弊社からお送りするメールの確認方法 弊社からお送りする「メールマガジン」や「WEB明細」でお送りする「請求額確定通知メール」には、お客さまが指定したハンドルネームが付きますので確認しましょう。 (ハンドルネームの登録がない場合はカード名称を表示) ハンドルネームとは
弊社ウェブサイトの確認方法|クレジットカードの三井住友VISAカード
弊社からお送りするメールの確認方法 弊社からお送りする「メールマガジン」や「WEB明細」でお送りする「請求額確定通知メール」には、お客さまが指定したハンドルネームが付きますので確認しましょう。 (ハンドルネームの登録がない場合はカード名称を表示) ハンドルネームとは
Kazuho@Cybozu Labs: クロスサイトのセキュリティモデル
« Japanize - IE 系の User JavaScript エンジンに対応しました | メイン | 安全な JSON, 危険な JSON (Cross-site Including?) » 2007年01月04日 クロスサイトのセキュリティモデル あけましておめでとうございます。 昨年、社内で「XMLHttpRequest は何故クロスサイトで使えないのか。画像や SCRIPT タグは使えるのに」という疑問 (というより試問) を耳にしました。おもしろい話なのでブログネタにしようと思っていたのですが、新年早々 GMAIL の事例がスラッシュドットされていたので、自分の現時点での理解をまとめてみることにしました。文書を確認して書いているわけではないので、間違いがあれば指摘してください。また、よい参考文献をご存知の方がいらっしゃいましたら、教えていただければ幸いです。 ウェブブラウザ
AAで図解!ずばり一目で全く解らないコンピュータセキュリティ
最終更新日: Wednesday, 29-Nov-2006 02:46:05 JST Webバグ CSRF (Cross Site Request Forgeries) DoS (サービス拒否) サニタイズ オレオレ証明書 Cookie Monster SQL インジェクション HTTP Response Splitting (レスポンス分割) HTTPのページのフレームにHTTPSのページを表示 バッファオーバーフロー フィッシング Forceful Browsing (強制ブラウズ) クロスサイトスクリプティング ゼロデイ(0day)攻撃 ディレクトリトラバーサル セッションハイジャック 権限昇格 OS コマンドインジェクション オープンプロキシ Webバグ \ __ / _ (m) _ビーコーン |ミ| / `´ \ ('A`
Bugle: Google Source Code Bug Finder -- rehpic
This post is on different subject than the topics covered usually, it describes my entry to the Noise vs. Subversive Computing compilation. A couple of months ago Pascal Cretain invited me to participate in a very interesting project. A bunch of security people and a bunch of noise artists were going to collaborate, the mission was : The Noisicians will have “Subversive Computing” as their central
非SSLのフォームから安全に送信する方法はあるのか | 水無月ばけらのえび日記
インターネットの世界では、通信経路がどうなるかは保証されていなかったりするため、経路上に悪い人がいるかもしれません。悪い人は、流れてくるパケットの中身を見て、それを悪用するかもしれません。ですから、悪い人がいても問題ないようにするために SSL が使われます。逆の言い方をすれば、通信経路上に悪い人がいないことが保証されているならば、SSL は必要ないわけです。 通信経路上に悪い人がいる場合、その人はパケットを改竄できます。送り先が SSL 保護つきでも、フォームが非 SSL だとすると、たとえば と変更する事が可能です。こうされると、非 SSL な URL にデータを送信してしまいますから、悪い人に読まれてしまいます。ですから、フォームも SSL にしなければいけません。 ここまではまあ良いと思いますが、ふと疑問に思ったのは、「非 SSL なフォームであっても、送信前に HTML のソース
FrontPage - HackingWiki
ハッキング Wiki † ハッキングの関連のあれこれについてまとめてみようと思っているwikiです。悪いことには使わないでください(たぶん使えないと思いますが)。 内容は少しずつ充実させていきたいと思っていますが、wikiの使い方はあまりわかっていないので事故で消えるかもしれません。 硬いので文体を「ですます」にしようと思います。 誰も編集しないので編集できないように戻しました。編集したい人はyamamoto at bogus.jp宛にメールするか、blogにでも書き込むか、電話でもしてください。。 ↑
CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね の対策 - 2nd life (移転しました)
hoshikuzu | star_dust の書斎#P20060428MHTMLREDIRECT で指摘されているように、現在の WinIE では mhtml スキームを悪用して、クロスドメインの html を取得することが可能になってしまっています。これを利用したはまちちゃんの実証コードを踏んだ人も居るでしょう(実際に WinIE だと情報が抜かれるので、安易に WinIE で見に行かないで下さい)。 この対策として id:hosikuzu:20060428#P20060428MHTMLREDIRECT では以下のような対策方法が提示されています。 そもそも信頼できないページを見ない IE使わない アクティブスクリプトとAxtiveXを切る レジストリでmhtmlスキームのハンドラを殺す この中で一番簡単かつ安心なのは WinIE を使わないことですが、IE コンポーネントブラウザなどを
OpenSSH を使った簡易 VPN の構築
概要 2006年 2月に公開された OpenSSH 4.3 (およびその移植版 4.3p1) から、 標準でトンネリングデバイス (tun/tap) を扱う機能がつきました。 これを使うと、手軽に VPN を構築することができます。 現在のところまだ機能はごく限られたものですが、 出先から一時的に ssh 経由で NFS ディレクトリを マウントするなどの目的に使えます。 この文書ではそのための基本的な方法を説明します。 OpenSSH の設定と運用ができ、公開鍵認証の使い方を わかっているシステム管理者を対象としています。 公開鍵認証とは: パスワードのかわりに秘密鍵と公開鍵のペアを使う認証方法です。 通常のパスワードを使った認証では、 たとえ暗号化されているとはいえパスワードがネットワーク上を流れます。 公開鍵認証ではパスワードはまったく (暗号化された形ですら) ネットワーク上に流れ
Windows のパスワードを解析するツール(取扱注意) | alectrope
主にその日遊んだことのメモ、まとめなどの外部記憶。おそらくこれからもずっと準備中。 for mobile : http://alectrope.ddo.jp/mt4i/ ※ 注意。このツールを使用して他人のPC のパスワードを解析する行為は不正アクセス禁止法、あるいはその他の法律(コメント欄参照) で処罰の対象となると思われますので、絶対にそのような用途に使用してはいけません。この記事はそのような行為から自分のPC を守る事を目的としています。 Tech-Security » Ophcrack 2.1 - LiveCD (Linux) & 2.1 Install (Win) http://blog.tech-security.com/?p=15 「Ophcrack 2.1 - LiveCD - にわか鯖管の苦悩日記 _| ̄|● (2006-02-14)」 より。 Windows のパ
AxCrypt
多くの企業や公共団体などの個人情報の流出・紛失がメディアで大きく取り上げられている。個人情報保護法の施行もあるが、情報の管理が問われる時代に是非利用して欲しいツールが暗号化ツールである。今回はAxcryptを紹介する。 Downloadはhttp://axcrypt.sourceforge.net/content.htmから。 AxCryptの特徴 オープンソースな状態で開発されているAxCryptの特徴は次のとおり。 最大128BitのAES暗号化 Windows98のFATからWindows2003のNTFSまで対応 暗号化ファイル数の制限なし 暗号化ファイルのサイズ制限なし(FATは500MB〜700MBくらいまで。NTFSは制限なし) 自己解凍型復号も作成可能 GNUライセンス 無償で使える暗号化ツールにはファイル数やサイズに制限があるものが多いが、AxCryp
mixi以外ページへの足跡mixi external site blocker
- インストール - mixiexsblock.xpi のインストール - 解説 - mixi外のページにimgタグなどでmixiの個人ページへのリンクが埋め込まれていた場合、その人のページに自分の足あとが付いてしまい、そのページを見たことがバレバレになってしまいます。 基本的には問題ないのですが、悪意のあるページに埋め込まれていた場合、ワンクリック詐欺などのような不当請求が行われたり、関係のない人に足あとを付けまくったりしてしまう可能性があります。 mixi以外のページを見るときは必ずログアウトするようにすれば問題ないのですが、そんな面倒なことしたくないし忘れてしまう可能性もあります。 このFirefox 拡張はそのようなページを訪れた際、不用意に足あとなどを付けてしまう事を回避します。 具体的には内部的なやりとりでアクセスされるページをmixiのログインページへリダイレクトし問題を回避
パスワードがいっぱい
新・闘わないプログラマ No.423 パスワードがいっぱい あるシステムのパスワードのポリシーが「セキュリティ強化のため」という名目で変更になりました。新しいポリシーは、 パスワードは8文字以上16文字以下 英字を少なくとも4文字、数字を少なくとも3文字、記号を少なくとも2文字含めること 同じ文字を3文字以上使用してはならない 同じ文字を連続させてはならない “abc”“5432”のように3文字以上連続させてはいけない 英独仏単語辞書と一致する部分があってはならない ローマ字と見なされるような部分があってはならない パスワードは3回間違うとロックアウトされる パスワードは14日に一回変更しなければならない 過去5回と同一、または類似のパスワードに変更することはできない パスワードを紙に書き留める等の、記憶以外の手段に頼ってはいけない (メモしていたことが発覚した場合にはアカウントを永久停止
ソニーが音楽CDに組み込んだ“Rootkit”とは何者か? ― @IT
先週、私はRootkitRevealer(RKR)の最新版をテストしていた。システムの1つをスキャンしてみて驚いた。Rootkitが入り込んでいる形跡があったからだ。Rootkit(ルートキット)とは、ファイル、レジストリ・キー、そのほかのシステム・オブジェクトを、診断ソフトやセキュリティ・ソフトウェアから隠ぺいする技術のことだ。これは通常、マルウェア(不正なソフトウェア)が自らの存在を隠そうとして使用する技術である(Rootkitについては、Windows IT Pro Magazine 6月号掲載の記事“Unearthing Root Kits”に詳しく書いた(訳注:該当記事は契約購読者のみ閲覧可能。Rootkitに関する日本語の記事としては関連記事も参照)。RKRの結果ウィンドウによると、隠しディレクトリが1つ、隠しデバイス・ドライバがいくつか、そして隠しアプリケーションが存在してい
エンタープライズ:パスワード設定のホントとウソ(後編) (2/2)
パスワード設定のホントとウソ(後編) (2/2) <管理者編> ユーザーは、それぞれの組織で決められたポリシーにしたがってパスワードの運用を行う。しかし、ポリシーに従った運用を行おうにも、システムそのものがポリシーを満たさない仕組みになっていると、ポリシーを設定する意味が薄れてくる。管理者は、自分で管理しているシステムがポリシーを満たすものかどうかをチェックし、適切なシステム構築・設定を行わなければいけない。 パスワード強度を活かせるシステムにし、正しい指導を行う パスワードの強さは、どんなパスワードを付けるかだけでなく、システムがそのパスワードをどのように扱っているかにも依存している。管理者としては、ユーザーが考えた強いパスワードが活かされるようにシステムの設定を行う必要がある。 UNIXで古くから使われているDESという暗号アルゴリズムを用いたパスワードシステムでは、パスワードを8文字
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
aguse.jp
Sudo for Windows
http://eside.homeip.net/columns/non-admin.html
東京都で興信所比較@完璧な調査会社はココ【最新版】
はてなブログ | 無料ブログを作成しよう
ISP のパスワードを破ってメールを奪回する子供向けの警視庁謹製 Hack ゲーム