GoogleはJavaScriptで隠匿したメールアドレスを読み取り、検索結果に表示している? | スラド IT
メールアドレスをウェブページに公開する場合、アドレスをHTMLでそのまま書いてしまうとスパム業者の格好の的となってしまう。これを避けるには、アドレスをgifやjpegなどの画像で表示させたり、分断して記述したアドレスをウェブページでは一続きに表示させるようなJavaScriptを使用することが有効であるとされてきた。projecthoneypot.orgではスパム対策として、このようなJavaScriptを自動生成してくれるツールも公開している。 しかし、GoogleはこのようなJavaScriptからメールアドレスを構築し、ウェブページのサマリーにアドレスを表示してしまうようになったとの報告が本家/.にて取り上げられている。 元記事であるbaxil.livejournal.comによると、HTML上ではJavaScriptで改変して記述してあるアドレスが、検索結果できちんとアドレスとして
高木浩光@自宅の日記 - Googleドキュメントの「招待メール」の危険
■ Googleドキュメントの「招待メール」の危険 ことの始まり 先々週の話。1月23日に次の記事が出ていた。 『Google Docs』の設定にご用心:知らないうちに書き換えも?, WIRED VISION, 2009年1月23日 この記事の趣旨は、「Googleスプレッドシート」の共有設定の画面の説明文「Let people edit without signing in」が誤解を招くために、誤って、誰にでも閲覧や編集を許す設定にしてしまいかねないという話である。この画面は、日本語表示では図1の表記となっている。 WIRED VISIONの記事の言い分では、「people」が上の招待メール送信先の人々のことを指すように読めて、下の「プライバシー」設定も変更しないといけないように誤解してしまうという。 そもそも、この機能の意図されている動作はどういうものか。私も試しているうちに一時混乱し
GoogleカレンダーのHTMLソースに氏名とメールアドレス | スラド セキュリティ
ストーリー by hayakawa 2008年11月26日 12時16分 そもそもなんのために使ってるんだろう? 部門より Googleカレンダーをお使いの方、匿名のつもりでカレンダーを公開していませんか? メインのカレンダーでは、カレンダーIDがgoogleアカウントのメールアドレスとなるため、URL中にそのメールアドレスが入ります。サブのカレンダーを作るとランダムなカレンダーID({英数字26文字}@group.calendar.google.com)となり、URL中にはメールアドレスが含まれないため、これを匿名のつもりで公開している方も少なくないのではないでしょうか。 ところが、カレンダーのHTMLソースを見ると、ばっちり、登録した氏名とメールアドレスが埋め込まれているのです。バレると恥ずかしいカレンダーを公開している人は注意しましょう。 蛇足かもしれませんが、一応補足させていただき
Gmailの「脆弱性」情報--グーグル側はフィッシングと反論
Googleは米国時間11月25日、サードパーティーが「Gmail」の脆弱性を利用して、ドメインをハイジャックしたといわれている件を調査した結果を発表した。いわれているような脆弱性はGmailに見つからなかった、と結論付けている。 いわれていた脆弱性は、攻撃者がユーザーの電子メールアカウントに許可なくフィルタを設定できるというもので、ブログサイトGeek Conditionが11月23日に実証コードを掲示していた。このブログで、「Brandon」と名乗る人物は、脆弱性により、GoDaddy.comで登録していたドメインをハイジャックされた人がいると記している。 しかし、Googleはこの脆弱性の影響を受けたと主張する人を調査した結果、この人たちは(Gmailの脆弱性ではなく)フィッシング攻撃の被害者であると判断したという。Googleの情報セキュリティエンジニア、Chris Evans氏は
【ハウツー】もう試しましたか? Googleの脆弱性発見ツール「ratproxy」 (1) XSS問題などを検出可能 | エンタープライズ | マイコミジャーナル
Webアプリケーション開発者にとって切っても切れない問題――それがセキュリティ対策だ。日増しに複雑になっていく要件・機能に対する脆弱性検査に悲鳴をあげているデベロッパ/テスターも多いことだろう。そのような中、あのGoogleが、社内でも活用している脆弱性発見ツールをオープンソース化して公開した。同ツールは脆弱性検査の新しい決め手となるか。以下、基本的な使い方や主要機能について紹介していこう。 Google社内で現役の脆弱性検知ツール - ratproxy Googleは1日(米国時間)、Webアプリケーションのセキュリティ監査を実施するツール「ratproxy」をリリースした。ratproxyはプロキシサーバとして動作するオープンソースソフトウェア。同ソフトウェアを経由してWebアプリケーションを操作することで、XSS(Cross Site Scripting)問題や不適切なXSRF(Cr
404エラー装う悪質サイト、Googleツールバーの「乗っ取り」で阻止できるか
一部で問題になっているGoogleのIE向けツールバーの「404乗っ取り」機能。これが悪質サイトの閲覧を防ぐ役に立っているとの見方も。 目的のWebサイトが見つからない時に表示される「404エラー」ページを装った悪質サイトが見つかった。セキュリティ企業のWebsenseが、GoogleのIE向けツールバーの「404乗っ取り」問題に絡めて伝えている。 404乗っ取り問題は、GoogleのIEツールバーでは404エラーページの代わりに、Google検索に誘導するページが表示されることに起因する。この機能は404ページの「乗っ取り」に当たるのではないかとして、一部のブログが問題を提起していた。 Websenseは悪質な404ページが見つかったことを前提に、Googleのツールバーでこうした悪質404ページの閲覧を防ぐという考えは結構だと指摘する。 ただし、Googleツールバーの「乗っ取り」が起
Geekなぺーじ:クラッカーがGoogleを使って脆弱なサイトを探す方法の例
Googleを使って脆弱性のあるサーバを探す手法を「Google Hacking」と言いますが、その検索方法を大量に集めた 「Google Hacking Database (GHDB)」というサイトがあります。 そこでは様々な検索キーワードが紹介されています。 紹介されているものを、いくつかピックアップしてみました。 (ただし、多少古いです。) このような検索を行って脆弱性のあるサーバを探している人が世の中に結構いるみたいです。 サーバを運用している方はご注意下さい。 これらの情報は既に公開された情報なので、検索結果にはワザとこのような情報を流して侵入を試みる人を誘い込もうとしているハニーポットが含まれている可能性もあります。 秘密鍵を探す 秘密鍵は公開鍵と違って秘密にするものなので発見できてしまうのは非常にまずいです。 BEGIN (CERTIFICATE|DSA|RSA) filet
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
