タグ

セキュリティと技術に関するkyuxyuのブックマーク (33)

  • …Outlookの送信メールが……消えた…?(12/24改修されたよ) - Qiita

    はじめに Leverages Advent Calendar 10日目担当の ham です。 今が 12月12日だということは気にしてはいけません。代打です。 Leverages で、セキュリティの責任者としてセキュリティ意識の啓蒙や全社に関わるシステムの改善をしています。 また、前職では、SOC、NOC、BGPの運用などを行っていました。 最近メールについて不可解な問い合わせが増えてきたので、調べたことをまとめます。 追記(2019年12月24日 17:10) 日 16時頃に Outlookサポートから不具合を改修した旨の連絡が来ました。 私もテストを実施し、Outlook から送信した Re: 【hoge】【fuga】 のメールが Gmail に届くことを確認しました。 メリークリスマス! 追記(2019年12月15日 21:40) 反響の大きさにびっくりしています。茶渡の霊圧を消し

    …Outlookの送信メールが……消えた…?(12/24改修されたよ) - Qiita
  • クラウドセキュリティ基礎 #seccamp

    参加しよう!Hardening Project ( Hardening 10 ValueChain #h10v #h・v レポート )

    クラウドセキュリティ基礎 #seccamp
  • 暗号化のお話 (1)

    最終目的は SSL/TLS ここから暗号化に関する話が始まります。 最終目標は「SSL/TLS プログラミングができるようになること」なのですが、 プログラミングのやり方だけを説明するのは嫌なので、 暗号の基礎についても解説してみました。 を買って勉強してみたところ、これが非常におもしろい。 ついついいろんなことを書いてしまいました。 共通鍵 データを安全にやりとりするにはどうすればいいでしょうか。 そう、暗号化すればいいのです。 古来から伝わる暗号化の方式としてシーザー暗号というのものがあります。 仕組みはとても簡単で、下の表のように文字列をアルファベット順に 数個ずらすだけです。この例では A〜Z を F〜Z・A〜E と、5つずらしています。

  • Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる

    twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 追記(2012/08/10 20:10) たくさんの方に読んでいただき、ありがとうございます。一部に誤解があるようですが、ツールバーが送信している内容はURLだけで、Cookieやレスポンスまでも送信しているわけではありません。URLを送信するだけでも、以下に示す危険性があるということです。 追記終わり 追記(2012/08/13 23:50) ポイントツールバーにバージョンアップがあり、WEB閲覧履歴の送信がSSL通信に変更されました。従って、WEB閲覧履歴が盗聴可能な状況は回避されました。日22:50頃確認しました。

    Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
  • Tポイントツールバー(by CCCとオプト)が悪質すぎてむしろ爽快 - やまもといちろうBLOG(ブログ)

    「これを誰も止めなかった」「どういうことをしているのか分かっていない」「いまなおやめる気配がない」という点で、物凄く画期的な事例だと思うのです。 もちろん、戦場の主役はわれら、われらの、高木浩光せんせであります。「Tポイントカードは3人に1人持っている」という都市伝説から、実際に街逝く人々に「持ってますか?」と聞いて回るおしゃれな高木せんせは偉大です。 『Tポイントツールバー』はお持ちですか?高木浩光先生の怒涛のRTで知るその問題点 http://matome.naver.jp/odai/2134459757479493601 ちなみに、いま私の脳内で再生されているBGMはこちらになります。 http://ow.ly/cV6Bd で、さっそく徳丸せんせがきれいに問題点をしてきしておられまして、なるほどと思うわけです。 Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる

    Tポイントツールバー(by CCCとオプト)が悪質すぎてむしろ爽快 - やまもといちろうBLOG(ブログ)
  • Androidの「the Movie」アプリで数万件~数百万件の個人情報が大量流出した可能性あり

    スマートフォンの電話帳に登録されているすべての名前・メールアドレス・電話番号を無断で外部のサーバに送信する機能が「the Movie」シリーズのアプリにあることが判明しました。「個人情報漏れすぎ, - luminのコードメモ」によると、これまでにダウンロードされた数は6万6600~27万1500となっており、このアプリをダウンロードした各自の連絡帳に平均50人の情報があるとすれば333万~1357万5000人ぐらいの個人情報が漏れた可能性があるとのことです。 要するに、このAndroidアプリを登録した謎の開発会社(あるいは個人)が、最初から個人情報を抜き取るためだけにアプリを作って登録し、それによって少なく見積もっても約6万人、そしてその6万人のアドレス帳に入っている全員の情報が抜き取られてどこかへ送信され、作者は逃亡して消息不明、というわけです。 スマホアプリ 情報大量漏洩か NHK

    Androidの「the Movie」アプリで数万件~数百万件の個人情報が大量流出した可能性あり
  • ミクシィのアプリケーションセキュリティの代表的な取り組みについて - mixi engineer blog

    こんにちは、opera 大好き 松岡 剛志 です。今日は部長職ではなくて、セキュリティチームリーダー立場でブログを書いています。 今回は弊社の様々なアプリケーションセキュリティの取り組みのうち、以下の4つのコンテンツについて書きます。この内容はほとんどが弊社のセキュリティイベントである Scrap Challenge で使われたスライドの焼き直しです。 トレーニング セキュリティレビュー コードレビュー セキュリティチェック トレーニング 現在ミクシィでは新卒エンジニアに対して1カ月程度の缶詰の教育を行っています。そのコンセプトは以下です。 関係各所、チーム、チーム横断でのタスクに関して 迷惑をかけずに自分で判断できる/あるいは正しく判断を仰げる状態までの成長。 現状の技術的問題点や課題を把握し、改善策や改善のためのプランニングができる。 各項目への知識体系の羅針盤を提供して、自学自習によ

    ミクシィのアプリケーションセキュリティの代表的な取り組みについて - mixi engineer blog
  • http://www.machu.jp/posts/20110722/p01/

    http://www.machu.jp/posts/20110722/p01/
  • 高木浩光@自宅の日記 - 不正指令電磁的記録罪(コンピュータウイルス罪)の件、何を達成できたか(前編)

    ■ 不正指令電磁的記録罪(コンピュータウイルス罪)の件、何を達成できたか(前編) 目次 解釈にブレが生じている条文 立法趣旨の理解についてのブレ バグ以外で問題となるケース 正当なプログラムが他者により悪用されるケース バグの件はどうなったか 不真正不作為犯は成立するのか 結局のところ懸念は払拭されたのか はじめに 法務省から「いわゆるコンピュータ・ウイルスに関する罪について」という解説が出た。その趣旨は、冒頭に書かれているように、参議院法務委員会の付帯決議に対応するためのものとされている。 いわゆるコンピュータ・ウイルスに関する罪について, 法務省, 2011年7月13日 「情報処理の高度過当に対処するための刑事法の一部を改正する法律」には,参議院法務委員会において付帯決議が付されており,同法の施行に当たり政府が特段の配慮をすべき事項として,不正指令電磁的記録に関する罪の構成要件の意義を

  • 「無料公衆WiFi」の正体&繋いじゃいけない理由

    空港・カフェ・図書館などノート繋げる場所で接続候補に「Free Public Wi-Fi(無料公衆Wi-Fi)」って出ることないですか? あれって繋いでも、ウェブに繋がらないんですよね。そりゃそうです、そばにいる誰かさんと直接繋がってるんですから! NPRプロデューサーのTravis Larchukさんがワイヤレスセキュリティの専門家Joshua Wrightさんに尋ねてみたら、「Free Public WiFi」というのは名ばかりで、無料でもないし、公衆でもない、Wi-Fiサービスですらないって言うんですね。ウイルスみたいなもので、おそらく最初は誰かの冗談かいたずらで始まったのが、Windows XPの古いバージョン(SP 3)のバグで世界中に広まってしまった。マイクロソフトからは修正も既に出てるんだけども、まだアップデートしてない人も多いらしく、まさにゾンビ状態。 XPの古いバージョン

    「無料公衆WiFi」の正体&繋いじゃいけない理由
  • ぼくはまちちゃん!

    はてなダイアリー (メインブログです!) → ぼくはまちちゃん! (Hatena) はまちや2のツイッターです! 気軽にフォローしてみてくださいね! → Twitter / はまちや2 はてなブックマーク → Hamachiya2のブックマーク タンブラーです! かわいい絵をあつめたりしています! → [tumblr] hmcy ゲームの動画をあげて、ぼくもモテモテユーチューバーになるつもりです! → はまちや2(Hamachiya2)のYouTube (以下は過去の記事など) きみのライフを可視化するよ! → [JavaScript] ライフカウンター 空から女の子が…! → 空から女の子が降ってくる AIRアプリの簡単な作り方 → [AIR][JavaScript] JavaScriptでかんたんAIRアプリに挑戦 つくってみました! → ドリームメーカー : ブラウザで簡単にノベルゲ

  • ファイアウォールの進化形UTM(統合脅威管理)---目次

    ネットワークの境界部分を守るセキュリティ装置として,最近「UTM」(統合脅威管理)と呼ばれる製品が注目を集めている。UTMとは,ファイアウォールやVPNゲートウエイの機能に加え,メールやWebコンテンツのセキュリティをチェックする機能などを搭載した統合的なセキュリティ装置のこと。境界部分を守る装置といえばファイアウォールが思い浮かぶが,ファイアウォールとの違いはどのようなものなのだろうか。 特集では,まず最初にUTMの基を押さえて,次に各製品の技術的な工夫や導入時に注意しておきたい価格の決まり方など,UTMをより深く知るためのポイントを見ていく。 目次

    ファイアウォールの進化形UTM(統合脅威管理)---目次
  • TwitterのBASIC認証廃止、企業ユーザーが知っておくべきこと

    Twitterユーザー、あるいはこのプラットフォームを利用しているデベロッパーや企業は、2010年6月30日に向けて適切な対応を図る必要がある。Twitter APIのBASIC認証が廃止されるためだ。 意外と知られていないこととして、APIの制限のほかにユーザーごとの制限があると丹羽氏。1日当たりのツイートやフォロー、ダイレクトメッセージなどに上限があるが、ダイレクトメッセージの250件/日制限に引っかかってはじめてそれに気付く企業アカウントも少なくないという 「Twitter Development Talk(Twitter-Dev)」や「Twitter API Announcements」などではかなり前からアナウンスされていたが、2010年6月30日を最後に、Twitter APIのBASIC認証はエラーが返ってくるようになる。一見地味に映るこの出来事だが、カウントダウンサイトも用

    TwitterのBASIC認証廃止、企業ユーザーが知っておくべきこと
  • VLANの基本的な仕組みを攻略する

    VLANの目的とは? VLANとは“Virtual LAN”の意味だが、実際には「仮想サブネット」といい換えた方がイメージしやすいかもしれない。一般にVLANという場合、スイッチの内部で複数のネットワークに分割する機能のことを指す。すでに定着した技術だが、無線LANの利用拡大やVoIPのような新しいネットワーク・アプリケーションの普及、セキュリティに対する関心の高まりなどの理由により、最近あらためて注目されている。ここでは、VLANの基的な知識を再確認し、その実情を把握する一助としたい。 VLANの使用目的は、「ネットワークを任意に分割する」ことである。「EthernetはCSMA/CD方式のネットワークなので、ノードが増えると急速にパフォーマンスが劣化する」というのは、技術的にはいまでも同じだが、利用の現実からするともう過去の話になったといっても過言ではないだろう。シェアードハブの利用

    VLANの基本的な仕組みを攻略する
  • GENOウイルスまとめ

    での最初の感染が通販サイトのGENOだったため、2ちゃんねるその他でそう呼ばれました。 このwikiでは2009年4~5月頃に話題となったウイルスを「GENOウイルス」と表記します。 (名前が名前なため、一般的には、攻撃元のURLより「Gumblar」と呼ぶことが多いようです。) これの何が怖いって、普通にホームページを見ただけで感染するから大騒ぎしたのです。 しかし、2009年5月、攻撃元がなくなったため、次第に事態は収束していきました。 2009年10~11月頃、「GENOウイルス」と非常によく似たウイルスが猛威を振るい始めました。 これはKasperskyのウイルスニュースより「Gumblar.X」と呼ばれています。 (似てはいるものの、基的に「GENOウイルス」とは別物と考えてください。)

    GENOウイルスまとめ
  • GENOウイルスチェッカー

    GENOウイルス対策情報まとめ、GENOウイルスチェッカー更新情報 2009 05/17 といってもウイルス側の挙動がかなり高度なので、誤判定はあります 万が一の事があってはいけないのでかなり判定厳しめに設定してあります。 ご理解の程よろしくお願いします 2009 05/17 いそいで作ったので判定機能以外はぐちゃぐちゃ 2009 05/17 開設 ウソクソ情報 ■javascriptを切ってても感染する(5/17現在) 今の時点ではウソだが将来的に、pdf or swfをjavascript経由せずに直接読み込ませるタイプのものが出てきたらアウト とにかく↓のアドビ関連のアップデートを怠らないこと。 GENOウイルス対策 ■adobe readerを9.1.1にアップデートする(9.1:9.1,0では駄目) http://ardownload.adobe.com

  • 社内は違法コピーソフトだらけだった。どうする? | スラド

    今年1月半ばから小さな会社のITマネージャとして働き始めた。自分より前には社内の人間が兼任タスクとしてIT関連の仕事をやっていたそうで、自分が初めてのIT専門スタッフということのようだ。 入ってみたら、社内のPCやネットワーク上で見つかるソフトウェアがほとんど違法コピーという問題に直面している。前任者は「どこかから」ソフトウェアをゲットして必要に応じてインストールしていたようだ。稼働中のWindows Serverの出処がどこかなんて全く分からず、唯一合法だと分かるのはOEMシールの貼ってあるHPサーバだけという状態だ。 今は社内に既に存在しているソフトウェアの再インストール依頼や新規インストール依頼が来る度、ライセンスが無くてインストール出来ない旨説明しては従業員の不満を買っている。 BSA(ビジネス・ソフトウェア・アライアンス)の耳に入った場合を考えると「借りてきた」ソフトウェアのイン

    kyuxyu
    kyuxyu 2009/03/27
    結局はモラルとリスク管理になってしまうような。ばれた時のリスクはそれ相応に大きいと思うのだけど・・・
  • Geekなぺーじ : 今朝、インターネットが壊れました

    今朝01時23時JST頃から1時間弱、インターネットが世界的に壊れていたようです。 ほどなくして収束していったようですが、ISP同士のBGP接続が切れて通信が出来ないという状況が局所的に発生していたようです。 3/11 (invalid or corrupt AS path) anyone else seeing very long AS paths? [janog:08731] long AS Path incident] JANOGメーリングリスト 世界中で影響があったようですが、国内では上流網の一部でBGPのpeerが切れて国際的な通信が不通になっていた瞬間があったようです。 ただし、繋がったり切れたりという箇所もあったようです。 「壊れた」原因 NANOGでの情報によると、以下のようなログがルータに残されていたようです。 255以上という異常に長いAS pathが原因のようです。

  • モバイルサイトをPCで見るためのツールやFirefoxアドオン : LINE Corporation ディレクターブログ

    こんにちは。ライブドアでモバイルディレクターをしている河野です。 モバイルディレクターをしていますと、モバイルのサイトをPCで見たいという要望が少なからずあります。それは、PC からの方が実機で見るよりレスポンスが早く、また電波状況に左右されずに閲覧できたり、リンク先の URL の情報やヘッダ情報、画面キャプチャーなど実機からでは得られない情報を取得することができるからです。 そこで今回はモバイルサイトを PC で閲覧する方法についてまとめながら、開発を進めるのに便利なツールや Firefox のアドオンを紹介できればいいなと思います。 Web サーバは一般的に2つの方法でアクセスがモバイルからかどうかを判定します。1つはアクセス元のIP、そしてもう1つは HTTP ヘッダ中にある User-Agent です。そのため、携帯キャリアのゲートウェイ経由からのアクセスのみ閲覧を認めるサイト(つ

    モバイルサイトをPCで見るためのツールやFirefoxアドオン : LINE Corporation ディレクターブログ
  • 初心者はPHPで脆弱なウェブアプリをどんどん量産すべし

    http://www.rubyist.net/~matz/20080126.html#p04 趣味でやってるプログラミング初心者の立場で言わせてもらう。だいたいな、あんたらプロのプログラマが小難しい顔してセキュリティセキュリティ言うもんだから初心者プログラマのセキュリティ意識がまったく向上しないばかりか、よけいに低下するんだよ。ごちゃごちゃ言われたり叩かれるのはイヤだけど、眼前の問題はプログラムで解決したいってヤツは耳塞いで黙ってPHPでやりたいようにやるんだよ。何が「楽しいRuby」だよ。「Webアプリケーションをなめるな」ってその時点でもう全然楽しくねーだろが。 それでこれだよ。 http://d.hatena.ne.jp/essa/20080130/p1 もう萎縮萎縮!初心者超萎縮ですよ。「あーセンコーうぜー。隠れてタバコ吸おう」って高校生の心境だよ。難しい顔して訳知り顔でかっこつけ

    初心者はPHPで脆弱なウェブアプリをどんどん量産すべし