JavascriptのMath.random()でユーザートラッキングができるという話 - kogelab::memo
表題の件について。 地味な話ですが、javascript(というかECMAの仕様)にあるMath.random()には、乱数のシードを与える方法が無いようです。 そんなわけで、われわれ一般市民は各ブラウザが独自に実装している、謎のシードで初期化された謎のアルゴリズムで作られた乱数を通常使うわけですが。 Mozillaからこんなの出てた。 曰く、Math.random()のシードによる初期化は、ブラウジングセッションごとに1度しか行われないと。 で、シードはまあ、かぶる率そんなに高くなさそうなので、そのシードをUSERの(擬似的な)ID代わりにしてしまえば、ユーザーのトラッキングができるよーん、とのこと。 はじめ読んだとき、「おおー、かっけー!」と思ったんですが、ちょっと待て。 シードって外から取れんのか。 というわけで、色々調べたところ、各ブラウザは(多分IEも)線形合同法による擬似乱数を
そのソフトウエアアップデート、本物ですか?
クライアントパソコン(PC)にインストールされているアプリケーションをアップデートしていないとウイルスに感染するリスクが高まることは、既に多くの方がご存じだろう。多くのユーザーは、アプリケーションのソフトウエアアップデートがリリースされたときに、デスクトップに現れた警告でアップデートの存在に気付き、適用しているだろう。 では、以下のようなソフトウエアアップデートの警告が表示されたら、どうだろうか。無意識にクリックするユーザーが多いのではないか。だがここで、一つ注意してほしい。そのアップデートが本物かどうかを確認することだ。 実は上記のAdobe Flash Playerのアップデートは偽物で、アップデートを適用するとウイルスに感染してしまう。アップデートの警告に無意識に反応してクリックしているユーザーは、この罠(わな)に引っ掛かってしまう可能性がある。 こうした偽アップデートの警告は、We
OperaでアドレスバーもどきuserJS - ゆず日記
元々会社で「あ〜、特定のクエリパラメータ常時表示してくれねーかなー」とか思ってたので、クエリパラメータ表示JavaScript作った。 「あー満足満足。テスト楽になるわ〜」とか思ってた矢先に、スクロールバー非表示について - 狐に背中を飛び越されましてでタブバー不要説と共にid:lazy_dog氏が熱く語られた「アドレスバーなぞ要らん!!アドレスバーは過去の遺物!!(超訳)」が脳内をよぎり、「あれ、これアドレスも表示出来るじゃん」ということでアドレスバーもどきを作成してuserJS初公開。 OperaユーザーがURL入力/アクセスをする際はデフォのF2キーなので、これで"アドレスを表示すること"は達成してるかな。 以下仕様。 ページ読み込み時に表示、1秒後に消える。 マウスオーバーで再表示。 クリック時にタイトル表示 / クエリがあれば再度クリック時にクエリ表示。 '=>'クリックでURL
高木浩光@自宅の日記 - かんたんログイン方式で漏洩事故が発生
■ かんたんログイン方式で漏洩事故が発生 ガラケーからiPhoneに乗り換えた人々が「ガラケーサイトが見れない!!」とご不満らしいという話は、聞いたことがあったし、そういう方々向けに「ガラケーサイトを閲覧できる」と謳うスマホ用の専用ソフトが提供されたというのも、どこかで見た記憶があった。 そんな10月9日の夜遅く、ある方から、「iPhone用のSBrowserというアプリで、クロネコヤマトのサイトを使ったら、知らない人の個人情報が出てきてびっくりした。どうしたらいいか」という相談が舞い込んできた。 早速、iTunes Appストアで「SBrowser」の商品説明ページを見に行ったところ、数々の雑言レビューが付いており(図1)、この種のアプリの需要とユーザ層が見えた。
TechCrunch | Startup and Technology News
Unlike Light’s older phones, the Light III sports a larger OLED display and an NFC chip to make way for future payment tools, as well as a camera.
HTML5は安全か? 開発者が留意すべきセキュリティ問題
脆弱性の多いFlashの代替として注目を集めるHTML5だが、HTML5にもセキュリティをめぐる幾つかの問題がある。 米Appleと米Adobe Systemsとの間の論戦は、HTML5の運命をめぐってさまざまな憶測を呼び起こした。HTML5はまだ開発途上にあるが、1つだけ確実に言えるのは、HTML5を採用する開発者は、アプリケーションセキュリティ開発ライフサイクルの一部として同標準の新たな機能セットを考慮に入れる必要があるということだ。 では、HTML5はセキュリティにどういった影響を及ぼし、脆弱部分をどうカバーすべきなのだろうか。米eWEEKでは、HTML5のセキュリティをめぐる幾つかの重要な問題について専門家に話を聞いた。 クライアントサイドのセキュリティ 「従来版のHTMLでは、Webサイトはローカル情報としてcookieしか保存できない。しかもこれらは比較的小さなデータであり、シ
webのログイン管理的なもの (#1744334) | メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI | スラド
携帯対応・変なファイヤーウォールを無視できるとして、今回の件では関係ないものもありますが、対策はこんな感じでしょうか。 専門家の方もxxはyyが悪いというばかりで、対策をまとめてくれないのでよくわからんのですよね。 ベーシック認証、クライアント証明は考慮外です。 step0: ログインIDとパスワードをURLに含めて持ち歩くのをやめる step1: パスワード送信をPOSTにしてPOSTのみ受け付ける step2: ログイン画面以外は、パスワードを利用せずにcookieを使う step3: 全コンテンツでTLS・有効で信頼済みの認証局発行のサーバー証明書を使う step4: cookieにはsecureフラグを立てる step5: cookieには基本的にセッションIDのみを保存する step6: セッションIDをjsessionidやphpsessionidなどでURIに含めない。受け付
CSS による履歴の漏えいを防ぐ取り組み « Mozilla Developer Street (modest)
これは、Mozilla Security Blog の記事 Plugging the CSS History Leak (英文) の抄訳です。Web 開発者の方は Mozilla Hacks の記事抄訳 CSS の :visited に行われるプライバシー対策 も参照してください。 プライバシーの保護は必ずしも簡単なことではありません Mozilla では近く、以前からブラウザ各社が取り組んでいる個人情報漏えい問題の対策を Firefox の開発ツリーに追加します。私たちはこの改善を非常に楽しみにしており、他のブラウザも後に続いてくれることを期待しています。しかし、これは解決が難しい問題であるため、Mozilla がなぜこのようなアプローチを取ることにしたのか説明しておきたいと思います。 履歴の取得 Web ページ上のリンクは、ユーザがそのリンク先を訪れたことがあるかどうかによって見た目が
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
「ハトミミ.com」のURL、「hatomimi.go.jp」になる | スラド
ストーリー by hylom 2010年01月04日 13時04分 「.com」はドメインじゃありません! 部門より 昨年11月30日に行政刷新会議が発表した「ハトミミ.com」計画だが、初動の不手際により暗礁に乗り上げていることが明らかになってきた。12月29日の共同通信の記事によると、「ハトミミ.com」の名称とロゴを発表した後に、担当者が「ハトミミ.com」ドメインを取得しようとしたところ、既に他の誰かに登録されていたという(ハトミミ.com/)。 また、政府は情報セキュリティ対策基準として「.go.jp」ドメインを使うことを定めており、これに反するドメインは「誤解を招く」として、発表直後に内閣官房情報セキュリティセンターが警告していたそうだ。行政刷新会議の11月30日の資料には、「ハトミミ.com(または.jp)」と書かれており、ドメイン名を決定する前に発表してしまった様子がうかが
サーバ管理者日誌 2009年12月01日
その名も「ハトミミ.com」…HPで行政の内部告発受け付け[http://www.yomiuri.co.jp/net/news/20091201-OYT8T00337.htm] というニュースを見た。 どうして、こんなにセキュリティ意識もセンスも感じられない名称を付けるのか。 不正や行政内部の密約など不透明な取り決めの“内部告発”を受け付けるホームページ「ハトミミ.com」の新設を決めた。 (中略) サイトの名称は鳩山首相の名前にちなむもので、来年1月からは一般国民からも、ムダ根絶につながる提案を募る。 内部告発や一般国民からの提案を受け付けるサイトであるから、機微情報を扱うサイトであることは間違いなかろう。そういうサイトを立ち上げるに当たって、第一にウケを、さらに首相個人の売名を狙ったネーミングをするところに底の浅さを感じる。 本論とは関係ないが、なんとなく監視国家を暗示する絵に見えて仕
ちょっとセキュアな「いつもの」パスワード - ぼくはまちちゃん!
こんにちはこんにちは!! 最近はメールでもなんでもWEB上の便利なサービスが増えてきましたね…! でも、いろいろ登録しすぎて、いよいよぼくもパスワードが管理できなくなってきました…! えっ! もしかして面倒だから、ぜんぶ同じパスワード使ってたりするるんでしょうか…! だめです!だめだめ!それはだめ。 全部のサイトで同じパスワードにするのってものすごく危険ですよ!!! これはほんと! だって、もしなにかあって、どれかひとつのパスワードがばれちゃったら全部芋づるだから…! 登録したWEBサイトの管理者の中に悪い人がいる可能性もあるし。 (個人運営のサイトはもちろん、たとえ大きな企業のサイトでもバイトちゃんが見れたりとか…) でもだからといって全部別のものにすると覚えられないんだよね。 たとえば自分宛にメールしておくとか… Dropboxのような共有フォルダにパスワードのメモいれとくとか… パス
サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
ゆーすけべー日記
サキとは彼女の自宅近く、湘南台駅前のスーパーマーケットで待ち合わせをした。彼女は自転車で後から追いつくと言い、僕は大きなコインパーキングへ車を停めた。煙草を一本吸ってからスーパーマーケットへ向かうと、ひっきりなしに主婦的な女性かおばあちゃんが入り口を出たり入ったりしていた。時刻は午後5時になる。時計から目を上げると、待たせちゃったわねと大して悪びれてない様子でサキが手ぶらでやってきた。 お礼に料理を作るとはいえ、サキの家には食材が十分足りていないらしく、こうしてスーパーマーケットに寄ることになった。サキは野菜コーナーから精肉コーナーまで、まるで優秀なカーナビに導かれるように無駄なく点検していった。欲しい食材があると、2秒間程度それらを凝視し、一度手に取ったじゃがいもやら豚肉やらを迷うことなく僕が持っているカゴに放り込んだ。最後にアルコール飲料が冷やされている棚の前へ行くと、私が飲むからとチ
TLSとSSLにゼロデイ脆弱性--セキュリティ研究家が明らかに
一般的にウェブページの暗号化に使用されるTLSおよびSSLプロトコルのゼロデイ脆弱性が公表された。 セキュリティ研究家のMarsh Ray氏とSteve Dispensa氏は米国時間11月4日、今回のゼロデイ脆弱性と関連性はないが類似したセキュリティ研究結果を開示したことに続き、TLS(Transport Layer Security)の脆弱性を明らかにした。TLSとその前身であるSSL(Secure Sockets Layer)は通常、オンライン小売業者や銀行によって、ウェブ決済のセキュリティを確保するために使われる。 Dispensa氏とともに2要素認証企業のPhoneFactorに勤務するRay氏は5日、同氏が8月にこの脆弱性を初めて発見したこと、そして、9月初旬に実際に機能するエクスプロイトのデモをDispensa氏に披露したことをブログ投稿で説明した。 TLS認証プロセスの脆弱性
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch | Startup and Technology News
サービス終了のお知らせ
Gmail☆占い
指を右へずらすだけで、覚えやすく強固なパスワードが作れる!? | ライフハッカー・ジャパン
Engadget | Technology News & Reviews
