HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog
疑惑どころか 99.99% くらい黒な話。 (後記:セッション盗まれたと思ってたけど、よくよく考え直してみると生パスワードごと盗まれてる可能性もあるしやばい) 追記:続報 11月3日 今回指摘した HTTP Headers 以外にも、「Tab Manager」「Give Me CRX」「Live HTTP Headers」等で同様(?)の問題が報告されています。第三者が元の作者からソフトウェア権利を買い取って悪用する、というケースが割とある模様(?)。皆さま情報ありがとうございます。 11月4日 Zaif については、「不正な Chrome 拡張」と「スクリプトから保護されていなかったクッキー」のコンボによりセッションが盗まれていた可能性あり。 Zaif のセッション情報が盗まれた原因のひとつについて。JavaScript からクッキー値を取得させない方法。 - clock-up-blog
「闇グーグル」は賢く使え NHKニュース
インターネットで検索するだけで、セキュリティー対策が十分でない機器を探し出すことができることから、ハッカーの攻撃の足がかりになるとして、「闇グーグル」などと呼ばれるサイトがあります。これまで脅威と捉えられることが多かったこのサイトですが、賢く利用すれば、逆に攻撃の糸口を断ち切ることにつながると活用を呼びかける対策を、独立行政法人の情報処理推進機構がまとめました。 このサイトは、2009年に登場した「SHODAN」というインターネットサービスです。 定期的にインターネットを巡回しては、ネット上の住所に当たるIPアドレスなどを手がかりに、ネットに接続された機器の情報をデータベースに収めています。 検索できる機器はパソコンやサーバーだけでなく、オフィス機器や情報家電、さらには発電所の制御機器まで、およそ5億台に上ります。 もともと研究目的で開発されたということで、誰でも利用できます。 最大の特徴
はてなIDがクッキーで約50サイトに送られていた話 - こせきの技術日記
(追記) 要点を整理をした記事を書きました。こっちのほうが、余計なこと書いてない分、わかりやすいかもしれません。 はてなブックマークに、マイホットエントリーという大変すばらしい機能があって、毎日見ている。 マイホットエントリー機能のご紹介 - はてなブックマーク開発ブログ 自分のマイホットエントリーのURLはこう。 http://b.hatena.ne.jp/koseki/ マイホットエントリーを見ていると、はてなID koseki を含むリファラが各サイトに送信される。 リファラは Google アナリティクスの __utmz に記録される。 Firefox には、全クッキーの値を横断検索する機能がある。 設定 > プライバシー > Cookieを個別に削除 > 検索 自分の環境では、およそ50個*1のクッキーに koseki という文字列が含まれていた。 あんなサイトやこんなサイトを、
極秘情報の共有に使える「10秒でメッセージが消える」Google ドキュメント | ライフハッカー・ジャパン
極秘情報をメールで送信するというのはできるだけ避けたいものですが、パスワードなどを何らかの形で共有しなくてはいけない場合はしばしばあります。そんな時に使えるのが、今回紹介する「10秒で自動的に削除されるメッセージ」です。 テクノロジーブログ「Digital Inspiration」に、10秒で自然消滅するメッセージをGoogle ドキュメントを使って簡単に作成する方法が載っていました。自然消滅するメッセージは「Google Apps Script」と「スプレッドシート」を使用。伝えたいメッセージや情報を入力し、そのドキュメントを共有したい相手にメッセージを送信します。相手がドキュメントをクリックし、メッセージを開くと、そのメッセージは10秒後には跡形もなく消えてしまいます。 極秘情報の共有方法は以前にも採り上げました。他にも『Burn Note』や『Privnote』といったアプリを使う手
Google、検索結果でマルウェア感染マシンに警告
マルウェア「DNSChanger」に感染したマシンでGoogle検索を利用すると、「あなたのコンピュータは悪質なソフトウェアに感染していると思われます」との警告が表示される。 米Googleは5月22日、世界各地で猛威を振るったマルウェア「DNSChanger」に感染していながら、まだ駆除していないユーザーに対応を促すため、検索結果ページへの警告メッセージ表示を開始すると発表した。 DNSChangerはコンピュータやルータのDNS設定を書き換えて検索結果を乗っ取り、不正なDNSサーバにトラフィックを誘導するマルウェア。米連邦捜査局(FBI)などが2011年11月に摘発に乗り出し、DNSChangerに使われていた不正なサーバを押収、クリーンなサーバに入れ替えて運用を続けていた。 しかし、このサーバの運用期限切れが7月9日に迫っており、DNSChangerに感染したままのマシンではこの日以
Gmail の広告の仕組み - Gmail ヘルプ
Gmail を開くと、ユーザーとの関連が深く、役立つと思われる広告が選択されて表示されます。Gmail でパーソナライズド広告を選択して表示するプロセスは、完全に自動化されています。広告は、ユーザーが Google にログインしているときのオンライン アクティビティに基づいて表示されます。広告を表示するために、Google が Gmail のメッセージを詳しく調べたり読み取ったりすることはありません。 プライバシー、透明性、ユーザーの選択 Google がユーザーの個人情報(Gmail や Google アカウントの情報を含む)を販売することはありません。また、ユーザーの明示的な許可なく、ユーザーの個人情報を広告主に提供することもありません。 広告の対象となるコンテンツの種類にも注意を払っています。たとえば、人種、宗教、性的指向、健康状態、経済状況などのデリケートな情報に基づく広告は表示さ
(前編) うっかりGoogle+を使い始めるとGMailで本名をバラまきかねない - ぼくはまちちゃん!
こんにちはこんにちは!! 先日、こんな記事が話題になってましたね! » Gmail・Hotmailを使っている人は、本名が垂れ流しになっている可能性があるので注意! …ふむふむ。 本名を登録してGMailを使っていると本名がバレる…? え!あたりまえじゃん! って反応が、はてなブックマークのコメントでも多かったよ。 でもね、これひとつ罠があると思うんだ。 なにかっていうとGoogle+。 AKB48もはじめたってことで話題になって始めた人も多いかもしれない。 でもGoogle+って、名前の取り扱いが最近は微妙に変わってるみたいなんだよね。 たとえば、いつものノリで、こんな名前で登録しようとすると… すぐに怒られます>< あれれ〜機械的に判断してるのかな〜と思って、 もうちょっとマシな名前にしてみます。 やった!通った!よ〜し早速Google+でアイドルとか週末ヒロインとキャッキャウフフしち
総務省|グーグル株式会社に対する通知
総務省及び経済産業省は、本日、グーグル株式会社に対し、平成24年3月1日から適用する新たなプライバシーポリシーについて、我が国の多くの利用者に大きな影響を有することから、法令遵守及び利用者に対する分かりやすい説明等の対応をすることが重要である旨を文書で通知しましたので、お知らせします。 通知内容は以下のとおりです。 ・ 統合されたプライバシーポリシーに従ってサービスを提供する際には、利用目的の達成に必要な範囲を超えた個人情報の取扱いや個人データの第三者への提供を行わないとともに、利用目的の達成に必要な範囲を超えて個人情報を取り扱う場合や個人データを第三者に提供する場合にはあらかじめ本人の同意を取得するなど、個人情報についてその適切な取扱いが図られるよう、個人情報の保護に関する法律(平成15年法律第57号)を遵守することが重要であること。 ・ 電気通信事業法(昭和59年法律第86号)における
グーグル、「Safari」のプライバシー設定を迂回
UPDATE Googleが、Appleの「Safari」ブラウザにおけるデフォルトのクッキー設定を迂回していたという報道を受けて、2件の申し立てが米連邦取引委員会(FTC)に提出された。これを受け、ユーザーが希望しない限り複数サイト間での行動履歴が追跡されることのないよう、ウェブ利用者を保護する法規制および業界規格を求める声が再び相次いであがっている。 Googleは今回、サードパーティークッキーによるユーザーの行動履歴追跡を原則的に禁止しているSafariの例外設定を利用した。公平のために記すと、こうした企業はGoogleだけではない。Google以外に3社のオンライン広告企業がこの抜け穴を利用していたと、The Wall Street Journalは報じている。これとは別にGoogleは、ユーザーによる「DoubleClick」クッキーのオプトアウトを可能とする「Ads Prefe
遂にキタ - .∵・(゚∀゚)・∵. - ッ!!大事なGoogleアカウントを堅牢に守りきる2段階認証プロセス日本語版がとうとう有効になりました! - 適宜覚書-Fragments
遂にキタ - .∵・(゚∀゚)・∵. - ッ!!大事なGoogleアカウントを堅牢に守りきる2段階認証プロセス日本語版がとうとう有効になりました! Googleアカウントは、Googleのサービスを使う上でとても重要です。各種のサービスの利用設定はもとより、そこで蓄積したデータの管理はアカウントに紐づけられています。これは裏を返せば、アカウントの認証情報を取られてしまうと被害が甚大となります。Google側としてもこれを認識してユーザに認証情報を保護するよう啓蒙してきました。 でも、それには限界があって詐取に対する有効な手段として、今年2月に2段階認証プロセスが採用されました。日本語版も7月末に公開されたものの携帯電話でのコード受信が利用出来ず形だけのものとなっていました。恐らくは12月上旬ひっそりですが、とうとうこの機能が利用可能になりましたので導入プロセスを以下に紹介します。 【重要】
Facebookは非公開設定でも直リンで誰でも写真が見れる上に、削除しても永遠に写真は消えないようです。
Facebookは非公開設定でも直リンで誰でも写真が見れる上に、削除しても永遠に写真は消えないようです。
グーグル、「Gmail」などのセキュリティを強化--将来の脅威に備えPFSに対応
Googleが「Gmail」などの各種サービスで暗号化の強化に乗り出した。現時点で保存されているメッセージが将来、高速なコンピュータを使った総当たり方式で簡単に解読されないようにすることが狙いだ。 GoogleセキュリティチームのAdam Langley氏は米国時間11月22日付のブログ投稿で、PFS(Perfect Forward Secrecy)をデフォルトで有効にするとして、次のように書いている。 「HTTPSをサポートする主要サイトの大多数は非PFS方式で動作しており、過去にさかのぼって解読されるリスクをはらんでいる。言い換えれば、暗号化された判読不能の電子メールが、現時点でユーザーのコンピュータに送信されている間に記録されている可能性もあるということだ。10年後、コンピュータが今よりはるかに高速化した時点で、攻撃者がサーバの秘密鍵を破り、過去にさかのぼって現在の電子メールトラフィ
自分の個人情報がネット上に公開されたことを教えてくれるサービス「Me on the Web」 | ライフハッカー・ジャパン
疲れやすい、呼吸の浅さを改善。ストレッチポールは毎日使いたいほど気持ちがいい!【今日のライフハックツール】
グーグル、Wi-Fiに接続されたモバイル機器の位置情報を公開
Wi-Fiに接続された「iPhone」やノートPCなど多数のデバイスの推定された位置をGoogleが公開している、という情報を米CNETが入手した。 位置情報サービスを有効にしている「Android」電話機は、周辺にあるWi-Fiデバイスの固有のハードウェアIDを定期的にGoogleに送信している。同様のことは、Microsoft、Apple、Skyhookも行っており、世界中のアクセスポイントやルータの住所をマッピングしている。 しかし、GoogleとSkyhookのみが、ハードウェアIDと住所を結びつけた位置情報データベースをインターネットに公開している。追跡されているハードウェアIDがモバイル機器のものである場合、プライバシーに関する懸念が生じる。 Wi-Fiに対応した機器は、MACアドレスと呼ばれる固有のハードウェアIDを、半径およそ100から200フィート(約30mから60m)に
GoogleはAndroid Marketの放任主義を改めるべき――アナリストらが指摘
Android Marketは着実に拡大しているものの、ここにきてGoogleの無干渉主義的アプローチと管理の欠如に起因する問題が、一部で起きたアクセス障害とともに同アプリストアを徐々にむしばんでいる。 米Googleが2年前に、スマートフォンなどの携帯端末用のオープンソースOSを支えるために「Android Market」を発表したとき、同社は「AppleがiPhone App Storeで採用している閉鎖的でプロプライエタリなアプローチとは異なり、これは束縛のない方式だ」と宣伝した。 Android Marketの登録アプリの数は着実に増加し、6万5000本を超えたものの、ここにきてGoogleの無干渉主義的アプローチと管理の欠如に起因する問題が、一部で起きたアクセス障害とともに同アプリストアを徐々にむしばんでいる。 音楽同期化製品を開発している米doubleTwistでAndroid
GoogleがSSL通信の検索サイトを開設、内容の傍受を阻止
ユーザーが入力した検索キーワードなどが第三者に傍受されないようSSLで暗号化する、「https://www.google.com」を開設した。 米Googleはユーザーのプライバシー保護強化の一環として、SSL通信を使った検索サイト「https://www.google.com」のβ版を開設した。ユーザーが入力した検索キーワードなどが第三者に傍受されないよう、SSLで暗号化する。 SSLは、Webサイトで入力した個人情報や金融情報が外部に漏れるのを防ぐため、電子商取引サイトやログインページなどで使われている。同社は先に、メールサービスのGmailでSSL接続をデフォルトにする措置を取っていた。 Googleの公式ブログによれば、新たに開設したSSL検索サイトでは、ユーザーのWebブラウザとGoogleの間で暗号化された通信を確立し、検索用語と検索結果が第三者に傍受されないようにする。通常の
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
驚きの顛末、グーグルの脆弱性が採用メールから悪戯されるまで
Loading...
ティム・バーナーズ・リー氏:「グーグルやフェイスブックから自分のデータを取り戻そう」 from WirelessWire News
【Googleポリシー統合】どんな情報が保存されているのか(後編・その1) 