高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
産総研:主な研究成果 抜本的なフィッシング詐欺防止技術を開発
独立行政法人 産業技術総合研究所【理事長 吉川 弘之】(以下「産総研」という)情報セキュリティ研究センター【センター長 今井 秀樹】とヤフー株式会社【代表取締役社長 井上 雅博】(以下「Yahoo! JAPAN」という)は、2006年1月から進めてきたインターネットにおけるセキュリティ強化技術の共同研究の成果として、ウェブでの利用に適したパスワード相互認証プロトコルを開発しました。 本技術は、近年インターネット利用の安全を脅かすものとして社会問題となっているフィッシング詐欺と呼ばれる手口に対して、パスワードや個人情報を詐取される被害を防止するための抜本的な解決策です。PAKEと呼ばれる暗号・認証技術に新たな手法で改良を加え、ウェブの標準プロトコルであるHTTPおよびHTTPSに適用したもので、ユーザーがパスワードでサイトの真偽性を確認できる仕組みを提供することによりフィッシングを防止し
Petname Tool – Firefox 向けアドオン
Secure web sites identify themselves using cryptography. In a phishing attack, a thief tries to impersonate such a site by omitting the cryptographic identification, or using one that's confusingly similar. The Petname Tool can help you keep track of these cryptographic identifiers by letting you attach reminder notes to them. Before exchanging sensitive information with a site, you type in a name
「詐欺的DNSサーバ」が増加中 | スラド セキュリティ
本家/.の記事より。悪意あるクラッカーにより設置され、問い合わせ に対し正当なIPアドレスを返さない「詐欺的DNSサーバ」 (Rogue DNS Servers)が増加しているそうだ(AP 通信の記事)。ジョージア工科大学とGoogleが共同で行った調査によ ると、インターネット上には約68,000もの詐欺的DNSサーバが存在する。 マルウェア等によりエンドユーザのコンピュータの設定が汚染されたDNS サーバを参照するように改変されてしまった場合、クラッカーはいかなる 偽サイトにもユーザを誘導することができる。実際に誘導される先はいか にもインチキくさいものからほぼ完璧なコピーサイトまで様々のようだが、 深刻な脅威であることに違いはない。アンチウイルスソフトでは手の施し ようがない場合が多いのが、この手法の普及に一役買っているようだ。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.hueniverse.com/hueniverse/2007/09/would-you-like-.html
