Geekなぺーじ : 今朝、インターネットが壊れました
今朝01時23時JST頃から1時間弱、インターネットが世界的に壊れていたようです。 ほどなくして収束していったようですが、ISP同士のBGP接続が切れて通信が出来ないという状況が局所的に発生していたようです。 3/11 (invalid or corrupt AS path) anyone else seeing very long AS paths? [janog:08731] long AS Path incident] JANOGメーリングリスト 世界中で影響があったようですが、国内では上流網の一部でBGPのpeerが切れて国際的な通信が不通になっていた瞬間があったようです。 ただし、繋がったり切れたりという箇所もあったようです。 「壊れた」原因 NANOGでの情報によると、以下のようなログがルータに残されていたようです。 255以上という異常に長いAS pathが原因のようです。
高木浩光@自宅の日記 - Googleドキュメントの「招待メール」の危険
■ Googleドキュメントの「招待メール」の危険 ことの始まり 先々週の話。1月23日に次の記事が出ていた。 『Google Docs』の設定にご用心:知らないうちに書き換えも?, WIRED VISION, 2009年1月23日 この記事の趣旨は、「Googleスプレッドシート」の共有設定の画面の説明文「Let people edit without signing in」が誤解を招くために、誤って、誰にでも閲覧や編集を許す設定にしてしまいかねないという話である。この画面は、日本語表示では図1の表記となっている。 WIRED VISIONの記事の言い分では、「people」が上の招待メール送信先の人々のことを指すように読めて、下の「プライバシー」設定も変更しないといけないように誤解してしまうという。 そもそも、この機能の意図されている動作はどういうものか。私も試しているうちに一時混乱し
高木浩光@自宅の日記 - 旧はてなブックマークで社内情報が漏洩していた可能性
■ 旧はてなブックマークで社内情報が漏洩していた可能性 昨年11月上旬に、はてなブックマークでプライベートアドレスが登録されていることが話題になっていた。 はてなブックマーク - はてなブックマーク - http://192.168. たとえば次などがそれだ。 http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.1/ http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.2/ http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.3/ http://b.hatena.ne.jp/entrylist?sort=eid&url=http://192.168.0.4/ http://b.
@IT:ファイルを完全に消去するには
ハードディスクやMO、FDなどの記録メディアを破棄したり譲渡する場合、記録されているデータを完全に消去することが望ましい。特に、個人情報や社外秘のデータを記録したことのあるディスクの場合、完全な消去は必須だ。 rmコマンドでファイルを消去すれば、見かけ上そのファイルの内容を表示することはできなくなる。しかし、rmコマンドは該当ファイルのiノードを解放するだけで、データの内容自体はディスク上に残る。従って、ddコマンドなどによって直接データを取り出すことも可能であり、データが流出する可能性は否定できない。 Linuxでファイルを完全に消去するには、shredコマンドを使う。shredは、ファイルを特別なパターンで繰り返し上書きすることによりデータの復旧をより困難にするツールで、GNU core utilsに含まれている。 ファイルを削除する際は、以下のように--removeオプション(-uで
未検証なので信憑性はないが、iモードにおけるgmailのセッション管理を解析してみた - masutaroの日記
1. iモードにおけるSSL事情 iモードはSSL通信中、下記のどの方法でもユーザーを一意に識別する情報を取得する事ができません。 ・utn ・NULLGWDOCOMO ・guid=ON ・cookie(iモードは未対応) そのため、iモードでSSL通信中にユーザーを一意に識別したい場合(*1)はURLにsession_id=*****というようなセッション情報を付加して引き回さないといけません。しかし、そうするとセッション情報が付加された状態のURLが何らかの理由で他人の手に渡った場合(*2)、セッションハイジャックの恐れが出てきます。 *1 ECサイトの決済画面など *2 ユーザーがメールで他人に送ってしまったり、通信が盗聴されたり... 2. gmailの不思議 まず先に結論を述べておくと、iモードでgmailを閲覧した時のSSL通信中のURLを、他の端末に転送してもセッションハイジ
livedoor ニュース - 『mixi年賀状』にセキュリティホール!?【トレビアン】
『mixi』が日本郵便と組んで始めたサービス『mixi年賀状』、これはマイミクが自分の住所を相手が知っていなくても年賀状を受け取ることができるというサービス。 通常は差出人が受取人の住所書くのだが、『mixi年賀状』は受け取り時に受取人の方で住所を入力するため相手に住所がわからないようになっている。 リアルな友達じゃないけど年賀状の交換はしたいという人に向けて開始されたサービス。 あまりの人気に一時サーバーがパンクするほどだ。 しかしそんな『mixi年賀状』にセキュリティホールが発見された。 先ほど家のポストを見てみると『mixi年賀状』が届いていた。 少し早い年賀状だと思いよく見てみるとそれは自分がマイミクに出したものだったのだ。 年賀状には以下の様にかかれており差し戻しされていた。 「配達準備中に調査しましたがあて名不完全で配達できません」 これは自分がマイミクに年賀状を出した際に、相
ハードディスクが死亡してデータが失われる前に気づくことを可能にするフリーソフト「Active@ Hard Disk Monitor」 - GIGAZINE
最近はハードディスクもどんどん大容量化してきているわけですが、そうなるとハードディスクがぶっ壊れてお亡くなりになった際に失われるデータの量も尋常ではなく、物理的にも精神的にも食らうダメージは想像を絶します。日頃からこまめにバックアップしていればいいのですが、やはりハードディスクの突然死には遭遇したくないものです。 というわけで、「死の予兆」をなんとかして知りたいという要求に応えてくれるのがこのフリーソフト「Active@ Hard Disk Monitor」。よくあるS.M.A.R.T.(Self-Monitoring Analysis and Reporting Technology)値によるモニタリングとチェックだけでなく、ハードディスクの温度変化、磁気ヘッドの浮上高(空圧で浮かび上がっている距離が小さいとヘッドが衝突してクラッシュする可能性が高まる)、規定の回転数に達するまでにかかっ
blog.katsuma.tv
Kitasando.asで話題になったのがSWFVerification。これはストリーミングサーバが特定のswfからのアクセスしか許さない、という機能。FMS3は接続を行うswfをあらかじめ登録しておくことで、接続時にハッシュ値の整合性を確認し、1byteでも異なっている場合は接続を許可しない、という仕様だそうです。(どうやって整合性とってるのかは謎。typesterさんも言及してました。) で、そんな機能ってたしかWowzaにもあったはずだよなぁ。。と思って調べてみるとそれっぽい機能がありました。ただ、FMS3とは少し違う仕様で、「接続を許可するswfの設置サーバのドメインを登録できる」というもの。ハッシュ値照合までしないので、厳密にはVerificationではないものの、セキュリティ的には結構これで事足りる気はします。つまりローカルにswfを落としてそこから接続を試みるような野良s
GoogleカレンダーのHTMLソースに氏名とメールアドレス | スラド セキュリティ
ストーリー by hayakawa 2008年11月26日 12時16分 そもそもなんのために使ってるんだろう? 部門より Googleカレンダーをお使いの方、匿名のつもりでカレンダーを公開していませんか? メインのカレンダーでは、カレンダーIDがgoogleアカウントのメールアドレスとなるため、URL中にそのメールアドレスが入ります。サブのカレンダーを作るとランダムなカレンダーID({英数字26文字}@group.calendar.google.com)となり、URL中にはメールアドレスが含まれないため、これを匿名のつもりで公開している方も少なくないのではないでしょうか。 ところが、カレンダーのHTMLソースを見ると、ばっちり、登録した氏名とメールアドレスが埋め込まれているのです。バレると恥ずかしいカレンダーを公開している人は注意しましょう。 蛇足かもしれませんが、一応補足させていただき
Gmailの「脆弱性」情報--グーグル側はフィッシングと反論
Googleは米国時間11月25日、サードパーティーが「Gmail」の脆弱性を利用して、ドメインをハイジャックしたといわれている件を調査した結果を発表した。いわれているような脆弱性はGmailに見つからなかった、と結論付けている。 いわれていた脆弱性は、攻撃者がユーザーの電子メールアカウントに許可なくフィルタを設定できるというもので、ブログサイトGeek Conditionが11月23日に実証コードを掲示していた。このブログで、「Brandon」と名乗る人物は、脆弱性により、GoDaddy.comで登録していたドメインをハイジャックされた人がいると記している。 しかし、Googleはこの脆弱性の影響を受けたと主張する人を調査した結果、この人たちは(Gmailの脆弱性ではなく)フィッシング攻撃の被害者であると判断したという。Googleの情報セキュリティエンジニア、Chris Evans氏は
AESのCTRモード(TLSとDTLS用) - まどぎわBLOG
AESのCTRモードはストリーム暗号が実現できたり、推奨されるモードに入っていたりする割にはCBCモードと違って情報が少ないのですが、IETFのドラフトにTLSの場合の話があったので、それを調べてみた時の各章ごとのメモです。 AES Counter Mode Cipher Suites for TLS and DTLS [draft-ietf-tls-ctr-01] 1. Introduction AES-CTRモードの利点がいろいろ書かれている。 AES-CBCと比べて17〜32バイトお得になる。16バイト分はIVを明示的に送信する必要がなく*1、残りの1〜16バイト分はパディングが必要ないため。 暗号データにランダムアクセスが可能となる。UDPを使ったDTLS*2の時に到着順を気にしなくてよくなる。 ランダムアクセス可能という性質を利用して処理の並列化が可能となる。 一つの暗号アルゴリ
window.nameによるクロスドメイン通信 - snippets from shinichitomita’s journal
随分前になるが、SitePenの人 (dojo) が書いたブログに window.nameを使ったクロスドメイン通信についてまとめられていた。 window.name Transport - Blog | SitePen 気になっていたがちゃんと読む時間がなかったので、今ごろ見てみる。抜粋して訳。 window.name による通信 The window.name transport is a new technique for secure cross-domain browser based data transfer, and can be utilized for creating secure mashups with untrusted sources. window.name is implemented in Dojo in the new dojox.io.windowN
ptlabo.net -
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
Windows Vistaのアクティベーションをクラックする新手法が登場 | スラド
GIGAZINEの「WindowsVistaのBIOSをエミュレートしてクラックする新手法が登場」という記事によると、BIOSをエミュレートすることでWindows Vistaを正規のアクティベーション手続きを行わずに利用する方法が発見された、とのことだ。 しかし、GIGAZINEの記事を読んでもいったい何をやっているのかさっぱり分からなかったため、この記事のネタ元(FILEnetworks Blog: Vista 32-bit one click activator (BIOS Emulation))やVista Cracked by Team Paradox by Reaper-X .:[ ID ]:.などを確認したところ、これはHPやレノボなどの大口OEMメーカーに向けた、アクティベート済みのVistaをPCに組み込む機能を利用しているらしい。 この「アクティベート済みVista」は
楽天のメルマガ個人情報流出問題の犯人を推理する (ラボブログ)
ラボ神部です。 今日、楽天市場のメルマガ登録確認画面から個人情報が流出しているらしいという話が話題になっていますが、流出経路が何とも不可解。そこで、可能性をいくつか挙げてみて、下手な推理をしてみようかと思います。 そもそもの原因は そもそもの原因は、Google のロボットのように、メルマガの本来のセッション所有者以外が、メルマガ登録の画面遷移の跡をたどっているところにあります。 URL で言うと https://emagazine.rakuten.co.jp/ns?act=chg_rmail_delete_conf&k= の act= のあとがコマンド、k= のあとの部分がセッション ID になっているのは明らかです。楽天がどのようなプラットフォームの上で動いているのかわかりませんが、PHP なら php.ini で session.use_trans_sid オプションを ON にする
GPSシステムに脆弱性:偽のGPS信号で受信機をだます | WIRED VISION
GPSシステムに脆弱性:偽のGPS信号で受信機をだます 2008年9月30日 IT コメント: トラックバック (0) Priya Ganapati Photo:Dave77459/Flickr 何百万台ものGPSベースのナビゲーション機器が出回っているいま、そろそろこんな疑問が出てもいい頃だろう――GPSのネットワーク自体が攻撃されたどうなるのだろうか。 バージニア工科大学とコーネル大学の研究者たちが、1年以上の時間をかけて、偽のGPS信号を送信して受信機をだませる機器を開発した。 「GPSは、電力網や水道システムと同じように技術基盤に組み込まれている」と、電気・コンピューター工学の教授でコーネル大学のGPS研究所の所長でもあるPaul Kintner氏が声明の中で述べている。「攻撃された場合、重大な影響を受けるだろう」 GPSは米国政府が構築したナビジェーション・システムで、特定の軌道
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://japan.internet.com/webtech/20090109/5.html
本物そっくり「疑似個人情報」を無償提供
ウェブサイトの攻撃兆候検出ツール iLogScanner | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
行動ターゲティング広告はどこまで許されるのか インターネット-最新ニュース:IT-PLUS
