2010年6月7日(月) ■ 通信の秘密の破りかた。 _ 日本では通信の秘密が保証されているけど、通信当事者の同意があれば、その通信内容を覗き見してもいいと解釈されてるよ。 _ たとえば、ISP による電子メールのウィルスチェック/スパムフィルタ。あれは、ユーザがそれを望んでいることが明白だから(だって自分でオプション契約を申し込んだよね)、通信の秘密が侵害されたわけじゃない、という扱いだよ。正当業務行為とか、緊急避難とかじゃなくて、当事者による同意が違法性の阻却理由。同意を得る手続きなしで勝手にウィルスチェックしてたら(感染しなくてありがたいかもしれないけど)違法だよ。ところで、gmail のウィルスチェックとかスパムフィルタって同意した記憶ないんだけどあれどうなってんのかね。日本向けに日本語でサービスしてて日本法人もあるけど海外企業だから日本の法律は適用外なんかね。 _ でも、メールっ
Webブラウザとして使い倒しているOperaがバージョンアップしたということで、 アップデートしようが情報を集めていたら、 ページを開くごとにCPU使用率が100%(1コア)になって非常に重い。 新しいタブを開くだけで10秒くらい待たされる状態で、 ネットワーク通信の不具合か、キャッシュかと Application dataのフォルダを全ファイル検索して調べ、 新しくできたファイルで異常に膨らんでいるモノとかを消していると・・・ なんとtmpファイルが同時刻に約65000個できています! 何かのエラーのタイミングでそうなってしまったんでしょうか? とりあえずエクスプローラーが半フリーズ状態になりながら tmpファイルを全部削除してみるとブラウジングが軽くなり回復しました。。 クッキーやらなんやら消しまくって全部ログインやり直しになってしまいましたが直ってよかった。 再発しませんように(-人
1月28日に都内でフィッシング対策のセミナーが経済産業省とフィッシング対策協議会の主催で開催された。フィッシング攻撃への関心が高まっており、東京会場では募集定員をはるかにオーバーするなど盛況なイベントとなった。 基調講演を務めたのは、「The Anti-Phising Working Group」で副事務総長を務めるFoy Shiver氏。同氏は、フィッシング対策における同組織の取り組みや今後の対策について報告したが、そのなかでもとりわけ注目を集めたのが、近くテストを開始するという「APWG Accelerated Domain Suspension Program」だ。 Foy Shiver氏 これは、フィッシング詐欺サイトに利用されているドメインごと、レジストリを通じて停止させるという試みだ。同氏によれば、プロバイダとの調整を行った上で、2010年の第2四半期よりベータテストを実施する
Googleの公式ヘルプフォーラムで、奇妙な現象の発見が投稿されました。 googleでyahoo.co.jpを検索すると、twakuwakulandという怪しげなサイトがトップに来ます。 問題のサイトはyahooのトップページをリダイレクトして表示しています。 素性のわからないサイトですが、リンクのトラッキングやログインIDの抜き出しをしていたらまずいと思います。 問題の調査と対処をよろしくお願いします。 Googleで(google.co.jpでもgoogle.comでも)、”yahoo.co.jp”を検索すると1位に表示されるページのURLが、本来あるべきはずの”www.yahoo.co.jp”ではなく、”www.twakuwakuland.info”という得体の知れないドメインのURLになっているのです。 twakuwakuland.infoは、以前はポイントサイトだったようで、衆
Not your computer? Use a private browsing window to sign in. Learn more about using Guest mode
》 ウィルコムユーザー襲う迷惑メールの嵐、モバゲー/GREE/mixiかたるスパムも (so-net セキュリティ通信, 12/29) 》 How good are website-reputation services (StopTheHacker.com, 12/21) 》 イスラエル軍のガザ地区侵攻から1年 (国連情報誌SUNブログ対応版, 12/28) 》 A computer that is running Windows Vista or Windows Server 2008 stops responding at a black screen early in the startup process (Microsoft KB 977675) 》 An update is available for Windows XP to support protocol negoti
2009年11月24日、DNSプロトコルのセキュリティ拡張「DNSSEC」の普及のための組織「DNSSECジャパン」が設立された。DNSSECは、DNSサーバーからの応答に公開鍵暗号方式による署名を付け加えることで、パケットの正当性を確認するプロトコルである。 DNSSECは2009年に入って、日本レジストリサービス(JPRS)や、各国のTLD(トップレベル・ドメイン)レジストリが2010~2011年頃のDNSSEC導入に向けて動き出したことで注目を集めている。ただし、DNSSECの実装にあたっては「パケットのデータ量やクエリ数が増えてサーバー負荷が増大する」、「ネットワーク環境によってはサイズの大きいUDPパケットを通さない可能性がある」など、いくつか技術上の課題が挙げられている。また、公開鍵暗号方式の鍵の運用・管理方法などにも未確定の部分が残っている。 そこでDNSSECジャパンでは、
iモードブラウザ2.0のJavaScriptを調査・研究する過程で、iモード専用サイトのhtmlソースを閲覧する方法を発見しました。 今回発見した方法を用いれば、「ドコモ・ゲートウェイ以外からのアクセスを禁止している」、「サーチエンジンのクロールを禁止している」、「XSS脆弱性が存在しない」の三つの条件を満たしているiモード専用サイトでも、htmlソースを閲覧することができます。 しかし、htmlソースを閲覧するためには、そのiモード専用サイトが別の二つの条件を満たしている必要があります。 htmlソースが閲覧可能なiモード専用サイトの条件 デフォルトホストで運用されている。(ヴァーチャルホストではない) iモードブラウザ2.0のJavaScriptからのアクセスを禁止していない。 iモード専用サイトのhtmlソースの閲覧方法 iモードブラウザ2.0のJavaScriptで、htmlソース
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
大学も大慌てでした DNSキャッシュぽいズニング ARPスプーフィング やっぱネットワークとセキュリティの関係は深い DNSキャッシュサーバーにウソの情報(ポイズン) 原理的にキャッシュへの毒入れ脆弱性 DNSが偽の応答を返すようにしてしまう攻撃 気づかずにフィッシングサイト DNSサーバ(権威サーバ&キャッシュサーバ) 一定時間記憶(キャッシュ) 権威サーバより前に偽の応答をキャッシュサーバに流す キャッシュサーバ=ISPが顧客に提供 キャッシュサーバ=企業が社内利用者に提供 個人は利用する立場 まずはquery portをraodom化しよう(patch!) キャッシュサーバを一般公開することは危険 コンテンツサーバとは分離しよう アクセス制限しても内部からの間接攻撃 オープンリゾルバは危険 =DNSの再帰名前解決を誰にでも許すキャッシュサーバ 管理者を信じるのではなく、自己責任 dn
2009年9月11日(金) ■ ボットの DNS 検索 _ v6 の逆引き設定したくねーよなー、みんなどんだけマジメに逆引き書いてんだろ、ということで、実際に v6 足を持ってるホストにアクセスしてきたクライアントを逆引きしてみた。結果。逆引きは半分弱しか設定されてませんでした。国内のサーバなのでとーぜん日本のものが多いんだけど、それ以外だと .de や .fr、.edu が多い印象。ちうか、.jp よりも .de の方が多い。.com や .net な国内 ISP を jp に繰り入れると日本の方が多くなるという程度。ただ、ドイツやフランスが逆引きを書くのがあたりまえな風潮があるかというとそうではなくて、単に v6 の普及度が高いだけという可能性もあるのでなんともいえない。逆引きができなかったアドレスがどこの国で使われてるのかを調べないと実際どうなのかはわからんが、調べてない。 _ そん
cles::blog 平常心是道 blogs: cles::blog NP_cles() « 404 Not Foundページを検索画面にする :: RoRでできたタスク管理システム 9arrows » 2008/09/19 DNSキャッシュポイズニングの脆弱性の有無を確認する dns server ipa checker 137 4へぇ DNSキャッシュポイズニングの脆弱性の有無を確認する方法のまとめが、IPAから発表されていたので試してみました。7月にパッチは当てたので大丈夫なはずなのですが、いちおう念のためです。 情報処理推進機構:情報セキュリティ:脆弱性対策:DNSキャッシュポイズニングの脆弱性に関する注意喚起 DNSキャッシュポイズニングの脆弱性の有無を確認するには、DNSサーバにおいて下記の3点を確認する必要があります。下記3点のうち、いずれかに該当する場合、利用してい
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く