グーグル新入社員はコードを書く前にセキュリティ教育を受ける ― @IT
2008/04/25 「脆弱性は変わっていないが、われわれを取り巻く世界は大きく変化している」――4月24日のRSA Conference 2008 Japanの基調講演において、米グーグルのスコット・ペトリ氏(エンタープライズセキュリティおよびコンプライアンス担当ディレクター)はこのように語り、従来とは異なるセキュリティ対策が求められると述べた。 同氏によると、従来の情報システムは、何が起こるか把握できる「ホワイトボックス」だった。しかし自社のものだけでなく、サードパーティのツールやサービスが普通に利用できるようになったいま、どのユーザーがどのリソースを使い、何をするのか、予測も把握も難しい「ブラックボックス」の時代になっている。こうした環境の変化に対応するには、新しいハードウェアやソフトウェアの追加といったやり方ではなく、トレーニングをはじめとする地道な取り組みを通じて、基盤の中にセキ
産総研:パスワード相互認証プロトコルの技術評価用ソフトウェアを公開
発表・掲載日:2008/04/22 パスワード相互認証プロトコルの技術評価用ソフトウェアを公開 -抜本的なフィッシング詐欺防止技術の実用化に向けて- ポイント インターネットにおけるフィッシング詐欺を防止できる新しい認証方式を開発。 技術評価用のウェブブラウザとサーバー用拡張モジュールをオープンソースで公開。 ウェブブラウザに標準搭載され、フィッシング被害が減少することに期待。 独立行政法人 産業技術総合研究所【理事長 吉川 弘之】(以下「産総研」という)情報セキュリティ研究センター【研究センター長 今井 秀樹】(以下「RCIS」という)とヤフー株式会社【代表取締役社長 井上 雅博】(以下「Yahoo! JAPAN」という)は、これまでインターネットにおけるフィッシング詐欺を防止する「ウェブでの利用に適したパスワード相互認証プロトコル」の研究開発を進めてきた。このたび、新しい認証プロトコル
scientificclub-run.net - このウェブサイトは販売用です! - scientificclub run リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ
この度、弊社WEBサーバーへの不正アクセスにより、お客様の大切な個人情報が流出する事態が生じ、多くのお客様に多大なるご迷惑、ご心配をおかけ致しましたことを深くお詫び申し上げます。弊社では、今回の事態を厳粛に受け止め、お客様の信頼回復に社員一同、全力で取り組む所存です。今回の個人情報流出の対象となる、2007年1月1日~2008年3月22日までに新規会員登録をいただいた122,884名全てのお客様に、以下を弊社の補償とお詫びとさせて頂きたく提示し、お客様のご理解を頂きたく存じます。 ※ 実際の個人情報流出対象のお客様は、延べ人数で97,500名分となりますが、今回の不正アクセスは特殊な方法でデータを抽出されている為、実際に流出した個人の特定ができません。従いまして対象期間内に新規会員登録を頂いた全てのお客様を対象とさせていただきます。 1. この度の個人情報流出に関連して、万が一、お客様がカ
Re:ENT_QUOTES脳? - Memo
突っ込み頂いたから返信します。 via 岩本隆史の日記帳 さん 「こんにちは」から始まる1行のみmain.phpに書かれているということだろう。 このコード、htmlspecialcharsの第2引数が「ENT_QUOTES」でなかったらどんな問題があるというのか。私にはまったく分からない。 「いや、問題がある」という方は、高木浩光さんの下記記事も批判してみてはどうか。 http://d.hatena.ne.jp/IwamotoTakashi/20080411/p1 こんな簡単なコードに一々 目くじら立てて、ENT_QUOTES 漏れを突っ込むなよって事でしょうか? それなら「セキュリティを気にしましょうね」と啓蒙している web デザイナ向けの記事で、エスケープ漏れのあるコードを提示していることです。 これを読んだ PHP 初心者が htmlspecialchars に第二引数、第三引数
高木さんの話の余波についての誤りの指摘 - 186 @ hatenablog
何で訂正しようとした方の説明が余計変なんだ... 適当に指摘します. あとで細かいところも見るかも. 暗号と署名の話に何故ElGamal暗号方式をひっくり返しただけではダメになるかを書いています. そちらもご覧ください. 暗号化と署名は対称じゃないよという話 - まちゅダイアリー (2008-03-02) 概要: ElGamal暗号は鍵を逆さにした途端にダメになります. 選択暗号文攻撃は関係ありません. 引用 公開鍵暗号についておさらい 厳密な定義は公開鍵暗号 - Wikipediaを参照してもらうとして、とりあえずこんな特徴を持つものと考えるよ。 鍵生成 … 暗号化用の鍵E(公開鍵)と復号用の鍵D(秘密鍵)を用意する 暗号化 … 暗号鍵Eを使うと、平文Mを暗号文Cに変換できる 復号 … 復号鍵Dを使うと、暗号文Cを平文Mに変換できる 図にするとこんな感じかな。ちなみに、 E は Encr
「不正アクセス」の定義をご存知ですか?:ITpro
問題を一つ。退社した元社員のユーザー名,パスワードを使って認証を回避した場合,「不正アクセス禁止法」(厳密には,不正アクセス行為の禁止等に関する法律)に照らして犯罪になるか?そしてその根拠は? この問題に,どのくらいの方が即答できるだろうか。不正アクセスという言葉はよく使われるが,不正アクセス禁止法で何を禁止しているのかは必ずしも正しく認識されていない。原因は「アクセス」の定義が明確になっていないことである。そこで今回は,法律からみる不正アクセスについて考えてみよう。 不正アクセス禁止法のように,刑法とは別に存在する刑法系の法律を特別刑法という(刑法と特別刑法を合わせて広義に刑法と呼ぶこともある)。刑法系の法律では,違法とする行為を明確にすることが特に要求される。これが曖昧な法律や条文は憲法違反(憲法31条)となり,起訴されても無罪判決が下されることになる。もっとも現実には言葉は数式のよう
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
HDDをフォーマットするブラクラ まとめwiki
パソコンに詳しくない方は、スレッドに書かれる対応策を鵜呑みにせず 冷静な行動を取りましょう。報告にも偽のものがあるようなので注意。 感染した恐れのある場合は再起動やシャットダウンをしてはいけません。 各スレで人柱による対策が検討されています。 とにかくPCをそのままの状態にしておきましょう。 普段からセキュリティに気を付けている方であればまず大丈夫です。 概要まとめ 2007/12/28(金)、gigigi(アップローダー)にてエロ画像がUPされる。 (初出は http://sakura01.bbspink.com/test/read.cgi/ascii/1198102303/701 の模様。) 2007/12/30(日)Download板にて報告、ニュース速報板にスレが立ち拡大中。AV監督(愛媛県) 画像は拡張子はjpgだが、中身はHTMLとJavaScriptであり、これをクリックする
秋のDK収穫祭 - side=2(2007-11-29)
秋のDK収穫祭深夜3時になってTwitterを騒がせた、いわゆる「DK祭り」。何があったのかというと、Twitter / dankogaiのパスワードがバレちゃって、勝手に発言されるわアイコンが糸柳ミクになるわの騒ぎになったわけです。祭りになるまでの流れはotsuneさんのまとめがわかりやすいので引用してみる。 reploreがdankogaiのパスワードを推測で入れて成功 ↓ いたずら投稿する ↓ takehara37もパスワード推測して発見。それをHamachiya2が投稿でばらす ↓ 発見者がパスワード変更してDKにメールする ↓ ログインした別人がパス戻す ↓ 祭り dankogaiは普段ブログの更新URLばかり投げているので、いきなり「だんでーす(笑)」なんて発言があった時点で異常に気付いた人が結構いたみたい。祭りの間にdankogai名義で投稿された発言はnipotumblr
CAPTCHA解読ソフトの価格表に見るCAPTCHAのレベル差 | 秋元@サイボウズラボ・プログラマー・ブログ
via del.icio.us/popular Coding Horrorブログの記事Has CAPTCHA Been “Broken”?(CAPTCHAは破られたか?)では、CAPTCHAの解読ツールに値段をつけて売っている中国の業者の価格表を紹介していて、これが面白い。 CAPTCHA用の文字列画像を作るときは、文字を画像化したり、色をつけたり、線を引いたり、無関係な点や図形を足したり、湾曲させたり、と、いろいろな加工で「人には読めるけど機械には読めない」ように作るわけだが、この価格表では、単純なCAPTCHAで彼らの販売するツールで読み取れる可能性が高いものほど値段が安くなっているし、彼らのツールでは読み取れてない場合も多いような難しいものについては、ツールの値段も高くなっている。 この価格表で図らずも、いろいろな大手サイト(主に英語と中国語でのサイト)が使っているCAPTCHA図形
パスワード・ポリシーについて――“長さ”か“複雑さ”か
米マカフィーの教育プログラム「Essentials of Hacking」および「Ultimate Hacking」で筆者が講義する際に詳しく取り上げたい話題の一つは,パスワードのブルート・フォース(総当たり)攻撃(関連記事:Networkキーワード「ブルート・フォース攻撃」とは)とクラック(関連記事:情報セキュリティ入門「パスワード・クラック」)である。筆者は通常,まず生徒たちに「強靱なパスワード・ポリシー」について考えてもらい,その後これらのポリシーに共通する実装や攻撃について分析することにしている。必然的に,生徒が考え出すパスワード・ポリシーは,おおむね以下のようなものとなる。 ・最低1文字の大文字 ・最低1文字の小文字 ・最低1文字の数字 ・最低1文字の記号 ・長さは最低7文字 このパスワード・ポリシーを簡単に解析してみると,以下のようなものとなる。 ・文字セットの数は,おおまかに
John the Ripper password cracker
John the Ripper password cracker John the Ripper is an Open Source password security auditing and password recovery tool available for many operating systems. John the Ripper jumbo supports hundreds of hash and cipher types, including for: user passwords of Unix flavors (Linux, *BSD, Solaris, AIX, QNX, etc.), macOS, Windows, "web apps" (e.g., WordPress), groupware (e.g., Notes/Domino), and databas
新生銀行の件のフォローアップ:Kenn's Clairvoyance
前回の新生銀行のサイトの使い勝手についてのポストに思いのほか反応がありました。 はてなブックマークでも「新生の使いづらさは尋常じゃない」とか「こに書いてあること全部の10倍くらいダメ」とか「書いてもらえてスッキリした」みたいな反応が多くて、そういう声を引き出せたのは書いた甲斐があるなぁ。 それで、セキュリティに関する話だから噛みついてくる人もいるだろうと思っていたらやっぱりいて、カレーなる辛口Javaな転職日記で「全般として,いかにも素人っぽい批判に終始しているように思う」と書かれていたのを見つけたので読んでみたのだけど、そこに書かれていた反論は「もっとセキュリティを下げろなんて論外」という、予想通りのいわゆる一段階論理だったのですが、よく考えてみればそういう思考回路の髪のとんがった上司をどう説得するかというシチュエーションは現実問題としてあるわけで、そのためもう少しだけ深追いしてみること
はてなのCAPTCHAは簡単に破れる
CAPTCHAをご存知でしょうか。 スパム防止のために歪んだ文字とかを入力させる、アレのことなのですが、 はてなのCAPTCHAの強度が妙に低く思えたので検証してみました。 CAPTCHAというのはいわゆる逆チューリングテストという奴で、 人間には可能だが機械には処理しにくいことをさせることで、 ロボットによる操作を弾こうというものです。 たとえば、Gmailのユーザ登録には以下のような画像が表示され、 表示されている文字を入力することが求められます。 CAPTCHAの強度 例えばスパムを送るために大量のGmailアカウントを得ようとしてる人がいたとします。 手作業でGmailを登録するのは骨が折れる。 そこでプログラムによる機械化を試みることになるわけです。 その際、障壁となるのがこのCAPTCHAなのです。 この画像から正解である文字列"vittac"を得ることは機械には難しい。 プロ
続: そろそろUTF-7について一言いっとくか - 葉っぱ日記
史上空前のEUC-JPブームはとりあえずおいておいて、今日も最強の文字コードであるUTF-7について。 これまで私の中では、UTF-7によるXSSを避けるためには、Shift_JISやUTF-8といった、IEが受け入れ可能なcharsetをHTTPレスポンスヘッダまたは<meta>で明記してやればよいという理解でした。 具体的には、HTTPレスポンスヘッダで Content-Type: text/html; charset=Shift_JIS とするか、生成するHTML内で <meta http=equiv="Content-Type" content="text/html; charset=Shift_JIS"> とすれば、UTF-7によるXSSは防げると思っていました。ところが、後者の<meta>によるcharsetの指定では、条件によってXSSが防げないことがあるということに気付きま
TAKESAKO @ Yet another Cybozu Labs: 続イメージファイト - HTML 2.0 New Browser Detection
Shibuya Perl Mongersテクニカルトーク#8 で発表した「続イメージファイト」の資料を SlideShare で公開しました。 Shibuya.pm#8 続イメージファイト - HTML 2.0 New Browser Detection JavaScriptやCSS Hacksを一切使わずにHTMLでブラウザを判別するハックの紹介です。 HTML 2.0 - Browser detection [3] ブラウザ判別のデモのページにアクセスすると、使っているブラウザの画像が表示されます。 このimgタグのsrc属性はfirefox2.0、firefox1.5、その他のGeckoエンジンを搭載したブラウザ、Safari2、Safari3、Opera、ie、w3m、lynxなどのブラウザの判別に対応しています。 テキストブラウザの判別
MS06-001 : Windowsの重要な更新 Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919)
製品 製品グループ Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel セキュリティ AI Microsoft Copilot for Security ID (アイデンティティ) とアクセス Microsoft Entra ID (Azure Active Directory) Microsoft Entra 外部 ID Microsoft Entra ID ガバナンス Microsoft Entra ID 保護 Microsoft Entra Internet Access Microsoft Entra Private Access Microsoft Entra Permissions Management Microsoft
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
YouTube - 群衆の叡智サミット、高木浩光
https://labs.cybozu.co.jp/blog/kazuho/archives/2007/09/re_server_sig.php