KDDI、リファラ漏洩が発生する端末の改修を実施
KDDIは、auおよびツーカーの携帯電話のうち、2003年3月~2005年8月に発売された機種において、特定の操作を行なった場合に本来送出されないはずのリファラが送出されるという事象があることを明らかにした。同社では、店頭で改修受付を開始している。 リファラは、ブラウザ使用中にサイトへアクセスするとサーバーに送信されるデータ。直前まで見ていたページのURLなどが含まれる。通常は、リンクを選択してアクセスした場合にのみ送出されるデータだが、同社の一部端末では、特定の操作を行なうとこれ以外の場合にもリファラが送出されるケースがあるという。 サイト「A」を閲覧した後、「お気に入り」に登録されたサイト「B」、あるいはメール本文中にあるURLのサイト「B'」にアクセスしてから「ページ更新」すると、「B」や「B'」のサーバーに「A」を見ていたことを示すリファラが送出される。 原因はブラウザソフトの不具
セキュリティレベルの高いサイトを構築する 22 カ条 :: Drk7jp:
最近、何処の会社でもセキュリティに関してうるさく言われているかと思います。自分としても今まで気を遣ってきていたつもりではあります。しかしながら、 なぜSSL利用をケチるのか:IT Pro SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも 安全なWebサイト設計の注意点 を読んでみて、お恥ずかしい限りですが勘違いしていた部分もありました。実際、Amazon とか Yahoo! のログイン画面を見ても、デフォルトが http によるアクセスになっていたりして、メジャーどころでも最新の注意が払われている訳ではないのだなぁ〜と思ったり・・・。本当は全ページ SSL が理想とは知りつつも、SSL の処理負荷の高さ故に、ついついケチったページ遷移にしまうからなのでしょう。。。自分含めて。 自分への情報もかねて、上記ページに記載されている、31箇条の鉄則と最近の事情を加
セキュリティ・ホールは公開しない者勝ち?
「Internet Explorer(IE)はFirefoxよりも安全」。最近,このような話を読んだり耳にしたりする機会が何度かあった。ほとんどの場合,米Symantecが2005年9月に発表した「Internet Security Threat Report Volume VIII(インターネットセキュリティ脅威レポート 8巻)」のデータが根拠になっている(関連記事)。 Internet Security Threat Reportとは,同社が世界中に設置しているセンサーなどから収集した情報を基に,同社が半年ごとに作成し公表しているレポート。レポートではセキュリティに関するさまざまなデータがまとめられている。その一部として,2005年上半期(1月~6月)に公表された,主要ブラウザのセキュリティ・ホールの数がまとめられている。そのデータによると,Firefoxでは25件のセキュリティ・ホー
IPAが世界初の暗号解読に成功--100億年かかるところを20秒で
情報処理推進機構(IPA)は9月26日、「ストリーム暗号」の1種である「Toyocrypt」の解読に成功したことを発表した。 Toyocryptは、2000年に東洋通信機が開発した暗号であり、2000年当時は「解読するのに100億年かかる」といわれ、実質永久に解けない暗号とされていた。しかし、2002年頃から「代数的攻撃法」と呼ばれる手法を用いれば、理論的には解読可能とされ、暗号の国際的な学術会議で実際に解読できるかどうか議論の対象となっていた。 IPAは、暗号の安全性を評価手法を開発する目的で携帯電話などの無線通信に使われるストリーム暗号の1種であるToyocryptを解読するプロジェクトを2004年に立ち上げた。プロジェクトでは暗号解読のための「IPA-SMW」というプログラムを開発し、IPAが運用する暗号研究専用のグリッドコンピュータに実装し、Toyocryptの解読に挑戦してきた。
高木浩光@自宅の日記 - やってはいけないセキュリティ設定指示 Top 15 (Windows XP SP2編), SSL 2.0でないと接続できないサイトにアクセスするとどう..
■ SSL 2.0でないと接続できないサイトにアクセスするとどうなるか 昨日の日記は、 必要もないのにSSL 2.0を有効にせよと指示しているサイトの例だったが、 本当にSSL 2.0でないとアクセスできないサイトというのは、どうやら非常に 珍しいようで、探してもそうそう見つかるものでもない。 次のサイトがひとつ見つかったので、SSL 2.0をオフにしてここにアクセスし てみると、どんな結果になるか体験できる。 https://www.hellowork.go.jp/ FirefoxでSSL 2.0をオフにして上のURLにアクセスすると下の図の警告が出る。 OpenSSLのdebugモードで接続してみたところ次のようになった。 $ openssl s_client -debug -connect www.hellowork.go.jp:443 CONNECTED(00000003) wri
2005-08-23
『新型の巨大陸上兵器が、新種の巨大生物の糸に絡め取られてゐます!!』 『アハハハハ、死ぬんだよ!! 糸に巻かれて死ぬんだよ!! アハハハくぁwせdrftgyふじこl』 つか、空中の罠にどうやつて引掛つたんだよ団子虫。 この日記で「はてなブックマークのコメントは記事中に引用するよ」と告知して実行し始めてから、この日記の記事がブックマークされる数が明かに減つたやうな気がする。たぶん気のせゐではなくてid:yms-zun:20050718:housin以降、無体さん以外のブックマーク者が極端に減つた。 休み中に会つた方々からも「最近日記がつまらん」と文句を言はれた様に、読者様にブックマークしてもらへるやうな内容の記事を書かなくなつたといふのも事実だし*1、もつと単純に読者の数が減つただけの話なのかもしれないから統計的な考察をするには能はないが、それにしても、どうなんだらう。以前なら下らないネタで
ゲストコメント時のIPアドレス通知機能、およびIPアドレスによるコメント拒否機能について - はてなダイアリー日記
さきほど、はてなダイアリーにおいて ゲストコメント時のIPアドレス通知機能 IPアドレスによるコメント拒否機能 を追加しました。 はてなダイアリーでは、日記へのコメントを ゲスト(誰でもコメント可能) ユーザー(ログイン中のユーザーのみ可能) なし からご選択頂けますが、「ゲスト」モードの際に嫌がらせなどが行われるケースが増加しております。 こうした状況に対応するため、ゲストがコメントを投稿した際には、コメント通知メール内にコメント者のIPアドレスを記載するよう変更するとともに、IPアドレスによるコメント拒否機能を追加しました。 コメント通知メールは、自分の日記にコメントが投稿された際にメールでお知らせする機能ですが、日記設定画面の「日記の設定」-「コメント・トラックバック設定」-「メール通知」から設定して頂けます。 また、特定のIPアドレスからのゲストコメントを拒否するには、「日記の設定
ベイエリア在住町山智浩アメリカ日記 - オタは頭を撃て!
今日『ワシントン・ポスト』紙の報じたニュース。 http://www.washingtonpost.com/wp-dyn/content/article/2005/08/03/AR2005080301867.html 世界各国の警察組織で構成する国際警察長協会(IACP)は、自爆の恐れがあるテロリストを発見した場合、頭部を銃撃して即死させるよう指導していた。 IACPが挙げた自爆犯の特徴は、 ①暖かい日なのにコートを着ている。 ②大きくふくらんだバッグやリュックサックを持っていて、そこから何かコードが出ていたりする。 ③落ち着きがなく挙動不審で、人の目を見ようとしない。 ④汗をやたらとかいている。 ⑤なにか祈りの言葉らしきものをぶつぶつつぶやいている。 これって秋葉原行くといっぱいいるよ! いきなり頭撃たれちゃうぞ!
Ajaxで基本認証 SSL - [JavaScript]All About
JavaScript ガイド:高橋 登史朗 Ajaxなど、何かと最近騒がれているJavaScriptの最新情報とその活用方法を解説します。 掲示板 取材依頼 問合せ Ajaxで基本認証+SSL 前回は、Ajax+PHPでの動的なテーブル書き換えを行いました。 つまり、Ajaxを利用したページ構築と動的書き換えについての話題でした。今回は、ページに入る前の話題です。 ユーザーを限定した基本認証ページをAjaxで利用してみます。 AjaxをいじっていてXMLHttpRquestのopen()メソッドに「ユーザー名」「パスワード」という引数があることに気づかれた方も多いと思います。これで、基本認証ページを利用することができます。 Webサービスなどの実際の業務の中で生まれてきたAjaxにとって、ユーザー限定のサービスは大切です。XMLHttpRquestオブジェクトに仕込まれ
【レポート】セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏 | エンタープライズ | マイコミジャーナル
いわゆる「Webアプリケーション」のセキュリティに関する問題を論議する「Web Application Security Forum(WASF)」が、7月8日に都内で第2回のカンファレンスを開催した。同カンファレンスでは、セキュリティ業界ではもはやおなじみの存在であり、WASFの理事でもある産業技術総合研究所の高木浩光氏が講演を行った。 おなじみ高木浩光氏。この日はWASF理事として登場 キーワードジャーナリズムは世間一般への啓発のために有効 高木氏の講演は「増えつつある疑わしいキーワードを斬る〜キーワードジャーナリズムに踊らされるな〜」という題名で予定されていたが、高木氏は冒頭でいきなり「この題名は理事会で決められたものだが、私個人はむしろ『キーワードジャーナリズム万歳』という風に思っており、参加者の皆さんこそ『講演の題名に踊らされるな』と言いたい」と述べて会場を笑わせた。 その上で高木
シュレッダーはセキュアな書類破棄方法か?
シュレッダーにかけた書類を復元する技術が進化している。こうした流れに合わせ、企業はシュレッダー利用についての社内規定を見直す必要がある。 企業は長年、社外秘の機密情報がライバルの手に渡るのを防ぐために、書類をシュレッダーにかけるという習慣を続けてきた。ごみ箱をあされば書類を簡単に盗めてしまうことなどから、この手法が選ばれている。 企業は実際、例えば次のような社内規定を作った当時、企業としての当然の義務を果たすためだと信じて疑わなかった。「個人情報(氏名、社会保障番号、住所、電話番号、医療記録、資産情報などが相当するが、この限りではない)が含まれる書類はすべて、個人情報保護のために、ごみとして処分する前にシュレッダーにかけなければならない」 社内規定を設け、シュレッダーも用意したから、これで問題解決だ――そう思えた時代は、ところがそう長くは続かなかった。新たな技術によって、事実上どんな文書で
【単独インタビュー】「当社が不正アクセスの手口を公開しない理由」,カカクコムの穐田CEO : IT Pro ニュース
5月14日から10日間,不正アクセスを受けてサイト「価格.com」を閉鎖していたカカクコム。5月24日にセキュリティ対策を終えた一部のサイトを再開した。だが同社の不正アクセス対応を巡っては,侵入手口を公開すべきと指摘する声も少なくない。今回の対応の真意について,穐田誉輝・代表取締役CEO(最高経営責任者,写真=5月25日の会見時のもの)に聞いた。 --不正アクセスが発覚した5月11日時点で,なぜ即座にサイトを閉鎖しなかったのか。 今から振り返れば,そうすべきだったと思う。だが当時は,何が原因か特定できないままサイトを閉鎖することは,多くのユーザーや出店者に迷惑をかけてしまうと考えていた。それよりは,サイトを運営しながら理由を突き止めて対策を打つのがよいと判断した。それが発覚してから3日間,サイトを閉鎖しなかった背景にある。 11日に不正アクセスを受けた時点では,被害の実態が把握できなかった
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
専門家は個人の責任で情報発信するな - void GraphicWizardsLair( void ); //
http://blog.livedoor.jp/nmpf/archives/24054562.html