都道府県型JPドメインがCookieに及ぼす影響の調査
JPRSからのプレスリリース『JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定』や報道などで「都道府県型JPドメイン」というものが新設されることを知りました。 都道府県型JPドメインとは、現在活発に使われていない地域型ドメインを活性化する目的で、地域型ドメインの制約(ドメイン名が長い、一人・一団体あたり1つまで)を簡略化しようというもののようです。 しかし、現在の地域型ドメインは、ブラウザにとって処理がややこしいもので、IEなどは昔からまともに対応していません。このため、Cookie Monster Bugという脆弱性になっているという経緯があります。このルールをさらに複雑にすることになるということから、ブラウザセキュリティに関心の高い人たちが騒ぎ始めています。 そこで、高木浩光氏の日記「JPRSに対する都道府県型JPドメイン名新設に係る公開質問」の以
47NEWS(よんななニュース)
「帰りたかったが、あきらめた」3年たっても帰還2割、土石流被災地・熱海の遠い復興 工事の遅れや行政との軋轢・・・それでも住民は「新しい伊豆山」のために奔走する
「カレログ」総務相も問題点研究 - 社会ニュース : nikkansports.com
川端達夫総務相は13日の閣議後の記者会見で、他人の位置情報などが把握できるスマートフォン(多機能携帯電話)向けソフト「カレログ」が個人情報保護法の観点から問題視されていることに関し、今後、総務省として問題点を検討する方針を明らかにした。 「カレログ」は、夫や交際中の男性がスマートフォンにソフトを取り込むと、どこにいるかやバッテリー残量などを、妻や恋人がパソコンで把握できる仕組み。 運営会社は「パートナーの居場所を確認できて安心」などと売り込んだが、無断でソフトが取り込まれたり、ストーカー犯罪に悪用される危険性を指摘されてきた。 川端総務相は「(他にも)同じようなことが当然起こり得るので、一度しっかり研究したい」との認識を示した。(共同) [2011年9月13日11時50分]
店舗を勝手に「廃業」? Google プレイスの不正報告が問題に
Googleの地図情報を使って店舗やスモールビジネスを検索できる「Google プレイス」のサービスが、競合相手を追い落とす手段として使われているという。セキュリティ企業のF-Secureが9月6日のブログで米紙New York Timesの記事を引用して伝えた。 Google プレイスは、店舗などが店の紹介や写真などを登録してGoogleの検索範囲に表示できるようにするサービス。ところがF-Secureによれば、この画面上で、実際は営業しているのに「permanently closed」(廃業)と表示されてしまうケースが相次いでいるという。 その原因は、ユーザーから寄せられた問題報告にあるようだ。店舗情報の画面で「more」(その他)をクリックすると「Report a problem」(問題の報告)のオプションが表示され、この中に「permanently closed」の選択肢がある。こ
もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
mixi足あと廃止に寄せて - 最速転職研究会 | コメント mixiって今ほとんどがモバイルでアクセスされてたはずだけど、スマホ以外のガラケーでもこの問題が起きるの?
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
グリーモバゲーについてお聞きします。 スマホやPSP, DSなど表現がリッチなゲームを楽しもうと思えば色々とあるにも関わらず、imodeに毛が生えたようなしょぼい…
グリーモバゲーについてお聞きします。 スマホやPSP, DSなど表現がリッチなゲームを楽しもうと思えば色々とあるにも関わらず、imodeに毛が生えたようなしょぼい画面が多いガラケーゲームに何故人はお金を払うのでしょうか。 無料にして間口を広げて、色々なゲームをプレイしてもらって、結果好きなゲームを見つけてもらう。そしてそのゲームをより快適に進めるために少額のアイテムや時間短縮にお金を払ってもらう、、、といったことは論理ではわかります。しかし、しょぼい画面の紙芝居みたいなポチポチゲームに、お金を何故払う気になるか、という点がやっぱりわかりません。考えが腹に落ちません(ちなみに私も色々グリーモバゲー試しています)。 そこで、ガラケーのグリーモバゲーにお金を払ったことがある方は、「何故お金を払ったか」「お金を払った結果、どのように満足したか」について教えてください。
Androidを取り巻く脅威――ユーザーにできることは?
セキュリティ上の問題と向き合いながら使うために 最近、新聞やニュースサイトでAndroidに関連したセキュリティ上の問題が取り上げられることが増えました。Androidでセキュリティ上の問題が多く報告されていることは事実です。しかし、気を付けるべきポイントを理解していれば、他のOSと同様、セキュリティ上の問題と向き合いながらうまく利用できるはずです。 本記事では、本記事執筆時点におけるAndroidを取り巻く現実的な脅威を概観したうえで、Android端末をプライベートで使用するユーザーが気を付けるべきことを紹介します。特に、Android端末を使い始めたばかりのユーザーに読んでいただければと思います。 なお、Android端末を「ビジネス用途」で使用したい場合には事情が変わります。Android端末をビジネス用途で使用する場合には、「私物のAndroid端末の取り扱い」や「Android
BrowserID
HAWK @neohawk IDパスワードによる認証ってどうやったら無くせるのかな。IDパスワードが良いと思っている人はいないと思われるので、代替技術が無いってことなんだろうな。合ってもコストや運用上の問題が大きいってことか。 HAWK @neohawk IDパスワードが駆逐されないにも関わらず、Facebook、TwitterやGoogleをIDPにした認証連携は進んでしまっているのが現状。みんな、連携先でクレジットカード情報とか登録してないよね? HAWK @neohawk だからといって、セキュアクレデンシャルの費用を一般ユーザが負担するかというと…そんなことない。自分の家の鍵は自分で負担してつけるのにね。脅威が見えてないというか、現実感を伴ってないってことなんだろうな。
Firefox、ログインの常識を変える「BrowserID」を発表 | エンタープライズ | マイコミジャーナル
Firefox web browser - Faster, more secure & customizable Webサイトへのログインに新しい流行を作るかもしれない興味深い技術がMozillaから発表された。Mozillaの見込みがうまくいけば、数年後にはこの方式でどのWebサイトにもログインできるようになる可能性がある。発表された技術は「BrowserID」と呼ばれている。 Webサイトにおけるログインというのは、利用するユーザにとっても、開発するエンジニアにとっても面倒なものだ。ユーザはサイトごとに異なるIDとパスワードを入力しなければならないし、開発側はログインシステムをプライバシーの保護にも考慮しながら開発する必要がある。 「BrowserID」はこの双方の問題を解決する。開発側は数行のコードをページに挟みこむだけでログイン処理が実装でき、ユーザはどのサイトでもまったく同じUI
無線LANのパスワード解析「Pyrit」その他
総当たりでパスワードを全種類試していくという手法を「ブルートフォースアタック」と言いますが、無線LANのWPA/WPA2-PSKをGPUで超高速解析してパスワードを見つけるフリーのオープンソースソフト「Pyrit」が採用している方法もまさにそのブルートフォース攻撃そのもの。そのため、無線LANの暗号化の仕組みのバグやセキュリティホールを突いているわけではなく、時間さえかければそのうち突破できるだろうというある意味「力業な攻撃」であるわけです。 では実際にどれぐらいの速度がかかるのか?という気になる点について、「Pyrit」の公式ブログにて言及したエントリーが2008年にありました。 The twilight of Wi-Fi Protected Access(無線LANセキュリティの黄昏のはじまり、とでもいうような意味) http://pyrit.wordpress.com/the-twi
なぜすべての Web サイトが HTTPS を使わないのか ? | スラド セキュリティ
本家 /. にて、「Why Doesn't Every Website Use HTTPS?」という興味深いストーリーが立てられている。 「HTTPS はよりセキュアなのに、なんでみんなが使わないんだ ?」という至極簡単な疑問が寄せられているだけなのだが、多数の回答が寄せられている。挙げられている理由としては「SSL 証明書を取るのにコストがかかる」「クライアントのパフォーマンスが悪化」などが寄せられている。 ただ、SNS サイトや個人情報を要求されるサイトは増えており、「すべての Web サイトを HTTPS 対応に」という話は悪くないような気がする。実際 Twitter や Google など、HTTPS 対応サイトも増えている。あなたのサイトも HTTPS 対応を検討してみては ? # なんか SSL 証明書の営業みたいなタレコミになってしまった
メールで公的身分証明書を要求するのってどうなの? - もとまか日記
以下の記事を読んで。 追記:facebookで実名でないと判断された時、公的身分証明書を求められる - ぼくはまちちゃん!(Hatena) 気になった部分を引用。 このメールへの返信にて、公的身分証明書のデジタル画像をお送りください。 Facebookからメールの返信で公的身分証明書を要求された、とのことですが、私の感覚では、 絶対にありえない ことだったので、少々驚きました・・・いやホント。 例えば以下参照。 メールはMTAによってリレーされて届けられるそうですが 電子メールの本文および添付ファイルは生データのままネットを流れているのでしょうか? あれですかね、これは単に私の勉強不足ってだけで、最近のインターネットのメールってそういう、超大事な情報をやりとりしても大丈夫になったとか?(^^;; それとも、そういう感覚ってのが、そもそも新しい時代にマッチしてないとか?? それならそれで、有
CNN、SDカード郵送認める…「廃棄した」 : 社会 : YOMIURI ONLINE(読売新聞)
尖閣諸島沖の中国漁船衝突を巡る映像流出事件で、神戸海上保安部の海上保安官(43)が、映像を動画投稿サイト「ユーチューブ」に投稿する前に、映像を記録した外部記憶媒体のSDカードを米CNNの東京支局(東京都港区)に郵送したとされる問題で、CNN広報担当は25日、SDカードが同支局に郵送されていたことを認めた上で、「警備上の指針に従って廃棄した」とする声明を発表した。 声明や広報担当の説明によると、SDカードが入った封筒には差出人名が書かれておらず、データの内容も明記されていなかった。このため、同社は安全性が明確でないと判断し、報道機関を対象としたテロなどを想定した警備上の指針に従い、データを読み込まずに廃棄したという。郵送の時期や封筒の形状は「答えられない」としている。
国勢調査の「未回収」増加 データの信頼性も“良心”頼み (1/3ページ) - MSN産経ニュース
国勢調査の広報大使に選ばれたパトリック・ハーランさん、小林麻耶さん、福澤朗さん、高見侑里さん(左から)。テレビやポスター、ネットなどでPRしている(古田貴士撮影) 5年に1度行われる「国勢調査」の年がやってきた。単身世帯の増加やプライバシー意識の高まりで、調査員が直接会っての調査票配布、回収は難しくなっている。全国で「所在不明高齢者」が相次ぐなど、行政の“データ”に不審が高まる中、国勢調査の信頼性は、回答者が正直に回答するかに委ねられている。(道丸摩耶) ◆大家から聞き取りも 「国勢調査票が回収できなかった場合、氏名、性別、世帯員の数については調査員が近隣などから聞き取り調査をしています」と話すのは、総務省統計局の担当者だ。同省では、この「聞き取り調査」があるため、国勢調査から“漏れる”世帯はないと説明する。 だが、この「聞き取り調査」の割合は毎回、上がり続けている。平成7年には未回収は全
空港の税関で自分のほうからあえて別室へ行く方法。空港税関で手荷物について正直な考えを言ったらこうなった!
普通の旅行者にとって、空港の国際線の出口の税関カウンターにいる税関職員のところを通るときは、自分の荷物が開けられたらイヤだな、と思って通ることが多いかもしれません。たいていの人は、「申告するものはありませんか?」と聞かれて、「ありません。」と答えていると思います。(実際にあるのかないのかよく分らない人もそうしているでしょう。) それでは、逆に、旅行者の方から、積極的に、税関職員に、是非どうぞ自分の荷物を開けてください、と強く依頼したら、どのようになるのでしょうか。 本当はそのほうが確実で正直な態度だと思います。旅行者として、法令違反 (違法持込) をしてしまう危険がなく、法令順守の観点からは、そのほうが望ましいはずです。また、「申告するべきものがあるのかないのか」は旅行者よりも税関職員のほうが詳しいから、荷物検査してもらったほうが安心です。 このように、普通の人とは逆のことを正直にやってみ
ADサーバー掲出タグによるセキュリティアラートと対処について | スラド セキュリティ
今回は大変ご迷惑をおかけしまして申し訳ありませんでした。 OSDNのサイトでは、広告バナーの配信のためのADサーバーとして、MicroAD社のVASCOを使っておりましたが、 本来掲出されるはずの広告タグの前に不明なiframeタグ差し込まれるという事態が発生し、その中身によって不明なサイトに誘導されるということが起きてしまいました。 原因がVASCO ADサーバーによるものだと特定でき、OSDN管理のADサーバーに切り替えたのは24日23:30です。その後、キャッシュなどに残っていないか確認作業を進め、25日0:29にOSDN全サイトで問題ないことを確認いたしました。 具体的な現象としては、vsc.send.microad.jpのJavaScriptから掲出されるタグにおいて、 <iframe width="1" height="1" src="http://xxxx.ipq.co/st
シトリックス、「持出禁止」の制約を解くノートPC向け新ソリューション | 経営 | マイコミジャーナル
シトリックス・システムズ・ジャパン(以下、シトリックス)は9月27日、ノートPC向け仮想デスクトップソリューション「Citrix XenDesktop 4 Feature Pack 2」を発表。新機能として「オフライン」での作業を可能にする「XenClient」と、データ保護(情報漏えい対策)機能「XenValt」を9月末より提供開始する。 「XenClient」は、ホストOSを必要としない(=ベアメタル)ハイパーバイザーで、XenDesktopのオフラインデスクトップ機能として提供される。現時点ではインテルvProテクノロジーのみに対応するが、「対応環境については今後改善される見込み」(同社)。 「XenClient」は「XenClientベアメタルハイパーバイザー」と「Receiver for XenClient」、「Synchronizer for XenClient」(管理機能を提
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ブログ
日経BP
