元のURLより「Gumblar」と呼ぶことが多いようです。) これの何が怖いって、普通にホームページを見ただけで感染するから大騒ぎしたのです。 しかし、2009年5月、攻撃元がなくなったため、次第に事態は収束していきました。 2009年10~11月頃、「GENOウイルス」と非常によく似たウイルスが猛威を振るい始めました。 これはKasperskyのウイルスニュースより「Gumblar.X」と呼ばれています。 (似てはいるものの、基本的に「GENOウイルス」とは別物と考えてください。)
無料オンラインスキャン一覧
アンチウイルスソフトをインストールしなくても、Web 上で(ウェブブラウザー上で)ウイルススキャンを行うことができるサービスです。 オンラインウイルススキャンは無料で行うことができます。 一つのアンチウイルスソフトでは検出できないウイルスでも、別のアンチウイルスソフトを使うと検出されることがあります。 とは言っても二つのアンチウイルスソフトをインストールして共存させることは難しい場合が多いです。 そこでオンラインウイルススキャンが役に立ちます。 ウイルスが検出されていないけれど不安なときには、オンラインウイルススキャンでウイルスチェックをしましょう。 オンラインウイルススキャンは、外出先や出張先などアンチウイルスソフトがインストールされていないパソコンでウイルスチェックをするときにも最適です。 ただし、基本的にはウイルスを検出しても駆除できない場合が多いので、もし検出されたらウイルス対策ソ
サイト診断&オンラインリンクスキャン一覧【無料URLウイルスチェック】
サイトのURLアドレスを指定することで、プログラムが変わりにサイトにアクセスして、サイト内に存在しているファイルをウイルススキャンしてくれる無料サービスを提供してるサイト。いわゆるブラクラ(ブラウザクラッシャー)の検知やウイルス改ざん被害のURLチェックに少しは役立つ?
ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起 一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起:IPA 独立行政法人 情報処理推進機構
企業や個人が運営しているウェブサイトを改ざんされる事例が継続的に発生しています。改ざんされたウェブサイトには、閲覧した利用者のパソコンをウイルスに感染させる仕掛けが組み込まれている場合があります。 改ざんされたウェブサイトの管理者は、被害者に留まらず、閲覧した利用者のパソコンにウイルスを感染させてしまう加害者となります。このような被害の拡大を防ぐため、ウェブサイトの管理者は、運営しているウェブサイトが改ざんされていないか確認し、ウイルスの "ばらまきサイト" に仕立て上げられないようにしてください。 利用者が多いウェブサイトほど、被害が拡大する傾向にあります。 最近では公共交通機関のウェブサイトなど、多くの利用者が信頼するウェブサイトについても、改ざんされる事例がありました。すべてのウェブサイト管理者が注意する必要がありますが、特に利用者が多いウェブサイトは注意してください。 (1) ウェ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
- このブログは非公開に設定されています。