高木浩光@自宅の日記 - Wi-FiのMACアドレスはもはや住所と考えるしかない
■ Wi-FiのMACアドレスはもはや住所と考えるしかない 目次 まえがき これまでの経緯 2つのMACアドレスで自宅の場所を特定される場合 SSIDに「_nomap」でオプトアウト? PlaceEngineはどうなった? まえがき 先週、以下の件が話題になった。 Greater choice for wireless access point owners, Official Google Blog, 2011年11月14日 Removing your Wi-Fi network from Google's map, CNET News, 2011年11月14日 グーグル、Wi-Fiネットワークの位置情報収集で対応策を公開, CNET Japan, 2011年11月16日 Google's WiFi Opt-Out Process Makes Users Navigate Technic
高木浩光@自宅の日記 - 無線LANのステルス機能ではPlaceEngineに登録されるのを阻止できない
■ 自分の無線LANがPlaceEngineに登録されていないか確認する方法 前回の日記に対するリンク元などを見てまわったところ、「PlaceEngineは使いたいが自分のアクセスポイントは登録したくない」といった声があった。さて、「PlaceEngineを使いつつも登録しないでいる」ことは可能なのだろうか。 PlaceEngineには「位置を教える」という機能があるが、このボタン(図1)を押さないようにしていれば登録されずに済むかというと、そうではない。 このボタンは、PlaceEngineの取扱説明書よると、次の場合に使うものとして用意されている。 まだ PlaceEngine サービスエリアに含まれない場所で「現在地を取得」ボタンをクリックすると、現在地取得に失敗します。この場合、地図の下の「位置を教える」ボタンをクリックし、(略) PlaceEngine MAP サイトで現在地を表
高木浩光@自宅の日記 - 無線LANのMACアドレス制限の無意味さがあまり理解されていない
■ 無線LANのMACアドレス制限の無意味さがあまり理解されていない 職業マスメディアに代わって、ブログスタイルのニュースサイトが人気を博す時代になってきた。海外の話題を写真の転載で紹介する安直なニュースも人気だ。 このことろなぜか、無線LANのセキュリティ設定について書かれた記事を何度か見た。おそらく、ニンテンドーDSがWEPしかサポートしていないことが不安をもたらしている(そして実際に危険をもたらしている)ためだろうと思われる。 セキュリティの解説が増えてきたのはよいことなのだが、内容に誤りのあるものが少なくない。 実は危険な無線LAN, らばQ, 2007年10月21日 この記事には次の記述があるが、「接続されなければMACアドレスは盗まれない」という誤解があるようだ。 MACアドレスというのは、機器固有のIDのようなものです。たいていの無線LANアクセスポイントにはMACアドレスフ
PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな
タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー(Twitter)でも、よく「○○ったー」みたいなサービスがばんばん登場してますね! おかげでますますツイッターが面白い感じになってて、いい流れですね! でも・・・ちょっと気になることが・・・ 最近「もうプログラマには頼らない!簡単プログラミング!」だとか・・・ 「PHPで誰でも簡単Webサービス作成!」だとか・・・ はてなブックマークのホッテントリで見かけますよね・・・ プログラミングする人が増えるのは素敵です!レッツ・プログラミングなう! なんですけど・・・ ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです!
これは怖い!無線LANのWEPのパスワードをBACKTRACKを使ってあっという間に解読されるプロセスを見せる恐るべきビデオが公開されている - 適宜覚書はてな異本
本記事はセキュリティ向上を示唆するものであり、「不正アクセス行為を助長する行為」は全く意図するところではありません。「不正アクセス行為を助長する行為」にあたると見なされる場合記事削除を行いますので予めご了承願います。 WEPの脆弱性(WEPの脆弱性 - Google 検索)は相当昔から指摘されていて、昔の無印ニンテンドーDSを使わなければいけないとか特殊事情が無い限りは回避すべき暗号化です。wep 解読 ソフト - Google 検索のように単にソフトウェアを落として実行するだけでクラックされてしまいます。 こういうことは広く知られているのに関わらず、なんだかんだでWEPで使われている環境は見かけます(PCなら軽くNetStumbler系ソフトを走らせれば一覧化出来ますし、iPhoneみたいな携帯機器で拾ったものを眺めてもよい)。昔々の無線LANルータは既定がWEPだったり、先の特殊事情が
ユーザーが制御できない「秘密cookie」、半数強のサイトが利用
米研究チームの発表によると、Adobe Flashを使ってネット上のユーザーの行動をひそかに追跡し続けるサイトが増えているという。 Adobe Flashを使ってネット上のユーザーの行動を追跡し続ける「秘密cookie」を利用するサイトが増えているという。米カリフォルニア大学バークリー校などの研究チームがこのほど論文を発表した。 「Flash cookie」は通常のcookieとは異なり、ブラウザのセキュリティ設定ではコントロールできないという。研究チームが大手サイトによる同cookieの利用実態について調べたところ、調査対象としたサイトの半数以上がFlash cookieを使ってユーザー情報を保存していることが判明した。 中にはユーザーが削除したHTTP cookieを、Flash cookieを使って復活させているケースもあった。しかしその存在についてはサイトのプライバシーポリシーでも
間違ったコードは間違って見えるようにする - The Joel on Software Translation Project
Joel Spolsky / 青木靖 訳 2005年5月11日 水曜 私が最初の本当の仕事をはじめたのは1983年9月に遡る。それはオラニムというイスラエルの大きな製パン工場で、16台の飛行機ほどもある巨大なオーブンで、毎晩10万個のパンが作られていた。 はじめて工場に入った時、そのあまりの汚さに信じられない思いだった。オーブンの側面は黄ばんでいるし、機械は錆びていて、そこらじゅうが油だらけだった。 「いつもこんなに汚いの?」と私は聞いてみた。 「なんだって? なんの話をしてるんだ?」とマネージャが答えた。「掃除したばかりだから、今が一番きれいな状態なんだ」 なんてこった。 毎朝の工場の清掃を何ヶ月か続けて、ようやく彼らの言っていたことが理解できるようになった。パン工場では、きれいというのは機械にパン生地が付いてないことを言うのだ。きれいというのは、ゴミ箱に発酵したパン生地が入ってないこと
高木浩光@自宅の日記 - 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと
■ 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと 「コンピュータセキュリティを基礎から」というと、暗号の解説、特に共通鍵暗号と公開鍵暗号の違いからなどといった解説をよく目にする。昔は専門の方によって注意深く書かれていたのに対し、ここ何年かはひどい状況になっている。先月、宮崎で開かれたSCIS 2008の席でも暗号研究者の方々との雑談でそういう話になった。私は暗号は専門でないのでその話題は迂闊に書けないできたが、このところの巷の誤り解説の氾濫ぶりは目に余るものがある。 最もひどく蔓延っていてしばらく消えそうにない間違い解説の典型例は次だ。 「公開鍵で暗号化したものを秘密鍵で復号するのと同様に、秘密鍵で暗号化したものを公開鍵で復号できるようになっている。」 事例1: 日本ベリサイン株式会社による公開鍵暗号方式の解説 このような共通鍵暗号方式の問題点を解決する暗号方式が、公開鍵暗号方式
高木浩光@自宅の日記 - ユビキタス社会の歩き方(2) ストーカーから逃れて転居したら無線LANを買い換える
■ ユビキタス社会の歩き方(2) ストーカーから逃れて転居したら無線LANを買い換える 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では、「無線LANアクセスポイントのMACアドレスを知られると、住所を知られることになる」という状況が生じ始めていることついて書いたが、そのリンク元に、それがもたらす被害の具体例としてストーカー被害を挙げている方がいらした。同じことについて私なりに書いてみる。 ストーカーに自宅を特定されて付き纏いなどの被害に遭っている被害者が、ストーカーから逃れるために転居することがしばしばあるようだ。勤務先を特定されていない場合や、転居先がそこそこ遠方であれば、その対処が有効なのだろう。 しかし、無線LANが普及した現在、平均的な家庭には無線LANアクセスポイントの1台や2台は設置されているであろう。自宅を特定したストーカーは、自宅前で無線LANパケ
MacBook出火、13日(金)のこと - SWDYH
アップルさまの希望により記事を削除いたします。 僕自身は、あったことと感じたことをそのまま書いただけであって、 削除すべき内容ではないと思っています。 ※ 追記 1点、補足します。 アップルさまの担当の方の印象についての記述において、 不愉快な思いをさせてしまったのであれば、 その点についてお詫びいたします。申しわけありません。
A Successful Failure - 変わり果てた彼女の姿を見ても、まだ飲酒運転が出来ますか
J-CASTによれば、mixiで飲酒運転を告白、非難するコメントに開き直りをした男性が、飲酒運転の事実を職場に通告され解雇されたそうだ。非難メールに基づき関連部署に適切に連絡を行った二丈町、報告に基づき「諭旨解雇」という毅然とした対処を行った福岡広域森林組合は、しっかりと仕事をしているようだ。 軽い気持ちで飲酒運転をする人は、自分の行為がもたらす可能性に対する想像力が絶望的なまでに欠如している。事故を起こした時、その被害者や家族にどのような影響を及ぼすのか、そのことをしっかり考えれば、決して飲酒運転なんか出来ないはずだ。 Jacqui Saburidoの悲劇 HelpJacqui - A Story of Courage and Resolve Against Adversity - A Drunk Driver Innocent Victim's Saga 上記の有名なサイトは、飲酒運転
pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ? : IT Pro 記者の眼
2005年1月,米国ITメディアのいくつかが「pharming(ファーミング)」という言葉を使い始めた。オンライン詐欺「phishing(フィッシング)」の“進化形”と説明している。phishingがfishing(釣り)に基づいた造語であるのに対して,pharmingはfarming(農業,農場で栽培する)をもじったものだ(注1)。 注1:「医薬品成分を含んだ遺伝子組み換え植物を栽培すること」「遺伝子組み換えによって医薬品成分を含んだ動植物を作ること」などもpharmingと呼ばれる。こちらは,「栽培する」のfarmと「薬学」のpharm(pharmacy)を組み合わせた造語。 ただし言葉は新しいものの,ファーミングの内容自体は目新しいものではない。フィッシング“対抗”で無理やり作られた単語に思える。一部のセキュリティ・ベンダーがユーザーをあおるために作った感が強い。とはいえ,今後は国内
高木浩光@自宅の日記 - JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり
■ JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり 一昨年7月のWASフォーラムのイベントで話した以下の件。 セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏, MYCOM PCWEB, 2005年7月12日 誤った解説や必要以上に危機感を煽る報道に不満 (略)アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、
FeliCaの暗号が破られたとする件について、ソニーが完全否定 | スラド
FeliCaの暗号が破られたかもしれないとする件の続報だが、 ITmediaの記事によれば、 おそらく今回の騒動の出所である雑誌のFACTAの記事内容をソニーが全面的に否定しているとのことである。 FACTAの記事では、FeliCaの暗号が破られ、研究者らが情報処理推進機構(IPA)に連絡し、IPAも暗号が破られたことを確認したと している。ここまでは、切込隊長BLOGで書かれている内容と同じであるが、FACTAの記事では、FeliCaの暗号が危険な根拠として、共通鍵方式とEEPROMを利用したシステムではセキュリティのレベルが低いという2点を挙げ、暗号解析のデモを見たという人物が「本来は見えないはずのIC内の情報があっさりと見てとれただけでなく、その改変も可能だった」とコメントしていると書かれているらしい。 対して、ソニーの反応は「事実無根、事実は確認していない、IPAからの連絡ももちろ
切込隊長BLOG(ブログ) - FeliCa@ソニーの暗号が破られる?
FeliCaの暗号を破ったと実演している人がおられるようでして、見ている限りかなりのガチの状況であり、そのまま情報処理推進機構(IPA)に持ち込んでおられるとの由。正直申しますと、PS3で敗退とかいうレベルじゃない規模でヤバいことになりそうなので、もし破られていたんだとすればさっさとソニー(フェリカネットワークス)は公表するべきではないかと思います。まあ、いずれこの手のものは破られるものですし、利用者の混乱を避けるためにも、破られたことが分かったところで改善策とあわせて公開すべきだったかと。 単純な話、「FeliCaが破られてふざけんな」ということではなく、暗号というのは常に破ろうとする側、守ろうとする側のイタチごっこであり、守る側に充分なリソース(資金と知識と技術と体制)があれば、多少破られてもそれほどの被害なく収まるケースも多いというわけです。仮に、「暗号破られました」ということが事
それ Unicode で
UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
ビジネスリサーチの心得
2.ビジネスリサーチの情報収集 デスクトップ調査 の基本〜アニュアルレポートなど公開情報から… デスクトップ調査 とは、主にインターネットなどを使用して、公開情報を調査して整理・分析を行うものです。「CIAも収集する情報の95%が公開情報」ということで、情報不足とい… 2021.01.28 2021.05.13 1915 view 5.ビジネスリサーチのビジネスモデル ビジネスリサーチがアウトソースされる理由 ビジネスリサーチを社外に依頼する理由①〜信頼できる人「すべては依頼から始まる」からでも書きましたが、依頼主が社外にリサーチを委託する最大の理由は、事業環境を定点で把握… 2021.01.18 2021.05.13 146 view
本当に怖い「パスワード破り」:ITpro
パスワードを破ってFTPサーバーやSSHサーバーに不正侵入しようとする攻撃が後を絶たない。IBM ISSのセキュリティオペレーションセンター(SOC)でも多数検知している。本稿ではパスワード解析の脅威を再認識していただくために,ハニーポット[注1]を使った調査結果を基に,その実際の手口を解説したい。 注1 ハニーポットとは,攻撃者やワームなどをおびき寄せ,侵入後にどんな行動をとるかを監視・観察するためのシステムのこと(用語解説)。今回使用したハニーポット環境では,侵入した攻撃者が悪用できないようにアクセス制限を施し,外部への不正なパケットを制御した。 侵入後の振る舞い ハニーポットによる調査期間は2006年9月1日から9月25日。以下では,実際にパスワードを破られて侵入された事例を紹介する。 システム・ログを確認したところ,この事例では,SSHサービスに対する認証が特定のIPアドレスから3
ワームやマルウェアも「2.0」の時代に?
Ajaxを使ってYahoo!メールサービスを攻撃するワームが現れた。Web2.0技術が広まるにつれ、これらを使ったワームがさらに登場することは避けられないようだ。 Ajaxなどの新しいWeb開発ツールを使ったマルウェア攻撃は、もっと頻繁に行われるようになるだろう。不正コードの作者は、これらツールを使う合法的なプログラマーに匹敵するスキルを持っている。 6月13日にYahoo! MailをターゲットにしたYamannerワームが登場したことを受けて、業界アナリストやセキュリティソフトベンダーは、Web2.0の脅威とでも言えそうなものの時代が到来したと話している。 Ajax(Asynchronous JavaScript and XML)はJavascriptとXMLの要素を組み合わせて、Webサイト開発者がサイトをよりインタラクティブにできるようにする。これは攻撃を増幅させるのに容易に利用で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サービス終了のお知らせ