cinefukのブックマーク - はてなブックマーク

Google Chrome、アドレスボックスにドメイン名のみを表示する計画を取りやめ | スラドセキュリティ

Googleは昨年から一部のユーザーを対象に、ChromeのOmnibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを行っていたが、本格導入は行わないことにしたそうだ(Issue 1090393、 Ghacksの記事、 Android Policeの記事、 9to5Googleの記事)。ドメイン名のみの表示はURLにブランド名を含めてユーザーを混乱させる攻撃への対策の一つで、テストはユーザーに悪意あるサイトへのアクセスを気付かせることができるかどうかを確認することが目的だった。しかし、このような表示方法を取ってもセキュリティは向上しないことが確認されたという。なお、テスト対象にならなかったユーザーもchrome:flagsでフラグ設定すればドメイン部分のみの表示を試せたが、該当のフラグは既にChrome 90で削除されていた。

cinefuk 2021/06/13

スレッドの議論が興味深い

リンク

Yahoo! JAPAN、ついに「秘密の質問」を廃止へ | スラドセキュリティ

Yahoo! JAPANはセキュリティ向上のため、「秘密の質問と答え」を2021年6月に廃止することを発表した(Yahoo! JAPAN IDガイド)。携帯電話番号もメールアドレスも登録していないアカウントはパスワードを忘れるとログインできなくなるため、登録を促している。「秘密の質問」はかねてからスラドでは不評であったが、とくにYahoo! JAPANの「秘密の質問」は変更が不可能という致命的な問題を抱えていた。スラドの諸氏は「秘密の質問」を導入しているサイトをいくつ利用しているだろうか。

cinefuk 2021/05/13

ネタで登録したら、10年前の自分のギャグセンスが思い出せない、というリスク『とくにYahoo! JAPANの「秘密の質問」は変更が不可能という致命的な問題を抱えていた。』

security

リンク

翻訳サイトに入力した内容が流出？ | スラドセキュリティ

共同通信が、「翻訳サイトに入力した内容が流出　省庁、銀行のメールも」と報じている。情報セキュリティー会社ラックへの取材で分かった、とされている。問題となっているサイトについては明らかになっていないが、I Love Translationというサイトではないかという話が出ている。このサイトでは入力フォーム下に(目立たないが)「翻訳結果の改善計画に関与して(結果はサーバに保存され) 」というチェックボックスがあり、デフォルトでチェックが入っている。 The Huffington Postがラックに取材し、問題の無料翻訳サイトが「I Love Translation」であることを確認している。この件を受けて、IPAでは「クラウドサービスに入力した内容の意図しない情報漏えいに注意」とする注意喚起を行っている。なお、サイト上にクレジットなどは表示されていないが、処理としては入力内容をBing翻訳

cinefuk 2021/01/29

SMBC流出事故で「IT業界特有のコンプライアンス意識が～」と流れてきたが、業務文書をweb翻訳にかける事と、GitHubにソースコードをアップロードする事に何の違いがあるだろうか？

リンク

ロシアの宇宙飛行士、ティーバッグを使って国際宇宙ステーションの空気漏れ位置を特定 | スラドセキュリティ

国際宇宙ステーション(ISS)の宇宙飛行士がティーバッグを用い、空気漏れの位置を特定したとTASSが報じている(TASSの記事[1]、 [2]、 [3]、 [4])。 ISSでは昨年9月から標準よりも若干高いレートでの空気漏れが確認されており、今年8月と9月に調査した結果、空気漏れはロシア側のズヴェズダサービスモジュールで発生していることが判明していた。ロスコスモスのアナトーリ・イヴァニシン宇宙飛行士が15日にロシアの管制センターへ報告したところによると、ズヴェズダサービスモジュールにティーバッグを浮遊させ、ハッチを閉じてティーバッグの動きをカメラで記録したそうだ。その後、ティーバッグの動きから空気漏れの方向を特定し、小さな裂け目が存在することを確認したとロスコスモスのイヴァン・ヴァグナー宇宙飛行士が報告している。管制センターの専門家からの指示を受けてウレタンフォームと粘着テープを用い

cinefuk 2020/10/20

ISSズベズダ・モジュールは2000年打ち上げ。 https://iss.jaxa.jp/iss/1r/index.html 耐用年数を過ぎているのかな

リンク

note、Internet Archiveで保存できなくなる、古いドメインはブロック | スラドセキュリティ

Internet Archiveからnote関連のキャッシュがまるごと消えてしまったそうだ（5ちゃんねるの書き込み）。新たな登録もできないという。noteの以前のドメインであるnote.muに関しても完全にブロックされているとのこと。 5ちゃんねるのInternet Archive総合スレの書き込みによると、8月上旬まではnote.comドメインのキャッシュが共有されていたという。8月に発生したnoteのIPアドレス流出事故の後に対処されたのではないかとしている。実際にnote.comのrobots.txtを見るとInternet Archiveとウェブ魚拓のクロールを拒否する記述がされている。あるAnonymous Coward 曰く、

cinefuk 2020/09/02

『8月上旬まではnote.comドメインのキャッシュが共有されていたという。8月に発生したIPアドレス流出事故の後に対処されたのではないかとしている。robots.txtを見るとInternet Archiveとウェブ魚拓のクロールを拒否する記述が』

リンク

三菱UFJニコスカードのWebサービス、パスワードを強制的に8桁に切り詰める | スラドセキュリティ

11月19日、三菱UFJニコスのクレジットカード所有者向けWebサービスにおいて、9桁以上のパスワードを設定していたユーザーに対し、パスワードを強制的に8桁に切り詰める処理が行われたことが話題になっている（Togetterまとめ）。ユーザーに送付されたメールによると、処理の内容は以下の通り。従来、MUFGカードWEBサービスでは、お客様がパスワード登録に際して9桁以上の文字をご入力された場合、お客様のご入力された文字数にかかわらず、頭8桁をパスワードとして登録し、その後のご利用時に照合させていただいておりました。このたび、MUFGカードWEBサービスのログイン方法変更に伴い、同サービスのパスワードの文字数を6～8桁に限定し、ご利用時にはそのすべてを照合させていただくことにいたしました。パスワードご登録時に9桁以上ご入力されたお客様におかれましては、前述のとおり、頭8桁をパスワードと

cinefuk 2020/03/02

「三菱東京UFJ銀行から登録している住所を長すぎるから切り詰めろ、という依頼が来たの思い出した。自分たちはどんどん会社名伸ばしておいて、顧客には短縮を強いるなよ」

security

リンク

とあるセキュリティ企業、上場企業100社に対し無断で攻撃を行っていた？ | スラドセキュリティ

セキュリティ関連ビジネスを手がけるsproutが、上場企業100社に対し無断で攻撃を行っていたのではないかという疑惑が出ている。発端は雑誌「FACTA」の2014年11月号掲載記事『上場企業5割に「サイバー脆弱性」』。会員限定の記事なので本文全文は閲覧できないが、sproutの公式Twitterによると、「本日発売の経済誌FACTAに、スプラウトが行った上場企業100社のサイバー脆弱性調査が掲載されました。」とのことで、sprout社が上場企業100社に対し、無断で「サイバー脆弱性調査」を行ったようだ。しかし、脆弱性調査を行う場合、通常は調査対象の同意や事前の調整・準備が必要となる。調査を行うためには攻撃を行う必要があり、それによってデータの消失や改変などの被害が発生する可能性があるからだ（過去記事）。そのため、相手に無断で調査を行った場合、その内容によっては不正アクセス禁止法に抵触す

cinefuk 2018/06/26

hagex氏の会社「スプラウト」って、こんな企業か

リンク

Raspberry Piを狙うマルウェアが登場 | スラドセキュリティ

小型・廉価なボードPCである「Raspberry Pi」をターゲットにしたマルウェアが登場したそうだ（ZDNet Japan、HOT HARDWARE、Slashdot）。このマルウェアは「Linux.MulDrop.14」と名付けられており、外部からのSSH接続を許可しているRaspberry Piデバイスを狙い、デフォルトのログイン名/パスワードでログインを試みるという。もしログインに成功した場合、パスワードを別の物に変更した後ほかのデバイスを探索するという。また、感染後に暗号通貨のマイニングを始めるという話もあるようだ。

cinefuk 2017/06/14

「Linux.MulDrop.14」外部からのSSH接続を許可しているRaspberry Piデバイスのデフォルトのログイン名/パスワードでログインを試みる。また、感染後に暗号通貨のマイニングを始めるという話もあるようだ。

リンク

取引先企業を装った詐欺事件、合計1億ドル以上を送金した被害企業はGoogleとFacebook | スラドセキュリティ

2013年から2015年にかけて発生した取引先企業を装う送金詐欺事件で、合計1億ドル以上を送金する被害にあった米インターネット企業2社がGoogleとFacebookであることがFortuneの調査で判明した(Fortuneの記事、 The Guardianの記事、 The Vergeの記事、 Consumeristの記事)。この事件は2社と多額の取引があるアジアのコンピューター製造企業を装って詐欺メールを送り、製品やサービス代金の名目でラトビアやキプロスの銀行口座に送金させていたもの。各社の名前は公表されていなかったが、台湾のQuanta Computerが名前を騙られた「アジアのコンピューター製造企業」であることを明らかにしている。被害にあった2社は起訴状などで「インターネット関連のサービスと製品を提供し、米国に本社を置く多国籍のテクノロジー企業」「オンラインソーシャルメディアとネ

cinefuk 2017/05/24

台湾Quanta Computer、サーバ代金ということか

リンク

パソコンの発する電磁波をAMラジオで受信してRSA秘密鍵などを解析 | スラドセキュリティ

これまでパソコンの電源鳴きや電位の揺らぎを利用してRSA秘密鍵などの解析に成功しているイスラエル・テルアビブ大学の研究チームが、市販のAMラジオを使用したサイドチャネル攻撃でRSA秘密鍵およびElGamal秘密鍵の読み取りに成功していたそうだ(研究チームによる解説記事、論文: PDF、 The Registerの記事)。研究チームでは、GnuPGで復号を実行する際、パソコンが発する電磁波の周波数が変動し、1.5～2MHzのFM波として受信可能な点に注目。そこで、USB接続のSDR(ソフトウェア無線)受信機ドングルとループアンテナ、ノートパソコンを組み合わせてターゲットの秘密鍵解析を試みたところ、3072ビットElGamal秘密鍵と4096ビットRSA秘密鍵をそれぞれ数秒で取得できたという。また、SDRドングルとループアンテナ、OSをDebianに変更したAndroid TVドングルを使

cinefuk 2015/06/21

部屋をアルミ箔で覆って電磁波防護するしか！（ぐるぐる目）

リンク

放置されていたワーナー・マイカル・シネマズの旧ドメイン、第三者に取られて詐欺サイトに使われる | スラドセキュリティ

hylom さんによると [slash.srad.jp]、「slashdot.jpドメインについては当面の間（最低1年以上）は保持される予定です。」とのことですが、調べてみるとなかなか難しい状況であることが判明しました。勿論、私としては、当面の間どころか一生リダイレクトを保持していただきたいと思っておりますが……。本日現在、"slashdot.jp" のドメイン所有者 [whois.jprs.jp]は、OSDN 株式会社（東京都荒川区西日暮里4-21-12 クリスタルビル4F）です。一方、"Slashdot" という商標については、現在有効なのが第4638050号のみで、ややこしいことに商標権者が連名で登録されています。こういった場合、その全員が商標権を行使できることとなります（商標権者が連名の場合、商標権者同士での紛争も発生することがあります）。権利者は、下記の2社となっているよう

cinefuk 2015/06/16

「リダイレクトされて悪意あるサイトへ転送」映画公式サイトとか一本ごとに独自ドメイン取得するけど、維持の事を全く考えてなくてイライラする

詐欺
web

リンク

はてなブックマーク

タグ

ブックマーク / security.srad.jp (11)

お知らせ

今週のはてなブックマーク数ランキング（2024年10月第2週）

今週のはてなブックマーク数ランキング（2024年10月第1週）

月間はてなブックマーク数ランキング（2024年9月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス