hatestのブックマーク - はてなブックマーク

高木浩光＠自宅の日記 - テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた
■ テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた先週から、「ドコモ口座不正引き出し事件」の原因として、被害の発生した銀行が4桁数字の暗証番号で認証処理していたことが取りざたされており、リバースブルートフォース攻撃の手口が暗証番号特定の手段として使われた可能性について、テレビのワイドショーでも扱われるなど、世間での認知がかつてなく高まっている。そこで、この機会に、昔から存在していたテレフォンバンキングの危険性について、銀行側に抗議すれば今ならご理解いただけるのではないかと考えた。この問題は十数年前にも銀行側に伝えているが、サービスを止めるわけにもいかないし、電話経由での自動処理による攻撃は考えにくいと当時は考えられたのか、対処されることはなかった。2020年の今日、電話経由のサイバー攻撃は技術面で十分に容易に可能となっていると考えられ
hatest 2020/09/15
有効な攻撃手法をわざわざ一般に公開するのは感心しない
リンク
高木浩光＠自宅の日記 - ハマチをちゃんとテリヤキにするのは難しい, CSRF脆弱性を突く攻撃行為を現行法で処罰できるか
■ CSRF脆弱性を突く攻撃行為を現行法で処罰できるか CSRF脆弱性が攻撃されることは、それがもたらす被害の内容によっては、不正アクセス禁止法が守ろうとしているものと同等のものが侵害される場合もある。たとえば、本人でなければ見ることのできないはずの情報が、CSRF脆弱性を突く罠を仕掛けた者に送信されるといった攻撃は、不正アクセス行為の典型的な侵害事例と同様の被害をもたらす。また、同法の目的である「アクセス制御機能により実現される電気通信に関する秩序の維持」（第1条）が損なわれるという点も共通する。しかしながら、CSRF脆弱性を突く攻撃行為は、結果が同じてあっても手段が異なるために、不正アクセス禁止法による処罰は難しいのではないかと以前から思っていた。これについては、2005年7月3日の日記「クロスサイトリクエストフォージェリ（CSRF）対策がいまいち進まなかったのはなぜか」にも書いた。
hatest 2008/03/17
早速、高木さんが懸念してることをやらかす人が現れたみたい→http://anond.hatelabo.jp/20080317105749
リンク
高木浩光＠自宅の日記 - Amazonは注文履歴の消去を拒否、アカウント閉鎖後もデータは残る
■ Amazonはやっぱり怖いそろそろ使うのをやめようと思う今は朝6時。数時間前、寝ようとしたころに大騒ぎになっていた。密かな趣味が全公開--Amazonのウィッシュリスト、改め「ほしい物リスト」に注意？, CNET Japan Staff BLOG, 2008年3月12日これはひどいことになった。HATENA Co., LTD. では暗号解読の本をお求めのようだった。幸い私は、ウィッシュリストを空にしていたので、何も見られることはなかったが、自分のAmazon登録メールアドレスを入れると、氏名と「茨城県」などの情報が表示された。（メールアドレスも非公開のものを使っているが、ワイルドカード指定もできたようなので、どうなっていたかわからない。もっとも、私は実名を隠していないが。）そもそも何年か前、この「ウィッシュリスト」なるサービスが始まったとき、やたらウイッシュリストへの登録が
hatest 2008/03/13
トレンドマイクロのWebサイト改竄＆ウイルスばらまきの件(http://chiichan.blog.so-net.ne.jp/2008-03-12-1)は言及しないのかな？

Amazonネタ

もうおなかいっぱい
リンク
高木浩光＠自宅の日記 - CAPTCHAのレベルはblog主が選択できるようblogサービスが提供してはどうか
■ CAPTCHAのレベルはblog主が選択できるようblogサービスが提供してはどうか先月末、江島健太郎氏の、 CAPTCHAは愚策, 江島健太郎 / Kenn's Clairvoyance, 2008年2月28日というブログエントリが話題になっていた。そのはてなブックマークを見ると、以下のように非難轟々だった。 temtan [セキュリティ][プログラム] この人プログラム初心者って自覚あるみたいだけど、だったらこれが有効かどうかも判らないはずじゃない。なんで自信満々に言うんだろう。googleのプログラマより頭良いと思ってるのかな。★ hatest [ダメな例] Javascriptおぼえたての人は、なんでもJavascriptで出来ると思っちゃう典型的な例。Spamに狙われるような人気サービスでもない限りhttp://www.geekpage.jp/blog/のようなCaptc
hatest 2008/03/12
どんなにがんばってもそんなに善意的に読めません＞＜　あと、おまけのはずのJavascriptがやたら自信満々なのが鼻につく。僕にはスルー力が足りないのですか？

すごい

スルー力
リンク
高木浩光＠自宅の日記 - 「nwitter」の違法性について考えてみる
■ 「nwitter」の違法性について考えてみるウェブメールのアドレス帳を勝手に使って参加させようとするSNS「Tagged」について, GIGAZINE, 2008年2月13日この「Tagged」はよくあるふつうのSNSなのですが、参加する際になぜかウェブメールのログイン情報（メールアドレスとIDとパスワード）を入力させられるという仕様になっており、その際の情報を使って「Tagged」運営側が勝手にウェブメールにログイン、アドレス帳に記載されている友人全員に「Tagged」への招待メールを送りつけるというとんでもないことをしているようです。の件が再び話題になっていた。これは、ウイルス的SNS、Webメールのアドレス帳からスパム送信, ITmediaニュース, 2007年04月10日 GoogleのGmail、MicrosoftのHotmail、Yahoo! MailなどのWebメ
hatest 2008/02/18
ﾇイッﾀｰでパスワード抜かれッター

security
リンク
1

はてなブックマーク

タグ

ブックマーク / takagi-hiromitsu.jp (5)

お知らせ

月間はてなブックマーク数ランキング（2024年10月）

今週のはてなブックマーク数ランキング（2024年10月第4週）

今週のはてなブックマーク数ランキング（2024年10月第3週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス

タグ

ブックマーク / takagi-hiromitsu.jp (5)

高木浩光＠自宅の日記 - テレフォンバンキングからのリバースブルートフォースによる暗証番号漏えいについて三井住友銀行に聞いた

高木浩光＠自宅の日記 - ハマチをちゃんとテリヤキにするのは難しい, CSRF脆弱性を突く攻撃行為を現行法で処罰できるか

高木浩光＠自宅の日記 - Amazonは注文履歴の消去を拒否、アカウント閉鎖後もデータは残る

高木浩光＠自宅の日記 - CAPTCHAのレベルはblog主が選択できるようblogサービスが提供してはどうか

高木浩光＠自宅の日記 - 「nwitter」の違法性について考えてみる

お知らせ

月間はてなブックマーク数ランキング（2024年10月）

今週のはてなブックマーク数ランキング（2024年10月第4週）

今週のはてなブックマーク数ランキング（2024年10月第3週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス