なんとFacebookは不正ログイン防止の仕組みまでが感動的にソーシャルだった | Token Spoken
普段、視点や環境を変えなければまったく気づかないこともあります。 しかも、その日常に慣れきっていればいるほど、そこに驚きがあるなどとは誰も予想もしていません。 もう何百回も繰り返している、そんな日常の作業の中で、予想もしない感動に出会う。 今日、Facebookを使って日々の業務をこなそうとしていたところ、そんな出来事に遭遇しましたので、皆様と共有させていただきたいと思います。 大げさですみません、しかし、個人的には少し感動しすぎてしまったものですから。。。 事の発端は、こんな事から始まりました。 実は、出張先の韓国のソウルよりSeesmic Desktop Proというアプリケーションで、Facebookアカウントの認証を行おうとしたら、こんなエラーメッセージが表示されたのです。 ここまでは、セキュリティ対策としてはよくあるパターンですので特に何とも思いません。 普段アクセスしているIP
asahi.com(朝日新聞社):iTunes、IDなりすましの恐れ アップル社調査 - 社会
代金の不当請求被害が多発しているアップル社の音楽配信サイト「iTunes(アイチューンズ) Store(ストア)(iTS)」で、一定の条件がそろうと、見ず知らずの他人に自分名義で音楽ファイルなどを買われる状態になる恐れがあることがわかった。パスワードを変える際の本人確認が不十分な可能性があり、同社も事実関係の調査を始めた。 iTSの利用者は購入前にIDとパスワード、代金を支払うクレジットカード番号などを登録する。IDとパスワードは、対になって本人確認に使われる。 だが、千葉県の女性は約2週間前、実在する北海道の女性の利用画面に偶然に入ってしまった。千葉県の女性によると、新しく設定したIDでiTSに接続し、パスワードを入れたところ、何度か「違う」と接続を拒まれた。パスワードを再登録し、再接続してみると、個人情報の画面に北海道の女性の住所や電話番号、クレジットカード番号の一部、誕生日などが
Mozilla、「CSS による Web ブラウズ履歴漏えい」をブロックする方向へ | スラド セキュリティ
「JavaScriptを使わずにWebブラウザの閲覧履歴を盗む」や「楽天・ドリコムの行動ターゲッティング広告、HTML/CSS仕様の不備を突いて訪問先サイトを調査」などで過去話題に上った「HTML/CSS仕様の不備」について、Mozilla が対策を行う方針で検討を進めるようだ (Mozilla Japan ブログ記事、Mozilla Security Blog の記事、Mozilla Developer Street (modest) の記事) 。 問題となっている「HTML/CSS仕様の不備」というのは、「すでに訪問済みのリンクを別の色で表示する」というもの。これは長らく使われてきた仕様であり、ユーザビリティの向上にも役立っている。しかし、たとえばページ内に大量の隠しリンクを埋め込み JavaScript でその表示状態をチェックする、といった手法を用いることで、URL に対し訪問の有
webのログイン管理的なもの (#1744334) | メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI | スラド
携帯対応・変なファイヤーウォールを無視できるとして、今回の件では関係ないものもありますが、対策はこんな感じでしょうか。 専門家の方もxxはyyが悪いというばかりで、対策をまとめてくれないのでよくわからんのですよね。 ベーシック認証、クライアント証明は考慮外です。 step0: ログインIDとパスワードをURLに含めて持ち歩くのをやめる step1: パスワード送信をPOSTにしてPOSTのみ受け付ける step2: ログイン画面以外は、パスワードを利用せずにcookieを使う step3: 全コンテンツでTLS・有効で信頼済みの認証局発行のサーバー証明書を使う step4: cookieにはsecureフラグを立てる step5: cookieには基本的にセッションIDのみを保存する step6: セッションIDをjsessionidやphpsessionidなどでURIに含めない。受け付
「iTunes特有の問題ではない」――消費者庁の質問状に運営会社が回答
iTunes Storeから身に覚えのない請求を受けた事例が相次いでいる問題で、消費者庁は、運営会社「iTunes」(エドュアルド・クー社長)にあてた公開質問状の回答文書を公開した。回答の中でiTunesは、身に覚えのない請求について考えられる原因を挙げた上で、「iTunes特有の問題ではない」としている。 質問状は、トラブルの詳細と今後の方針について情報公開を求める内容で、消費者庁が2月17日、iTunesに手渡した(消費者庁、iTunesに公開質問状 料金請求トラブル多発で)。 3月2日付けのiTunesからの回答(PDF)では「日本で請求の問題が異常に増加しているとは認識していない」とした上で、心当たりのない料金請求事例の把握数など詳細は「ユーザーのプライバシー問題などがある」として回答を避けた。 心当たりのない請求の原因としては、(1)クレジットカード詐欺、(2)ユーザーのメールア
位置情報ダダ漏れに警鐘を鳴らすサービス「Please Rob Me」とは? | ネット | マイコミジャーナル
「Please Rob Me」というサイトが話題になっている。直訳すると「私の家に空き巣に入ってください」となるが、サイトの説明によれば最近TwitterやGoogle Buzzなどに実装された位置情報を伴うコメント発信に警鐘を鳴らす意味があるという。 Please Rob Me スマートフォンなどの携帯電話からTwitterやGoogleにアクセスしてインターネットにコメントを投稿すると、最近ではコメントとともにGPSの情報を基にした位置情報が付与されるサービスが用意されている。これはモバイル版TwitterやGoogleに実装されているGeo Tagサービスの一種で、もちろん無効化することも可能だが、相手に位置をあえて知らせることで友人と連絡をとりやすくしたり、撮影した写真も含めて自分の現在位置をアピールすることができるメリットがある。Google Latitudeなど、こうした仕組み
Amazon.com、「合い言葉」で支払いできるサービスを導入
米Amazonは10月29日、ユーザーが簡単な「合い言葉」と暗証番号を入力するだけでオンラインショッピングの支払い手続きができるサービス「Amazon PayPhrase」を発表した。 このサービスはAmazon.comのほか、Buy.comなどの対応サイトでのショッピングに利用できる。利用料は無料。購入したい商品のページの「PayPhraseで支払う」ボックスに、あらかじめ設定した合い言葉(PayPhrase)を入力し、ボックスの横のボタンをクリックすると、注文確認ページが表示される。ログインやクレジットカード情報の入力などは必要ない。注文内容を確認したあと、4けたの暗証番号を入力すると注文が完了する。Amazon.com以外のサイトでPayPhraseを利用すると、Amazonに登録している配送情報と決済情報が利用されるため、個人情報を入力する必要はない。 PayPhraseと暗証番号
MSからアドビへ--変化するセキュリティ上の攻撃対象
ネットワークに侵入しようとしている犯罪者にとって一般的な攻撃方法は、ほとんどのコンピュータに存在し、かなり大きなセキュリティホールがあり、自動的にはアップデートされないソフトウェアのセキュリティホールをつく、というものだ。 2002年には、そのようなソフトウェアといえば「Windows」だった。今では、それは「Adobe Reader」や「Flash Player」のようだ。両ソフトウェアの脆弱性やそれに対する攻撃の割合が増えている一方、Microsoft製品に対する攻撃は減っている。 F-Secureによると、攻撃のほぼ半数は、PDFファイルを読むために使われるAdobe Readerのセキュリティホールを狙ったものだという。危険なウェブ経由の自動攻撃に使用されたPDFファイルの数は、2008年1月からの3カ月半で128だったものが、2009年の同じ時期には2300に跳ね上がったと同社は
ネット利用者の3割はパスワードを使い回し――Sophos調査
サイトごとに別々のパスワードを使い分けているユーザーは19%にとどまり、3年前とほとんど変化していなかった。 インターネット利用者の3割がすべてのWebサイトで同じパスワードを使っていることが、セキュリティソフトメーカーの英Sophosの調査で明らかになった。簡単に破られてしまうパスワードを使えば、個人や企業の情報が危険にさらされると同社は警鐘を鳴らしている。 調査は3月にインターネットで実施し、676人から有効回答を得た。複数のWebサイトで同じパスワードを使うことがあるかどうか尋ねたところ、33%が「いつも同じパスワードを使っている」と回答した。半数近くの48%は「複数の異なるパスワードを使い分けている」と答え、「同じパスワードは決して使わない」は19%にとどまった。 パスワードを常に使い分けているユーザーは、3年前の調査の14%からほとんど増えておらず、多い桁数やランダムな文字列によ
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
MSセキュリティのこの10年:手痛い教訓をバネに
文:Ina Fried(CNET News.com) 翻訳校正:アークコミュニケーションズ、磯部達也 2007-12-12 08:00 「MSセキュリティのこの10年」シリーズでは、Microsoftのセキュリティ戦略が過去10年でどう変わってきたかをレポートする。本編はシリーズ第1回目の記事である。 ワシントン州レドモンド--Matt Thomlinson氏は苦労話の例として、2003年の夏を振り返る。 「Microsoftの敷地内にバスが何台も入ってきて、エンジニアたちを日常業務から(製品サポートの)電話対応業務へとピストン輸送して行った。つらい思いだった」Microsoftのセキュリティエンジニア業務を率いるThomlinson氏は語る。 それはBlasterワームが大発生して、不満を持ったユーザーからの電話でMicrosoftの電話回線がパンクしたときであった。 Microsoft
MS:「VistaのUACはユーザーをいらいらさせるために搭載した」:ニュース - CNET Japan
サンフランシスコ発--Microsoftの製品ユニットマネージャーを務めるDavid Cross氏によると、「Windows Vista」のユーザーアカウント制御(UAC)は、故意にユーザーを「いらいらさせ」、サードパーティのソフトウェアメーカーにセキュリティの高いアプリケーションを作るよう圧力をかけるために設計されたのだという。 Cross氏は、UACの設計に責任を持つグループプログラムマネージャーを務めていた。UACが有効になっている場合、管理者アカウントではなく標準ユーザーアカウントでVistaを使用するよう求められ、プログラムをインストールしようとすると警告が表示される。 Cross氏は米国時間4月10日、サンフランシスコで開催された情報セキュリティイベント「RSA Conference 2008」で次のように語った。「(Vistaに)UACを搭載したのはユーザーをいらいらさせるた
情報セキュリティ入門
コンピュータやネットワークが一般社会に浸透し,情報を扱う利便性は向上してきました。しかし利便性の向上は,同時にセキュリティの低下も招きました。サービスの利便性を享受するには,自分の身は自分で守り,他人には迷惑をかけないようにしていかねばなりません。 この連載コラムでは, ●情報セキュリティに関する知識を増やしたい ●何をすればどうなるのかはわかっているけれど,その舞台裏を知りたい ●情報セキュリティ関連の資格試験を受験するための基礎知識を固めたい という方々を対象に,知っておきたい情報セキュリティの概念,技術,規約などを解説していきます。 忙しい方は,各回の冒頭にある「ポイント」だけを読んでいただければ話の大枠は理解できるようにしました。ポイント部分に目を通して興味がわいてきたり,自分の弱点だと感じたら,そのあとに続く本文もぜひ読んでみて下さい。 毎週水曜日に1本ずつ記事を掲載して行く予定
ophcrack
Ophcrack is a Windows password cracker based on a time-memory trade-off using rainbow tables. This is a new variant of Hellman's original trade-off, with better performance. It recovers 99.9% of alphanumeric passwords in seconds. Features Cracks LM and NTLM Windows hashesFree tables available for Windows XP, Vista and 7Brute-force module for simple passwordsAudit mode and CSV exportReal-time graph
高木浩光@自宅の日記 - 住民票コードを市町村が流出させても全取替えしない先例が誕生する?, 追記
■ 住民票コードを市町村が流出させても全取替えしない先例が誕生する? 愛媛県愛南町の住基情報がWinnyネットワークに流出させられた事故では、住所、氏名、生年月日、性別と共に住民票コードも流出しているとのことだが、報道によると、愛南町は、「住民票コードの変更を求める住民については変更に応じる」とされていた。愛南町の発表文を確認してみると次のように書かれている。 愛南町では今後、5月21日(予定)から職員全員で関係する全世帯を訪問し、情報が流出したことについての説明とお詫びに伺う所存でございます。また、住民票コードの変更を希望される方には、変更申請を行っていただくようお願いいたします。 愛南町の住民の個人情報の流出に関するお詫びとお知らせ, 愛媛県愛南町, 2007年5月18日 「変更に応じる」と言っても、今回の事故の対応措置というわけではなく、元々、住民票コードの変更は平常時から用意されて
迷惑メールを「削除」してはいけない - ワークスタイル - nikkei BPnet
迷惑メールを「削除」してはいけない (須藤 慎一=ライター) 迷惑メールを識別して、「迷惑メールフォルダ」に自動的に振り分ける機能の付いたメールソフトを使っている人は多いだろう。このとき、迷惑メールフォルダにたまった迷惑メールを、無意識に「削除」していないだろうか? この操作はやめなければいけない。迷惑メールフォルダが備えている安全対策機能を無にしてしまうからだ。 「受信トレイ」を未処理メールの保管場所として使い、処理を済ませたら「削除」する。こういうメール整理術を採用している人がとくに危ない。このタイプの人は、過去メールが必要なったとき、「削除済みアイテム」を探すことが多いからだ。 削除済みアイテムは、迷惑メールフォルダほど安全対策が徹底していない。迷惑メールをかき分けながら必要なメールを探すとき、ついうっかり迷惑メールを見る(開く、あるいはプレビューする)というのはマズいこと
高木浩光@自宅の日記
■ Claude 3による解説:「不適正利用禁止」規定は立案段階で内閣法制局にどう捻じ曲げられたか 昨日の日記「「不適正利用禁止」規定は立案段階で内閣法制局にどう捻じ曲げられたか」だが、おそらく「長すぎて読めない」という声が多そうなので、Claude 3に原稿を読ませて簡単に解説してもらった。これで興味が湧いたら原文を見てほしい。 Claude:はい、この文書の意味はよく理解できます。これは、個人情報保護法の2020年改正(令和2年改正)で新設された「不適正利用禁止」規定(第19条)がどのように立案されたかについて、情報公開請求で開示された内閣法制局審査資料を基に詳細に解説したブログ記事の原稿です。 主な内容は以下の通りです: 当初、個人情報保護委員会事務局は、プロファイリングなどの新技術に対応するため、「適正な利用」義務を新設しようとしていた。 しかし、内閣法制局との審査過程で、規範の明
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ほとんどのブラウザーで個人を識別できる“指紋”を残す、米EFFが警告 
地方公共団体セキュリティ対策支援フォーラム(LSFORUM) トップページ
KDDI au: auからのお知らせ一覧 > auからのお知らせ