ComputerworldとCIO Magazineは 2023年5月23日で閉鎖しました。 長らくのご購読ありがとうございました。 日経クロステック TOPページ
Google Playストアの脆弱性とAndroid標準ブラウザの脆弱性を突く攻撃の組み合わせによって、攻撃者がリモートから不正なアプリをインストールして起動できてしまう恐れがある。 Google Playストアの脆弱性とAndroid標準ブラウザの脆弱性を突く攻撃の組み合わせによって、攻撃者がリモートから不正なアプリをインストールして起動できてしまう問題があることが分かり、脆弱性検証ツールの「Metasploit」にこれを実行するモジュールが追加された。Metasploitを提供するRapid7が2月10日のブログで明らかにした。 Rapid7によると、Google Playストアの脆弱性は、同ストアのWebアプリケーションドメイン(play.google.com)でクリックジャック対策のためのX-Frame-Options(XFO)サポートが徹底されていないことに起因する。 この脆弱性
現代のブラウザ戦争が本格的に始まったのは2004年のことだ。Mozillaの「Firefox」が2004年、「Internet Explorer」(IE)の完全かつ絶対的な市場支配に戦いを挑み、それから5年足らずでユーザー数を0人から数億人に伸ばすことに成功した。 Googleも2008年、「Google Chrome」ブラウザを発表して、それに続いた。Chromeは2012年にはFirefoxに追いついた。 この戦いは2014年に遂に終結したのかもしれない。 この10年間で多くのことが変わった。現在、モバイルデバイスの台数は従来のPCを上回っており、デスクトップブラウザの重要度はモバイルウェブクライアントやアプリに大きく劣るようになってしまった。現在の主要なプレーヤーは、Appleのモバイル版「Safari」とGoogleのChromeだ。Mozillaは大きな過渡期を迎えており、Mic
以前、Cookieを使わずにユーザーを追跡する仕組みである「Canvas Fingerprinting」が話題になったが、これを使って実際にどれだけユーザーを追跡できるかを確認できるサイトが登場した。あるAnonymous Coward 曰く、 「Am I Unique?」というサイトでは、Canvas Fingerprinting鑑定ツールを使い、使用中のWebブラウザがどれくらいユニークを調査できるという(Slashdot)。 このサイトではCanvasだけでなく、使用中のWebブラウザやそのバージョン、OSとそのバージョン、言語設定、タイムゾーン設定といった情報や利用できるフォント、WebGLのレンダリング結果、画面解像度、AdBlockの利用などといった情報の「重複度」も確認できる。
HTML に q という要素がありますね。 Quotation の Q ですか。 <q> について 文書内で引用をしたいとき、 ブロック要素を含むような場合には <blockquote> ですが 一言とか一行とかそれくらいのときには <q> を使うのがいいみたいです。 q 自体がデフォルトでインライン要素だしね。 こんなぐあい。 <q>ここは引用ですよー。</q> 多くのブラウザでは、この <q> で括った部分が ダブルクォーテーションで挟まれて表示されます。 上記の例だとこう。 “ここは引用ですよー。” カギ括弧になってた 「表示されます」って書いたんだけど、 本当は「と思ってました」でした。 こないだふと気づいたら、 日本語のページではこれがこうなってました。 「ここは引用ですよー。」 クォーテーションマークじゃなくてカギ括弧になってる。 知らんかった。いつの間に。 <q> を初めて使
「IIJ Technical WEEK 2014」の会場に、まるでタイムスリップしてきたかのようにSun Microsystemsの「SPARCstation IPX」が姿を現した。20年前に同社が提供していたアノニマスFTPサーバーはどんな姿だったのだろうか。 20年前のサーバーの姿を、そしてインターネットの姿を覚えているだろうか? インターネットイニシアティブ(IIJ)が2014年11月26日から28日にかけて開催している「IIJ Technical WEEK 2014」の会場には、まるでタイムスリップしてきたかのようにSun Microsystemsの「SPARCstation IPX」が姿を現し、世界初のグラフィカルなWebブラウザー「NCSA Mosaic」上で約20年前のIIJのWebページ(いわゆる「ホームページ」)を表示した。 11月27日に行われたセッション「てくろぐ・せ
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2014-10-20 06:00 筆者はインターネットを1980年代から使っている。筆者にとってインターネットアプリケーションと言えば、「Archie」「Gopher」「Veronica」など、読者の皆さんの大半は聞いたことのないプログラムだった。そして、ウェブの登場とともに全てが変わった。 筆者は、一般の読者向けにウェブについて書いた最初のライターであり、ウェブはまさに一般的なものとなった。筆者が言いたいのは、1993年の時点でウェブのユーザー数は数十万人だったはずだ、ということである。現在、Facebookだけで10億人を超えるユーザーがいる。 初期の時代にウェブを使うのは本当に大変だった。インターネットを実際にサポートしているOSは「UNIX」だけだっ
Lookoutによれば、AOSP版ブラウザに存在する同一生成元ポリシー回避の脆弱性の影響は日本のユーザーが最も多く受けるという。 Android 4.3以前に搭載されているAOSP(Android Open Source Project)版ブラウザに同一生成元ポリシー回避の脆弱性が発覚した問題で、米モバイルセキュリティ会社のLookoutは、日本のユーザーが脆弱性の影響を最も多く受けるとの調査結果を公開した。 この脆弱性は9月に報告されたもの。悪用された場合、攻撃者が不正なJavaScriptを使ってセキュリティ対策の同一生成元ポリシーを迂回し、任意のWebサイトを経由して他のWebページの内容を盗聴するなどの恐れがある。 Lookoutによれば、同社ユーザーの約45%が脆弱性のあるバージョンのAOSPブラウザをインストールしており、国別では日本が最も多い81%を占めるという。以下はスペイ
2014年10月2日 10時0分 by ライブドアニュース編集部 ざっくり言うと 研究者が「Androidの標準ブラウザに深刻な脆弱性がある」と発表した 細工が施されたサイトにアクセスした場合、データを奪われる危険性がある アカウントを不正利用される可能性もあると警告されている どうやら大きな穴が発見されたようです。 パキスタンのセキュリティ研究者がの標準に、深刻ながあると発表しました。 Android に標準搭載されたブラウザの脆弱性について - 9月 - 2014 - Sophos Press Releases, Security News and Press Coverage - Sophos Press Office | Sophos News and Press Releases - ソフォス 大ざっぱに説明しますと、細工が施されたサイトに標準ブラウザでアクセスした場合、本来なら
「ワンタイムパスワード」破る…送金先口座凍結 : IT&メディア : 読売新聞(YOMIURI ONLINE) http://www.yomiuri.co.jp/it/20140916-OYT1T50063.htm ログインしただけで不正送金 新型ウイルス国内で検出 - 朝日新聞デジタル http://www.asahi.com/articles/ASG9J3Q7VG9JULFA00F.html 時事ドットコム:大手銀の52口座凍結=ネットバンク不正送金で-警視庁 http://www.jiji.com/jc/zc?k=201409/2014091600744&g=soc ネットバンキング不正送金、52口座凍結 新種ウイルス解析・警視庁 - MSN産経ニュース http://sankei.jp.msn.com/affairs/news/140916/crm14091622270013-n1
悪用された場合、不正なJavaScriptを使ってAOSPブラウザの同一生成元ポリシーをかわし、任意のWebサイト経由で他のWebページの内容をのぞき見できてしまう恐れがある。 Androidの4.4より前のバージョンに搭載されているAOSP(Android Open Source Project)版ブラウザに、同一生成元ポリシー回避の脆弱性が発覚し、脆弱性検証ツールのMetasploitにこの脆弱性を突くモジュールが追加された。Metasploitを提供するセキュリティ企業のRapid7が9月15日のブログで明らかにした。 Rapid7によると、この脆弱性に関する情報は9月1日に公表された。脆弱性は4.4より前のバージョンのAndroidのAOSPブラウザに存在する。悪用された場合、不正なJavaScriptを使ってAOSPブラウザに実装されたセキュリティ対策の同一生成元ポリシーをかわし
Internet Explorer 11の新機能にみる「Windows 2020年問題」とは?:鈴木淳也の「まとめて覚える! Windows 8.1 Update」(1/3 ページ) Windows 8.1 Updateで追加された新機能の1つに、「Internet Explorer(IE) 11における“エンタープライズモード”の追加」がある。これはIE11に「IE8互換の動作モード」を追加することで、古いバージョンのIEのみに対応した企業のWebアプリケーション等を円滑に動作させ、最新システムへの将来的な移行を手助けすることが狙いだ。 (集計方法にもよるが)IE8は2014年5月現在においてもデスクトップ向けWebブラウザで20%超と最大シェアを誇っており、いまだ利用者が多いことが分かる。今回は、この辺りの背景を整理することで、Microsoftの資産であると同時に、過去に蓄積された不
2013年以降、マルウェア感染による不正送金被害が国内でも増加している。警察庁のまとめによると、ウイルスに感染してIDやパスワードを盗み取られ、他人の口座などに不正送金される被害は、2013年は前年の約14倍に当たる1325件に上った。2014年に入ってもその傾向は変わらず、2月末の時点で500件、約6億円に上る被害が生じているという。 不正送金で、最近増えているとされるのが「Man-in-the-Browser」(MITB)と呼ばれる手法だ。被害者のPCに侵入したマルウェアが、オンラインバンキングなど特定のページにアクセスしたときにだけ動作してWebページの表示に改ざんを加え(=Webインジェクション)、IDやパスワード情報を盗み取ったり、送金先口座を変更してしまったりする。 産業技術総合研究所が2014年3月13日に開催した「第2回 セキュアシステムシンポジウム」において、同研究所の高
Pwn2Own 2014のハッキングチャレンジでは主要なWebブラウザー(Chrome、Firefox、IE、Safari)がすべてセキュリティーを突破されている。中でもFirefoxは4回攻略されており、主要ブラウザー中最も多かったそうだ(eWeekの記事、 Naked Securityの記事、 インターネットコムの記事、 本家/.)。 Firefoxは初日に未知の脆弱性3つをそれぞれ利用されて3回攻略された。2日目にも別の脆弱性を利用して攻略されている。このように2日間で新たな脆弱性が4つも明らかになったのは、Pwn2Ownの賞金が理由として考えられるという。Mozillaでは2004年からバグ発見報奨金プログラムを導入しており、2010年からはバグ報告者に3,000ドルの報奨金を支払っている。しかし、今回Firefoxの攻略成功者に贈られた賞金は各50,000ドル。このことが、脆弱性
前日のIEやFirefoxに続き、2日目はGoogle ChromeやApple Safariのセキュリティも破られた。 カナダで開かれた米Hewlett-Packard(HP)主催のハッキングコンペ「Pwn2Own」は2日目の3月14日、挑戦者がGoogle ChromeやApple Safariのセキュリティ破りに成功した。これで前日と併せて主要なWebブラウザが全て突破された。 この日はまず、中国のKeenチームがSafariに挑み、サンドボックスを迂回してコードを実行することに成功。中国チームはAdobe Flashのセキュリティ破りにも成功して、合計14万ドルの賞金を獲得した。Keenチームは2013年11月に東京で開かれたハッキングコンペでもiOS 7破りに成功している。 前日に続いて参加したフランスの脆弱性調査会社Vupenはこの日、Google Chromeの脆弱性を突いて
by Vernon Swanepoel ウェブサイトのユーザーがどれぐらいページを見てくれているのか、訪問頻度はどれぐらいなのかといった情報を追跡するのにはクッキー(Cookie)やJavaScriptなどが使用されますが、そうやって追跡されるのがイヤだということでCookieを受け入れないように設定したり、JavaScriptをオフにしているという人もいるはず。しかし、それでもユーザーを個別に追跡する方法があります。 Lucb1e.com :: Cookieless Cookies http://lucb1e.com/rp/cookielesscookies/ これはオランダ在住でコード・セキュリティ・ネットワークを愛しているというlucb1eさんが明らかにしたもの。手法としては新しいものではなく、多数のサイトで使われているにもかかわらず、そのことを認識している人はほとんどいないというも
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く