2009-03-05
「ゴミ箱ちゃんと確認した?」とつっこみを受けて、、あーなるほど、、ゴミ箱にあったという罠、お騒がせしてすいません。。。orz。しかし、気になるリンクもあったので、エントリは修正せずに、以下にまとめます。厳密な検証はしていません。 確認できたのは以下の動作です。 Gmail の Google Docs で開くをクリックするとgmailユーザー(a@gmail.com)がオーナーとしてドキュメントが作成され(ファイル名=ドキュメント名だった)、URL(http://spreadsheets.google.com/ccc?key=hogehoge&gmrcpt)が割り当てられる。 上記 googleからGmail自動送信のメールがa@gmail.com宛に届き、ドキュメントへのURLである http://spreadsheets.google.com/ccc?key=hogehoge&gmrcp
高木浩光@自宅の日記 - 東京都情報公開・個人情報保護審議会を傍聴してきた
■ 東京都情報公開・個人情報保護審議会を傍聴してきた 2月15日補足:日付を間違えていた。「今日は」とは2月3日のこと。2月3日の日記として書いたつもりが、2月4日で登録してしまっていた(書き始めたのは2月3日だが書き上がったのは2月4日の朝だった)。既にあちこちからリンクされているので変更はしない。 ストリートビューについてグーグル社との意見交換があるというので、今日は休暇をとって、東京都情報公開・個人情報保護審議会の傍聴に行ってきた。録音も撮影もOKとのことで、公開の場であることが強調されていたので、今回はメモはとらず、会話は録音して、会場の様子を写真やビデオに収めてきた。 グーグル社からは、執行役員で広報部長の舟橋義人氏とポリシーカウンセルの藤田一夫氏が出席し、主に藤田氏が説明と質疑への応答にあたった。事務局から前回議事録等への補足の後、藤田氏から25分ほどのプレゼンテーションがあり
高木浩光@自宅の日記 - Googleドキュメントの「招待メール」の危険
■ Googleドキュメントの「招待メール」の危険 ことの始まり 先々週の話。1月23日に次の記事が出ていた。 『Google Docs』の設定にご用心:知らないうちに書き換えも?, WIRED VISION, 2009年1月23日 この記事の趣旨は、「Googleスプレッドシート」の共有設定の画面の説明文「Let people edit without signing in」が誤解を招くために、誤って、誰にでも閲覧や編集を許す設定にしてしまいかねないという話である。この画面は、日本語表示では図1の表記となっている。 WIRED VISIONの記事の言い分では、「people」が上の招待メール送信先の人々のことを指すように読めて、下の「プライバシー」設定も変更しないといけないように誤解してしまうという。 そもそも、この機能の意図されている動作はどういうものか。私も試しているうちに一時混乱し
高木浩光@自宅の日記 - Googleアカウントを削除するとマイマップやカレンダーを削除できなくなる, 追記(30日) 非公開設定のカレンダーも削除されない
■ Googleアカウントを削除するとマイマップやカレンダーを削除できなくなる Googleマップの「マイマップ」は、Googleアカウントでログインして作成・編集するものであり、図1のように、ログインして「自分で作った地図」を一覧し、「×」ボタンを押すことによって、作った地図を削除することのできるタイプのサービスである。したがって、Googleアカウントを削除すれば、そのアカウントが所有するすべてのマイマップも同時に削除されると考えるのが普通だ。 実際、アカウント削除の機能がどこにあるかというと、「アカウント」のリンク先の画面(図2上)の「マイサービス」という部分の「編集」というリンクの先(図2下)にある。「マイサービス」には、「iGoogle」「ウェブ履歴」「カレンダー」「ノートブック」「マップ - マイマップ」と書かれており、マイマップもこの中に含まれると理解される。
高木浩光@自宅の日記 - Googleカレンダーでやってはいけないこと
■ Googleカレンダーでやってはいけないこと Googleカレンダーで公開前提ではないカレンダー(非公開を前提としたカレンダー)を作っている場合、以下の操作をしないよう注意する必要がある。 「設定」画面でカレンダーを選んだときに出てくる画面の「カレンダーの情報」タブのところの一番下に、「非公開URL:」という項目がある。そこには、「これはこのカレンダーの非公開 URL です。このカレンダーのすべての予定を他のユーザーに見せたい場合を除き、このアドレスを他のユーザーと共有しないでください。」という説明書きがあるが、何のことやらよくわからない。ここで、「XML」「ICAL」「HTML」と書かれた部分の「HTML」のところをクリックすると次の画面が出る。 ここで、表示されているURLのリンクをクリックしてはいけない。 マップとカレンダーでちぐはぐな設計 これがいったい何なのかは、「ヘルプ」に
情報公開されてますけど? - Googleマイマップ問題でグーグルが呼びかけ | ネット | マイコミジャーナル
千葉県の君津市教育委員会は5日、ユーザーが任意でカスタマイズした地図を作製できる「Googleマップ」のマイマップに記載された生徒24人の個人情報が、約1年半にわたってネット上で公開されたままになっていたと発表した。グーグルでは、情報公開の範囲設定を確認するよう呼びかけているが、初期設定を「一般公開」とする是非が問われそうだ。 「家庭訪問に使う」と生徒24人分の個人情報を登録 君津市教委 学校教育課によると、一般公開設定のままとなっていたのは、市立周西南中学校の2007年度の3年生生徒24人分の氏名、住所、地図上の自宅位置が記されたマイマップ。2007年4月下旬に家庭訪問を控えていた同校の男性教諭が同月作製した。 同教諭は当時骨折をしており、学年主任に家庭訪問のための車の運転を依頼するため、印刷して使用したという。だが、ネットで一般公開設定となっていたマイマップの情報はそのまま不特定多数の
“受動的”な検出ツール,Web 2.0系のぜい弱性に強み
この数年来,Webアプリケーションのぜい弱性を狙った攻撃により,個人情報が漏洩したり,Webページが改ざんされる被害がたびたび発生しています。このような被害に遭わないように,Webサイト開発者には今,セキュアなWebアプリケーションを開発することが求められています。 セキュアなWebアプリケーションを開発するために一番重要なことは,そもそもセキュアに設計・コーディングすることです。そのためには開発者の教育や開発ガイドラインなどが必要になります。同時に,開発者が作ったものが本当にセキュアであるかを確認するプロセスが必要です。確認の対象となるのは,設計書,ソースコード,実際に稼働するアプリケーションなどですが,一般にWebアプリケーションにおいて広く行なわれているのは,実際に稼働しているアプリケーションを対象とする検査ではないかと思います。 この種の検査では,Webアプリケーションに対して様々
Google Street View の閲覧者は監視されてるだろうな。というお話:ぶるべあのTech. ぶろぐ:So-net blog
WebやPC・携帯の技術的なことや、ポリティカルなネタはこちらに書くことにしました。本家(ぶるべあの株と旅行日記)もよろしく どうも妙な時間に目が覚めてしまった。 さて、ネットで話題沸騰のGoogle の Street View ですが、まあそんなもん日本では昔からやってるところあるよ。というのは置いておいて、 Googleストリートビューについて - good2nd とか、 Googleマップの「ストリートビュー」の恐怖。 - XMLがキライ。 とかで「気持ち悪い」とか「犯罪に使われる」とか言わておりますが、まあ解らないことはないですが、犯罪の可能性や嫌悪感だけじゃ、私企業の商行為の法規制は厳しいわな。とも思うわけで。 で、「リアルな世界だと、見られているのが解るが、 Street View だと見られているのが解らない」 という話がありましたが、 見られている(?)我々
グーグルが収集しているユーザーデータの秘密/グーグルのダークサイド?(前編) | Moz - SEOとインバウンドマーケティングの実践情報
グーグルは、何といってもデータ企業だ。グーグルはかつて、公平な競争の場で、一般に公開されているデータを競合相手よりも巧みに利用することを武器として戦った。そうすることで、空前の大成功を収めたんだ。 Web 2.0の時代に入ると、ハードディスク、プロセッサ、通信帯域、果ては労働力まで、比較的安価に入手できるようになった。そのおかげで、検索分野への参入障壁は急激に低くなった。競合相手がグーグルに追い付き始め(MSN画像検索とか)、新規参入者も現れる(Cuill)に至って、グーグルは、何らかの優位性を探し求めている。 インターネット上のコンテンツについては、誰もがほぼ対等にアクセスできるようになったから、先行している企業はあの手この手で個人データを入手しようとしている。検索エンジンにとっていちばん費用効率がいいのは、すでに自社のサービスを利用しているユーザーからデータを集めることだ。グーグルは、
【ハウツー】もう試しましたか? Googleの脆弱性発見ツール「ratproxy」 (1) XSS問題などを検出可能 | エンタープライズ | マイコミジャーナル
Webアプリケーション開発者にとって切っても切れない問題――それがセキュリティ対策だ。日増しに複雑になっていく要件・機能に対する脆弱性検査に悲鳴をあげているデベロッパ/テスターも多いことだろう。そのような中、あのGoogleが、社内でも活用している脆弱性発見ツールをオープンソース化して公開した。同ツールは脆弱性検査の新しい決め手となるか。以下、基本的な使い方や主要機能について紹介していこう。 Google社内で現役の脆弱性検知ツール - ratproxy Googleは1日(米国時間)、Webアプリケーションのセキュリティ監査を実施するツール「ratproxy」をリリースした。ratproxyはプロキシサーバとして動作するオープンソースソフトウェア。同ソフトウェアを経由してWebアプリケーションを操作することで、XSS(Cross Site Scripting)問題や不適切なXSRF(Cr
Gmailアドレスから氏名を明らかに、スパムへ悪用の恐れも
Googleアカウントを利用して、他人のGmailアドレスからそのユーザーの氏名を割り出せてしまう方法があることが分かり、セキュリティ専門家がSecuriteamのブログで紹介した。 それによると、自分のGoogleアカウントでカレンダーの共有機能を使い、他人のGmailアドレスを入力すると、そのアドレスの持ち主が登録している氏名が表示される。 Securiteamブログでは、GmailシステムがGoogleカレンダーなどのサービスと密接に結び付いていることに起因する「脆弱性」としてこの問題を紹介。このやり方で、「admin@gmail.com」のアドレスの持ち主の氏名を表示させたスクリーンショットを公開している。 この「機能」を利用すれば、スパム送信者がGmailユーザーの氏名を割り出し、名指しでスパムメールを送ってくる可能性もあるとブログでは指摘している。 過去のセキュリティニュース一
MOONGIFT: Web2.0時代のセキュリティ査定ツール「Ratproxy」:オープンソースを毎日紹介
ブラウザが多用されるようになり、ローカルのアプリケーションだけだった時代では想定されなかったセキュリティリスクが出てきている。そして、それらの問題に対応するべく様々な情報がインターネット上に掲載されている。 レポート だが一般ユーザはもちろん、ITに詳しい人であっても、それらの情報を活用しているとは言い難い。情報を元に、どのような施策を行うか、それが重要だ。 今回紹介するオープンソース・ソフトウェアはRatproxy、グーグラーが開発したWebアプリケーションセキュリティ査定ソフトウェアだ。 Ratproxyはいわゆるプロキシとして動作するソフトウェアだ。デフォルトで8080を使って立ち上がる。後はブラウザのプロキシを設定して、様々なサイトを閲覧すれば良い。結果はログファイルに吐き出され(ファイル名を予めしておく必要がある)、その結果を解析してレポートを作成してくれる。 実行中 検査する項
「Google AdWords」を狙ったネット犯罪に注意呼びかけ - 欧米で流行の兆し | ネット | マイコミジャーナル
ドイツのセキュリティ企業の日本法人、G DATA Softwareは、「Google AdWords」を狙ったネット犯罪が欧米で流行の兆しを見せているとして、注意を呼びかけている。Google AdWordsのアカウント入力を要求するメールを送り、アカウントを不正に入手するという手口で、同社は「メールでのログイン情報入力の要求には気をつけて」と話している。 「Google AdWords」を狙ったアカウント入力を要求するメール(提供:G DATA Software) 問題となっているのは、「広告キャンペーンのお支払いがまだ済んでいませんでした」という内容のメールを不特定多数に送りつけ、リンク先のサイトからGoogle AdWordsのアカウントを入力するように指示するというもの。 アカウントを持っていない場合はすぐに詐欺メールだと分かるが、アカウントを持っている場合、「つい慌てて入力してし
Googleユーザーの半数近くがWebブラウザの脆弱性を放置
全体の45.2%に当たる6億3700万人がWebブラウザを最新版に更新しておらず、サイトを閲覧しただけでマルウェアに感染する恐れがあることが判明した。 世界のGoogleユーザーの半数近くがWebブラウザを最新版に更新せず、脆弱性を放置した状態で使っている――。Googleのスイス法人とIBM傘下のInetrnet Security Systems、スイスのETH Zurichの研究者がこんな報告書をまとめた。 研究チームは2007年1月から2008年6月にかけ、世界各国でGoogleのWeb検索とアプリケーションサイトのユーザーが使っているWebブラウザを調べた。 その結果、最もセキュアな最新バージョンのWebブラウザを使っていないユーザーは、全体の45.2%に当たる6億3700万人に上ることが判明した。 Webブラウザの脆弱性を突いてマルウェアに感染させる攻撃が増える中、こうしたWeb
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PC
PC