Can Google’s Future-Lab Finally Kill the Password?
At a keynote during today’s Google I/O conference, the head of Google’s Advanced Technologies and Projects Group showed off a vision of a more secure mobile future. Step one: Kill the password. Step two: Turn your smartphone’s MicroSD card into a digital Fort Knox. It might be some time before we see either of the technologies ATAP’s Regina Dugan introduced today in our phones; her job, after all,
細かすぎて伝わらないSSL/TLS
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog 「細かいと言うより長いよね」 はじめに こんにちは。ATS の脆弱性を発見した小柴さんや ATS に HTTP/2 の実装を行っている大久保さんと同じチームの一年目、匿名社員M さんからいじられている新人です。今回ありがたい事に、こういったすごい方々を含めモヒカン諸先輩方より「何か書かないの?」「いつ書くの?」という数々のプレッシャーお言葉をいただきました。 というわけで、SSL/TLS の Session 再開機能に関して書いていこうかと思います。 SSL/TLS は機密性、完全性そして真正性に対して安全な通信を行うための仕組みです。しかし、この仕組みは暗号技術を多用し特に接続において複雑なプロトコルを用い、Client, Se
歩き方を分析し個人を特定する最新技術 NHKニュース
人の歩き方を細かく分析して歩く癖などから個人を特定する最新の技術が14日、東京・江東区で報道陣に公開されました。この技術は事件の捜査などに役立てようと、警察が試験的に活用を始めています。 歩く人の姿をカメラで撮影し、その速さや姿勢、手と足の振り方など8つの項目について調べて、性別や年齢だけでなく、歩き方の特徴を細かく分析します。これまでに集めたおよそ4000人のデータでは、歩き方を詳しく分析することで90%以上の確率で個人を特定できたほか、歩き方から年齢を推定すると、これまでのケースでは実際との誤差は6歳程度だったということです。 この技術を活用すると防犯カメラに映った人物が犯人なのかどうか絞り込むことができ、50メートルほど離れていたところを撮影した映像でも解析が可能だということです。八木所長が開発した技術については、警察も試験的に使い始めていて、これまでに事件の犯人を逮捕する重要な手が
アンチウイルスソフトウェアの脆弱性
Breaking av software 市場に出回っているアンチウイルスソフトウェアの脆弱性についての研究発表のスライド資料が公開されている。 アンチウイルスソフトウェアは、セキュリティ向上のために重要だという意見があるが、このスライド著者は疑問を投げかけている。そもそも、ソフトウェアの追加は、攻撃できる箇所が増えるということだ。アンチウイルスソフトウェアは果たしてセキュアに作られているのか。 特に、多くのアンチウイルスソフトウェアは、カーネルドライバーを使ったりしている。もし脆弱性があればとんでもないことだ。 アンチウイルスソフトウェアの攻撃手段としては、細工されたファイルフォーマットをスキャンさせる事が大半だ。アンチウイルスソフトウェアは、様々なフォーマットのファイルをパースする必要がある。もし、そのパーサーにバッファーオーバーフローなどの不具合があれば任意のコードを実行させることが
Content Security Policy
EngineeringContent Security PolicyWe've started rolling out a new security feature called "Content Security Policy" or CSP. As a user, it will better protect your account against XSS attacks. But, be aware, it… We’ve started rolling out a new security feature called “Content Security Policy” or CSP. As a user, it will better protect your account against XSS attacks. But, be aware, it may cause iss
公衆無線LANのConnectFree、利用するとTwitter IDとFacebookをMACアドレスと紐づけられ、いつどこでどのサイトを閲覧したか収集されるらしい - Togetter
概略 サービスを実施するにあたり、以下の利用者情報を取得していた MACアドレス FacebookアカウントID・Twitter ID 端末のユーザエージェント情報 アクセス期間 閲覧しているURL これらについて提携企業様に対して説明していなかった 他に以下の実施もしていた Google Analytics amazonアフィリエイトプログラム ただしamazonアフィは特定の1店舗のみにて試験的に実施したもので、買い物に関する情報等は一切取得していない Google Analyticsの利用の中止(平成23年12月5日実施) Twitter ID、FACEBOOKアカウントIDの収得の中止(平成23年12月5日実施) Amazonアフィリエイトプログラムのテスト運用の中止(平成23年12月5日実施) -自動的に保存されていたMACアドレス等のログの削除(平成23年12月5日実施)
B-CASカードクラックの手法 | statの日記 | スラド
先日「B-CASカードがクラックされた」というタレコミをしたが、そのあと関係する2ちゃんねるのスレッドを読んでいるといろいろ興味深い書き込みが多々ある。カード改竄の手法はおおよそ次のようなものらしい。 B−CASシステムでは、日付は1857年11月17日を起算日とした16ビットintで表す。システムが想定している日付の最大値はこれがFFFFのとき、すなわち2038年4月23日である。B−CASカードは放送波に含められている日付情報から現在の日付を計算するが、これがオーバーフローした場合には契約確認コマンドの返り値が「契約有効」になって返ってくる。 カードが保持している1857年11月17日という起算日を改竄して、現在の日付でオーバーフローを起こせれば全てのチャンネルが契約有効になる。 ---ここからは嘘かホントか分からない情報--- 一般の赤いB−CASカードを市販のカードライターで改竄す
PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) - ockeghem's blog
このエントリでは、あるPHPの入門書を題材として、Ajaxアプリケーションの脆弱性について検討します。全3回となる予定です。 このエントリを書いたきっかけ twitterからタレコミをちょうだいして、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeという本を読みました。所感は以下の通りです。 タレコミ氏の主張のように、本書はセキュリティを一切考慮していない 主な脆弱性は、XSS、SQLインジェクション、任意のサーバーサイド・スクリプト実行(アップロード経由)、メールヘッダインジェクション等 脆弱性以前の問題としてサンプルスクリプトの品質が低い。デバッグしないと動かないスクリプトが多数あった 上記に関連して、流用元のソースやデバッグ用のalertなどがコメントとして残っていて痛々しい 今時この水準はないわーと思いました。以前
Apache killerは危険~Apache killerを評価する上での注意~
Apacheの脆弱性(CVE-2011-3192)いわゆるApache killerが話題になっていますが、その脅威については一部誤解があるようです。 以下は、非常に脅威とする報告の例です。 一方今回のはプロセスの肥大化を伴うので、実メモリ消費して更にスワップも使い尽くしてOS毎激重になったあげくLinuxとかの場合はOOM Killer発動と、他のプロセスや場合によってはOSを巻き込んで逝ってしまいます。 CVE-2011-3192 Range header DoS vulnerability Apache HTTPD 1.3/2.xより引用 以下は、それほど脅威でなかったとする報告の例です。 pooh.gr.jp は結構頑丈だったので 60 並列でやっと CPU idle 30% まで減らせた。 Apache Killer (CVE-2011-3192) 対策 for CentOS 5
60m先から撮影した画像から鍵をコピーすることができるソフト「Sneakey」
相手が気づかないうちに鍵をコピーするというと粘土に押しつけて型を取るというのがよく知られた方法ですが、よくあるギザギザの鍵なら遠くから望遠レンズで撮影した画像からでも複製することができます。 ソフトウェア「Sneakey」を開発したのはカリフォルニア大学サンディエゴ校のサヴェージ教授のチーム。「ウェブ上に自分の鍵の画像をさらしている人がいるが、それがいかに無防備であるか実証するために開発した」とのこと。ソフトは研究用のため一般には公開されていませんが、かなり恐ろしいソフトです。 まず、ターゲットの鍵と同じメーカーのブランク(溝を掘る前の合い鍵)を用意し、事前に形状をスキャンしておきます。次にターゲットの鍵をなんらかの方法で撮影し、その画像内の鍵とブランクの特徴点(先端やホルダー用の穴など)をクリックして選択します。 たったこれだけの動作で、画像内に写っているターゲットの傾きや遠近による歪み
iPhoneのSSL通信が傍受される恐れ、アップデートの早期適用を
セキュリティ研究者が公開したコンセプト実証用の攻撃ツールの更新版に、脆弱性が解決されていないiOS搭載端末を見つけ出してSSL通信を傍受できる機能が加わった。 米Appleが7月25日のソフトウェアアップデートで修正したiOSの脆弱性について、悪用されれば安全なはずのSSL通信を傍受されてしまう恐れがあり、できるだけ早くアップデートを適用した方がいいとセキュリティ研究者が促している。 この問題に関連する脆弱性の存在を9年前から指摘していたという、セキュリティ研究者のモクシー・マーリンスパイク氏は、SSL/TLS通信に対する中間者攻撃のコンセプトを実証する目的で作った「sslsniff」というツールの更新版を25日に公開した。更新版には脆弱性が解決されていないiOS搭載端末を見つけ出して、通信を傍受できる機能が加わったという。 Appleのセキュリティ情報では25日のアップデートについて、「
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない
■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Google Chromeの開発者版で「スクリプト混合の脆弱性」をブロック
Google Chromeのカナリアビルド14では、「スクリプト混合」と呼ばれる危険な状態をデフォルトで防止する。 米Googleは開発者向けに公開しているWebブラウザChromeの「カナリアビルド」次期バージョンで、「スクリプト混合」(mixed scripting)と呼ばれる、危険な状態をデフォルトで防止する措置を取ったことを明らかにした。 同社では、HTTPSを使って通信を暗号化しているWebページが、スクリプトやCSS、プラグインリソースなどを安全ではないHTTPを介して読み込むことにより発生する状態を「スクリプト混合の脆弱性」と定義している。 この問題を突いて中間者攻撃を仕掛ければ、HTTPリソースを傍受して、そのリソースが読み込まれているWebサイトにフルアクセスできてしまう恐れがあるという。この状態では、まったくHTTPSを使っていないのと同然になりかねないとGoogleは
第1回 重なった30の不手際
東日本大震災から3日後の2011年3月14日。この日の午前に最初のトラブルは発生した。テレビ局が東日本大震災の義援金を番組などで呼びかけたところ、みずほ銀行東京中央支店のテレビ局の義援金口座(以下、口座a)に、振り込みが殺到した。 午前10時16分、振り込みによって生じた「取引明細」の件数が上限値を超え、口座aに対する「預金・取引内容照会」ができなくなった。取引明細は通帳の記帳に使う。 みずほ銀は口座aを、格納できる取引明細の上限値が小さい「個人・通帳口」として間違って設定していた(表-1)。 みずほ銀は口座の種類を二つの属性の組み合わせによって区別している。一つは「個人」か「法人」か。もう一つは、取引明細を通帳に記帳する「通帳口」か、記帳しない「リーフ口(ぐち)」かである。 これら二つの属性によって、格納できる取引明細の上限値が変わる。通常、義援金口座のような大量振り込みが予想される口座
RainbowCrack - Crack Hashes with Rainbow Tables
Introduction RainbowCrack is a general propose implementation of Philippe Oechslin's faster time-memory trade-off technique. It crack hashes with rainbow tables. Features Rainbow table generation, sort, merge, conversion and lookup Rainbow table of LM, NTLM, MD5, SHA1, SHA256 and customizable hash algorithms Rainbow table of customizable charset GPU acceleration with AMD GPUs (OpenCL technology) G
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Mt.Gox詐欺の証拠? CEOサイトにハッキング
Google Code Archive - Long-term storage for Google Code Project Hosting.
米で使い捨てパスワード情報盗難、端末4000万台交換へ RSAセキュリティの主力製品 - 日本経済新聞
