フィッシング詐欺が再喚起するHTMLメールの危険性 | 大和総研
「HTMLメールを使うな」「Outlook Express 等のマイクロソフト製メールソフトを使うな」という言説を聞いた経験は、ネット利用者なら一度や二度ではないだろう。 マイクロソフト製メールソフトから送信されるHTMLメールが出回り始めた当初は、HTMLメールに対応していないメールソフトへの配慮の無さや、ファイルサイズの増大が問題視された。当時普及していた他社製メールソフトにおいて、HTMLメールの内容をまともに読めない状況が続出した。後発メールソフトがばら撒くそのような混乱が、まずは問題となった。また、当時は通信速度が遅い時間課金制のダイアルアップ接続が主流であったため、ファイルサイズの増大も問題となった。これはパケット従量課金制の携帯メールにも共通する問題である。 次に、HTMLメールと聞いて多くの人が連想する、ウィルスメールの流行が始まった。HTMLメールを表示するために使用する
@IT:Webアプリケーションに潜むセキュリティホール(14)
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 今回は本連載の最終回ということで、まとめとしてこれまでに説明してきたWebアプリケーションの脆弱性1つずつ簡単に説明していくことにする。一部、サンプルコードを示している個所もあるので開発を行っている読者は参考にしてほしい。 クロスサイトスクリプティング 攻撃者が作成したスクリプトを脆弱なWebサイトを介して、ほかのユーザーのブラウザ上で実行させる攻撃のことである。これにより正規ユーザ
speciii.com
This domain is expired. If you are the domain owner please click here to renew it. speciii.com 2018 Copyright. All Rights Reserved. The Sponsored Listings displayed above are served automatically by a third party. Neither the service provider nor the domain owner maintain any relationship with the advertisers. In case of trademark issues please contact the domain owner directly (contact informatio
CNET Japan
「T-Mobile G1」は中身で勝負--初の「Android」携帯が持つ可能性 米国時間9月23日に発表されたGoogleの「Android」を搭載した携帯は、外観はほかの携帯電話と大差はないが、これまでの携帯電話にはないユーザーエクスペリエンスを提供するソフトウェアが搭載されている。 2008/09/26 07:00 [スペシャルレポート] セカイカメラの世界観--Air Tagging The RealWorld iPhoneアプリ「セカイカメラ」は、究極のWYSIWYGを実現する可能性を秘めている。iPhoneの画面を通じて見えるものが、そのまま自分の情報として得られるという。オープンモバイル・コネクションズ2008で、同アプリを開発する頓智・CEOの井口尊仁氏がプレゼンした。 2008/09/26 14:58 [ネット・メディア] フォトレポート:分解、アップル「iPo
高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか
■ 携帯電話向けWebアプリの脆弱性事情はどうなっているのか WEB+DB PRESS誌のVol.37に「携帯サイト開発 実践テクニック 2007」という記事が掲載されているのだが、そこにこんな記述があった。 端末認証 登録が必要なサイトの場合,利用する際にはログインが必要です.ID/パスワードを毎回入力するのでは,携帯の場合では特に面倒です. そこで携帯ならではの認証方法として,現在の端末では取得が容易にできる端末自体の情報(端末ID)を利用します. (略) セッション PCサイトでセッションを使う場合は,通常セッションIDをCookieに保存しますが,携帯ブラウザではCookieにデータを保存することができません.そこで携帯サイトでCookieを使う場合はURLにセッションIDを埋め込むことになります. セッションIDをGETで渡す セッションIDをGETで渡す場合は,PHPの設定ファ
blog.bulkneets.net : 他に何も持たないこと
よそのサービスのidやパスワードを入力させる、ってのは基本的にやっちゃいけないんだけれども。 例えば、 del.icio.usはブックマークしか預からない。 twitterは今何をしてる、しか預からない。 なので、あなたのdel.icio.usアカウントと連携したいのでidとパスワード教えて、とか、twitterアカウントと連携したいのでidとパスワードを教えて、なんてのが、比較的気軽に出来る。色々まずいこともあるけど、ユーザーが十分にリスクを承知してidとパスワードを預けるのであれば、それはアリだと思う。 それ以外に何も出来ないサービスであるということにメリットがある。面倒くさい住所入力、メールアドレス認証、なんてのを通り越して捨てアカウントを作れる。お金が絡まない。犯罪に使われたりしない。他に何もないんだから悪用されようがない。 もしこれが、yahooのidとパスワード入れてくれ、go
おさかなラボ - MixiはURIの長さとユーザのプライバシーのどちらが大事なのか
ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解@slashdot.jp いや、解決できるでしょ。http://www.mixi.jp/ にすれば。Mixiは会員のプライバシーよりURIの短さを優先したと思われても仕方ないのでは。今、http://www.mixi.jp/ にアクセスするとhttp://mixi.jp/にリダイレクトする(しかもこの2つFQDNの実体は同じ)ようになってるんだから逆もすぐできるでしょ?それがなぜできない。 ともかくMixiが、「ログインしていない人でも会員しか見られないはずのプライベートな画像を閲覧できてしまう脆弱性」に「ギブアップ」したそうだ。slashdot経由で非常に遠まわしな弁解文が見られる。以前、MixiとCookieドメインでMixiがおかしなCookie情報の改変をしたことは既に書いたが、こういった背景があったとは恥ずかしながら
おさかなラボ - MixiとCookieドメイン
Mixiが、一時的にCookieのドメインを“mixi.jp”から“.mixi.jp”に変更して、一部ブラウザからアクセスできなくなるという現象が起こりました。これをmixi側は「古いブラウザを使っているのが原因。新しいブラウザに変えれば直る」と一蹴しましたが、この対策が妥当だったかはともかくとして、規格上、古いブラウザと新しいブラウザのどちらに問題があったのかを検証してみます。 “.mixi.jp”への変更が妥当だったかどうかについて。 Cookieについては当初Netscape社のテキトーなドキュメントのみが仕様として成り立っていた経緯があり、実装にかなり揺れがあります。特に Cookieの大元の仕様と、RFC上のCookieの仕様の2つの内容が相反していて、Netscapeの仕様の方はDOMAINの先頭にドットを入れることに言及がない(サンプルは先頭ドットなし)。一方、RF
高木浩光@自宅の日記 - 対策にならないフィッシング対策がまたもや無批判に宣伝されている, 追記(26日)
■ 対策にならないフィッシング対策がまたもや無批判に宣伝されている 「PCからオンライン取引、ケータイで認証」−ソフトバンクBBの新発想・認証サービス, Enterprise Watch, 2007年9月20日 「同サービスはまったく新しい認証の手段だ。暗号化技術にも依存しないので、クラッカーとのいたちごっこにもならず、これまでの認証の問題を一挙に解決することが可能。本当の意味でIT革命が起こせると期待できるサービスだ」と意気込みをあらわにしながら説明を行った。(略) 「PCを標的にしたハッキングやDoS攻撃を受ける可能性がゼロになる」(中島氏)。また、偽サイトとはシンクロしないため、フィッシング詐欺を100%防止することも可能だ。 ソフトバンクBB、携帯活用認証システムでWebサイトログイン対応に, ケータイWatch, 2007年9月20日 今回の新機能は、安全・簡便・低コストで、そう
OpenIDとフィッシング - 日向夏特殊応援部隊
wiki.openid.netのOpenID Wiki / OpenID_Phishing_Brainstormから。 フィッシングの流れ ユーザーは悪意のあるRP(Consumer)サイトに行くとOpenIDっぽぃログインフォームがある ユーザーはそのログインフォームに自分のIdentifier URLを入力 悪意のあるRPはユーザーのOP(IdP)に良く似たFake OPにリダイレクトさせる Fake OPはユーザーにユーザー名とパスワードを求める ユーザーはいつものOPとの違いに気づかずパスワード入れちゃう Fake OPはユーザーのアカウント情報を入手出来る これが基本的なフィッシングの流れと説明されてる。 OpenID Realm Spoofing OpenIDで言うところのrealmはtrust_rootの事。(ソースから読むOpenID (1) - Yet Another H
ウノウラボ Unoh Labs: 携帯へメールを送る際の確認事項
harukiです。 ケータイ宛にメールを送信するサイトにおける確認事項をまとめてみました。 サーバ側 DNS IPアドレスが逆引きできるようになっているか SPFレコードが正しく設定されているか SPFは、2007年11月1日からDoCoMoも対応します。 http://www.nttdocomo.co.jp/service/mail/imode_mail/sender_id/index.html MTA EHLO/HELOコマンドでのドメイン名が正しいか エンベロープFrom/Toは正しいか その他 Fromフィールドのドメインが正しいか (Aレコード、MXレコードが存在しているドメインか) Return-Pathは設定しているか 端末で表示できる文字コード・形式で送っているか あとは、OP25B(Outbound Port 25 Blocking)に該当する場合は、その確認も必要にな
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ソフトバンク端末100機種以上にJavaScript関連の不具合
携帯で端末ID詐称は可能かもしれない話
MovableTypeで行こう!: 全般 アーカイブ
暮らし・「世界が完全に思考停止する前に」森達也さんのお話