「おいAmazonがパスワード前方一致でログインできるぞ」のその後 - n2s アーカイブス
元スレ:http://tsushima.2ch.net/test/read.cgi/news/1274881603/ unkar:http://www.unkar.org/read/tsushima.2ch.net/news/1274881603 アルファルファモザイク:http://alfalfalfa.com/archives/395585.html アルファルファモザイクに転載された分よりも後のレスを見るに、Amazonは(恐らくスレが立つよりも前に)対策していた可能性があります。 もうちょっと詳しく書くと、「パスワードの後ろに適当な文字を追加」「全部小文字or大文字に」でログイン成功したのを確認した後、「より長いパスワードを設定したらどうか?」とパスワードを変更してからまた試してみたところ、前述の手順ではログインできなくなりました。 というわけで、Amazonアカウントをお持ちの方
おいAmazonがパスワード前方一致でログインできるぞ:アルファルファモザイク
■編集元:ニュース速報板より「おいAmazonがパスワード前方一致でログインできるぞ」 1 アシロ(東京都) :2010/05/26(水) 22:46:43.25 ID:YY8vUbDQ ?PLT(15562) ポイント特典 ゼニタナゴ(東京都) :2010/05/26(水) 22:47:25.00 ID:bJRoOPtq はいはいすごいでちゅね 7 ウミタナゴ(新潟県) :2010/05/26(水) 22:47:27.33 ID:Zq7t6RU8 ログインしたら不正アクセスで逮捕されるの? 18 ユカタハタ(アラバマ州) :2010/05/26(水) 22:48:27.21 ID:2O/ifdBT つまり実質4桁のパスだってことなの? 19 ハマフエフキ(長屋) :2010/05/26(水) 22:48:27.77 ID:ZMKJBnMT この家鍵かかって無いですよと言
Twitterのパスワード流出問題、根本原因はユーザーの使い回し
Twitterが一部ユーザーのパスワードをリセットしたのは、別のサイトから流出したパスワードがTwitterへのログインに使われたためだという。 米Twitterは一部ユーザーにパスワードの変更を促した背景について、Statusページに詳しい経緯を掲載した。ユーザーのパスワードの使い回しが原因で、別のサイトから流出したパスワードを使ってTwitterにログインされたと説明している。 発端は、特定のアカウントのフォロワーが、2月2日までの5日間で突如激増したことだった。Twitterは状況から判断して、この不審なユーザーをフォローしているアカウントについて、パスワードを強制的にリセットすることが最善だとして判断したという。 パスワード流出の原因になったとみられるのは、特定の人物が数年前に開設した複数の共有サイトと、共有サイトの利用に関するフォーラムサイトだった。これらサイトでは利用者にユーザ
色でクリックしたリンクがバレるプライバシー問題、Firefox開発版で対応 | エンタープライズ | マイコミジャーナル
Firefox web browser - Faster, more secure & customizable Firefoxの開発ブランチにCSS履歴に関するプライバシー対策機能のマージが予定されているという。どういった問題があり、どのような対処が予定されているのかが次の記事にまとまっている。 Plugging the CSS History Leak at Mozilla Security Blog privacy-related changes coming to CSS :visited ? Mozilla Hacks - the Web developer blog 一度訪問したリンクは青色から紫色へ色が変わる。これはユーザが一度訪れたURLをわかりやすくするためのもので、Webページでは一般的に採用されている方法。しかしJavaScriptを利用するとどのリンクがすでに訪問し
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
XSSとセキュリティリスク - ぼくはまちちゃん!
こんにちはこんにちは!! 今日、はてなの人気記事を見ていてこんな記事がありました…! ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです! でもそんなプログラムをWeb上で公開すんじゃねーよボケと。 PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな ふむふむ、PHPで簡単につくっちゃうのは良いけど、 公開するのなら、ちゃんとセキュリティホールなくしてからにしましょうね って記事ですね! でもぼくは、この記事を読んでも… なぜXSSがいけないのか 結局よくわかりませんでした…。 いちおうXSS脆弱性があるとダメな理由として、下のようなことが書かれてあったんだけど… フォームに入力したHT
PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな
タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー(Twitter)でも、よく「○○ったー」みたいなサービスがばんばん登場してますね! おかげでますますツイッターが面白い感じになってて、いい流れですね! でも・・・ちょっと気になることが・・・ 最近「もうプログラマには頼らない!簡単プログラミング!」だとか・・・ 「PHPで誰でも簡単Webサービス作成!」だとか・・・ はてなブックマークのホッテントリで見かけますよね・・・ プログラミングする人が増えるのは素敵です!レッツ・プログラミングなう! なんですけど・・・ ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです!
「ヘタクソ」pixivに意図せず中傷コメント CSRF脆弱性を悪用
イラストSNS「pixiv」の一部の作品に対し、「ツマンネ」「ヘタクソ」「気持ちわる」といった中傷コメントが意図せずに投稿されてしまう問題が起きた。運営会社が調べたところ、何者かがユーザーに脆弱性を悪用した外部URLをクリックさせ、意図しないコメントを投稿させていたことが分かり、既に脆弱性は修正した。 ピクシブの開発者ブログによると、問題は2月5日~14日に発生。イラストのキャプション欄などに貼られていたあるURLをクリックすると、外部サイトを経由し、中傷コメントが投稿されるようになっていた。 URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)を悪用していた。脆弱性は14日に修正した。アカウントが乗っ取られたわけではなく、個人情報の漏えいや改ざんはないとしている。ウイルス感染の被害もないという。 pixiv
ほにほにの巣 【続報】Pixivのコメント荒らし騒動はコメント欄にCSRFの脆弱性があった模様
Pixivで現在アカウントハックによる荒らしが行われている可能性があります http://honihoninosu.blog41.fc2.com/blog-entry-28.html 以前お伝えしたこの記事ですが Pixivのコメント欄にCSRFの脆弱性があったとの情報がTwitterに書かれておりました。 すでに実際に動作を確認し、Pixiv運営側には報告済だそうです。 追記 Pixiv運営がお知らせページ作ったほによー! [不具合報告]意図しない作品へのコメントについて http://dev.pixiv.net/archives/1026973.html >ピクシブでは、今回、脆弱性による不具合を利用し他人のアカウントになりすまして不適切なコメントを行った行為が >『不正アクセス禁止法違反』に該当すると考えており、 >所轄警察署ならびに情報処理推進機構(IPA)に届出をする予定です。
[不具合報告]意図しない作品へのコメントについて
pixiv事務局です。 このたび、一部ユーザー様の作品へのコメントが改ざんされたとの報告があり、弊社にて調査をいたしましたところ、「作品のコメント欄」の脆弱性を利用した不正が行われていた事実が判明いたしました。 本件の詳しい状況につきまして、下記の通りです。 ・経緯 2010年2月5日より2月14日までの間、一部ユーザー様の作品において、ユーザー様の意図によらないコメントが書き込まれた旨のお問い合わせを頂きました。 お問い合わせをいただいた後、該当する全てのサーバのログ・関連データベースを調査しましたところ、問題となったコメントの書き込みの前に、あるURLへアクセスし、外部サイトを経由をした後にコメントを投稿した形跡を発見しました。 また、本不具合を利用したアクセスを調査しましたところ、影響があったのは作品へのコメントの書き込みのみで、他の機能への意図しないアクセスへは及んでいない事を確認
![[不具合報告]意図しない作品へのコメントについて](https://cdn-ak-scissors.b.st-hatena.com/image/square/894f5913c3aad031e2e77e23a7cf4eb7f1a34584/height=288;version=1;width=512/https%3A%2F%2Fs.pximg.net%2Fwww%2Fimages%2Fpixiv_logo.png){kind=logo}
ドイツ政府が IE からの乗り換えを推奨
Mashable の記事によると、ドイツ政府におけるコンピュータ、通信のセキュリティ担当部門である 「BSI (Bundesamt für Sicherheit in der Informationstechnik)」 が公式に発表したプレスリリース内で、Internet Explorer の脆弱性について触れ、セキュリティのためにはこの脆弱性が修正されるまで IE を使わない方が安全と、IE 以外のブラウザへの (一時的な) 乗り換えを推奨しています。 Twitter でもつぶやきましたが、Mashable の記事によると、ドイツ政府におけるコンピュータ、通信のセキュリティ担当部門である 「BSI (Bundesamt für Sicherheit in der Informationstechnik)」 が公式に発表したプレスリリース内で、Internet Explorer の脆弱性に
Gmailのセキュリティ設定を再確認してみた : しげふみメモ
2009年12月27日16:56 カテゴリIT関連 Gmailのセキュリティ設定を再確認してみた 経験者は語る、Googleアカウントのハッキング被害から学んだ10のこと : ライフハッカー[日本版] と Gmailのパスワードが盗まれた事件の顛末 - Digital Inspiration | エンタープライズ | マイコミジャーナル を読んで、Gmailの設定を再確認しました。 どちらも元ネタは以下。 Gmail and Google Apps Account Hacked But Restored Soon After 結構長いですが、順番に確認していきます。 1. 携帯電話と連携させる Google/Gmailアカウントにログインし、電話と連携させておく。こうすれば、第三者が自分のGoogleパスワードを回復させようとしている都度SMSテキストメッセージを受信することができる。 注
[11/19] 【重要】お詫びとご報告:tinamiドメインを偽装したスパムについて : TINAMI - お知らせ
TINAMIをご利用くださいましてありがとうございます。 本日9:20~11:30まで、tinami.co.jpのドメインを偽装したスパムメールが、大量に送信される事態が起こりました。 これは、Fromアドレスをtinami.co.jpのアドレスに偽装していたものです。スパムを送られた先のメールアドレスがすでに存在しない場合、相手サーバがFromアドレス宛に、不着のリターンメールを返して来ます。この一部が、user-news-going@tinami.co.jpに指定されており、それがなんからかの穴を抜けて、ふだんユーザーニュースを配信しているユーザーの元へ送られてしまった、という形です。 普段、ニュースメール配信には、UNIXシステム上で動作する「Majordomo」という、同種のソフトの中ではメジャーなメーリングリスト管理ソフトを利用しておりました。基本設定も正しく行われており、こうし
サモア地震でGoogleやTwitterの検索結果が汚染、不正サイトに誘導
サモア地震と津波のニュースが伝えられた直後から、米GoogleやTwitterで検索すると不正サイトが上位に表示されるようになったという。 南太平洋のサモア諸島沖で発生した地震と津波のニュースに便乗して、関連用語を米GoogleやTwitterで検索すると不正サイトが上位に表示されるようになっているという。セキュリティ各社が9月30日のブログで伝えた。 米McAfeeやSymantecによると、地震と津波のニュースが伝えられた直後から、米Googleで「Western Samoa」「Earthquake」「Tsunami」といった単語を含んだ検索をかけると、マルウェア配布サイトへの誘導ページが上位に表示されるようになった。 リンク先のページでは「あなたのPCはウイルス感染の恐れがあります」といった警告で脅してシステムをスキャンすると見せかけ、偽ウイルス対策ソフトを購入するよう仕向けている。
続・ブログ乗っ取り(又は狼少年) - カレーなる辛口Javaな加齢日記
http://anond.hatelabo.jp/20090922161446 http://twitter.com/guldeen/status/4170749637 b:id:guldeen に何があったのだろうか。 http://b.hatena.ne.jp/guldeen/20090921 この日を境に、ブクマエントリの様子がおかしい。 アカウント乗っ取りされたのだろうか? http://anond.hatelabo.jp/20090829150955 の時はネタだったようだが,今度はマジ?ネタ? http://h.hatena.ne.jp/guldeen/9259264364297917035 http://twitter.com/guldeen/status/4170749637 ひょっとして,この心配が現実のものになったんだろうか. http://jp.techcrunch.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
人間をコンピューターウイルスに感染させる初の実験、英研究者が自身の体で 
PC
日本大学、個人情報1万件以上を含む内部情報がShareで流出 
「実はフィッシングでした」対策協議会が閉鎖サイト跡地に警告文 
http://twitter.com/guldeen/status/4170749637
