Firefoxに脆弱性、他者サイトのcookie改ざんの恐れも
FirefoxなどMozillaベースのブラウザに脆弱性が存在し、悪用されると攻撃者がよそのサイトのcookieなどのデータを操作できてしまうという。 FirefoxなどMozillaベースのブラウザにクロスドメインの脆弱性が存在し、攻撃者がよそのサイトのデータを操作できてしまう問題が報告された。 US-CERTが2月15日に公開したアドバイザリーによると、Mozillaではブラウザのフレーム処理に関して「Same Origin」ポリシーを採用し、1つのドメインから別のドメインのデータにアクセスされるのを防いでいる。しかしnull文字を含んだURIの処理が適切でなく、「location.hostname」に関するクロスドメインの脆弱性が発生する。 この問題を突かれると、攻撃者が被害者にWebページを閲覧させることで、別のドメインのデータを改ざんすることが可能になり、例えばあるドメインのWe
IPAたんからお礼が! - ぼくはまちちゃん!
はじめてのほうこく IPAたんからの返事 IPAたんからへんじこない のつづきです!!! 返事きたよ! きてました>< Date: Thu, 01 Feb 2007 20:43:06 +0900 To: Hamachiya2 Subject: 【IPA#32334280/IPA#11631745/IPA#92669403/IPA#94436430】 届出いただいた件について - ----------------------------------------------------------------- このメールは、以下の取扱い番号に関する連絡です。 IPA#32334280/IPA#11631745/IPA#92669403/IPA#94436430 - ----------------------------------------------------------------
情報処理推進機構:重要なお知らせ:頁
1.概要 今般、次の2.a)のIPAセミナー受付フォームにおいて、クロスサイト・スクリプティング(注)のぜい弱性が発見されました。このぜい弱性を悪用された場合、当該フォームにて申し込みをしようとした方のブラウザ上で不正なスクリプトが実行されてしまう可能性がありました。当該脆弱性を確認した時には、当該セミナーは、募集定員(70名)を超えるお申し込みとなっていました。募集を締め切らせていただくとともに、至急同受付フォームを点検し、再発防止策を講ずるため、1月31日午前11時に同受付フォームのページを閉じさせていただきました。 併せて、当該脆弱性が発見された受付フォームのプログラムを共有する他の受付フォームのページについても、点検のためページを閉じさせていただきました。点検の結果、その受付フォームにおいてもクロスサイト・スクリプティングの脆弱性が確認されましたので、改修した上、脆弱性検査を行
IPAたんからの返事 - ぼくはまちちゃん!
Date: Tue, 30 Jan 2007 10:37:05 +0900 From: "IPA/vuln/Info" To: root@hamachiya.com はまちや2様 ウェブアプリケーションの脆弱性関連情報を届出いただき、ありが とうございます。 本件につきまして、ガイドラインの以下の項目に記載がありますよ うに、届出の際には発見者様の氏名をご記入頂いております。 これは、責任ある届出を促すためであり、匿名やハンドルネームの 届出は受理できませんので、実名での届出にご協力をお願い致します。 ----------------------------------------------------------- 「情報セキュリティ早期警戒パートナーシップガイドライン」P.17 V.ウェブアプリケーションに係る脆弱性関連情報取扱 2. 発見者の対応 4) 届け出る情報の内容 ・発見者
ワンクリック料金請求にご注意ください - はてなダイアリー日記
最近、はてなダイアリー内に、いわゆる「ワンクリック料金請求サイト」に誘導するダイアリーが作成されているとのご指摘をいただいております。はてなではご指摘をいただき次第、そのようなダイアリーを順次非公開にしておりますが、毎日多数のダイアリーが作成されており、残念ながら現状では即時にそのすべてを非公開にすることは困難です。 今後も、このような規約違反行為、違法行為に対する抜本的な対策を引き続き検討してまいりますが、下記のようなサイトを発見された場合には、リンク先をクリックしたり、ご自身の個人情報を入力せずに、お問い合わせフォームよりお知らせください。 注目のキーワードに関連した内容、あるいは有名人に関連した内容を装い、成人向け情報、あるいは裏情報、ゴシップ情報といった、多くは倫理的に問題があると思われるリンク先に誘導する リンク先は、はてな外のサイトとなっており、多くはクリックするだけで「会員登
ウイルス対策ソフト比較 2007年度版
内容がかなり古くなって来ました。この手の情報は新しくないとあまり意味がなかったりするのでご注意下さい。2008年度版については、継続的に使用できる環境がなくなってしまったので多分書けません。(※まぁ、元々誰でも書けるようなことしか書いてなかったりするのでアレ?なのですが...)。すみません。 2006.11.10作成 - 内容が少し“マシ”になったかなと勝手に思っています。しかし、見難さは相変わらずであった... 2006.11.19 「メモリ使用量」と「機能比較」少し訂正入れました。すみません。 2006.12.2 冒頭にちょっと追記 2007.8.8 AVG Anti-Virus FREE Edition の日本語版がリリースされました 目次へ移動(M) 【11/11追記】Norton Internet Security の「保護者機能」について確認するのを忘れておりました(滝汗)。U
ようじょのエロ動画うpしたwwwwwwwwwwハムスター速報 2ろぐ
blog9サーバーが深夜つながらなかったり、記事制限やらおかしいので移転しようと思います。 めんどくさいですが、お気に入り・RSS等入れてくださってる方、移転先でもよろしくお願いします。 http://urasoku.blog106.fc2.com/ 1 :閉鎖まであと 3日と 22時間: 投稿日:2007/01/19(金) 22:17:31.70 ID:2o231/k40 http://www.vipper.net/*******.zip.html まあパスは分かるよな 3 :割れたカップ ◆cup....pPw : 投稿日:2007/01/19(金) 22:18:02.81 ID:/sk1kKmR0 幼女が滝で体洗ってる画像 4 :閉鎖まであと 3日と 22時間: 投稿日:2007/01/19(金) 22:18:06.19 ID:WBwD67+50 >>1おまえは神か!! 6
個人のブログが google.com サブドメイン名で公開される不具合 | スラド セキュリティ
Google Blogoscoped のブログによると、 Google のミスにより、google.com のサブドメインで個人のブログがホストされてしまうという 珍事件が起きました。 問題は Google のブログサービス Blogger で始まった Blogger Custom Domains にあったようです。このサービスは CNAME を使って、 個人で取得したドメインの元で Blogger で作ったブログを使えるというものです。 今回この個人ブログの公開者が、本来自分のドメインを入力する欄に ghs.google.com と書いたところ、Google 側でチェックを何もしていなかったらしく、 そのまま ghs.google.com でその個人ブログが公開されてしまったようです。 google.com のクッキーがすべて取得できてしまうため、セキュリティ的にはかなり危なかった可能性
JavaランタイムにGIFファイルにより攻略可能な脆弱性 | スラド
Secunia アドバイザリによると、SUN Java ランタイムにリモートからシステムにアクセスできる脆弱性(SUN による発表)が報告されています。幅0ピクセルの攻略GIFファイルでヒープオーバフローを起こし、任意のコードが実行できるそうな。とはいえZERO DAY INITIATIVEによると、鴨となるユーザーが、攻略ファイルをしかけた悪意あるサイトを訪問する必要があるようです。脆弱性の緊急度は 5 段階の 4 (Highly critical)で、すでに Java 1.3/1.4/5.0 で対策バージョン(1.3.1_19/1.4.2_13/5.0 update 10)が提供されています。
Macworldサイトのハッキングでジョブズ氏講演の優待席を無料ゲット
米国のハッカーがMacworldサイトの弱点を突いて、1695ドル相当の優待パスをただで入手することに成功したという。 Macworld Expo 2007公式サイトの弱点を突いて、スティーブ・ジョブズ氏基調講演の優待パスをただで手に入れたと、米国のハッカーがブログで報告した。 この問題を報告したのは、米カリフォルニア州の「grutz」を名乗るセキュリティ研究者。 同氏のブログによると、Macworldのサイトで入場者登録をしようとした際に、登録ページで優先コードの入力に関する弱点を発見。パスワードをクラッキングして、ジョブズ氏の講演を優待席で見ることができる「プラチナパス」(1695ドル相当)を無料で入手することに成功した。 この行為が可能になったのは、Macworldサイトがクライアントサイドの認証を使い、エンドユーザーが全データを入手できてしまう状態になっていたからだとgrutzは説
悪質なコミュジャックmixi事案勃発中 [絵文録ことのは]2006/12/28
マサハルsp3と称するmixiユーザーその他多数のコミュニティ荒らしが出没して、mixiのコミュニティの管理人権限を次々と乗っ取り、悪質な改変を行なっている。 (記事の性質上、mixi内の具体的なページへのリンクを示しています。そのため、mixiに入っていない方は閲覧できないリンクが多数含まれますが、ご了承ください) ■最新情報:2006/12/30 マサハルsp3がmixiを退会しました。 現在、「カリスマ」云々を自称するグループその他のコミュニティ乗っ取り犯たちが、このページについて「ユーザーのIDをさらす荒らしサイト」であるかのごときデマ情報を流布しようと躍起になっておりますが、事実関係は皆さんご自身でご確認くださいませ。mixi事務局にも連絡済みですし、警察にもきちんと説明する用意がございます。むしろ、当ページを荒らし等々と称する者たちこそが今回の乗っ取り事案の実行犯並びにその協力
アフィリエイトIDが書き換わる脆弱性について - はてなダイアリー日記
本日20時頃、特定のタグを貼り付けたページを閲覧するだけで、はてなにご登録いただいているアフィリエイトIDが書き換わってしまう脆弱性が存在する事が判明しました。 この脆弱性について、先ほど修正を行いました。現在、この脆弱性は修正されております。 脆弱性の内容 特定の引数を指定した画像タグを使用する事で、ページの閲覧者がアフィリエイトページで設定を変更した操作と同等の操作が可能となっておりました。 今後の対応について 現在被害状況を調査中ですが、アフィリエイトIDの書き換えが行われた方が現在200名程度確認されています。 今後さらに詳細な調査を行い、被害者の方には随時個別に今回の状況説明と、アフィリエイトID再設定のご連絡を行わせていただきます。 また、同様の脆弱性が存在しないか、改めて他のページについても確認を行います。 このたびははてなシステムの不備により、ユーザーの皆様にご迷惑をおかけ
FeliCaの暗号が破られた?――ソニーは完全否定
→IPAのコメントと組み込み機器のセキュリティについて ファクタ出版は、同社が発行している経済誌「月刊FACTA」の1月号(12月20日発行)に「ソニー 暗号破られた『電子マネー』」という記事を掲載した。 記事の内容は、電子マネー「Edy」「Suica」や、おサイフケータイクレジット「iD」「QUICPay」「VISATOUCH」といったサービスに採用されている非接触IC「FeliCa」の暗号が破られたというもの。研究者らは情報処理推進機構(IPA)に連絡し、IPAも暗号が破られたことを確認した、としている。 記事ではFeliCaの暗号が危険な根拠として、(1)FeliCaは共通鍵方式を採用したため、公開鍵方式に比べて破られやすい、(2)現行FeliCaが採用しているEEPROMを利用したシステムではセキュリティのレベルが低い、という2点を挙げている。また、暗号解析のデモンストレーションを
切込隊長BLOG(ブログ) - FeliCa@ソニーの暗号が破られる?
FeliCaの暗号を破ったと実演している人がおられるようでして、見ている限りかなりのガチの状況であり、そのまま情報処理推進機構(IPA)に持ち込んでおられるとの由。正直申しますと、PS3で敗退とかいうレベルじゃない規模でヤバいことになりそうなので、もし破られていたんだとすればさっさとソニー(フェリカネットワークス)は公表するべきではないかと思います。まあ、いずれこの手のものは破られるものですし、利用者の混乱を避けるためにも、破られたことが分かったところで改善策とあわせて公開すべきだったかと。 単純な話、「FeliCaが破られてふざけんな」ということではなく、暗号というのは常に破ろうとする側、守ろうとする側のイタチごっこであり、守る側に充分なリソース(資金と知識と技術と体制)があれば、多少破られてもそれほどの被害なく収まるケースも多いというわけです。仮に、「暗号破られました」ということが事
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://blog.livedoor.jp/kensuu/archives/50306668.html
クロスサイトスクリプティングについての質問です。…
IPAたんからへんじこない - ぼくはまちちゃん!
Googleが無断リダイレクトに警告 | スラド IT
はじめてのほうこく - ぼくはまちちゃん!
はてなで稼ごう!!! - ぼくはまちちゃん!