Helphttp://help.adobe.com/ja_JP/FlashPlatform/reference/actionscript/3/flash/system/Security.html
GENOウイルスまとめ
日本での最初の感染が通販サイトのGENOだったため、2ちゃんねるその他でそう呼ばれました。 このwikiでは2009年4~5月頃に話題となったウイルスを「GENOウイルス」と表記します。 (名前が名前なため、一般的には、攻撃元のURLより「Gumblar」と呼ぶことが多いようです。) これの何が怖いって、普通にホームページを見ただけで感染するから大騒ぎしたのです。 しかし、2009年5月、攻撃元がなくなったため、次第に事態は収束していきました。 2009年10~11月頃、「GENOウイルス」と非常によく似たウイルスが猛威を振るい始めました。 これはKasperskyのウイルスニュースより「Gumblar.X」と呼ばれています。 (似てはいるものの、基本的に「GENOウイルス」とは別物と考えてください。)
ヤフーがyimg.jpを使う本当のワケ - 最速配信研究会(@yamaz)
ヤフーの画像はなぜyimg.jpドメインなのか? サイト高速化の手法とヤフーの失敗例 でヤフーがなぜドメインを変えて画像サーバを運用しているかが書かれている.「静的なコンテンツに対してクッキーフリードメインを使うことによって速度向上を狙う」というのが理由とあって,これはこれでもちろん正しいのだけれど,これはどちらかというと副次的な理由で本当の理由は違う. クッキーフリードメインを使うことで悪意あるFlashコンテンツなどから自社ドメインのクッキーを守るためというのが本当の理由で,これはあちこちで使われているテクニックだ.Flashコンテンツは外部の業者さんに作ってもらったり,広告の入稿素材として入ってくるので,信頼できないデータとして取り扱う必要があり,万一まずいデータがアップされることがあっても大丈夫にしておく必要がある. 最近ユーザからの任意のコンテンツを受けつけて同一ドメインで配信し
【速報】通販サイト大手のナチュラム,65万件以上の個人情報を漏えい
【速報】通販サイト大手のナチュラム,65万件以上の個人情報を漏えい クレジットカード情報も8万6000件漏れる アウトドア商品や釣り具を扱う通販サイトを運営する「ナチュラム・イーコマース」は2008年8月6日,外部からの不正アクセスにより65万3423件の個人情報が流出した可能性があると発表した(発表資料)。「SQLインジェクション」と呼ぶ攻撃手法を用いた不正アクセスで,顧客マスター全件を閲覧された。「迷惑をおかけしたお客様や関係者に深くお詫びしたい」とナチュラム・イーコマースの中島成浩代表取締役社長は語る。 漏えいした顧客マスター・データベースには,会員情報として8万6169件のクレジットカード情報が登録されていた。ただし,登録されていたカード番号は全16ケタのうち先頭12ケタだけ。下4ケタは登録せず,買い物をするたびにユーザーが入力し直す仕組みだった。今のところ,顧客からカードを不正利
2007/01/07:HDDパスワードをハック
ご覧の皆様、あけましておめでとうございます。 今年もひとつ宜しくお願い致します。地味にね。 さてお正月と言えば、初売りに福袋にと、お買い得感溢れるお買い物ができる時期でもあります。 私も何か面白いモノがないか行ってきました。例によって秋葉ですが。 今時のPCパーツ屋では、店によっては福袋だったり鬱袋だったりを売ってたりしますが、流石にそんなヤバい物を買うだけの度胸もなく、普通の巡回ルートで何か出物がないか見て回ってみました。 すると、やたらと大量の2.5インチHDDをワゴン販売している店を発見。 しかも数と値段がハンパない。 段ボール箱に整然と並べられた、ざっと見て30個あろうかと思われる2.5インチ12GBのHDD。 これがなんと1個250円。 確認するまでもなく、明らかに地雷。 にしては同じ品物が大量にありすぎるので、どういう呪いが掛けられているのか店員さんに軽く聞いてみたところ、 「
sanonosa システム管理コラム集: Linuxでそこそこ安全かつ楽にサーバを立てる方法
【1.初めに】 要望がありましたので、今回はLinux(実際はRedhat系Linux)でそこそこ安全かつ楽にサーバを立てる際の手順を記してみます。 ※一応注意:今回は、試しにサーバを立てる程度であればこのくらいで十分ではないかと思うレベルを想定しています。サービスに投入するサーバでは私はもっと細かいところまで手を入れています。 【2.そこそこ安全かつ楽にサーバを立てる手順】 さて、いよいよ本題です。サーバを立てる際は、不必要なものを全て取り除いてから必要なものを追加していくというのが基本になります。以下の手順1~5では不要なものの除去、手順6~7で必要なものを追加し確認しています。それを踏まえまして。 ■手順1. OSをインストールします。(私はLinuxであればCentOSを入れることが多いです。その際私はインストールの種類をカスタムにしパッケージグループの選択では開発ツール以外全部チ
『今夜わかるセキュアプログラミング』資料公開 - まっちゃ139 - うさぎ文学日記
「まっちゃ139 Hiki - 第12回まっちゃ139勉強会」のプログラムの中にある「資料」の箇所からPDFファイルをダウンロードすることができます。 いろいろな年齢層、職業の方がいらっしゃるところでセキュアプログラミングのことをどのように話そうと考えた結果、こういった形でのアプローチになりました。(公開用に編集したものです。おもしろそうだなぁと思っていただければ、またどこかで編集前の状態でお話ししてきます。w) http://matcha139.hiemalis.org/doc/macha139_konya_wakaru_secure_programing.pdf (直) 参加者の方々の感想など 情報セキュリティはプログラマ一人が考えるものでない事を再認識。 まっちゃ139初参加 - ローグ・ログ セキュアプログラミングといっても 個々や会社毎に努力するしかないのかなと 飯のタネになる部
移転しました
まことにすいませんが移転しましたー 移転先はこちらになります お求めの「20XX年問題」に関する特集も移転先にありますので お手数ですがそちらを参照してくださいませ…(汗) これからも当サイトをよろしくお願いします!
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
「Web 2.0」導入が進む中、後回しにされるセキュリティ - CNET Japan
「Web 2.0」は、ウェブサイトで実現できることの限界を拡張する新技術として、導入が急速に進んでいる。しかし、機能を追加しようと急ぐあまり、セキュリティが後回しにされていると、専門家は指摘する。 Web 2.0の流行には、高額な参加費のカンファレンス、大量に生まれる新興企業、革新的な企業(「MySpace」を保有していたIntermix Mediaや「Writely」を開発したUpstartleなど)の巨額買収といった特徴から、1990年のインターネットブームを思い起こさせるところがある。そして、また別の面でこうした既視感をいっそう強く抱いている専門家たちもいる。デスクトップソフトウェアが登場して間もない頃と同じように、開発の推進力となっているのはすべて機能に関することで、セキュリティの確保はおろそかにされていると、専門家たちは話す。 ウェブセキュリティ企業のSPI Dynamicsでリ
われ思ふ ゆえに・・・ - すごい話を聞いちゃった
交差点で信号待ちをしていたら、突然「2ちゃんねるって知ってるか?」という声が聞こえてきた。 ふと隣を見ると、スーツ姿の若い男性が携帯電話で話している。ネット系の話題だわと思い、聞くでもなしに聞いていたら、驚きの内容だった。 同僚の中の誰かの奥さんが2ちゃんねるに「銀行マンの夫の残業代がつかない」「休日出勤が多すぎる」といった会社に対する批判を書き込んだ。それが会社の知るところとなり、いま社内で大問題になっているというのだ。 「で、俺らも今日は早く帰れって言われてさあ」 と男性がのんきに言う。 が、彼の話が「書き込んだのが誰の嫁さんかってのはもうほとんどわかってるんだよね」と続いたものだから、私の耳はますますダンボに。なんとその奥さん、「○○銀行」と名指ししただけでなく、夫が勤めているのは大阪にある支店の中で唯一ATMを置いていない店舗であるとか、仕事内容はこんなこんなでひと月のサービス残業
魔女狩りかPerl狩りか : 404 Blog Not Found
2006年01月18日00:45 カテゴリLightweight LanguagesOpen Source 魔女狩りかPerl狩りか それは聞き捨てならない。 高木浩光@自宅の日記 - 続・「サニタイズ言うなキャンペーン」とは 結論からズバリ言えば、Perlのせいだ。そもそも、セキュリティを電脳言語の層で確保しようとするのは、その言語の汎用性が高ければ高いほど不可能になる。汎用性の中には、「あえて危険なことを承知で行う」ということも含まれているのだから。 その点において、最も危険な言語は圧倒的にCということになる。実際CERTの勧告でも圧倒的に多いのがCで書かれたソフトウェアであるし、そもそもPerlを始め多くの電脳言語の実装そのものがCで書かれているのだから。 20世紀の時代、CGIプログラミングといえばPerlだった。Perlは、open 関数のように、手軽な書き方を用意しているのがク
Ajax ジェスチャー認証 | 秋元@サイボウズラボ・プログラマー・ブログ
via Ajaxian ジェスチャーによる認証のアイデア自体はそれほど新しいものではないと思うが、Ajax でジェスチャー認証はけっこう面白いのではないか。 デモの使い方を説明する。 文中中央下の二つのボックス、左の “Record” ボックス内でマウス左ボタンを押しながら、自分のジェスチャーを記憶させる。 続いて、右の “Login” ボックスでマウス左ボタンを押しながら、自分のジェスチャーを伝える。 右で入力したジェスチャーが、左で保存していたジェスチャーと合致したら、ログイン成功となる。何回かやってみたが、それなりに似たジェスチャーを再現しないとログイン成功にはならない。 マウスで描いた軌跡で認証、というのは、サインの国の人らしい発想ではあると思った。 Ajaxian では、他にも同じブログから、写真に写された「概念」をヒントにクリックさせることでスパムロボットを振り落とすアイデアも
ニフティ、迷惑メール対策に「25番ポートブロック」を2月から実施
ニフティは12月15日、「@nifty」経由で送信される迷惑メール削減を目的とした「25番ポートブロック(Outbound Port25 Blocking)」を、2006年2月15日から順次実施すると発表した。 対象となるのは「@nifty光 with フレッツ」と「Bフレッツコース」、「Bフレッツスペシャルコース(マンション)」、「フレッツ・ADSLコース」、「フレッツ・ADSLスペシャルコース」の契約ユーザー。一般的にメール送信に割り当てられる25番ポートに制限を加えて、プロバイダが指定したメールサーバを使用しないメールを制限する。 ニフティではすでに10月26日から25番ポートの代わりに587番ポートを使用してメールクライアントソフトからのメール送信を受け付ける「サブミッションポート」の提供を開始している。2006年5月を目処に25番ポートブロックの適用を予定していたが、迷惑メールに
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
行動ターゲティング広告はどこまで許されるのか?インターネット-最新ニュース:IT-PLUS
Semplice:クッキー(Cookie)の諸問題
http://wordpress.rauru-block.org/index.php/1341
脆弱性情報サイト「JVN」が実施したアンケートのCGIに脆弱性が指摘される
http://wordpress.rauru-block.org/index.php/1202
年初めに公表されたセキュリティー統計 - ITセキュリティー下学上達