Engadget | Technology News & ReviewsPick up the 9th-gen iPad with two years of AppleCare+ for only $298
slideshareにはいつの間にかに他のユーザーでログインしている致命的なバグがある - UNIX的なアレ
先ほど気づいたのですが、かなり危険なバグかつ脆弱性なので手短に共有します。 他人でいつの間にかログインしていた facebook上のTLに流れてきたslideshareへのリンクを踏んで普通に資料を読んでいました。最初は気付かなかったのですが、なぜか右上にあるアイコンが自分のものではないアイコンが出ています。 ウチの会社の社長のアカウントなのですが、意図せずに勝手にユーザーアカウントが切り替わっています。 コメントも可能 ちょっと下にいくと、コメントができる欄がありますがここにも自分のアカウントではなくアカウントに切り替わっています。アイコンのURLが同一だからキャッシュしているなどではなく、完全に別ユーザーとしてログインをしている状態になっています。非常に危険な状態。 この時点で明らかにおかしいので本人に伝えました。 ※上記のキャプチャはコメント後に取得したキャプチャです。 コメント投稿
輝ける高木浩光氏とスーパー武雄市長・樋渡啓祐氏の戦い - やまもといちろうBLOG(ブログ)
武雄市長の樋渡せんせのFACEBOOKが大炎上していたというので見物に逝ったわけですが、FACEBOOKのコメントとしては結構画期的な数の罵倒&応援コメントが交錯しており、興味深いのです。 樋渡 啓祐 https://www.facebook.com/keisuke.hiwatashi.9/posts/482159161803955 元はと言えば、樋渡せんせと高木せんせのネットセキュリティを巡る論争からスタートしていたはずが、途中で樋渡せんせが個人の住所録をヤフーブリーフケースで公開してたり、支援者の方々の顔写真を含む個人的な画像群を写真共有サービスでこれまた公開してたり、微笑ましい失敗をしていたことで延焼したあたりがネットユーザーの心を鷲掴みにしたんですよねえ。 あらすじを知りたい方は、こちらの戦場跡をご覧いただきたいところですが、関心深めるべきはこの抗争、まだ現在進行形で戦火が広がり続
いま一番危ない脆弱性は何だ?――2012年版
クライアントパソコン(PC)に放置されやすい脆弱性は何か。本コラムでは、以前にも同じテーマの記事を掲載した。日本IBM セキュリティー・オペレーション・センター(以下、東京SOC)で、ドライブバイダウンロード攻撃の被害に遭ったPCについて調査した結果に基づいた解説である。今回は、最近まとめた今年(2012年)の調査結果について解説する(参考:2010年の調査結果、2011年の調査結果)。 今回の調査では、Black Hole、Incognito、RedKit、Sakuraの4種類および名称不明の1種類のドライブバイダウンロード攻撃ツール(Exploit Pack)の被害に遭ったクライアントPCを対象に、悪用された脆弱性を調査した(表1)。これらは、東京SOCで検知したドライブバイダウンロード攻撃によく使われた攻撃ツール上位5種類で、いずれも頻繁にアップデートされ、次々に新たな脆弱性を攻撃す
高木浩光さんへ、しっかりしてください - 最速転職研究会
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」
■ Tポイント曰く「あらかじめご了承ください」 「Tポイントツールバー」なるものが登場し、8月8日ごろからぽつぽつと話題となり、13日には以下のように評されるに至った。 Tポイントツールバー(by CCCとオプト)が悪質すぎてむしろ爽快, やまもといちろうBLOG, 2012年8月13日 その13日の午後、一旦メンテナンス中の画面となり、夕方には新バージョン(1.0.1.0)がリリースされたのだが、15日には、「Tポイントツールバーに関する重要なお知らせ」が発表されて、「8月下旬」まで中止となった。非難の嵐が吹き荒れる中で堂々と新バージョンを出してきたにもかかわらず、なぜすぐに中止することになったのかは不明である。 この「Tポイントツールバー」とはいかなるものか。以下の通り検討する。 騙す気満々の誘導 刑法の不正指令電磁的記録供用罪(第168条の2第2項)は、「人が電子計算機を使用するに際
Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 追記(2012/08/10 20:10) たくさんの方に読んでいただき、ありがとうございます。一部に誤解があるようですが、ツールバーが送信している内容はURLだけで、Cookieやレスポンスまでも送信しているわけではありません。URLを送信するだけでも、以下に示す危険性があるということです。 追記終わり 追記(2012/08/13 23:50) ポイントツールバーにバージョンアップがあり、WEB閲覧履歴の送信がSSL通信に変更されました。従って、WEB閲覧履歴が盗聴可能な状況は回避されました。本日22:50頃確認しました。
全世界のブロードバンドの速度は25%アップ, 依然として韓国トップ, 合衆国は12位だが29%増6.7 Mbps
Meta will soon officially permit users as young as 10 to use its Meta Quest 2 and 3 VR headsets — if their parents say it’s okay, anyway. In a blog post, the tech giant says that there’s Nikola Corp. is laying off 270 employees, or about 23% of its workforce, and restricting its electric truck efforts to North America as it seeks to preserve cash. The company said Friday it will lay o
iCloudハック事件の手口がガード不能すぎてヤバイ | fladdict
GizmodeのライターがiCloudのアカウントを乗っ取られ、iCloud消滅、iPad, iPhone, Macのデータワイプ、Gmail, Twitterの乗っ取りを食らった件について、ハッキングを本人が語ってらっしゃる。 手口としては典型的なソーシャルエンジニアリングによる、複数サイトから得た情報のギャザリングを用いたハック。 だがこのハッキングのプロセスが鮮やかすぎてヤバイ。ツールを一切つかわず電話だけでハッキングしてる。 Twitterアカウントに目をつける 元々クラッカーは、Gizライターの持っていた「3文字のTwitterアカウント」が欲しくてアタックをかけたらしい。 Twitterプロフィールから、本人のウェブサイトへ 本人のウェブサイトからGmailのアドレスを発見 Gmailで「パスワードがわからない」から再発行 再発行メール用のアドレスが画面に表示される。この m*
高木浩光@自宅の日記 - 個人情報の地方自治が信用ならないワケ
たしかに私は1年ほど前、三田市役所に電話したことがある。三田市だけでなく他の自治体にも同じ内容で問い合わせをした。それは、以下の報道を受けて、実態がどうなっているのか、自宅研究のため、各自治体に取材を試みたものであった。*1 漏洩元のうち岐阜県飛騨市は、情報が流出した一人一人に事情を説明して謝罪し、記者会見で事実を公表した。 しかし、他の13団体は「不特定多数の目に触れておらず漏洩ではない」(海陽町)、「他自治体からさらに外部へは流出していない」(渋谷区)、「すぐに削除された」(愛知県尾張旭市)などとして具体的な措置はとらなかった。 すべての自治体は独自に個人情報保護条例を持ち、「正当な理由」のない個人情報の提供を禁じる。条例は(略)本人以外から個人情報を得ることを禁じている。総務省は各自治体の判断を尊重するとした上で、「省庁で同じことがあれば漏洩として対処する問題だ」とした。 個人情報の
Gives You Wealth And Knowledge | Anon PR
A reliable and efficient Point of Sale (POS) system is essential for businesses to streamline operations, enhance customer experience, and maximize profits. In this blog, we will explore the top 5 POS systems available in the marketplace: Square POS, Lightspeed, Shopify POS, Toast, and Clover. Each of these systems offers unique features, pricing options, and pros and cons that cater to various…
JVNVU#649219: Intel CPU で動作する 64bit OS や仮想化環境に権限昇格の脆弱性
Intel CPU で動作する複数の 64bit OS や仮想化環境には、権限昇格の脆弱性が存在します。 影響を受ける製品は複数存在します。詳しくは各製品開発者が提供する情報をご確認ください。 なお、以下の製品は本脆弱性の影響を受けないとのことです。 VMware VMware Information for VU#649219AMD AMD Information for VU#649219 Intel CPU で動作する環境において、ring3 で実行されるプロセスは、細工されたスタックフレームを用意して、一般保護違反の発生時に ring0 で実行される (カーネル) プロセスに使用させることが可能です。
すべてのiPhone/iPadユーザに捧ぐ iOS5.1.1に関する正しい情報について
今日は文体も変えて書くことにする。なお、以下は記事投稿前の2012年5月8日18:00時点で再確認している。その後にサイトの内容などに変更が加えられているかもしれないことはお断りしておく。 今朝、AppleはiOSのアップデート(Ver5.1.1)を公開したが、今回のアップデートに関するAppleのアナウンスが相変わらずひどい。 このアップデートでもっとも重要なのはSafariの深刻な脆弱性の修正だ。 ところが、iPhoneから「設定」-「一般」-「ソフトウェアアップデート」とたどってみると、以下のような簡易的な内容しか表示されない。 「このアップデートにより、様々な機能が向上し、問題が修正されます。」 これではさっぱりわからない。この時点でたいしたことないアップデートだと誤認するユーザは少なくないだろう。 しかもだ。 「詳しい情報」をタップしても以下のようにしか表示されない。 詳細な説明
高木浩光@自宅の日記 - ローソンと付き合うには友達を捨てる覚悟が必要
■ ローソンと付き合うには友達を捨てる覚悟が必要 当初3月末開始とされていた「LAWSON Wi-Fi」が、なぜか「当初の計画より事前テストに時間を要したため」として、遅れて4月6日から開始されたのだが、早速Twitterでこんな指摘が出ていた。 少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。 今回は、前回の日記で取り上げた「PASMOマイページ」の問題とは違って、「ログイン」で電話番号と誕生日を使用している。一般に、不正アクセス禁止法では、このような、IDと電話番
高木浩光@自宅の日記 - パスモは乗車履歴を第三者提供? 他社のビッグデータに取り込まれる可能性
■ パスモは乗車履歴を第三者提供? 他社のビッグデータに取り込まれる可能性 前回の日記の続き。 あの後、パスモ社の担当者と何を話したかというと、同社の個人情報保護方針に反しているのではないかという点と、個人情報保護法に違反しているのではないかという点であった。 電話する前の時点では、「乗車履歴自体は個人情報ではない*1」という見解も出るかな*2と予想していたが、担当者は、前回の最後の部分で示したように、あっさりと個人情報だと認めたため、そこは論点にならなかった。 まず追求したのは、利用目的の明示。 個人情報保護法は、第18条で、個人情報を取得したときは速やかにその利用目的を本人に通知又は公表しなけれなばらないと定めており、その例外として、「あらかじめ利用目的を公表している場合を除き」としている。記名PASMOを作って利用を始めると、乗車履歴をパスモ社ほかに取得されることになるが、その乗車履
高木浩光@自宅の日記 - ミログ第三者委員会の「提言」を許してはならない
■ ミログ第三者委員会の「提言」を許してはならない 10月10日の日記「スパイウェア「app.tv」に係るミログ社の大嘘」の件、ミログ社から「第三者委員会報告書」(以下「報告書」という。)が開示された。 第三者調査委員会の調査結果に関するお知らせ, 株式会社ミログ, 2011年12月16日 100ページにも及ぶこの報告書の内容は、「app.tv」と「AppLog」について事実関係を明らかにした上で、いずれも違法行為ではなかったとする結論を導くものであり、加えて、冒頭で、「ユーザーからの同意取得に関する提言」として、一般論を社会に向けて提案するものとなっている。 報告書には次の2つの重大な問題がある。 app.tvの不正指令電磁的記録該当性の検討で肝心の点がすっ飛ばされている。 「ユーザーからの同意取得に関する提言」は到底受け入れられるものではない。 以下、これらを順に明らかにする。 app
高木浩光@自宅の日記 - スパイウェア「app.tv」に係るミログ社の大嘘
■ スパイウェア「app.tv」に係るミログ社の大嘘 株式会社ミログが9月27日に提供開始した「AppLog」がスパイウェアまがいであるとして、朝日新聞10月5日朝刊に以下の記事が掲載された。 アプリ利用時間や回数丸わかり「アップログ」に批判, 朝日新聞2011年10月5日朝刊 AppLog: insidious spyware rolled out in Japan by Milog, Inc. *1, The Asahi Shimbun, 2011年10月5日 スマートフォンの利用者がどんなアプリ(ソフト)をいつ、何回使ったかを記録して好みを分析し、興味を引きそうな広告を配信する。そんなプログラムが現れ、インターネット上で批判を集めている。プログラムは電話帳など無関係に見えるアプリに組み込まれ、アプリ利用者への説明が十分ではないからだ。(略) 問題視されているのは、利用者に存在が見えに
スパム・メール対策にブラックリスト方式を使う場合の注意点
筆者は先日,スパム・メールを効率的にブロックできるブラックリスト・サービスに関する記事を執筆した(関連記事)。この記事に対して,読者からいくつかブラックリスト方式の問題点を指摘するメールを頂いた。今回はそのメールを元に,ブラックリスト方式を使う場合の注意点をまとめてみよう。 Spam and Open Relay Blocking System(SORBS,Webサイト)を使っているある読者によれば,「SORBSは,Yahoo,Hotmail,その他の大手ISP(インターネット・サービス・プロバイダ)からやって来るほとんどすべての電子メールをブロックしている」そうである。何人かのエンドユーザーにおいて問題が生じたので,彼はSORBSを使うのをやめてしまった。 別の読者もSORBSが抱える問題を指摘してくれた。「SORBSはスパム・メールの送信元を探すために,いくつかの電子メール・アドレスを
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch
文字コードに起因する脆弱性とその対策
