Exploiting Unicode-enabled software
Black Hat USA July 2009 Chris Weber www.lookout.net chris@casabasecurity.com Casaba Security Unraveling Unicode: A Bag of Tricks for Bug Hunting Black Hat USA - July 2009 © 2009 Chris Weber • Visual spoofing and counterfeiting • Text transformation attacks www.casabasecurity.com What’s this about? Black Hat USA - July 2009 © 2009 Chris Weber • Why you should care about Visual Integrity… – Branding
GIFを隠れ蓑に悪性Javaを勝手に実行
クライアント・パソコンを狙った攻撃が巧妙さを増し,対策はますます難しくなってきている。中でもJavaScriptやFlashのぜい弱性を悪用した,スクリプトを使う攻撃は極めて厄介である。スクリプトは静的なWebページだけでなく,動的コンテンツ,画像,ファイルに含まれていることがあり,攻撃を受けた時期の特定が難しいからだ。 そんな中で,今後大きな脅威になると見られている攻撃手法の一つに,「GIFAR」がある。2008年8月に報告された攻撃手法で,2009年2月にホワイトハット・セキュリティのCTOであるジェレミア・グロスマンをはじめとするWebセキュリティの専門家が選ぶ「Top Ten Web Hacking Techniques of 2008」の1位に選ばれた。日本ではあまり話題になっていないが,いつやって来るか分からない。今後の影響範囲を考えると,特にWebアプリケーション開発者は知っ
日本が北朝鮮に宣戦布告した件について - media debugger
えーと、どう見ても、日本が北朝鮮に宣戦布告してるようにしか見えないんですが。解釈改憲ってもう終わってたのか? というわけで。山口二郎先生、今までお疲れさまでした。あなたの役割は2009年3月27日をもって終了しました。 訳者あとがきβ版:「【転載】朝鮮の人工衛星を利用した日本政府の好戦的政策をやめさせよう!」 http://d.hatena.ne.jp/mujige/20090329/1238277674 上のエントリー(に転載されている要請文)に補足を。たとえ、日本のミサイル防衛システムで北朝鮮の人工衛星を100%撃ち落とすことができて、北朝鮮への経済措置の効果が確実に見込まれて、朝鮮総連が北朝鮮政府と関係を持っているとしても、北朝鮮の人工衛星に対して迎撃態勢を取ったり、北朝鮮への経済制裁を強化したり、朝鮮総連の資産を凍結したりすることは、やめるべきです。 それにしても、北朝鮮に関する報
Top Ten Web Hacking Techniques of 2008 (Official)
Venture capitalist (Grossman Ventures https://grossman.vc), Internet protector and industry creator. Founded WhiteHat Security & Bit Discovery. BJJ Black Belt. We searched far and wide collecting as many Web Hacking Techniques published in 2008 as possible -- ~70 in all. These new and innovative techniques were analyzed and ranked based upon their novelty, impact, and pervasiveness. The 2008 compe
マルウェアの検出名のみで被害を想定するのは、間違っている - Lucablog
最近流行りのautorun系マルウェアは、やや食傷気味になりつつある。もうゲンナリ。 大元は東南アジアの大学発の単純なアイディアが、ここ数ヶ月の間に爆発的な感染数になるとは、想定してもみなかった。 せいぜい、外資企業・大学・どこかのシンポジウムをハブとした感染に留まるのではと思い込んでいた。 この場で提案する造語として、特定の機関・行事・イベントを介在とする大規模感染を、ハブ感染と呼称してみる。 大抵の場合、ある組織・部局に持ち込まれるのは極めて少数の感染ノードであり、そこから指数関数的に感染ノードが増えるからだ。結果として特定拠点から他の拠点への感染ルートが確立してしまい、点と点を結んだ先でそれぞれドバッと広まってしまう。 (超オフトピとして。先日の某勉強会にて、ある大規模感染の経路を偉い人から廊下で聞いてやや愕然としたのだが、実はほぼ同じ事例を身近にてチラ聞きしていたんで悩ましい) 世
メチャクチャだった千葉県知事選 - かなろぐ
今回の千葉県知事選は非常に背景がややこしいんですが、まず前回選挙で堂本知事に6千票の差で落選した森田氏は今回の出馬に備え虎視眈々と情勢を見守っており「ほぼ出馬する」という観測はありました。 選挙としては昨年10月に前県議の西尾氏が先陣を切って出馬を表明。自民党公認候補を目指しましたが、党内からの支持が得られず離党。次に民主党が関西大学教授の白石氏を担ぎ出し、本人も民主への追い風ムードを感じて出馬する意向を固めます。 また西尾氏を推薦しなかった自民党ではプロジェクトチームを作って市川市の千葉光行市長(ややこしいけど、千葉県千葉知事だったらカッコ良いかもw)を口説きにかかって市長会や千葉県内の財界から支持を取り付けるも、何やら毒を盛られて出馬を見合わせる事態になります(どうも市川で色々あるようです)。 そして今回の選挙のポイントとなるべき話があるのですが、ここで自民党は民主が担ぐ白石氏に
Drモルツのサイコサイバネティクス
全世界で3500万人が体験の自己啓発プログラム、驚異のメンタル・テクノロジー!がんばらなくても成功する人 がんばっても成功しない人 そのほんのわずかな違いとは? -全世界で3500万人の人生を変えた、 外科医による心理学史上最大の発見- 何故、ある人は簡単に成功して、ある人はいくらがんばっても成功しないのでしょうか? 何故、ある人はどんな環境に生まれてもお金持ちになって、ある人は貧乏になるのでしょうか? 何故、ある人はどんなに環境が良くても不幸になって、ある人は環境が悪くても幸せなのでしょうか? 何故、ある人はたくさんの人に好かれて、ある人は嫌われるのでしょうか? 何故、ある人は頑張らなくても目標を達成して、ある人はいくらがんばっても達成できないのでしょうか? 人生におけるこのような大きな違いに興味はありませんか? そして、その違いをあなたの人生にも使
国立教育政策研究所の調査結果がおもしろい | Okumura's Blog
昨日発表された特定の課題に関する調査(技術・家庭),コンピュータ・情報モラル(?)関連の結果は目を通しておくべきだ。 ただ,あまりにも珍妙な選択肢を選んでいる生徒がけっこういるのは,まじめに答えていない可能性もあるかもしれない。
みんな、年度末で忙しいんですね(^^) - ウィリアムのいたずらの、まちあるき、たべあるき
食べ物いろいろ(247) Twitter(2120) 仏教・神道・その他宗教(14) そのほか(1139) AI・BigData(472) ネットワーク(1141) 予言・スピリチュアル・自己啓発(52) 音楽いろいろ(140) 個人的見解(83) 映画あれこれ(4) まちあるき(35) 経営戦略とか(13) まとめ(22) 世間話(138) CharGPT的見解(1) Weblog(7026) トピックス(591) 正規表現(12) Ruby(70) PHP(117) ケータイ(324) コピーされるほど儲かるシステム!(79) 開発ネタ(630) JavaとWeb(499) Linux(43) 業務のモデル化(24) Officeソフト&VBA(87) 一人勉強会(22) リンク集(2) XML(10) 土日シリーズ(109) OpenOffice(14) SugarCRM(26)
もしブラウザが女だったら… : らばQ
もしブラウザが女だったら… 日本ではまだまだIE使用率が高いですが、他のブラウザにしようと思っても色々あって、どれを選んでいいか迷ってしまいますよね。 そこでブラウザを女性に例えた、わかりやすい(?)説明が登場しました。 この説明を受けての海外サイトのコメントも盛り上がっていたのでご紹介します。 Firefox Firefoxに出会ってしまったら、もう彼女は想像以上のものを持っていると言えよう。もちろん色んなことが詰め込まれて、気が狂いそうにもなるが、彼女を捨てることはなかなか難しい。 その理由も彼女自身というよりは、彼女を崇拝する大勢の輩が彼女に持ちよってくる、数多くのガジェットのせいである。しかもそれらのガジェットは彼女とデートする時はいつでも使えて、自分をずいぶんと楽にしてくれる。他の女たちも貢物をそんな風に活用してくれるといいのだが…。 Opera スリムでセクシー、そしてタフであ
OpenSearch - Wikipedia
OpenSearchはシンジケーションとアグリゲーションに適する形式で検索結果を発行することを可能にする技術群である。これはウェブサイトと検索エンジンが標準的でアクセス可能な形式で検索結果を発行する方法である。OpenSearchはAmazon.comの子会社A9によって開発され、最初のバージョンである、OpenSearch 1.0は2005年5月のWeb 2.0においてジェフ・ベゾスにより公開された。OpenSearch 1.1のドラフトバージョンは2005年11月から12月にかけてリリースされた。OpenSearch仕様はクリエイティブ・コモンズ・ライセンス下で、A9によりライセンスされている。 概要[編集] OpenSearchは以下から構成される: OpenSearch Descriptionファイル: 検索エンジンを特定し、説明するXMLファイル。 OpenSearch Quer
ネットコミュニティ企画メモ - Twitterで鮮度のある情報をいち早く入手する
最近、Twitterをよく使っています。 Twitterについては、ネットコミュニティ企画者の立場から、「日本人に向いている緩いコミュニティサービスだな。」とリリース当初感じていましたが、実際に利用していくに連れ、考え方が変わってきました。 「Twitterは鮮度のある情報をいち早く入手できる場所である」と思っています。 ただし、利用方法に若干ハードルがあるとも思います。 私が利用している方法は次のような感じです。 Twitterを使う事前準備 1.Twitterへ登録 2.Twitterクライアントをインストール(私はPC用のTweenを利用) Twitterに登録してから 1.「感心のあるキーワード」をマイクロブログ検索のTwiple!もしくはTwitter検索します。 2.関連のあるTweetの中で良い発言をしている人を発見したらFollowします。 3.Followし
asahi.com(朝日新聞社):ホームレス歌人さん返信「連絡とる勇気、ありません」 - 社会
ホームレス歌人の記事を他人(ひと)事(ごと)のやうに読めども涙零(こぼ)しぬ 本日付の朝日歌壇欄に永田和宏・佐佐木幸綱両氏が選んで掲載された自称ホームレス・公田耕一さんの作品だ。住所がないために投稿謝礼も応援の声も届けることができない無念を託し連絡を求めた朝日新聞2月16日付朝刊(一部地域を除く)の記事を、公田さんは読んでくれていた。 この歌を記した投稿のはがきには、きちょうめんさがうかがえる丁寧な字で添え書きがあった。「皆様の御厚意本当に、ありがたく思います。が、連絡をとる勇気は、今の私には、ありません。誠に、すみません。(寿町は、東京の山谷・大阪の釜ケ崎と並ぶ、ドヤ街です。)」 公田さんは、横浜市中区寿町辺りにいることをあかしている。だが、「強引に捜すべきではない」というのが選者や他の投稿者らの意見だ。今も週1、2回のペースで投稿があり、片道ではあるが朝日歌壇との回路はつながって
Applerの備忘録(仮): OperaでPDFなどをオンラインリーダーで開くようにする
「Mac OS X」では特に何もインストールしなくとも「Preview.app」で見られるようになったPDF。 「Windows」では「Foxit Reader」を使えば「Adobe Reader」よりも手軽に見られるようになったであろうPDF。 今度はWebブラウザでPDFやDOCやXLSを見られるようにしよう――と試行錯誤しました。成果をご覧ください。 [暴満館] OperaでPDFをオンラインリーダーで開くようにする 暴満館はUser Javascriptを使っていますが、ここでは違った方法でオンラインリーダーへアクセスさせます。 FirefoxはOpen IT OnlineやGreasemonkeyを使えば同じような機能を実現できます。 メニューを書き換える 「クイック設定」に「ブラウザの識別」設定を表示させる できれば下記も参考にしてください。 カスタマイズの基本#
Google, Matt Cuttsによるrel=”canonical”タグの解説ビデオ
Matt Cutts(マット・カッツ)氏による「rel=”cannonical”」タグの解説ビデオが、GoogleがYouTubeに開設したばかりのGoogle Webmaster Help Channelにアップされました。 こちらは、プレゼンテーションに使われたスライドです。 「rel=”canonical”」タグは、まだ導入されたばかりの新しい仕組みなので、理解度を深めるために重要と思われるポイントをお伝えします。 まず、「rel=”canonical”」タグを使う前に、できる限り重複コンテンツを防ぐために実行すべきことがあります。 望んだURLだけを生成するようにCMS(Content Management System)を構成しておく ※CMSは1つのページにいろいろなURLを割り当てることがある。たとえば、カテゴリ、月別アーカイブ、プリント用ページなど。 正規化した1つのURL
グーグル、動的URLはそのまま、静的URLへ書き換えすべきでない » 海外SEO情報ブログ・メルマガ
というのです。 動的URL(Dynamic URL:ダイナミックURL)とは、ユーザーの要求に応じてその都度、生成されるURLです。 多くの場合「?」「&」「=」で区切られたパラメータ(引数)を伴います。 例1:http://code.google.com/p/google-checkout-php-sample-code/issues/detail?id=31 例2:http://www.google.com/support/webmasters/bin/answer.py?answer=40349&cbid=1beyxilfwhlqn&src=cb&lev=answer eコマースサイトやヘルプのように、データベースを利用したシステムで使われています。 一方、静的URL(Static URL:スタティックURL)は、誰がいつアクセスしても同じ、固定のURLです。 拡張子が、.htmや.
「重複コンテンツ・重複URL」のおさらい
Google、Yahoo、Microsoftの大手検索エンジンが、重複コンテンツ問題解消のために「rel=”canonical”属性」を共通で導入することになりました。 『rel=”canonical”の正規化で、重複コンテンツを撃退』 いいタイミングなので、「重複コンテンツ」についておさらいしておきましょう。 「重複コンテンツ(英語では”duplicate content“)」とは、ページの内容(=コンテンツ)がまったく同じにもかかわらず、URLが異なるWebページのことです。 僕たち人間のユーザーにとっては、普通は問題になりません。 しかしコンテンツが同じでもURLが違ければ、サーチエンジンは、独立した別々のページとして認識します。 サーチエンジンは、ダブっているとみなしたページを、SERPに表示しないようにフィルタリングし(ペナルティではない!)、代表と判断したページだけを表示します
自然言語処理は Python がいちばん - 武蔵野日記
現在大学1年生の人で3年後には NAIST に (というか松本研に) 来たいという人から「どんなプログラミング言語やっておくといいですか」と質問されたりするのだが、なかなか答えるのは難しい。自分は Perl → Python がメインでときどき C++/C# を使ったりするのだが、どれが一番いいかはなんとも言えないので、自然言語処理以外に転向する可能性も考えると、C とか C++ とか Java とか(授業でそちらをやるのであれば)を最初の武器に選んだ方がいいのでは、と思ってはいる。 そんなこんなで最近 Hal Daume III (機械学習を用いた自然言語処理では非常に有名な人) のブログで Language of Choice というタイムリーなエントリーが出ていたので、紹介すると、「それなりに大きな自然言語処理のプロジェクトでどのプログラミング言語を使うのか」というアンケート結果が出
FON - LaFoneraのセキュリティホール発見でござるの巻 - FreeBSDいちゃらぶ日記
FONって「プライベートネットワークを安全に保ったまま、外部にネットワークを貸し出すことのできる」ツールだと思ってたのですが。 実はそんなでもなく、少しだけ複雑なネットワークを組んでしまうと、すぐに脆弱性が露呈するという、非常に頼もしいツールだったりした訳です。はい。 ネットワークに入られちゃうよぉぉおおお 家の中にネットワーク(サブネット)が二つあると、FONがつながっている方のネットワークは安全に守られるんだけど、FONが参加していない方のネットワークは丸見えになってしまいます。 「そんなネットワークは、そんなに無いだろ(苦笑」っていう人もいるかも知れないけど、実はそんなでも無くて 病院 市役所 学校 とか、普通にサブネット複数あります。そして、こういう所に居る自称物知りさんが「こういうFONってのがあるんだZE☆」とか言いながら、ネットワーク管理者に無断でFONを設置しちゃったりして
【連載】Google世代の整理術「デジタル情報整理ハックス」 (45) タスク情報を整理する | エンタープライズ | マイコミジャーナル
よくある問題:タスクを整理して何になるのか? 「タスクを整理したところで、タスクが片付くわけではない。紙に書き出してみても、仕事は1ミリも前に進まない。そういう無駄なことは、やめるべきではないか」という趣旨のご意見を、たびたびいただきます。私の仕事がビジネス、ライフハックに関わる人間だからでしょう。もちろん、面と向かっておっしゃる方は、ここまでストレートではありませんが、趣旨はこういった感じです。 『ストレスフリーの整理術』(デビッド・アレン著、田口元監修、二見書房、2008年刊)や『情報ダイエット仕事術』(堀E正岳著、大和書房、2008年刊)などは、「情報」「整理」と銘打っているものの、ここで言われる「情報」は主に、仕事の情報のこと。そして、方法論の中核には「整理」があるのです。 このことは、上記2冊に限った話ではなく、おおむね例外なしに、効率的なタスク処理には、まずタスク整理という発想
ノートン先生が同人サイトのアドレスを次々に暴いている件について - おしゃべりすずめ
この間PCを新調したので、ついでにウイルス対策ソフトもちょっと考え直そうかと思ってしばらく各社の無料試用版を使ってみることにしたんですよ。で、今はノートン先生を試している真っ最中なんですが、色々と面白い現象が起きまして。初めはとある二次サイトへいつもの巡回*1だったんですけど、こう、左上に「このサイトは安全ではありません」とかって警告のポップが出てきたんです。で、「また同人者の不手際か*2」とか思ってポップの中身を確認したんですが、何かおかしい。表示されたウイルス情報と感染アドレスを確認してみると…明らかに別サイト。なんじゃこりゃ、と思いながらよくよく確認すると、どうやら該当のサイトは巡回サイトとドメイン(アドレスの http:// d.hatena.ne.jp/←このへん gossi/)が同じなようで、たまたまひっかかったみたいでした。まあ別サイトですがな、という突っ込みは一応ドメインが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
『JASRAC信託曲使用うごメモ終了のお知らせ - mirai-iroの雑記』へのコメント
総務省 メディア・ソフトWEB
untitled
Software Security | Protect your Software at the Source | Fortify Software
NHKの討論番組で驚いたネットに対する認識不足 ビジネス-最新ニュース:IT-PLUS
http://www.nhk.or.jp/kokokoza/img/tokusyu_basic002.jpg
タイやフィリピンの幼女が密入国している? (WEBありばば)
ミサイル迎撃の「裏の裏」 :イザ!