モテるセキュ女子力を磨くための4つの心得「SQLインジェクションができない女をアピールせよ」等 - ockeghem's blog
こんにちは、セキュリティ勉強会などで講師を担当しているockeghem夫です。私は学歴も知識もありませんが、セキュリティに関してはプロフェッショナル。今回は、モテるセキュ女子力を磨くための4つの心得を皆さんにお教えしたいと思います。 1. あえて2〜3世代前の書籍の知識で対策する あえて2〜3世代前の書籍の知識で脆弱性対策するようにしましょう。そして勉強会の打ち上げで好みの男がいたら話しかけみましょう。「あ〜ん! addslashes本当にマジでチョームカつくんですけどぉぉお〜!」と言って、男に「どうしたの?」と言わせましょう。言わせたらもう大成功。「SQLインジェクションとか詳しくなくてぇ〜! サテ技本に載ってたからずっとaddslashes使ってるんですけどぉ〜! 日本語が化けるんですぅ〜! ぷんぷくり〜ん(怒)」と言いましょう。だいたいの男は新しい書籍を持ちたがる習性があるので、古か
モバゲーが退会しても個人情報を削除してくれない - LazyLoadLife
あー、どっから話せばいいかな。正直にそもそものところから書くのが公平でしょう。あれなんすわ、Twitter でウオッチしてる人はわかるとおり、ぼくオカマなんすわ。女装も女っぽい言動もしてないけど、心は女というか、似合いさえすれば女の子の格好したいんすわ、ゲームのキャラやアバターは必ず女性にするんですわ。ネカマと言ったほうが正しいかな。 んで、ちょっと前にウェブ業界の調査と好奇心でモバゲーに入会しました。あ、スマートフォン版です(私の所持端末は iPhone 3G)。その際、あとでアバターは自由に着せ替えられると思って、性別の欄は「男性」にしたんすわ。戸籍上、男性だし。そしたら、アバターいじろうウフフと思ったら、男性形固定で女性形にできないんすわ。 んで、しょうがないから別アカウント作ろうと思って、別のメアドでアカウント作った。そこで立ち塞がるのが「携帯電話番号認証」。携帯電話番号を入力して
高木浩光@自宅の日記 - このまま進むと訪れる未来 岡崎図書館事件(15)
■ このまま進むと訪れる未来 岡崎図書館事件(15) この物語はフィクションであり、登場する団体・人物などの名称はすべて架空のものです。 2017年5月、それは新聞各社のベタ記事報道から始まった。 朝売新聞2017年5月26日朝刊 美術館の電子書籍を破壊 愛崎県警 不正指令電磁的記録作成容疑、32歳を逮捕 岡知市立美術館の電子書籍データを破壊する不正なプログラムを作成、提供したとして、県警生活経済課と岡知署は25日、不正指令電磁的記録作成及び同供用の容疑で、コンピュータソフトウェア制作会社社長を逮捕した。 発表によると、容疑者は、昨年12月、ハードディスクを繰り返し執拗に消去するプログラムを作成し、インターネットのホームページで公開していた。今年3月に市立美術館の主任主査がこれをダウンロードしたところ、美術館の電子書籍データがすべて破壊された。プログラムは35回にわたって繰り返し0(ゼロ)
w3cもケータイ認証には困惑している件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 以前Twitterでもツイートしてたんだけど一部誤解があったのでこちらでまとめてみる。 Global Authoring Practices for the Mobile Web (Luca Passani) http://www.passani.it/gap/ 上記をもって「w3cが個体識別番号に駄目出し」としていたんだけど、多少事情が違った。 実は上記には元になる対象文書がある。それがw3cのベストプラクティスだ。 Mobile Web Best Practices 1.0 http://
プレスリリース | 認証基盤ソフトウェアを開発、無償にて公開 | NICT-情報通信研究機構
独立行政法人情報通信研究機構(以下「NICT」という。理事長:宮原 秀夫)と慶應義塾大学理工学部情報工学科 寺岡研究室(以下「慶應義塾大学」という。塾長:清家 篤)は共同で、ネットワークにおけるユーザ認証や権限付与、サービス利用に対する課金のための基盤ソフトウェア “freeDiameter“ 及び “DiamEAP“ を開発しました。汎用プログラミング言語Cが基となり、インターネット業界の標準仕様に完全準拠したソフトウェアを無償にてセットで公開しています。既存ソフトウェアに比べ応用が容易で、認証が必要なサーバ等への組み込みが可能です。今後、新世代ネットワークの様々な研究用途への応用が期待できます。 NICTは、既存の技術にとらわれず、白紙から設計する新世代ネットワーク研究の一つとしてセキュリティ基盤技術を研究しています。一方、インターネットの標準化団体IETFでは、セキュリティ基盤技術の
バーコードカノジョの登録者の色々なんかダダ漏れしてる - 今日も得る物なしZ
http://barcode-kanojo.appspot.com/api/user/current_kanojos.json?user_id= 上記URLの最後に登録者のid(http://www.barcodekanojo.com/user/xxx/のxxx部分)を入力するとその人のいろんな情報が見れます。 何か生年月日とか性別っぽいのが見えますがこれが本人の情報なのかアプリ内のキャラクターのものなのかは登録してないので知りません。 つか位置情報を通知するように設定してる人は緯度経度がわりと細かいところまで表示されちゃってるのでまずいんじゃないですかね、これ。 twitter連携とかしてるとなんかもう色々アレなんじゃないですかね。 昼間職場とかで登録しない方がいいですよ、マジで。 追記 対応してくれるようなので公式の発表をお待ちください。直ったっぽいです。 [asin:B003IO66
AutoPagerize セキュリティアップデート - SWDYH
重要:セキュリティ上の問題があるので、必ずアップデートしてください。 Greasemonkey版を使っている方は以下から、最新版(0.0.52)をインストールしてください。 http://userscripts.org/scripts/source/8551.user.js Safari拡張版を使っている方は以下から、最新版(0.2.0)をインストールしてください。 http://autopagerize.net/files/autopagerize_for_safari.safariextz Chrome拡張版を使っている方は以下から、最新版(0.2.1)をインストールしてください。 https://chrome.google.com/extensions/detail/igiofjhpmpihnifddepnpngfjhkfenbp Firefox拡張版を使っている方は以下から、最新版
Yahoo!モバゲー、一部のユーザが他人のIDのページへアクセスできる不具合発生 | スラド IT
ヤフーとDeNAによって、9月21日にβ版サービスが開始されたソーシャルゲームポータルのYahoo!モバゲーですが、現在緊急メンテナンス中となっています。Yahoo!モバゲーは、PC上で携帯電話とパソコンが連携したゲームなどが楽しめるとの触れ込みでベータオープンされ、10月1日の正式オープン時には、開発パートナー70社から100タイトル以上のコンテンツ配信される予定となっています。2chの書き込みによれば、このYahoo!モバゲーにおいて自分のヤフーIDを使ってログインしたにも関わらず、他人のIDにログインしてしまうという事象が発生していた模様。 上記タレコミがありましたが、公式説明が出ています。 9月22日12時50分~9月23日21時30分の期間に、モバイル版モバゲータウンの「お知らせ」を経由して「Yahoo!モバゲーβ版」への会員登録を行った方のうち、それ以前にモバイル版モバゲータウ
WindowsにおけるDLLハイジャック脆弱性、多くのメジャーなソフトウェアにも | スラド セキュリティ
世間を騒がせつつあるDLLハイジャックの脆弱性であるが、セキュリティ診断ツールMetasploitの開発版においてこの問題をチェックする機能「webdav_dll_hijacker」が追加され、簡単にこの脆弱性を発見できるようになった(Metasploitのブログ記事、本家記事)。 問題となっている脆弱性は、アプリケーションがリモートの共有ディレクトリ内にあるファイルを開く際にそのファイルと同じディレクトリにあるDLLをロードしてしまうというもの。webdav_dll_hijackerではLinux上でWebDavサーバーを実行させ、Windows側からそこにあるファイルを開くことで診断を行うという。もし脆弱性がある場合、ソフトウェアがサーバー側にあるDLLを読み出そうとするため、サーバー側にアクセスのログが残る。これをチェックすることで脆弱性を発見する、という原理だそうだ。 実際、これに
※ 警 告 ※
※ 警 告 ※ このサイトの管理者と、 このサイトにわいせつ画像を 投稿した者は、 わいせつ図画公然陳列罪で 逮捕されました。 このようなサイトを 利用することは、犯罪の 助長につながりますので、 利用しないように して下さい。 このサイトに わいせつ画像を投稿 したり、ダウンロードした 情報を第三者に提供 したりする行為は 犯罪となります。 兵庫県警察サイバー犯罪対策係
高木浩光@自宅の日記 - 最近のWinnyネットワークでの異常事態について
■ 最近のWinnyネットワークでの異常事態について 5月21日から、Winnyネットワークに対して、ランダムIPアドレスの偽キーが散布されるようになり、その状態が6月下旬まで続いていた。他の件で忙しかったので調べていなかったが、6月25日から無視できないレベルの量の偽キーが投入され、6月27日に通常に戻ったものの、7月1日から2日にかけて再び大量の偽キーが投入された(図1)。 偽キーの散布元がどこかはまだ調べていない。 最初は、またどこか大学の実験が配慮を欠いた*1結果かなと思っていたが、このところの大量の偽キーの内容を見てみたところ、どうも、まともな実験ではないように思えてきた。 2ちゃんねるのダウンロードソフト板を見に行ってみたところ、以下のスレッドで、この影響を受けたWinny利用者らがいろいろ書いていた。 Winnyを狙ったワーム・ニュイルス情報 Part69, 2ちゃんねる,
asahi.com(朝日新聞社):「ネット全履歴もとに広告」総務省容認 課題は流出対策 - ビジネス・経済 (1/2ページ)
インターネットでどんなサイトを閲覧したかがすべて記録される。初めて訪れたサイトなのに「あなたにはこんな商品がおすすめ」と宣伝される――。そんなことを可能にする技術の利用に、総務省がゴーサインを出した。ネット接続業者(プロバイダー)側で、情報を丸ごと読み取る技術を広告に使う手法だ。だが、個人の行動記録が丸裸にされて本人の思わぬ形で流出してしまう危険もある。業者は今後、流出を防ぐ指針作りに入る。 この技術は「ディープ・パケット・インスペクション(DPI)」。プロバイダーのコンピューター(サーバー)に専用の機械を接続し、利用者がサーバーとの間でやりとりする情報を読み取る。どんなサイトを閲覧し、何を買ったか、どんな言葉で検索をかけたかといった情報を分析し、利用者の趣味や志向に応じた広告を配信する。 DPIは従来技術に比べてより多くのデータを集められるため、こうした「行動ターゲティング広告」に利
おいAmazonがパスワード前方一致でログインできるぞ:アルファルファモザイク
■編集元:ニュース速報板より「おいAmazonがパスワード前方一致でログインできるぞ」 1 アシロ(東京都) :2010/05/26(水) 22:46:43.25 ID:YY8vUbDQ ?PLT(15562) ポイント特典 ゼニタナゴ(東京都) :2010/05/26(水) 22:47:25.00 ID:bJRoOPtq はいはいすごいでちゅね 7 ウミタナゴ(新潟県) :2010/05/26(水) 22:47:27.33 ID:Zq7t6RU8 ログインしたら不正アクセスで逮捕されるの? 18 ユカタハタ(アラバマ州) :2010/05/26(水) 22:48:27.21 ID:2O/ifdBT つまり実質4桁のパスだってことなの? 19 ハマフエフキ(長屋) :2010/05/26(水) 22:48:27.77 ID:ZMKJBnMT この家鍵かかって無いですよと言
プレスリリース - UNIQLO ユニクロ - UNIQLO LUCKY LINEに関するお知らせ
平素はユニクロをご愛顧いただき誠にありがとうございます。 5月24日よりご提供させていただいているUNIQLO LUCKY LINEに関しまして、当コンテンツが皆さまのTwitterパスワードを保存している、また、そのパスワードが漏洩している、という情報がインターネット上に流れておりますが、そのような事実はございません。 当コンテンツでは、皆さまのTwitterアカウントと通信・連携するためにパスワードを入力していただきますが、このパスワードはTwitterと通信される際のみ利用され、当コンテンツ上のデータベースに保存を一切行っておりません。 また、パスワードが載っているテキストファイルが公開されているとの情報がインターネット上に流れておりますが、UNIQLO LUCKY LINE上の行列を表示するための公開情報(コンテンツ上に表示されるTwitter ID・名前・アイコン画像パス・ツイー
高木浩光@自宅の日記 - クッキー食えないのはドコモだけ
■ クッキー食えないのはドコモだけ ろくに安全な作り方も確立していないくせになぜかやたら蔓延ってしまった「簡単ログイン」。そもそもUI設計からしておかしい。ボタンを押せば入れるなら、ボタンがある意味がない*1。ログアウト不可能な常時ログインサイトだ。(それなのに「ログアウト」ボタンがあったりする。) 「そんなこと言ったって便利だから必要なんだ」とか、「ケータイでパスワードなんか入れてられない」だとか、「お客さんが付けてくれって言ったら俺たちIT土方には何も助言なんてできないんだ」とか言う人が出てくるわけだが、そんなのは、一般のインターネットのサイトだって、昔から「□ 次回から自動的にログイン 」とか「□ 次回から入力を省略」といったチェックボックスが普通に用意されている。amazon.comなんか大昔からログインしっぱなしだ。 そしてそれはcookieによって実現されてきた。個人識別番号な
「Twitterウイルス」の作成ツール出現、ツイートで感染PCを操作
ロシアのセキュリティ企業カスペルスキーラブスなどは2010年5月17日、ボット(パソコンを乗っ取るウイルス)を作成するための新しいツールが出回っているとして注意を呼びかけた。「Twitter」のツイート(書き込み)で操作できるボットを、1分もかからずに作成できる。 作成ツールの名称は「TwitterNet Builder」。操作は極めて簡単。同ツールを起動して、ボットを操作するTwitterのアカウント名(ユーザー名)を入力し、「Build」ボタンを押すだけ(図1)。これで、実行形式(拡張子がEXE)のボットプログラムが作成される。 このツールが作成するボットには、自分で感染を広げる機能はない。ボットを有用なプログラムに見せかけて実行させたり、ソフトウエアの脆弱(ぜいじゃく)性を突いて感染させたりする必要がある。 実行されたボットは、そのパソコンを乗っ取る。そして、作成時に登録されたTwi
WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない
■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管
Wireshark
Huge thanks to our Platinum Members Endace and LiveAction, and our Silver Member Veeam, for supporting the Wireshark Foundation and project. Download Wireshark NowThe world's most popular network protocol analyzerGet started with Wireshark today and see why it is the standard across many commercial and non-profit enterprises. *{padding:0;margin:0;overflow:hidden}html,body{height:100%}img,span{posi
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IDEA * IDEA