Lenovo製品にプリインストールされているアドウェアSuperfishに関連する情報をまとめてみた。 - piyolog
2015年2月19日、Lenovo製品のPCの一部にプリインストールされているアドウェアSuperfishに深刻な問題が確認されたとして報道されました。ここでは関連情報をまとめます。 公式発表 2015年2月19日 LENOVO STATEMENT ON SUPERFISH (魚拓:当初発表・変更後) 2015年2月20日 Superfishに関するレノボの見解 (魚拓:当初発表・変更後) 2015年2月20日 SUPERFISHの脆弱性 (魚拓) 2015年2月21日 Updated Lenovo Statement on Superfish (魚拓) 2015年2月21日 Superfish に関するレノボからのお知らせ(更新)(魚拓) 見解内容 2015年1月以降Superfishのサーバー側作用により完全に無効となっており、この無効化は市場に出回っている全てのSuperfishが対
Superfish/eDellRootが危険な理由 - めもおきば
Lenovo製のPCの一部にSuperfishというマルウェアが標準でインストールされていることが確認され、大きな問題となっています。 [2015-11-24追記] DELL製のPCにも、「eDellRoot」とされるSuperfishと同様の問題を持つルート証明書が導入されているようです。 DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か - ITmedia エンタープライズ Dude, You Got Dell’d: Publishing Your Privates - Blog - Duo Security Joe Nord personal blog: New Dell computer comes with a eDellRoot trusted root certificate https://t.co/chURwV7eNE eDellRootで
はてなフォトライフはExif情報をデフォルトで削除する設定にしてほしい - ネットの海の渚にて
photo by mortimer? いつからだろうか。 カメラで撮った写真を気軽にネットにアップできるようになったのは。 携帯にカメラがついたころから、素人でも自分の撮影した写真を多くの人の目に触れさせることが容易になった。 それは今も継続してさらに発展中である。 iPhoneに搭載されているカメラはあっという間に進化して、一昔前のコンパクトデジカメを凌駕するような写真が気軽に撮れるようになっている。 そうなるとカメラ知識があまり無い人も写真を撮ってネット上にアップすることになる。 デジカメで撮影した写真にはExif情報が格納されている。 撮影日時だけでなく、シャッタースピードや絞りの数値、ISO感度等、後から見返す際にとても重要な情報が残されている。 写真とは光をどれだけ映像素子に取り込んだかということで結果が出る。 撮った写真がなぜこのような結果(写り)になったのかというのはExif
翻訳サイトでの翻訳結果に関する注意喚起 - contrail
インターネット上には数え切れないほどの翻訳ツールや翻訳サイトがあります。 そこに潜む危険性について記載したいと思います。 海外出張者や海外で働いている方など、ビジネスシーンでも現地の言語に翻訳する 必要性があり、翻訳ツールなどを利用するかと思います。 さて、自分が翻訳ツールやサイトに入力した内容が、検索サイトで検索することが が可能だったらどうしますか? 私も英語は得意ではないので、翻訳ツールのお世話になる事が多々あり、 こんなことが起こったら困ります。 今回確認したものは、検索サイトにて 翻訳サイト名 + キーワード を入力した場合に、 翻訳サイトに入力したと思われる文章や翻訳結果が記載されているページが検索サイトで 検索結果として表示されてしまうものです。 確認したのは、ilovetranslation(http://www.ilovetranslation.com/)と言うサイト。
Google、古いAndroidのサポート終了か 9億台で脆弱性放置の恐れ
Rapid7の研究者によると、GoogleはAndroid 4.3(Jelly Bean)までのバージョンについて、WebViewの脆弱性修正パッチの提供を打ち切った。 世界でまだ9億台あまりの端末に搭載されている旧バージョンのAndroidについて、米Googleが脆弱性を修正するパッチの提供を打ち切っていたことが分かったという。脆弱性検証ツール「Metasploit」を手掛けるRapid7の研究者が1月12日のブログで伝えた。 それによると、Googleは最近まで、Android 4.3(Jelly Bean)の脆弱性について報告を受けると迅速に対応していた。ところが、このほど新たに4.4よりも前のバージョンのWebViewの脆弱性を報告したところ、Googleのインシデント対応担当者からメールで「もし影響を受けるのが4.4よりも前のバージョンであれば、我々は一般的に、自らパッチを開発
OCN利用者はメールソフトのSSL設定をオンにしてください パスワードが漏洩します
Hiromitsu Takagi @HiromitsuTakagi 解説 メール受信には90年代からAPOPプロトコルが使われてきた。これは、パスワードを生で送信せずチャレンジレスポンス方式でMD5ハッシュして送信するもので、ネットワークが盗聴されても大丈夫なものとされてきた。そのため、メール送受信にSSLを使わないのが普通という時代が続いた。 Hiromitsu Takagi @HiromitsuTakagi 公衆Wi-Fiの普及で盗聴リスクが高まり、メール送受信にもSSLをとの機運が高まり、メールソフト側の対応も済んでいたのに、日本のISPはなかなかSSL化を進めなかった。彼らの言い分は、メールはどのみち暗号化されずに流れるし、パスワードはAPOPで保護されているというものだった。 Hiromitsu Takagi @HiromitsuTakagi その後、電通大の研究グループによりA
Twitter、端末にインストールされたアプリの一覧収集機能を追加
米Twitterが公式アプリで、ユーザーのモバイル端末にインストールされたアプリの一覧を収集する「アプリリスト」機能を次期アップデートで追加する。同社からの発表はまだないが、米re/codeが11月26日(現地時間)に報じた。既に日本語のヘルプページも用意されている。 re/codeによると、iOSアプリは同日、Androidアプリは来週以降のアップデートでこの機能が有効になる見込み。 Twitterはアプリリストの目的を、「ユーザーの興味に合わせてカスタマイズされたコンテンツをお届け」するためとしている。同社の収入源であるターゲティング広告や「おすすめユーザー」、フォローしていないユーザーのツイート表示などの精度向上が狙いだ。 例えば端末に多数のゲームアプリをインストールしているユーザーにはゲーム関連の広告を表示したり、Angry Birdをインストールしてあれば新バージョンのお知らせプ
Apple、Bashの脆弱性を修正する「OS X bash Update」公開
米Appleは29日(現地時間)、UNIX系OSで使用されているシェルBashの脆弱性を修正するパッチ「OS X bash Update 1.0」をリリースした。サポートサイトのダウンロードページで、OS X Mavericks用、OS X Mountain Lion用、OS X Lion用がダウンロード可能になっている。 この脆弱性はBashバグと呼ばれており、この脆弱性を狙った攻撃者にデータを盗み取られたり、システムの制御を奪われる恐れがある。深刻かつ影響が及ぶ範囲が広い脆弱性として、セキュリティベンダーやOSベンダーが注意を呼びかけていた。 OS XもBashを含むためMacユーザーの間に懸念が広がったが、OS Xはデフォルトで遠隔からの攻撃からユーザーを保護するように設定されており、Appleは「ユーザーが高度なUNIXサービスを設定していない限り、ほとんどのユーザーは安全」という
「LGBT当事者の声をもっと聞きたい」――国会議員へのLGBT施策インタビュー/牧島かれん衆院議員(自民党)×明智カイト - SYNODOS
牧島かれん衆院議員は「性的マイノリティの課題を考える会」の事務局として、これまで中心的な役割を果たしてきました。インタビューを通して見えてきたことは牧島かれん衆院議員がLGBTなどの性的マイノリティ当事者たちの抱えている課題を理解するために、当事者一人ひとりの声と向き合っていることでした。そして、LGBTのことを周囲の議員たちに理解をしてもらえるように働きかけている姿でした。仲間を増やしていくことが、政治を動かすことに繋がっていくことに気付かされました。(明智カイト) 明智 ではまず自己紹介をお願いします。 牧島 自由民主党所属の衆議院議員(1期)です。当選して1年半が経ちます。議会では、「財務金融委員会」、「議院運営委員会」、「海賊行為への対処並びに国際テロリズムの防止及び我が国の協力支援活動等に関する特別委員会」に所属しています。 主に関わっている政策としては「観光」「農業」「モノ作り
UNIXとLinuxの「Bash」シェルに重大なセキュリティホール
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2014-09-25 11:10 多くのUNIXおよびLinuxのユーザーに利用されている「Bourne Again SHell(Bash)」に重大なセキュリティホールが発見された。このセキュリティホールはBashによる環境変数の評価方法に起因している。ハッカーは特別に作成した変数を用いてセキュリティホールを突き、シェルコマンドを実行できる。これによりサーバはさらなる本格的な攻撃に対して脆弱な状態となる。 数ある他のセキュリティホールと同様に、今回のセキュリティホールも悪用するには高レベルのアクセス権が必要だ。しかしRed Hatのセキュリティチームによると、ハッカーは特定のサービスやアプリケーションを経由することで、認証なしにリモートから環境変数を入力し、セキュリティホー
applab-jp.com - このウェブサイトは販売用です! - applab jp リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
ブラウザにファイルをドロップしてはいけない - ぼくはまちちゃん!
こんにちはこんにちは!! 先日、CROSS 2013っていう、エンジニア向けのビール飲み放題のイベントに行ってきました! そこの「HTML5×セキュリティ」っていうコーナーで、ちょっと喋ってきたんですが、 その時の小ネタを紹介しておきます。 最近、ブログとかのWebサービスで写真をアップロードする時に、 ファイルをドラッグ&ドロップするだけでできたりしますよね。 いちいちダイアログから選ばなくていいから便利です。 こんなやつ。 この手の仕掛けって、ドラッグ時にボーダーカラーを変えたりして 「いまドラッグ&ドロップ状態ですよ〜」ってわかりやすく表示されますが、 それって別に、ブラウザが警告の意味で出してるんじゃなくて、 あくまで、Webサービス側が親切で表示してるだけなんですよね。 ってことは ・ドラッグされても特にボーダーラインなどを表示せず ・画面上のどこでもドロップを受け入れるようにし
「狙われたら防げない」今どきのセキュリティ事情:日経ビジネスオンライン
今、企業の情報管理の在り方が問われている。先週は、ベネッセホールディングスから最大2070万件もの顧客情報が漏洩し、マスコミで大きく取り上げられた。「ウチの会社は大丈夫か」と、慌てて情報システム部門に調査を命じた企業も多いだろう。 ベネッセのケースでは、データを持ち出したのは、顧客データベースの保守管理を受託している企業に派遣されていたSEだとされている。今後、内部犯行を防止するための仕組みや運用の在り方が議論されることになるだろう。 もう1つ、忘れてはならないのが、外部からのサイバー攻撃の脅威だ。特に、特定の企業や組織から重要情報を盗み出すことを目的にした「標的型攻撃」が、近年、猛威を振るっている。国内では、2011年に三菱重工業が攻撃を受けて話題になって以来、企業や官公庁への攻撃が継続的に報告されている。昨年末には、米小売大手のターゲットが標的型攻撃にさらされ、約4000万人分のカード
ダウンロードファイルが改ざん!バッファローに事故の裏側を聞く (1/2)
6月2日、バッファローのダウンロードサイトが改ざんされ、無線LAN製品や外付けHDD用のツールにウイルスが仕込まれるという事故が発表された。PC向けのウイルスであるため、ネットワーク機器には感染せず、オンラインバンクでの被害はなかったが、無線LANのトップメーカーであるためにインパクトも大きい。事故の詳細をバッファローの担当者に聞いた。 ダウンロードサイトのファイルを改ざんされる 今回の事故に関して、バッファロー側で対応にあたったのが、バッファロー戦略情報システム部 情報技術課長 八田益充氏だ。八田氏はダウンロードサイトを委託したCDNetworks Japanとの折衝やファイル改ざん以降の対応を行なっており、事故の概要についてもっとも理解している人物といえる。八田氏は、「お客様にご迷惑をおかけし、大変申し訳ない」と陳謝したのち、事故の概要や原因、事後対策について説明してくれた。 まず事故
2014-07-10
はてなIDのログイン履歴が確認できるページを新設しました 本日、はてなIDのログイン履歴を確認できる「ログイン履歴」ページを新設しました。ログインに成功した、最近50件分の履歴をご確認いただけます。 ログイン履歴ページは以下のURLです。Myはてなの画面右上のリンクからアクセスできます。 https://www.hatena.ne.jp/login/history ログイン履歴ページには、現在アクセスしている環境以外のログイン状態を無効にするボタンも設置しました。不審な履歴を見つけた際、強制的にログアウトさせることが可能です。 この機会に、ご自身のはてなIDでログインして、ログイン履歴ページをご確認ください。 心当たりのないログイン履歴を見つけた場合 もし心当たりのないログイン履歴を見つけた場合は、第三者が不正にあなたのアカウントにログインしている可能性があります。その場合は、お手数ですが
ベネッセが埋めた名簿屋のミッシング・ピース - 雑種路線でいこう
数百万件規模の個人情報漏洩であれば、過去にも10年前のYahoo! BB事件を筆頭に諸々あったけれども、それが実際に名簿屋で売買され、漏洩元の競合他社からDMが届くなど、露骨なデータ活用まで確認された事案としては史上最大規模ではないか。我が家にもジャストシステムからDMが届いたし、子持ちの知り合いには軒並み届いているようだ。データを販売した名簿屋が堂々と宣伝しているのも新時代の到来を感じさせる。別会社までつくって大層な力の入れようだが、社名と代表者を変えても同じCMS、キャッチフレーズ、代表挨拶、住所では頭隠して尻隠さず、よほど大きなビジネスチャンスと期待したのだろうか。こうやっていくつもの会社をつくって個人データを転売されてしまうと、個別にオプトアウトしても意味がなくなってしまう。 弊社が提供する通信教育サービス等のお客様に関する情報 約760万件(最大可能性 約2070万件) ・郵便番
パスワードを守ろう!サイトに対する「総当たり攻撃」の現状と対策まとめ | 株式会社LIG(リグ)|DX支援・システム開発・Web制作
どうもコンニチワ、セキュリティコンサルタント、モリイさんです。 各種サイトの運営者の方々は、日夜セキュリティ対策に頭を悩ませていると思います。 そこで、今日は最近巷でもニュースになっている「総当たり攻撃」、およびその派生型の攻撃手法と、それに対する私なりの対策をまとめてみました。 サイト運営者だけでなく、利用者の方々でも、安全にサイトを利用するため、最低限のルールは知っておいたほうが良いのではと思います。 それでは、はじめます。 主な攻撃の種類 1. 総当たり攻撃(ブルートフォースアタック) 総当たり攻撃とは、暗号や暗証番号などで理論的にありうるパターンをすべてを入力し、解読する暗号解読法です。 すなわち、人間による操作では不可能な、膨大な回数の計算をコンピュータにまかせ、時間の許す限りパスワードの検証等を行う行為を指します。 この方法は、時間的制約が無ければ確実にパスワードをクラックでき
ビッグデータ「同意なしで提供も可能に」 NHKニュース
プライバシーに配慮しながらビッグデータの活用を進めていくためのルールを盛り込んだ「個人情報保護法」の改正を目指している政府の検討会は、「個人が特定されないようにデータを加工した場合は本人の同意を得なくても第三者に提供できる」などとした大綱の原案をまとめました。 商品の購入履歴や位置情報などのビッグデータは、新たな産業の創出につながると期待される一方、ほかの情報と組み合わせることで個人が特定されるおそれもあり、企業が活用に慎重になっています。 このため政府の検討会は、プライバシーに配慮しながら活用を進めるためのルールを盛り込んだ個人情報保護法の改正に向け検討してきました。 まず、今の「個人情報保護法」では、企業などが集めたデータをさらに別の企業など第三者に提供する場合、本人の同意を得ることが義務づけられていますが、大綱の原案では、企業の負担などを考慮して「個人が特定されないようデータを加工し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Googleドライブを2GB無料ゲット、2月17日までにセキュリティ診断
https://jp.techcrunch.com/2014/10/25/20141024psa-dont-open-random-powerpoint-presentations-from-strangers-right-now/
