Welcome back to The Interchange! If you want this in your inbox, sign up here. We’ll be taking a break next weekend as Mary Ann and Christine both take much-needed vacations (we didn’t
Welcome back to The Interchange! If you want this in your inbox, sign up here. We’ll be taking a break next weekend as Mary Ann and Christine both take much-needed vacations (we didn’t
夏は特に注意! 手、ベットベトになりやすいのでねぇ。 ペンシルベニア大学の研究員が様々な方法でAndroidのタッチスクリーンパスコードの解読がどれくらい難しいかということを調べたところ...「解読すげー簡単です!」という結果がでたそうです。簡単も簡単、らっくちん楽勝だそうです。人間ですもの、汗やら皮脂やらいろんなものが手についてます。パスコードを解く時に指からその皮脂がスクリーンにつき、パスコードの後をのこしてしまう。調査の結果解読度92%! Android2.2のFroyoを待つか、スクリーン全体を常に触ってベタベタ状態にするか。 心配な方は気をつけましょう。 [UPenn via Techdirt] Brian Barrett(原文/そうこ)
現在アクセスが集中しており表示しにくい状態となっております。 申し訳ございませんが、しばらく時間を置いてからアクセスするようお願いいたします。 ・FC2フォーラム ・FC2インフォメーションブログ ・最新障害情報・メンテナンス情報ブログ
CAPTCHAをご存知でしょうか。 スパム防止のために歪んだ文字とかを入力させる、アレのことなのですが、 はてなのCAPTCHAの強度が妙に低く思えたので検証してみました。 CAPTCHAというのはいわゆる逆チューリングテストという奴で、 人間には可能だが機械には処理しにくいことをさせることで、 ロボットによる操作を弾こうというものです。 たとえば、Gmailのユーザ登録には以下のような画像が表示され、 表示されている文字を入力することが求められます。 CAPTCHAの強度 例えばスパムを送るために大量のGmailアカウントを得ようとしてる人がいたとします。 手作業でGmailを登録するのは骨が折れる。 そこでプログラムによる機械化を試みることになるわけです。 その際、障壁となるのがこのCAPTCHAなのです。 この画像から正解である文字列"vittac"を得ることは機械には難しい。 プロ
本家/.の記事より。『地獄の黙示録』や『ゴッドファーザー』で知られ、現在アルゼンチンに在住のフランシス・フォード・コッポラ監督の自宅が強盗に入られ、コンピュータやカメラ等の家財が奪われた。 奪われたコンピュータのひとつには新作『Tetro』の台本が入っていたが、これはコピーが別のところにあり無事とのこと。しかし、バックアップデバイスまで奪われたため、この15年間に書かれた書き物や家族の写真がすべて無くなってしまったと言う。コッポラ監督は地元メディアの取材に応え、他はともかくバックアップデバイスは返してほしいと訴えたそうだ(BBS Newsの記事)。 バックアップはとっても、バックアップをオリジナルと同じところに保管しているという人は多いと思うが、泥棒はともかく、火事やその他の災害でオリジナルと共にバックアップまで失われるという事態は大いに考えられる。/.Jの諸氏はどうされているだろうか。
君は“はまちちゃん事件”を知っているか? mixiのホームページ。mixiユーザーの中には、赤で囲んだ“マイミクシィ最新日記”欄に、“ぼくはまちちゃん!”の文字がいくつも並んだ人がいた 古くからのmixiユーザーであれば、“はまちちゃん事件”を覚えている人も多いだろう。2005年4月、mixiで大勢のユーザーが“ぼくはまちちゃん!”というタイトルを付けた、謎の日記を次々に公開するという怪現象が起こった。 きっかけとなったのは、あるユーザーが投稿した日記。その日記の本文には「こんにちはこんにちは!!」という言葉とともに“あるURL”が貼り付けてあった。 このURLが罠で、不思議に思って押すと、クリックしたユーザーのページに“ぼくはまちちゃん!”というタイトルで同じ文面/URLの日記が勝手にアップされてしまうのだ。 投稿は“ねずみ算”的に増え、一時は混乱状態に…… さらに、勝手にアップロードさ
こんにちはこんにちは!! 先日、Twitterで声をかけてもらって、 第一回 Port801 セキュリティ勉強会っていうのに参加してきたよ!! (↑pw: security) そこで、すこし喋った時のビデオを頂いたので、もったいないので公開しちゃいますね! プレゼンだとかそういうの慣れてなくて、ぐだぐだな感じだけど、 よかったら何かの参考にしたり、晩ご飯のおかずにしてください>< Port801 セキュリティ勉強会 - Hamachiya2 その1 (http編) Port801 セキュリティ勉強会 - Hamachiya2 その2 (CSRF編1) Port801 セキュリティ勉強会 - Hamachiya2 その3 (CSRF編2) Port801 セキュリティ勉強会 - Hamachiya2 その4 (XSS編1) Port801 セキュリティ勉強会 - Hamachiya2 その5
ITMediaの記事によると、 フィンランドのセキュリティ企業F-Secureは8月27日、ソニーのUSBメモリのドライバにrootkit的な隠し技術が組み込まれているのを見つけたとして、ブログで概略を公表した。 F-Secureによると、問題があるのは指紋認証機能を組み込んだソニー製USBメモリのソフトドライバ。 2種類のUSBメモリで指紋認証ソフト「MicroVault USM-F」をインストールしたところ、 ドライバが「c:\windows\」以下の通常では見えないフォルダにインストールされ、 Windows APIではこのフォルダが表示されない状態になるそうだ。 フォルダ名を知っていればこの隠しフォルダに新しいファイルを作ることも可能で、しかも一部のウイルス対策ソフトではこのフォルダ内のファイルは検出されないため、理論的にはマルウェアがこの隠しフォルダを利用することが可能だとしてい
これらUSBメモリに付属するソニーの指紋認識ソフト「MicroVault USM-F」のドライバは、「c:\windows\」のディレクトリの下に隠れる形でインストールされるという。Windowsディレクトリ内のファイルとサブディレクトリを一覧表示しても、Windows APIではこのディレクトリとファイルが表示されない。 しかし、ディレクトリ名を知っていれば、コマンドプロンプトを使ってこの隠しディレクトリに入り込み、新しい隠しファイルを作ることも可能だ。しかも一部のウイルス対策ソフトでは、このディレクトリ内のファイルは検出されない。つまり、理論的にはマルウェアがこの隠しディレクトリを利用することが可能になるとF-Secureは分析する。 MicroVaultソフトは指紋認証を守る目的でこのフォルダを隠しているのだろうが、rootkit的な隠し技術を使うのは適切ではないとF-Secureは
米国でiPhoneが発売され、いよいよ日本国内の携帯のガラパゴス文化が際立ってきている気がする今日この頃だが、皆さんは「携帯電話からのWeb」をどれくらい利用しているだろうか? そして、そのセキュリティをどれだけ気にしているだろうか? 6/24の高木浩光氏の日記「ケータイWebはそろそろ危険」では、 GoogleとKDDIの提携により実現されているWeb検索機能が、検索結果でのURLが自明でないという指摘がなされている。サービスを提供する側、利用する側に存在した「あまり遠くへ行かない」という暗黙の了解が通用しなくなっているのに、ユーザを保護する仕組みは旧来の前提を頑なに固持したまま実装されている、という事が解る。一方で、海外のケータイはどうかというと、ITmediaの7月2日の記事などが一つの参考になるだろう。 また、高木氏の6/29の日記「EZwebサイトでSession Fixatio
いま話題のコミュニケーションサービス「Twitter」の日本語版をかたるサイトが登場し、ネット上で話題となっている。 サイトの名称は「Twitter Japan」。 しかしそこには意味の通らない怪しげな日本語と、メールアドレスを入力するためのフォームがあるのみ。詳しい内容は一切書かれていない。 Twitter Japanのトップページ メールアドレスを入力すると表示される画面 日本レジストリサービスのWHOISサービスを使ってしらべたところ、連絡窓口は「CRM ASP」というところになっていた。ここのサイト(http://crmasp.com/)にアクセスしてみるが、ほとんど情報がなく、やはりユーザーの連絡先を書き込ませるためのフォームがある程度で、会社に関して詳しいことは一切書かれていない。 米InterNICで調べたところ、CRM ASPはSan Franciscoにある企業との
米シマンテックは2007年6月25日(米国時間)、ファイル圧縮・解凍ソフト「Lhaca(ラカ)」のぜい弱性を悪用するウイルス(悪質なプログラム)が確認されたとして注意を呼びかけた。LZH形式(.lzh)のウイルスをLhacaで読み込むと、パソコンを乗っ取られる恐れがある。今回のウイルスが悪用するぜい弱性に対する修正プログラムなどは公表されていないので、「ゼロデイウイルス」といえる。 今回のウイルスは、日本のユーザーから6月22日に同社に送られたという。同社が解析したところ、何らかのぜい弱性を突くものであることが明らかとなった。その後の調査で、日本国内で広く使われているLhacaに、修正プログラムが未公開のぜい弱性があることが判明。今回のウイルスはそのぜい弱性を悪用するものだと分かった。同社の情報によれば、少なくてもLhaca(デラックス版)1.20に、今回のぜい弱性が存在するという。 同社
ITproにセキュリティ修正が特許の対象にというなかなか衝撃的な記事が掲載されている。ソフトウェアの脆弱性の発見やセキュリティパッチの提供というのは今でも情報提供者の善意に依存するところが大きいが、最近では脆弱性の発見者が現金を得られるような仕組みも出てきている。そんな中でこの記事では、Intellectual Weaponsという会社が、セキュリティ脆弱性の修正法を開発し、開発した修正法の特許権を取得するという動きにでているらしい。取得できたセキュリティ修正の特許は、修正対象となるソフトウェアのベンダーに 対してライセンス販売するということのようだ。つまり、Windowsの脆弱性を見つけて、その修正方法の特許をMicrosoftに売り付ける ということもできる。 そんなことがスムーズに可能であれば、巨大なソフトウェアを抱えるベンダーの製品にはセキュリティ修整特許狙いの人間が むらがってき
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
小飼弾のアルファギークに逢いたい♥ #6IT戦士 天野 仁史/こんにちはこんにちは! Hamachiya2(中編) はまちちゃんはいかにしてXSS/CSRFを見つけるか 天野 仁史さん、Hamachiya2さん(はまちちゃん)との対談の中編です。 編集部注) 本対談は2007年3月に行われたものです。 こんにちはこんにちは! 弾:はまちちゃんはいつ頃から「こんにちは」に興味が出てきたの? は:確かmixiを始めた2年前くらいかな。mixiってブログと違って、日記にコメントがたくさんつくのがおもしろくてハマってて。毎日見てるうちにおもしろい現象を見かけたんです。たまたま誰かが「ラーメン」ってタイトルの日記書いたんですよ。そしたらほかの人もつられて「ラーメン」って日記を書き出して、それがマイミクのマイミクまでどんどん伝染していっちゃって、その日の日記一覧が全部「ラーメン」になっち
S氏に「これってCSRF起こりません?」と指摘され、「あっ!」と思った。とりあえず概要をまとめる。とりまとめなので乱文なのはご容赦を。 結論から先に言うと、CSRFは特定の状況で「起こりうる」。 Twitterには先ほどこの件について報告した。とにかく「URL付きの変なupdateが飛んできたらうかつに踏まないように」。この件ははまちちゃん方式で殖える可能性がある。はまちちゃん事件はgoogleで偽装していたが、twitterはご丁寧にも長いURLをtinyurl化してしまうので、偽装の必要すらない。追記: tinyurlは必ず独自のRefererを送るようにしている模様。むしろ裸のURLが危ない(tinyurlがこの実装を取り消す日が来るまでは)。 とりあえず普通にCSRFを再現してみる。が、Web、APIとも他所サイトのReferer付きリクエストを蹴る模様。なので、Refere
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く