一般ユーザに払い出すと危険なサブドメインやメールアドレス - ASnoKaze blog
ユーザに対して、そのユーザ名のサブドメインやメールアドレスを払い出すWebサービスがあります。 しかし、特定のサブドメインやメールアドレスは特別な用途で使われているものもあります。そのようなサブドメインやメールアドレスを一般ユーザに払い出してしまうと危険です。 現在、IETFでは仕様上利用用途が決められている、それらのラベルをとりまとめる「Dangerous Labels in DNS and E-mail」というdraftが提出されています。 今回はそれを眺めていきます。 (あくまでIETFの取り組みであり、仕様上定義されているものをとりまとめています。クラウドサービスや特定ベンダーで特別利用しているものは現在含まれていません。) サブドメイン ここでとりあげるサブドメインは、利用用途が決まってるため一般ユーザに払い出すべきではありません。(例: mta-sts.example.com)
Firefox Monitor
Find out if your personal information has been compromisedStay safe with privacy tools from the makers of Firefox that protect you from hackers and companies that publish and sell your personal information. We’ll alert you of any known data breaches, find and remove your exposed info and continually watch for new exposures. Email addressCheck for breaches Why use Firefox Monitor?Identifying an
パスワード生成
お好みのパスワードを生成(自動作成)することができるツールです。 パスワードに使用する文字の種類(数字、英文字、記号)、文字数の長さ、生成する個数を指定可能です。 ご希望のセキュリティ強度、文字、文字数、個数がございましたらご入力、ご選択後に「生成」ボタンをクリックしてください。 再度、「生成」ボタンを押すことで新しいパスワードが生成されます。 ※生成されたパスワードはテキストファイルにてダウンロード可能です。 「パスワードデータをダウンロード」ボタンをクリックしてダウンロードしてください。 ※スマートフォンやタブレットでご利用の方は、生成されたパスワードを直接コピーしてご利用ください。 ※文字数は最大40文字まで、個数は最大1000個までとなります。 ※文字の「記号あり」で任意の記号が選択可能になりました。 ※文字の「頭文字の指定」で頭文字に「英字(大文字)」「英字(小文字)」「数字」が
Google Slides: Sign-in
Not your computer? Use a private browsing window to sign in. Learn more
サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
パスワードの作り方、Google方式 | エンタープライズ | マイコミジャーナル
Gmail - Web mail powered by Google Google Blog、Choosing a smart passwordにおいてパスワードを作るときの注意が紹介されている。Googleの提供しているWebサービスはGmailのメールアドレスとパスワードがアカウントになっている。Gmailのパスワードが漏れると、ほかのすべてのサービスへのアクセスも危険に晒されることを意味する。推測されにくいパスワードを作成することがとても重要だ。紹介されている注意点は次のとおり。 問題: 複数のWebサイトで同じパスワードを使いまわす 電子メール、オンラインバンキング、ソーシャルネットワーク、ショッピングサイトなどパスワードを要求するサービスが増え続けている。このため、これらアカウントで同じパスワードを使う人が多いのは想像に難しくない。しかしながらこれは危険な状況といえる。どれかひと
アンチウイルスソフトなんてフリーのソフト放り込んどけば十分だよな?:アルファルファモザイク
編集元:ニュース速報板より「アンチウイルスソフトなんてフリーのソフト放り込んどけば十分だよな?」 1 毎日新聞配達(東京都) :2008/10/10(金) 16:25:25.90 ID:s6TCpuoO ?2BP(3334) 株主優待 無料で使えるMac用アンチウイルスソフト「iAntiVirus 1.1」 PC Toolsは9日 (米国時間)、Mac OS X用アンチウイルスソフト「iAntiVirus 1.1」をリリースした。動作環境はMac OS X 10.5以降、17MB以上の空きディスク容量が必要。無償版のほか、電話サポートや商業利用許可が付帯する有償版 (4,490円) が用意されている。 iAntiVirusは、システム常駐型のアンチウイルスソフト。ウイルスに感染したファイルをダウンロードしたときなど、リアルタイムにウイルスの侵入を検知 / 隔離する機能のほか、週 /
「StayInvisible」でプロキシサーバリストや匿名性アップに必要なツールを探す : ライフハッカー[日本版], 仕事も生活も上手くこなすライフハック情報満載のブログ・メディア
ネットであれこれ見るのは楽しいですが、世界に向かって、「僕は今日こんな情報を求めて検索し、こんなサイトをどのくらい眺めました」という情報は、できれば門外不出であって欲しいと、誰しもが願っているはず。 サイト「StayInvisible」では無料のプロキシサーバリストだけでなく、プロキシをテストするツールや、匿名性と暗号化に関する情報を提供してくれます。 プロキシリストだけを掲載しているリソースは多々ありますが、それ以外の情報が提供されている場所は意外に希少。「StayInvisible」では、接続の匿名性の高さをテストするプロキシチェッカーやIP検証ツール、eメールテスターなどのオンラインツールのリストも入手可能なので、リストの情報をもとにあれこれググる必要なし! しかもプロキシ百科事典も提供されているので分からない用語が出てきてもすぐに調べられて安心です。ベーシックなテキスト暗号化ツール
![「StayInvisible」でプロキシサーバリストや匿名性アップに必要なツールを探す : ライフハッカー[日本版], 仕事も生活も上手くこなすライフハック情報満載のブログ・メディア](https://cdn-ak-scissors.b.st-hatena.com/image/square/2dcc38c5df0e68a45beeccb3b8264bf842d11f73/height=288;version=1;width=512/https%3A%2F%2Fwww.lifehacker.jp%2Fimages%2Fogp.png)
パスワード入力の「****」は不要? 研究者の間で激しい論議
入力したパスワードは「****」で隠さずに、はっきり見えるようにした方がいいのではないか。そんな提案をめぐり研究者が賛否両論を展開している。 Webサイトなどでパスワードを入力する際、「****」を使って入力した文字が見えないようにする必要はないのではないか――。そんな提案をめぐり、研究者が賛否両論を展開している。 最初に問題を提起したのはWebユーザビリティ研究の第一人者ヤコブ・ニールセン氏。「パスワードを入力する際、画面に“****”としか表示されないのはユーザビリティ上問題がある。一般的に、パスワードを隠してもセキュリティは向上しない。それどころかログインに失敗してコストがかさむ」と指摘し、入力したパスワードの文字がはっきり見えるようにした方がいいと提言した。 著名なセキュリティ研究者のブルース・シュナイアー氏も、ブログでニールセン氏の意見に賛同を表明。「パスワードの文字を表示すれば
リンク厳禁なGoogle警告サイトとは
「警告:このサイトにアクセスするとコンピュータに損害を与える可能性があります。」 私は、インターネットブラウザとして主にGoogle Chromeを使用しているのですが、最近上記の画面が表示されアクセスできないサイトが頻繁に出現するようになりました。気になったので調査したところ重大な事実がわかりました。 1.大元の検知サイトのみならず、そのサイトにリンクしているページにも同様の警告が表示されアクセスできないこと。 2.大元の検知サイトにリンクした事実がGoogleに検知されてしまうと、その後リンクを外したとしても、対象ページへの警告は継続すること。 3.ページのみならず、サイトトップにも同様の処理がされること。誤ってトップ間相互リンクを一度でもしてしまうとサイトURLアクセス時に警告を受けることになります。 Google Chrome のセーフ ブラウジング機能により Google のサー
第25回 PHPのアキレス腱 ── セッション管理 | gihyo.jp
PHPにはHTTPセッション管理モジュールが標準で付いてきます。このセッションモジュールには非常に重大なセキュリティ上の脆弱性が修正されずに残っています。その脆弱性とはセッションアダプションです。 セッションアダプションとは、セッション固定化攻撃に利用される脆弱性です。PHPのセッション管理モジュールがセッションアダプションに脆弱であることは、かなり以前、何年も前から知られています。しかし、開発者の理解不足より脆弱性が放置されたままになっています。 セッションアダプションとは セッションアダプションとは、ブラウザ等から送信された未初期化セッションIDをそのまま利用してセッションを初期化してしまう脆弱性です。ユーザが送信してきたIDでも第三者に予想できない文字列であれば大丈夫なのでは?と考える方もいると思います。その通りで第三者に予想できなければ問題ないですし、仮に予想できてもログインする際
あなた、こんなサイト見たことあるでしょう?を次々に当てていく『StartPanic』 | 100SHIKI
これはちょっと意地悪ではありますが、大事なメッセージを伝えてくれるサイトですな。 StartPanicで「Let’s Start」ボタンを押してしばらくすると「あなた、こんなサイトに行ったことあるでしょう?」ってなサイトをずらずら表示してくれます。 「うわ、なんでわかるの?」という人もいるかもしれないが、ちょっとしたトリックを使えばこんなことをわかってしまうことを知っておくべきでしょう。 個人のウェブ閲覧履歴はこうして取得することができるので気をつけるべき人は気を付けましょうね、というメッセージにこのサイトは気づかせてくれるだろう。 最近はこの技術を使って広告を仕込んでくる技術もあるので(気をつけたい人は)気をつけましょうね・・・。
「そのドメインを信じられますか?」 DNSキャッシュポイズニングの脅威
インターネットが登場してから、早くも40年近くが経過した。企業間での取引・連絡・情報交換をはじめとするビジネス活動において、今やインターネットは欠かせない社会基盤になっている。このインターネットを陰で支える仕組みが存在する。それがDNS(Domain Name System)である。 ところが2008年より、このDNSにおけるセキュリティ対策が急務となっている。その理由が、同年7月に公開された「DNSキャッシュポイズニング」(※1)の影響力である。本特集では、キャッシュポイズニングの詳細、現状分析、そして有効なセキュリティ対策について紹介したい。 ※1:キャッシュポイズニングは、英語でCache Poisoningと表記する。「毒入れ・毒注入」と説明されることもある。 DNSの仕組みをおさらい キャッシュポイズニングの手口を理解する上で、まずはDNSの仕組みを簡単に解説しておこう。DNSの
[無視できない]IEのContent-Type無視
[無視できない]IEのContent-Type無視:教科書に載らないWebアプリケーションセキュリティ(2)(1/2 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 無視できないIEの「Content-Type無視」問題 皆さんこんにちは、はせがわようすけです。 第2回では、Internet Explorer(以下、IE)の仕様でも特に悪名高い「Content-Type無視」について説明します。 IEのContent-Type無視問題は非常に複雑で、私自身も完全に説明できる自信はないのですが、それでもセキュアなWebアプリケーションを開発するうえで避けては通れない問題ですので、取り上げることにしました。
![[無視できない]IEのContent-Type無視](https://cdn-ak-scissors.b.st-hatena.com/image/square/f8699f6fec76c2d2b8f650af7a420b6f67f0ebfe/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0903%2F30%2Fwebapp0201.jpg)
匿名Webプロキシサーバを職場から一掃する方法
企業は社内のWebブラウザ利用をコントロールする目的で、セキュリティゲートウェイ技術戦略の一環としてWebフィルタを使うことがある。しかし、中にはどうしてもフィルタをかわして制約なしにWebを使い続けたいと思う従業員もおり、Webフィルタをだまして不適切なサイトへのアクセスを許可させる「匿名Webプロキシ」の利用で対抗してくる。本稿では、Web匿名化がシステムへの不正侵入を招きかねない実態に触れ、コンテンツフィルタリングのプロセス強化の手段を紹介する。 匿名Webプロキシの弊害 まず、匿名プロキシソフトを使ったWeb閲覧を許すことの危険性をはっきりさせておきたい。社内ネットワークでユーザーがこれを使っていたら、少なくともユーザーの一部が規則を破っているのは間違いない。ポルノサイトやギャンブルサイト、あるいは個人ブログ、MySpace.com、YouTubeといった禁止サイトを閲覧しているか
あどみちゃんの超常識セキュリティ検定
いまや“情報セキュリティ”は社会人の常識です。4月から新社会人になる方々のために、会社でまず最初に気を付けなければいけない情報セキュリティに関する検定問題を用意しました。楽しみながら学んでください。 これから新社会人になる方を脅すつもりはないのですが、いま、企業はかつて経験したことのないような厳しい状況下にいます。 2009年3月の決算期には日本版SOX法が適用され、上場企業はきちんと内部統制にも対応しなければならなくなりました。また、連日のように報道されているWinnyなどによる情報漏えい事件はあなたも見聞きしたことがあるかと思います。 内部統制では、経営者つまり社長は従業員をきちんと“統制”しなければなりません。しかし、上場企業の場合、社員は数百人?数万人規模になりますが、この人数を社長が1人で把握できるわけがありません。そこで、ワークフローや統制システムを導入することで、きちんと社内
サイバー・バズ社長ペイパーポストについて語るも内容は非公開 | パシのSEOブログ
個人的にはPPP(有料リンク)の見せしめとして利用されてしまったような気がしていますが、サイバー・バズの社長がGoogleが行ったブログパーツのプロモーションに関するトラブル発生の経緯と再発防止策を説明したようです。 サイバー・バズ社長、口コミマーケティングについて語る–WOMマーケティング研究会で サイバー・バズの案件については、研究会に参加していた広告プランナーの高広伯彦氏から「今回の件は、自社のサービスを理解していないマーケティング担当者の失敗と、担当している広告主に進める商品についてリスクがあるかもしれない可能性を考えていなかった広告代理店と、広告サービス提供社のスキル不足による、負の777フィーバーだったんじゃないの」とのツッコミが入る場面もあった。 なお、両社のプレゼンテーションの内容はオフレコにすることが会場で申し渡されたため、記事には記載しない。 マックの行列の件とGoog
教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
第4回 CSRF対策完結編~トークンでトークしよう! | gihyo.jp
<前回のお話> プログラミング未経験(14歳)とは思えない抜群のセンスを発揮しだしたわかばちゃん。しかし、次々に繰り出したCSRF対策も、はまちちゃんにことごとく跳ね返されてしまいます。それじゃ、いったいどうすれば…!? 気になるCSRF対策完結編のはじまりはじまり! まとめ ついに完結したCSRF編。いかがでしたか。CSRFされては困るような大事な画面では、このようにトークンと呼ばれる「合い言葉」を使って、CSRFへの対策が行われることが多いのです。トークンについての詳細はマンガでは省略していますが、イメージは掴んでいただけたでしょうか。 「トークンを使った方法」と一言で言っても、実はさまざまな実装方法があります。よく使われているのは、セッションごとに1つのトークンを発行(固定トークン)、またはフォームの出力時に毎回トークンを発行(ワンタイムトークン)して、セッションデータへ格納して
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews
