https://jp.techcrunch.com/2010/11/21/20101120whoa-google-thats-a-pretty-big-security-hole/
DBに保存されたクレジットカード情報が流出するリスクに対して、1人日で対処できる暫定対策
Webサービスのユーザー情報のテーブルにクレジットカードなどの流出したら困る情報を保存するのはとても怖いことです。 そんな情報は保存しないことが望ましいわけですが、ビジネス的な事情でカード情報を保存せざるを得ないケースも当然あります。 少なくともWEBサーバから直結してるサーバーに、そんな情報は置きたくないところで、最低限カード情報サーバは裏側に専用のapiサーバを置いて、SQL文なんぞで一発で全員の情報にアクセスできないような状態にはしておきたいところですが、昨今情報が流出してしまった老舗ECサイトのように、既に稼働していて簡単には直せないぞ!というシステムで、もし万が一、そういうDB情報が流出してしまったとして、流出したDB情報から、カード番号などの重要情報が特定されるまでの期間を多少なりとも延ばすために、1人日で応急措置ができる暗号化方法について記述してみます。 ■やり方 ・可逆な暗
Twitterの連携アプリを「許可する」ボタンのリスク - Zerobase Journal
TwitterのDM(ダイレクト・メッセージ)機能はメールよりも気軽で便利な連絡手段として普及しつつあります。でも、気をつけてください。あなたが技術者のようにTwitterのことを理解していないのであれば、DMが盗み見られる可能性は、おそらくあなたが考えている以上です。 〔2011年5月追記:個々のアプリに対して付与できる権限を、より細かく制御できるようになりました(参照:Twitterブログ: ミッション: アプリ認証でのアクセス権)。さらには連携アプリの一覧画面もありますので、プライバシーに関する機能が充実しました。詳しくはサードパーティアプリケーションとの連携方法もご覧ください。〕 〔註:本稿はなるべく多くの人に読んで頂けるように、易しく書きました。このように「註」欄で詳しい説明を書いていますが、詳しく知りたい人向けですので、読み飛ばして頂いても構いません〕 「DMで大事な話をするこ
Twitterで大規模なアカウント乗っ取り、1000ユーザー以上が被害
フィンランドのセキュリティ企業エフセキュアは2010年6月21日、ミニブログサービス「Twitter」において、1000以上のアカウントが乗っ取られたことを明らかにした。攻撃者により、特定の文字列がツイートされたという。 エフセキュアによれば、発表に至るまでの12時間に、1000件以上のTwitterアカウントが乗っ取られたという。いずれのアカウントでも、「Hacked By Turkish Hackers」とツイートされている(図)。 アカウントがどのようにして乗っ取られたのかは、現時点では不明。エフセキュアが調べたところ、乗っ取られたアカウントのほとんどは、イスラエルのユーザーのアカウントだった。このため、TwitterのユーザーIDやパスワードを盗む目的の、ヘブライ語のフィッシング詐欺が横行している可能性があるとしている。 エフセキュアの情報
アップル最悪のセキュリティブリーチ。iPad所有者11万4000人分のデータ流出
アップル最悪のセキュリティブリーチ。iPad所有者11万4000人分のデータ流出2010.06.10 14:005,378 satomi アップルにまた災難です。 AT&TのサーバーのセキュリティホールからCEO、軍高官、政治家を含むiPad 3Gオーナーのデータが大量に流出しました。携帯ネットワーク対応のiPadを買った人全員にスパム商法や悪質なハックを受ける脆弱性があったのだとか...怖いですね。 社員がバーでiPhone試作機を紛失してまだ日も浅いのに、iPad 3Gのアーリーアダプターという、世界にも稀な著名人リストが外部に流れた格好です。リストにはニューヨーク・タイムズ・カンパニーCEOジャネット・ロビンソンからABCニュースアンカーのダイアン・ソーヤー、映画業界の実力者ハーヴェイ・ワインスタイン、マイケル・ブルームバーグNY市長まで軍・政・財・メディア界の重鎮が勢ぞろい。果ては
asahi.com(朝日新聞社):「ネット全履歴もとに広告」総務省容認 課題は流出対策 - ビジネス・経済 (1/2ページ)
インターネットでどんなサイトを閲覧したかがすべて記録される。初めて訪れたサイトなのに「あなたにはこんな商品がおすすめ」と宣伝される――。そんなことを可能にする技術の利用に、総務省がゴーサインを出した。ネット接続業者(プロバイダー)側で、情報を丸ごと読み取る技術を広告に使う手法だ。だが、個人の行動記録が丸裸にされて本人の思わぬ形で流出してしまう危険もある。業者は今後、流出を防ぐ指針作りに入る。 この技術は「ディープ・パケット・インスペクション(DPI)」。プロバイダーのコンピューター(サーバー)に専用の機械を接続し、利用者がサーバーとの間でやりとりする情報を読み取る。どんなサイトを閲覧し、何を買ったか、どんな言葉で検索をかけたかといった情報を分析し、利用者の趣味や志向に応じた広告を配信する。 DPIは従来技術に比べてより多くのデータを集められるため、こうした「行動ターゲティング広告」に利
Webブラウザのタブがいつの間にか詐欺サイトに、新手の攻撃を実証
Webブラウザのタブがいつの間にか詐欺サイトに切り替われば、大抵のユーザーは気付かないままログイン情報を入力してしまうという。 Firefoxのクリエイティブを率いるエイザ・ラスキン氏は、Webブラウザのタブでユーザーが見ていたページをこっそり詐欺サイトに切り替え、ログイン情報を盗み出す新たな手口を報告している。同氏はこの攻撃を「タブナッピング」と名付け、解説・実証するページを公開した。 この攻撃では、ユーザーが普段からアクセスしているWebサイトを閲覧した後にしばらくそのままにしておき、別のタブで別のWebサイトを見ている間に、攻撃者がJavaScriptを使って最初のサイトのお気に入りアイコンをGmailのアイコンにすり替えてしまう。すると、「Gmail: Email from Google」のタイトルを付けて、Gmailのログインページに見せかけた画面を表示することができてしまうとい
「パスワード漏えいはない」 ユニクロのTwitter連携“行列”サイト、登録者のIDリスト公開される事態に対処
「パスワード漏えいはない」 ユニクロのTwitter連携“行列”サイト、登録者のIDリスト公開される事態に対処 ユニクロが5月24日にスタートしたTwitter連動キャンペーン「UNIQLO LUCKY LINE」で、登録者のTwitter IDやつぶやきを一覧表にしたテキストファイルがWeb公開されていたことが分かり、「Twitterのパスワードも漏れているのでは」とユーザーの間で不安が高まった。ユニクロは26日、「パスワード漏えいの事実はない」と発表。一覧表ファイルをWebから削除するなど対処を進めている。 UNIQLO LUCKY LINEは、Twitterアカウントとパスワードを登録し、つぶやきを入力すると、人間や動物などのアバターが登場、ユーザーの代理として店舗への行列に並ぶと同時に、つぶやきをTwitterに送信するというもの。並んでいるアバターからは吹き出しが現れ、Twitt
フォロワー0祭り!Twitter強制フォローのバグ発見から解決まで
フォロワー0祭り!Twitter強制フォローのバグ発見から解決まで2010.05.11 10:30 satomi 月曜夜更かしした人はTwitterのフォロワーが急に0になって焦ったんじゃ? 相手構わず誰でも強制的に自分のフォロワーにできるハックが大流行し、そのバグの修正の間、世界中のフォロワー数が一時的にゼロになったわけですが、事件の顛末を振り返ってみましょう。 まず大流行の引き金になったのが、以下のGizmodoの記事「強制フォローさせる手順」です。 強制フォローさせる手順 この死ぬほど簡単な手順に従えば、オプラからカッチャーまで、誰にでもフォローしてもらえる。いや本当さ。Twitterほどの人気サービスに何故こんなデカい穴が口開けたまま放置されているのか分からないけど、ともかく僕も晴れてオプラにフォローされ、DM(ダイレクトメッセージ)送れる身分になった。 [手順] 1. Twitt
Googleストリートビューカーが街中の無線LANをスキャンして記録、2010年末までに表示開始か
by Olaf_S ドイツ政府のプライバシーデータ保護官が明らかにしたところによると、GoogleはGoogleストリートビューカーで街中を撮影するだけでなく、個人の無線LANネットワークとMACアドレスをスキャンして記録していたとのこと。 詳細は以下から。 Google Street View logs WiFi networks, Mac addresses ・ The Register Google Street View: Erfasst auch private WLAN - Digital - Bild.de ドイツ連邦プライバシーデータ保護官であるPeter Schaar氏はこの事実を発見した際に「ぞっとした」としており、現時点ではまだGoogleはこれらの収集したデータをGoogleマップで表示はしていないものの、「無線LANマップを表示するサービスを今年度末までには開始し
高木浩光@自宅の日記 - ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を
■ ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を 昨年示していた、 やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合, 2009年8月2日の日記 日本の携帯電話事業者の一部は、「フルブラウザ」にさえ契約者固有ID送信機能を持たせて、蛸壺の維持を謀ろうとしているが、iPhoneのような国際的デファクト標準には通用しないのであって、今後も、他のスマートフォンの普及とともに、蛸壺的手法は通用しなくなっていくであろう。 そのときに、蛸壺の中の開発者らが、このニコニコ動画の事例と同様のミスをする可能性が高い。「IPアドレス帯域」による制限が通用しない機器では、アプリケーションの内容によっては特に危険な脆弱性となるので、関係者はこのことに注意が必要である。 の懸念が、今や、さらに拡大し、ケータイ業者のみならず、一般のシステムインテグレータの思考
「radiko」セキュリティ強化 「存続を危うくするサービスへの措置」
IPサイマルラジオ協議会は4月7日、AM・FMラジオを放送と同時に丸ごとPC向けに配信する試験サービス「radiko.jp」のストリーミングのセキュリティを強化したと発表した。「radikoの存続を危うくするサービスに対する措置」で、「ラジオの楽しみを広げるためのアプリを排除する目的ではない」としている。 同協議会はradikoについて「都市部を中心とした難聴取の解消を目的としたもの」と説明。ラジオ放送を、聴取エリア内のPC限定で配信しており、「実質的な放送エリアに向けた試験配信という枠組みで権利者、広告主など関係者の理解をいただいている」という。 「エリア外の聴取を可能にするサービスが一般化すると、実用化が困難になる可能性もある」ため、対策としてストリーミングのセキュリティを強化した。「ラジオの楽しみを広げるための様々なアプリを排除することが目的ではなく、エリア外聴取環境の提供、収益を得
Firefox と Greasemonkey とアフィリエイト泥棒 :: キミガタメ「ハ」
Amazonアソシエイトのtakochu04-22って何? Mozilla Firefox 拡張機能スレッド Part12 より。 わたしも takochu04-22 という ID をよく見かけていました。 はてなの中の人の ID かなー、ぐらいに思っていて、たまに私のサイトでも見かけたときは amazlet が不調だったのだろうと、もう一度張り直していました。 しかし、実態は Greasemonkey による書き換えでした。 Greasemonkey は指定ドメイン・URIに対しJavaScriptによるユーザーサイドスクリプトを追加することの出来る Firefox の拡張機能です。ウェブページの見た目や機能をブラウザ側でカスタマイズします。好みのユーザースクリプトを追加することでページを読みやすくしたり、便利な機能を利用することができます。 まあ言っちゃ、結構なんでもありのエクステンシ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://jp.techcrunch.com/2010/10/11/20101010being-eric-schmidt-on-facebook/
https://jp.techcrunch.com/2010/07/30/20100729facebook-hacker-all-i-did-was-compile-publicly-available-information/
IDEA * IDEA
ブログ | S2ファクトリー株式会社
UNIQLO LUCKY LINEがtwitterのユーザー名とパスワードをだだ漏れしてるかもしれない件について
https://jp.techcrunch.com/2010/04/07/20100406how-dirty-mp3-files-are-a-back-door-into-cloud-drm/
メッセサンオーで個人情報流出か!? エロゲ購入者リストがgoogleのキャッシュに:【2ch】ニュー速VIPブログ(`・ω・´)