楽天のメルマガ個人情報流出問題の犯人を推理する (ラボブログ)
ラボ神部です。 今日、楽天市場のメルマガ登録確認画面から個人情報が流出しているらしいという話が話題になっていますが、流出経路が何とも不可解。そこで、可能性をいくつか挙げてみて、下手な推理をしてみようかと思います。 そもそもの原因は そもそもの原因は、Google のロボットのように、メルマガの本来のセッション所有者以外が、メルマガ登録の画面遷移の跡をたどっているところにあります。 URL で言うと https://emagazine.rakuten.co.jp/ns?act=chg_rmail_delete_conf&k= の act= のあとがコマンド、k= のあとの部分がセッション ID になっているのは明らかです。楽天がどのようなプラットフォームの上で動いているのかわかりませんが、PHP なら php.ini で session.use_trans_sid オプションを ON にする
知っておきたいSSLサーバ証明書の取得まで - livedoor ディレクター Blog(ブログ)
こんにちわ。モバイルディレクターの飯田瞬です。 ウェブディレクターの中には、SSL サーバ証明書が必要なウェブサイトの構築を担当した人は少なくないと思います。 今回は SSL サーバ証明書を取得するにあたり、ディレクターが知っておいた方が幸せになれる必要最低限な事項を簡潔にまとめてみました。 割愛している部分もかなりありますが、詳細まで突っ込むと1エントリーでは収まりきらないため、何卒ご理解いただければと思います... 【01】SSLサーバ証明書って何だろう? SSL を一言でまとめると、住所やカード番号などを暗号化して第三者が傍受してもデータの改ざんや盗聴を防ぐといった技術が SSL です。 SSL サーバ証明書というのは、その SSL の暗号化技術を利用するサーバの身元を、第三者である認証局が保証することを示すものです。この証明書の中には SSL でクライアントとサーバ間の通信を暗号化
[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!:第1回 HTTPのしくみを復習しよう|gihyo.jp … 技術評論社
こんにちはこんにちは ! ! はまちや2です! 今日からぼくと一緒にWebプログラミングのセキュリティについて、ちょっぴり勉強してみませんか!今回はHTTPがどんなやりとりをしているのか、簡単におさらいしてみましょう!
![[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!:第1回 HTTPのしくみを復習しよう|gihyo.jp … 技術評論社](https://cdn-ak-scissors.b.st-hatena.com/image/square/29c83b78ddd1366ab14d60f762747032e7fc5f2e/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2008%2F202_hamachiya.png)
ナチュラムの情報漏えい事件では顧客のパスワードが平文で流出していたことが発覚
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: Top Smart Phones Free Credit Report Dental Plans Work from Home Contact Lens Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy|Do Not Sell or Share My Personal Information
ニュース超速報! NECのホームページがブラクラとしてリニューアル
1 名前: 雷諾(長屋)[sage] 投稿日:2008/08/09(土) 19:16:39.54 ID:8JbGiFKa0 ?PLT(12000) ポイント特典 sssp://img.2ch.net/ico/kumambo.gif ソース 【中国・北京】五輪観戦の米国人男性を殺害、2人負傷 犯人は自殺 3 http://namidame.2ch.net/test/read.cgi/news/1218273732/426 426 名前: 喜力(山口県)[] 投稿日:2008/08/09(土) 18:57:56.84 ID:lfvjaK5G0 FireFox使ってる奴ちょっと来い NECがやってくれたぜ! http://www.nec.co.jp/ 5 名前: 拉爾夫・労倫特(長屋)[sage] 投稿日:2008/08/09(土) 19:17:14.38 ID:A7BzgPtq0 おいoper
NEC公式サイトにアクセスするとブラウザが操作不能に
読者からのタレコミによると、NECの公式サイトのトップページにアクセスすると埋め込まれているFlashのせいでブラウザが操作不能になるとのこと。つまり、俗に言うところのブラクラ(ブラウザクラッシャー)になってしまっているらしい。 というわけで、アクセスしてみました。 問題のURLはここ、いつ修正されるかわからず、大変危険ですのでアクセスする際にはいつ強制終了しても大丈夫なようにしておいてください。 http://www.nec.co.jp/ 試しにFirefox3でアクセスしてみました。わかりやすく、タスクマネージャを起動させておきました。見てわかるように、CPU使用率が100%になってしまい、3分ほど放置しておくとブラウザどころか、WindowsXPまで動かなくなることまで確認しました。 このようにして青いFlashを読み込むと動かなくなる そのうちこうなる、ブラクラ状態 CPUを食いま
高木浩光@自宅の日記 - Yahoo!ケータイ初回利用時のユーザID通知に関する告知
■ Yahoo!ケータイ初回利用時のユーザID通知に関する告知 ソフトバンクモバイルのケータイWeb(「Yahoo!ケータイ」と呼ぶらしい)では、https:// ページへのリンクが妙な動作をするらしいというのが以前から気になっていたのだが、これは自分で調べるしかないと決意し、ソフトバンクモバイルの回線を契約し携帯電話を購入した。 早速「Y!」ボタンを押してみたところ。以下のページが現れた。最初に一回だけ表示される告知だと思われる。 SoftBankをご利用いただきありがとうございます。Yahoo!ケータイをご利用いただくにあたって必要な、お客様情報(ユーザID, ローミング情報)の通知設定を行います。 現在の情報: 未登録 ユーザIDの通知とは? (必ずお読みください) 通知する 通知しない ここで「ユーザID通知とは?(必ずお読みください)」のリンク先を見に行くと、図2の説明が現れた。
個人だから甘いのかな - ぼくはまちちゃん!
あらあら予告inがXSSやられちゃったらしいですね! 使い古された手法? いまどきエスケープ処理すらしてなくてダサい? 関連の記事に対して、はてなブックマークでも色々言われていたり、 http://b.hatena.ne.jp/t/%E4%BA%88%E5%91%8A.in?threshold=1 ニュースサイトでも、こんな煽り記事を書かれていたりするけれど… 今回の件についてIT企業に勤めるエンジニアに聞いてみると、 「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの?」 と語る。 予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」 http://news.livedoor.com/article/detail/3759632/ それってどうだろうね。 GoogleやAmazo
元携帯勝手サイト運営者が、実際に使っていた端末IDの使い方とかばらしちゃうよ! - FreeBSDいちゃらぶ日記
まぁ、Day 2000hit程度の(携帯勝手サイトの中では)中の下程度のサイトでしたが。 (今更になって)端末に付加されているユニークなIDにわーわー騒いでいる人が多いのですが、実際どのように使われていたのか、元携帯勝手サイト運営者が書いてみます。 参考リンク: 高木浩光@自宅の日「日本のインターネットが終了する日」 web屋のネタ帳「iPhoneと携帯契約者固有IDと複アカと青少年ネット規制によるケータイ闇ナベ狂想曲」 まず、背景ね。 アニメ・ゲームの情報交換系サイト。 Day 2000hit位の、携帯サイトの中では中の下かなぁ、という感じのサイト auがメイン、docomo対応はオマケ。PC・SoftBankからのアクセスは基本弾いていた 当時運営者の私は高校生 アニメ・ゲーム系サイトの中で、レンタル鯖使ってcgi置いてたりする勝手サイトは少なかったので、そういったサイトの管理人同士の
【コラム】シリコンバレー101 (278) 起こる前に考えておくべきiPhoneの紛失・盗難 | ネット | マイコミジャーナル
米国のApple StoreではiPhone 3G発売日の購入者に、MobileMeの1年間の契約を3割引にするクーポンを提供していた。.MacからMobileMeへの変化はAppleのオンラインサービスをPCユーザーに広げるものとなるが、やはりiPhoneのための進化という意味合いが強そうだ。実際ケーブル接続で同期することなく、iPhoneにカレンダーやコンタクトなどの各種データが配信されてくるのは快感である。iPhoneと複数のパソコンを利用している人にはおすすめのサービスだ。ただ、だからこそ残念なところが1点ある。 iPhone 3G購入の行列の中でMobileMeが話題になった時に、リモートワイプに相当する機能がついていれば契約するという人がいた。自分の場合はすでに.Macユーザーなので契約する/しないに関係なく自動的にMobileMeユーザーとなるのだが、個人的にも紛失・盗難対策
Suica泥棒にご用心! 暗号解読は時間の問題|IT&Business|ダイヤモンド・オンライン
【第7回】 2008年07月08日 Suica泥棒にご用心! 暗号解読は時間の問題 スイカ泥棒ならぬ、“Suica泥棒”という犯罪が近い将来日本に出現するかもしれない。 偽札鑑定機器などを製造している松村テクノロジー(2003年設立)の松村喜秀社長は、SuicaやEdyなどの非接触ICカードへの犯罪に警鐘をならしている。松村社長はセキュリティ業界では知る人ぞ知る権威だ。 実は、北朝鮮が作成した偽米ドル札「スーパーK」を発見し名づけたのも松村社長。偽札があると聞けば世界中に飛んでいき、犯罪者がいそうなエリアを歩き、探す。また、パスポートや運転免許証の偽造犯罪にも詳しく、大量の偽物を収集し鑑定のための技術を開発している。 その経験を買われ、世界中の捜査機関から顧問などの形で協力も求められ、特に近年は急増するカードに関する犯罪対策に取り組んでいる。 その松村社長が「犯罪者集団が次に狙っ
| ^^ |秒刊SUNDAY | ずばりフリーで、あっても困らないセキュリティツール集
2008年05月30日 ずばりフリーで、あっても困らないセキュリティツール集 ネットを使っていると、勝手なスパイウエァの混入、ウイルス、スパムと、パソコンは日々外部からの攻撃に晒されております。このような状況で無防備に、セキュリティツールを何も入れない方もいるかもしれませんが、あって損はないツールです。 ◆アンチウイルス AVG Anti-Virus Free フリーのアンチウイルス。無料というお得さよりも、何より動作の軽が定評。 ■AVG Free a ◆外部攻撃防止 MetaSploit Windows、Linux、BSD、Unix、Mac OSなど、様々来る外部からの攻撃を防ぐ。 ■The Metasploit Project ◆スパイウェア削除 Spybot OSにはいりこんだスパイウェアの削除。 ■SpyBotのインストール方法] ◆ファイル完全消去 完全削除 ファイルを根本的に
怪しいサイトの素性を暴く
たとえば某巨大掲示板やスパムメールなどに記入されているURLを、好奇心からちょっぴりクリックしてみたい。でも、やばいサイトだったらどうしよう……。そんな風に迷うことってありますよね。そんなときに便利なウェブサービスが「aguse(アグス)」です。これは、調べたいURLを入力するとそのサイト運営者などの関連情報を表示してくれるというもの。知る人ぞ知る便利サービスです。 aguseで「ascii.jp」のURLを入力して表示してみたところ。最近はWHOISもウェブベースで利用できますが、使いやすさや見やすさはaguseがだんぜん上。スクリーンショットや地図情報が見られたりブラックリスト判定までできたりと、とにかく至れり尽くせりです そのaguseが改良され高速になりました。「地図の位置情報をいままでよりは正確に出せるようにしました。ついでに絵取りも速くしましたので、全体に軽快になったと思います
(危険な追記あり) はてなダイアリーでYahoo!サイトエクスプローラーの認証をしよう! - ぼくはまちちゃん!(Hatena)
(Summary in English of this entry) Utilizing Yahoo! Site Explorer, it is possible for third parties to prevent your site by being displayed in search results. The reason is that the meta tag used for administrative rights confirmation is accepted even in the the page body even if it is html escaped. 3rd parties can gain control of your site simply by adding a comment to one of your pages. こんにちはこんに
樋口健夫の「笑うアイデア、動かす発想」:そんなに用心してどこ行くの? 超慎重海外安全確保術 - ITmedia Biz.ID
欧州では、空港へ着いた時から出国するまで、日本人の観光客1人あたり、3人の犯罪者が隙を狙っていると言われている。出張や旅行先で何に気を付ければいいのだろうか。 ある大学で、海外旅行の危険について話してほしいと頼まれた。大きな教室の演台で、招待してくれた先生が筆者の略歴を紹介し終わる時のことだ。斜め後ろに立っていた筆者は演台の前に進み、何かにつまずいたかのように先生の腰にポンと当たり「あ、すみません」と謝った。 日本でよく見る財布を後ろポケットに入れて歩く人 「じゃあ、樋口さんどうぞ」と言われて、筆者は「始める前に、まず先生の財布をお返ししましょう」と左手の財布を高く上に差し出した。先生も学生たちも仰天した。先生のズボンの右後ろポケットから長く細く突き出ていた財布を、後ろからぶつかる瞬間に抜き取るという典型的なやり方でスリを“実演”して見せたのだ。 日本では、財布をズボンの後ろポケットに入れ
エンドユーザーが感じる「セキュリティ,ここが不満」 第1回:「なぜUSBメモリーが使用禁止?」に,システム管理者はどう答えるべきか:ITpro
パソコン誌「日経PC21」の編集部には,様々な読者から「自分の会社のセキュリティ対策は,ここが不満だ」という投書が寄せられている。これらエンドユーザーの声に,情報システム部門はどのように応えていけば良いだろうか。セキュリティ・コンサルタントの濱本常義氏と共に,その答えを考えてみよう。 エンドユーザーの不満 私の会社では,USBメモリーの使用が禁止されています。というのも以前,業務データをUSBメモリーに入れて持ち出した人が,それを紛失してしまう騒ぎがあったからです。とても便利なツールなのに,会社で使えないのは不満が募ります。おかげで自宅作業ができず。残業時間が増える羽目になりました。情報システム部門はなぜ,このようなことをするのでしょうか? 今回,このお題を取り上げさせていただきましたのには,理由があります。実はこのお題には,企業が直面しているセキュリティ対策の問題点が,すべて詰まっている
【知っ得!虎の巻】Outlook Expressを消してセキュリティを強化しよう - ライブドアニュース
Windows XPには、メールソフトとしてOutlook Expressが最初からインストールされている。Outlook Expressは標準でOSに備わっていることから世界的に利用者が多いアプリケーションのひとつだが、Outlook Express自体がリモートコードを実行するなど、セキュリティ面で好ましくない機能を備えているため、コンピューターウィルスなどの格好の標的となっている。 企業では、セキュリティ性を重視する立場から社内のパソコンでOutlook Expressの使用を禁止している会社もあり、中にはOutlook Expressを使用していなくても、万が一に備えて、パソコンの中からOutlook Expressを消すよう指示する会社もある。 ところが、Outlook Expressは、「プログラムの追加と削除」のアプリケーションを起動しても、[プログラムの変更と削除]の項目に
本名バレてもへっちゃら? - ぼくはまちちゃん!(Hatena)
そうだね。 たいていの家には表札がかかっているし、 (今では減っただろうけど)電話帳なんかにも色々と載っていたりするよね。 外にでたら、普通に名前を名乗るし、とにかく本名で生活してる。 そういう感覚ならそう。 誰かに本名を知られても平気。 それは平気なことだった。 だけどネットが絡むとそうも言っていられないと、ぼくは思うよ。 なぜかって? ネットじゃなければ、沖縄にいる知らない人が、きみのちょっとした「つぶやき」を聞く機会はほとんどないよね。 北海道の知らない人に、興味を持たれる機会もほとんどない。 きみのポエムが2年後に、知らないひとの目にふれる機会なんてのも、たぶんない。 偶然、きみの一言が、誰かの目に留まり、 少し興味を持って調べてみると、 どんどん出てくる若かりし頃のポエム。写真…! 尽きない興味、高まる興奮…! そうして本人にはまったく心当たりのないまま 知らない人に、変質的に惚
高木浩光@自宅の日記 - Amazonは注文履歴の消去を拒否、アカウント閉鎖後もデータは残る
■ Amazonはやっぱり怖い そろそろ使うのをやめようと思う 今は朝6時。数時間前、寝ようとしたころに大騒ぎになっていた。 密かな趣味が全公開--Amazonのウィッシュリスト、改め「ほしい物リスト」に注意?, CNET Japan Staff BLOG, 2008年3月12日 これはひどいことになった。HATENA Co., LTD. では暗号解読の本をお求めのようだった。 幸い私は、ウィッシュリストを空にしていたので、何も見られることはなかったが、自分のAmazon登録メールアドレスを入れると、氏名と「茨城県」などの情報が表示された。(メールアドレスも非公開のものを使っているが、ワイルドカード指定もできたようなので、どうなっていたかわからない。もっとも、私は実名を隠していないが。) そもそも何年か前、この「ウィッシュリスト」なるサービスが始まったとき、やたらウイッシュリストへの登録が
Pマークは無意味? 取得企業の6割が情報漏えい
調査会社のアートは、プライバシーマーク取得企業を対象に実施した入退室管理の調査結果を発表した。 調査によると、過去5年以内に約6割の企業が情報流出や盗難などの被害に遭っているという。企業の規模が大きくなるにつれて割合も増え、従業員数が3001人以上の場合は約8割に上った。原因は「過失による個人情報漏えい」や「機器の紛失・盗難」が多かった。 入退室管理システムの導入において、約7割が「事故の予防」を理由に挙げた。「個人情報保護法」や「J-SOX法対応」なども目立った。 入退室管理の課題は、「従業員のセキュリティに対する意識が低い」が33%と最も高く、「入退室に関する紙やログを用いた集計データの活用」「入退室管理にかかるコストが高い」などが続いた。 オフィスや工場などで入退室管理をしている総務部門や情報システム部門などを対象に、2007年12月12日から3日間インターネット経由で調査した。有効
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
