Webブラウザの閲覧履歴や閲覧中のサイトのソースコードを盗む新手法 | スラド セキュリティ
これまで、多くのセキュリティ研究者たちがJavaScriptやIFRAMEの抱える弱点と問題点について警告を行ってきた。今回、英国の研究者Paul Stone氏が新たに発見した問題はこれまで以上に深刻な内容であるようだ。発見されたのはJavaScriptを利用して、指定したURLを過去に訪れているかどうかや、そのWebブラウザで閲覧してるサイトのソースコードを読み取ることができる技術だという(threatpost、本家/.)。 攻撃者はユーザーがログインしている任意のWebページ上のソースコードへのアクセスを取得でき、ユーザーIDや個人情報などすべての種類の機密情報を取得できる。Paul Stone氏によれば、この問題を防ぐための簡単な修正手段は今のところないという。 threatpostの記事によると、Stone氏が発見した問題点は2つあり、1つは「すでに訪問したURLへのハイパーリンク
Fedora 19、パスワード作成画面の確認フィールドでパスワードがマスクされない | スラド セキュリティ
Fedora 19アルファ版のパスワード作成画面では、確認入力フィールドでパスワードがマスクされず、そのまま表示されるという。ただし、表示されるのは確認入力フィールドにフォーカスがある場合のみで、別のフィールドにフォーカスが移動するとマスクされるそうだ(Red Hat Bugzillaのバグリポート、 Fedora開発者向けメーリングリストのアーカイブ、 本家/.)。 Anacondaの開発者、Chris Lumens氏のバグリポートに対する回答によると、この動作はバグではなく意図したものだという。このような動作は採用例が増えており、パスワードをマスクしてもキーボード上の指の動きを見られてしまえば意味がないなどとしている。また、パスワードを表示することでキーボードレイアウト関連の問題を回避することもできるとのこと。これに対し、Fedoraコミュニティーの開発者向けメーリングリストでは、セキ
パスワード再発行に必要な「秘密の質問」は役立たず | スラド セキュリティ
本家/.で、「Secret Security Question」(パスワードを忘れた際などに尋ねられる質問は役立たずだ、という話題が紹介されている。 「秘密の質問」では、たとえば「ペットの名前」や「通っていた小学校」、「母親の旧姓」といった質問が用意されているが、今日ではGoogle検索のスキルがあればその答えが簡単に入手できてしまうものも多い。これらは時として、パスワードを破るよりも簡単に破られてしまう。 そこで対策として挙げられているのが、ランダムな答えを設定することだ。もちろんその場合、パスワードを忘れた際にはやや面倒なことになるが、そういった場合はその会社のサポートに電話をすればいい、としている。
みずほ銀行曰く「安全でない可能性があります。よろしいですか?」と出たら「はい」を選択して進め | スラド セキュリティ
/.J 記事 にもあったように先月末にソフトバンクモバイルのガラケー Web ブラウザで https 接続する際の仕様変更が行われたが、それに伴いみずほ銀行のネットバンキングサービスを提供するガラケーサイトで、6 月 30 日未明からソフトバンクモバイル端末から利用できなくなる不具合が生じていた。その後「現在ご利用可能となっております」という発表が、7 月 5 日に出た (みずほ銀行からの告知) 。 その発表によると、ソフトバンクモバイル端末からアクセスすると「このサイトは安全でない可能性があります。よろしいですか?」というメッセージが表示される可能性があり、それに対して「はい」を選択するよう指示している。「はい」を選択したあと、遷移先の URL を確認して、みずほ銀行のサイトであるかどうかを確認するように求めている。 URL を確認せよというのだが、これを確認したところで何の意味もないこ
お安い GPU で強固なパスワードも用無しに | スラド セキュリティ
大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破
巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に | スラド セキュリティ
「巫女SE」として一部の/.Jユーザーの間で話 題になったn_ayase氏(氏のTwitter)が、派遣先で試験を行ったシステムに深刻な脆弱性を発見、独断でシステムを停止させてあわや警察沙汰になるところだったそうだ。 詳細はTogetter - 「巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終」やTogetter - 「巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話」にてまとめられているが、n_ayase氏がとあるシステムの調査を依頼されてペネトレーションテストを行ったところ、コードが断片的にしかないうえにパスワードやクレジット情報が平文でDBに保存されており、漏洩の可能性も考えられる危険な状況だったらしい。このシステムは実際に稼働していた状態だったため本人の独断でサービスを停止した結果
半数以上の脆弱性が放置されている ? | スラド セキュリティ
米 IBM X-Force のレポートによると、2010 年上半期の脆弱性公表件数は前年同期よりも 36 % 増加し 4,396 件に上り、記録的なレベルに達したとのこと (日本 IBM のプレスリリース) 。そのうち 55 % が上半期末になってもベンダーからパッチが提供されていないらしい。 公表された脆弱性のうち 55 % は Web アプリケーションの脆弱性とのこと。JavaScript を使った攻撃が増えており、難読化された JavaScript は従来のセキュリティー・ツールでは検出できないらしい。また、PDF を利用した攻撃も増えているとのこと。逆にフィッシング詐欺は減少しているらしい。ただし、金融機関をターゲットにしたフィッシング詐欺は依然として流行っているとのこと。
関西 DTP 大手のカンプリで顧客情報漏洩 | スラド セキュリティ
京阪神を中心に、コピー・出力サービスチェーンを展開するカンプリグループで、版下を送信する Web アプリに欠陥があり、他の入稿者がフォームに入力した情報すべてと、原稿と一緒に発注書もアップロードした場合は発注書内の個人情報も閲覧可能であったことがわかった (オレンジ工房・カンプリ系列情報漏洩問題まとめ) 。 現在はアップロードフォームを停止しているようだが、アップロードされたデータの削除などは行われていないという情報もある。
「高度なハッキング技術」を用いた米国史上最大のカード情報盗難事件、盗まれた情報は1億件以上 | スラド セキュリティ
ストーリー by hylom 2009年08月19日 15時24分 企業内のコンピュータでも安心はできない、 部門より ロイター、AFP通信、読売新聞の記事によると、米国で過去最大のカード情報盗難事件を起こしたハッカー・グループ3人が起訴されたとのこと。 起訴状によると、3人は2006年10月以降、米セブンイレブン社など計5社のコンピューターに侵入し、SQLインジェクションでクレジットカードやデビットカードの情報約1億3千万件を盗み、売ろうとしていたとされる。 主犯格とされるアルバート・ゴンザレス被告(28)は元々、米シークレットサービスの協力者としてクラッカー摘発を手伝っていたが、その後、自らクラッカーとなったようだ。まさに「ミイラ取りがミイラになる」である。
ブラウザの「SSL証明書が無効」という警告、5割以上のユーザーが無視 | スラド セキュリティ
Webブラウザが表示する「SSL証明書が無効」という旨の警告について、55%~100%のユーザーが無視しているという調査結果が明らかになった(ComputerWorld.jp)。 カーネギーメロン大の研究者らが執筆した報告書によると、400名以上のWeb利用者を対象にオンライン調査を行い、その後100名のユーザーをラボに招いてWebを閲覧する様子を調査したという。その結果、信頼できるサイトであれば多くのユーザーが警告メッセージを無視し、信頼できないサイトについては警告に対して慎重な姿勢を取る、というユーザー行動が検出されたそうだ。 また、Firefox 3では警告メッセージがより大きく表示されるようになったが、これによりユーザーが警告を無視してサイトを閲覧する割合は減ったとののこと。
英ISPのVAserv、zero-day攻撃を受ける。脆弱性を突かれたソフトウェアの会社社長は自殺 | スラド セキュリティ
英国を拠点とするISP、VAservのバーチャルサーバインフラがzero-day攻撃を受け、10万ものウェブサイトのデータが削除されたそうだ(本家/.、The Register、Computerworldより)。 VAservの顧客の半数程は、同社が提供していたバックアップ無しの安価なプランに申し込んでいたとのこと。同社は安価なホスティングサービスに人気というHyperVMというバーチャライゼーションソリューションを導入していたが、今回の攻撃はこのHyperVMの脆弱性を突いたものであった。ハッカーらはデータを削除しただけでなく顧客のクレジットカードデータやその他のサーバ上の情報を入手した可能性が高いという。 この事件はその後更なる展開をみせ、HyperVMを開発・販売していたインドのLxLabs社の社長、KT Ligesh氏が8日、バンガロールの自宅で死んでいるのが見つかったとのこと。自
携帯ゲーム機にて、無線LANのアクセスポイントに「ただ乗り」する子供達 | スラド セキュリティ
ストーリー by hayakawa 2009年03月09日 16時27分 無防備なアクセスポイントがあちらこちらにありますからねぇ…… 部門より 三陸河北新報の記事によると、宮城県気仙沼市で小中学生がDSやPSPを使って無線LANを「ただ乗り」して使う行為が行われているとして、小中学校が保護者に注意喚起を行う文書を配布したそうだ。また、気仙沼市教育委員会も各校に文書で注意を促す予定とのこと。 パスワードのかかっていない無線LANの「ただ乗り」は以前から問題になっていたが、小中学生の場合「ただ乗り」は無自覚にやっていることが多いと思われる。学校では「他人の家のトイレを勝手に使うような行為」と説明し、「ただ乗り」をやめるように指導しているとのこと。
Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に | スラド セキュリティ
本家のストーリにもなっているが、認証局として知られる「Comodo」のアウトソース先の証明書販売業者が、mozilla.com用のサーバ証明書を関係のない第三者に発行してしまう事件が発生したようだ(eWeekの記事「SSL Certificate Vendor Sells Mozilla.com Cert to Some Guy」、mozilla.dev.tech.cryptoグループに掲載されている事件の経緯)。 これをやらかしたのは「Certstar」というComodoの再販業者のようだ。StartComのEddy Nigg氏がこの再販業者に対してmozilla.com用のサーバ証明書の取得を試みたところ、何の本人確認手続きもなしに証明書が発行され手に入ってしまったのだそうだ。mozilla.dev.tech.cryptoでは、Comodoの人が出てきて、この再販業者からの発行を停止し
おすすめのウイルス対策ソフトは? | スラド セキュリティ
今年も各メーカーがウイルス対策ソフトのアップデートを行っています。今までは「ウイルス対策ソフトを導入するとPCが重くなる」などと言われていますが、今年のアップデートではさらなる多機能化を図ったり、メモリの使用量を削減、「動作が軽くなった」といった改良点をウリにしているソフトが増えたように思います。 いっぽう、ユーザーに無断で使用期限の更新を行って更新料を請求する、といった問題も聞かれたり、また実際に使ってみないと使い勝手が分からない、ということもあり、なかなかどの対策ソフトを選べばよいか、判断に困っている人も多いのではないでしょうか。 本家/.でも話題になっていますが、/.Jユーザーがおすすめするウイルス対策ソフトはどれでしょうか?
Firefox 3のSSL対応方針、どう思う? | スラド セキュリティ
本家記事で、Firefox 3のSSL対応方針や認証や暗号化のあり方について議論が起こっている。 Firefox 3では、自己署名されたSSL証明書や承認されていないベンダー(新興のものや非営利のベンダーなど)によって署名されたSSL証明書を使用しているサイトに接続しようとすると、警告が発せられる。この警告が発せられない状態にするには、サイトはFirefox認証のベンダーに有料の証明書を発行してもらう必要がある。 本家タレコミ人のChandon Seldon氏は、「この仕様があるがためにSSL証明書にお金をかけざるを得ないサイトが発生したり、SSL認証無しへの変更を強いられるサイトもあるだろう」と自身のブログに綴っている。氏は、「自己署名SSLのサイトがEV SSLと同じ扱いをされるべきとまでは言わないが、だからといって全く暗号化されていないサイトへの接続時よりも『安全でない』といった印象
靴底にRFIDを埋め込んで児童の居場所を把握する小学校が登場 | スラド セキュリティ
朝日新聞の記事と産経新聞の記事(共に写真あり)及び毎日新聞の記事によると、大阪教育大学付属池田小学校が、5年生と6年生の全児童の上履きの靴底にRFIDタグを埋め込み、玄関と運動場の出入り口のマットの下にRFID読み取り機のアンテナを配備して、そこを通る児童をコンピュータで記録するシステムを導入したという。記録された情報は、職員室のパソコンで閲覧できるほか、担任教師の携帯電話でも確認できるそうだ。1年間の実験とのことだが、継続することも検討するという。 同校の校長で学校安全が専門の藤田大輔大阪教育大学教授は、「くつの中に埋め込めばICタグを付け忘れる心配もない」、「地震や火災などで逃げ遅れた子供を早期に発見できればいい」などと話しているとのこと。4、5年前から繰り返されてきたこの種の実験には食傷気味だが、ここまで人間の尊厳に気を遣わない直球な手法が登場したのは今になってこれが初のようだ。文部
トレンドマイクロのサイトでウイルス感染のおそれ | スラド セキュリティ
ITmediaなどによると、トレンドマイクロ社のウェブサイト(日本語及び英語サイト)の一部、ウイルス情報を公開していたページがクラッキングされ、アクセスしたユーザーにウイルスをダウンロードさせるような状態になっていたとのことです。3月12日18:00現在は、当該ページが一時的に閉鎖されています(トレンドマイクロ社のリリース)。 リリースによると、同社のウイルスチェックを最新のパターンにアップデートしていれば感染の危険はないと弁明していますが、そういう問題なんでしょうか、これ。「医者の不養生」で済む話題でもないような……。昨日から今日にかけて、当該ページにアクセスした可能性のある方は、念のためウイルスチェックを忘れずに行ってください。
Winnyとプライバシー保護 | スラド セキュリティ
INTERNET Watchの記事より。情報処理技術と刑事事件に関する共同シンポジウムにて、高木浩光氏が講演を行った。その中で高木氏は、Winnyの技術的問題点に触れ、名誉毀損やプライバシー侵害が起きた場合にそれを止められないことが問題だと指摘した。これは高木氏の従来からの主張である。その上で代替手段の提案や、削除要求機能を持ったsquirtの可能性と挫折に付いても触れている (『Winnyの問題で作者を罪に問おうとしたことが社会に残した禍根』も参照)。 しかし、名誉毀損やプライバシー侵害の観点からWinnyネットワークを評価するのは、もうひとつ論点として浸透していない、あるいは議論の深化が進んでいないように思う (例えば/.Jの『 Winnyを利用して故意に名簿流出』記事での同主張を巡るスレッド)。しかし、金子勇氏への一審判決を見ると、技術者の社会的責任や倫理が法的に問われる未来がくる可
スラッシュドット ジャパン | UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意
jbeef曰く、"本家に「Cross Site Scripting Discovered in Google」というストーリが掲載された。 これは、Web Application Security Consortiumが主宰するメーリングリストに投稿された記事を伝えるもの。その記事によると、Google.comにXSS(クロスサイトスクリプティング)脆弱性が見つかり、発見者が11月15日にGoogleに連絡したところ、12月1日に修正されたという。この脆弱性の原因と対策は以下の通り。" (つづく...) "まず、Googleの404 Not Foundのページはこの例のように、リクエストされたURLのパス名を画面に表示するようになっている。ここで、そのパス名にHTMLのタグを構成する文字「<」「>」が含まれている場合、Googleは、これをきちんと「<」「>」にエスケープして出
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft のセキュリティ開発プロセスが CC ライセンスに | スラド セキュリティ