ストーリー by mhatta 2007年06月20日 10時00分 まあそれでもWinny使う奴がいるんだからしょうがないか 部門より ITmediaの記事によると、 ネットエージェントは、従業員や下請け企業等が会社から過去に持ち出したファイルを自宅PC等から回収する「Winny特別調査員2」を発表した。 「Winny特別調査員2」は会社からCD-ROMで従業員らに配布され、実行したPCに接続されているハードディスクなどから、本文やプロパティなどに企業名や指定したキーワードが含まれていないかどうかを確認する。発見された場合は強制的に会社が設置したファイル回収サーバにWebDAV経由でアップロードされ、ローカルのPCからは復元できない形で削除してしまうという。人の意思を介さずに機械的に回収してくれるので高い効果が期待できるとのことだ。大規模な情報漏洩事件が多発する前にあれば良かったのに。
6月 20日 at 3:25 pm by ジョナサン ベイリー - もしウェブ上に自分の写真を配信しているなら、写真を保護する難しさを既に実感していることだろう。複数の保護対策を講じなければ、サイトの訪問者なら誰でも簡単にイメージを右クリックして、「名前をつけて画像を保存」を選択し、自分達のサイトに掲載することが出来てしまうのだ。 しかし最悪なのはイメージを保存し、URLをコピーして、自分達のサイトにイメージと一緒に掲載するという単純の一連の作業を行っている人がほとんどいないことだ。イメージの盗用は単にイメージを盗んでいるだけでなく、労力や金銭を盗んでいることにもなる。 恐ろしいことに、テキストの盗用とは異なり、イメージの盗用は検索エンジンを使ってもそう簡単に発見することが出来ない。現在のところ盗用をチェックしたくても、お金をかけなければ、簡単に且つ効果的にイメージの複製を検索する方法は存
前回の続き。 また間が空いてしまった。 いや, 仕事が忙しくなったり, 体調を崩したり, 他の本に浮気したり, そんで内容を忘れちゃってまた読み返したり, いろいろ大変だったのよ。 今回は第2部の13章と14章。 量は少ないけど13章は認証の話とかあって個人的にはとても重要だと思っているので重点的に。 14章は実例がたくさん載っていて(思わず笑っちゃうような事例もある)なかなか楽しい。 もし 『セキュリティはなぜやぶられたのか』 をまだ読んでなくて本屋さんでちょっとだけ立ち読みしてみたいなら, 14章を読むことをお薦めする。 14章にはそれまでの章で書かれていることのエッセンスが詰まっている。 ここを読んで面白いと思ったら購入して最初からじっくり読んでいけばいいだろう。 まず14章から軽く言及しておこう。 先ほど書いたように, 14章ではさまざまなセキュリティ戦術が紹介されているが, その
ちょっとメールの見栄えを良くしようと思ってHTMLメールで送ろうとしたらエラーが出ちゃって――。どうしてHTMLメールを送信しちゃダメなんだろう。 大手総合商社「メデア商事株式会社」の営業部3課の新人・小林ケンタは、徐々にではあるが、日常の仕事にも慣れてきた。そんなある日のこと。 小林 あれっ? 何でエラーになるんだ? すると、たまたま近くを通りかかった同じ営業部第3課の先輩・高柳ワタルが怪訝そうにのぞき込んだ。 高柳 どうした? 小林 あっ、高柳さん。何故かメールを送ろうとするとエラーになって戻って来ちゃうんです。 高柳 今まではちゃんとメールは送れていただろう? 小林 はい、そうなんですけど、ちょっとメールの見栄えを良くしようと思ってHTMLメールで送ろうとしたら、こうなっちゃって……。 高柳 おいおい……。エラーメールをよく読んでみろよ。 小林 ……? 高柳 「HTMLメールの外部へ
パソコンの普及から十数年,ようやく企業が業務に最適な端末を真剣に考え始めた。ここに来て,ソフトの配布・更新,セキュリティ対策,移設や置き換えなどを考慮し,あえてパソコンではなくシンクライアントを導入する企業が急速に増えている。 大和証券は、現在全社で利用している約1万3000台のクライアント・パソコンのうち1万台を撤廃。シンクライアント導入に踏み切る(図1)。まず 2006年10月に、システム企画部に約140台を導入。07年9月までに本部にある1900台弱のパソコンのうち、1400台弱を順次、NECのシンクライアントに置き換えていく。 同社の鈴木孝一執行役員は、シンクライアント導入を決断した理由についてこう語る。 「これまでは、個人がデータを持ちさまざまな処理を実行することが、企業の生産性向上に寄与するという考えでパソコンの導入を進めてきた。だがそろそろ、センター集中型に戻る時期に来ている
人のホームページやブログをみたり、あとは掲示板やチャットに参加したら、どんな個人情報が人に知られるかを正確に知ってる初心者の方は少ないと思うので、簡単に説明します。 まず、あなたのブラウザがどんな情報を出しているかを、以下のサイトで調べてください。 IPひろば:環境変数チェック(詳細版)http://www.iphiroba.jp/env.php これらの情報をホームページやブログをみていたらその管理者に、掲示板やチャットに参加したらその一部の情報が参加者に知られる可能性があります。 ホームページやブログの管理者が「アクセス解析」を行っていれば来た人のリモートホスト・IPアドレス・ブラウザのバージョン・OSのバージョンなどはわかります。 掲示板への書込みのログにも、それらの項目が記載されます。(それが表示されるかどうかはその掲示板次第です。リモートホストまでは表示されるところもあります。)
以前、携帯して持ち運びができる盗難防止用のワイヤーを紹介した(3月26日の記事参照)。巻き取り式で手のひらサイズとどんな製品にも利用のできる汎用性の高い製品ではあったが、わざわざワイヤーを持ち運ぶのは大げさに感じる人もいるはずだ。 そうした方におすすめの製品が、サンワサプライから発売されているセキュリティショルダーベルト「SL-47BAG」だ。この製品は、両端のベルトの取付部がそれぞれダイヤル錠になっているセキュリティ対応のショルダーベルトだ。バッグから取り外すには3ケタの暗証番号を合わせる必要がある。 バッグを置いてしばらく離れる場合、いったんこのショルダーベルトの一端をバッグから外し、机の支柱やドアノブなど、固定できる場所に通して再度ロックする。誰かがバッグを持ち逃げしようとしても、ショルダーベルトを外せない限り、盗難は不可能――というわけだ。車にバッグを置いて離れる場合も、ショルダー
情報処理機構セキュリティセンターは4月,メール・サーバーの認証プロトコルの一つ「APOP」について注意を喚起した。この注意喚起は,電気通信大学の太田和夫教授のグループが,APOPで使うハッシュ関数「MD5」に新たな欠陥を発見したことに基づくもの。この欠陥は,APOPだけでなく,MD5を使う電子署名などのほかのアプリケーションの欠陥も示唆する。実際にどの程度危険なものか,技術に基づいて考えてみよう。 わからないはずのパスワードが解かれる APOPは,チャレンジ・レスポンスという方式を使って,メール・クライアントとメール・サーバーのやりとりを盗聴してもパスワードが解読できないようにする。パスワードを直接やりとりせずに,まずサーバーからクライアントに「チャレンジ・コード」という文字列を送る。クライアントはチャレンジ・コードとパスワードを連結したうえで,MD5というハッシュ関数を使ってハッシュ値を
日頃より楽天のサービスをご利用いただきましてありがとうございます。 サービスをご利用いただいておりますところ大変申し訳ございませんが、現在、緊急メンテナンスを行わせていただいております。 お客様には、緊急のメンテナンスにより、ご迷惑をおかけしており、誠に申し訳ございません。 メンテナンスが終了次第、サービスを復旧いたしますので、 今しばらくお待ちいただけますよう、お願い申し上げます。
PHP本体のセキュリティ関連バグは多い? PHP本体のバグはほかの言語(Perl、Ruby、Pythonなど)に比べ体感的に多いと思いませんか? 実際にPHP本体のセキュリティ問題は突出して多くレポートされています。今回はPHP本体にセキュリティ関連バグが多いとされる理由を考察してみます。 セーフモード(safe_mode)機能 safe_mode関連のバグは、PHP本体のセキュリティ問題として最も多くレポートされる問題です。しかし、実際にはsafe_modeは確実なセキュリティ対策を行うための機能ではありません。よくある誤解はsafe_modeについて「共有サーバ環境でユーザがほかのユーザのファイルを参照できなくする機能」であるという勘違いです。safe_modeは同じサーバ上のほかのユーザファイルを盗み見ようとする悪意があるスクリプトから「防御」するための機能ではなく、善良なスクリプト
Webのコンテンツフィルタリングというのは、面倒な処理になる場合がある。企業では非常に問題性の高いWebサイトだけをブロックする必要がある一方で、学校ではもっと徹底的なやり方に従うことが法律で要求されることもある。だが、どんなフィルタリングが必要になるにせよ、squidとsquidGuardというオープンソースのソフトウェアとブラックリストさえあれば解決策を講じることができる。 The squidサーバは、WebブラウザとWebサイトの中間的な役割を果たす。squidは、プロキシとしてWebブラウザからURL要求を受け取り、このブラウザの代わりにWebブラウザへの接続とコンテンツのダウンロードを行い、そのコンテンツをWebブラウザに提供するのだ。また、近いうちに同じURLが要求された場合に別のブラウザにすばやく提供できるように、このコンテンツをハードディスクに保存する。一般的には、この処理
SSHサーバの設定ファイルは/etc/ssh/sshd_configとなっている。このファイルを変更した後は、変更を反映させるためにその都度SSHサービスを起動し直す必要がある。 SSHが接続を待ち受けるポートの変更 SSHはデフォルトでは22番ポートで接続を待っている。攻撃者はポートスキャナを使ってホストがSSHサービスを実行しているかどうかを把握するが、(nmapを含め)大抵のポートスキャナではデフォルトでは1024以上のポート番号のスキャンは行なわれないため、SSH用のポートを1024以上の番号に変更しておくのが賢明だ。 具体的には、/etc/ssh/sshd_configファイルを開き、以下のような行を見つけて変更する。 Port 22 この行でポート番号を変更したら、以下のようにしてSSHサービスを起動し直そう。 /etc/init.d/ssh restart SSHプロトコル2
面白い記事。 実名論者で以下を考慮していない者は3年ROMれ 要するに「実名」が担保しているものは何かってことだよね。 最近の新聞は違うかもしれないけど, 私が新聞を読んでたころは(遠い目)記者が署名した記事なんかほとんどなかった。 でもその記事自体はある程度信用して読む。 何を以ってその記事を信用していたか。 もちろん書いた記者を信用しているわけでは全くない。 仮に記事に署名がされていたって私には彼(女)が実際に誰だか分からないのだから担保にはならない。 私がその新聞記事を信用したというのなら, それはその新聞のブランドイメージであろう。 (まぁ今は Google News で各社の記事を簡単に読み比べることができるので, 昔ほどブランドイメージに依存しているわけじゃないんだけど) 最初に紹介した記事では「責任ある言論」に必要なものとして以下のポイントを挙げている。 一貫した論理 検証可
個人のPCには、他人に見られたくないプライベートなデータがHDDの中にたくさん詰まっている。「俺にもしもの事があったら、これをまとめて消してほしい」──会話の中でのこうした軽口は、縁起でもない話ではあるが、あながち冗談ではないのである。 もっとも身近な友人がこうした依頼を引き受けてくれたとしても、きちんと履行されることが保障されるわけではない。それ以前に、いくら友人とはいっても問題のデータを見られてしまうことに抵抗がある人もいるだろう。できれば自分1人でなんとか処理してしまいたいものだ。 こうした場合に、プライバシーを保護(?)してくれるソフトが「誉」だ。本ソフトはスタートアップに常駐し、PC起動時に前回の起動から一定期間(7日以上)が経過していれば、指定のファイルをまるごと削除してくれる機能を持っている。しかも単にゴミ箱に放り込むだけではなく、ゴミ箱からも削除してくれるという徹底ぶりだ。
もし辞書を使って力ずくで攻撃されたら――SSHに対するこの種の攻撃は珍しくないため、そう心配する人は多いだろう。しかし、こうした攻撃からSSHを守ってくれる新しいツールsshguardが登場した。まだベータ段階だが、十分に使えそうだ。 TelnetやFTPなどといった第1世代のネットワーク・プロトコルでは、ログイン手順は平文で処理される。したがって、そのセキュア版としてOpenSSHが登場したのは当然だろう。だが、Telnetの代わりにSSHを使っているからといって十分とはいえず、慎重に用いるべき点は同じだ。SSHに使うパスワードが弱いと、辞書を利用した力ずくの攻撃で、パスワードを平文で送ったのと同じくらいやすやすと解読されてしまうからだ。 そのポート22を力ずくの攻撃から保護しようと考え出されたのがsshguardだ。このツールはSSHへのログイン要求を監視し、攻撃があるとそのIPアドレ
はてなサーバーへの不正な侵入について 本日、はてなのサービスを提供する2台のサーバーに、先週金曜日より不正な侵入が行われていたことが判明しました。 はてなでは本日午前4時頃にこの事実を認識し、午前6時頃に不正なアクセスの遮断を行いました。また、現在継続的に詳細な調査、対策を行っております。 今回の不正侵入は、はてなサーバー群の入り口に当たるサーバーのうちの2台に対して、サーバーのログイン情報を機械的に総当たりする方法によって行われました。不正侵入に成功したアカウントにより、ftp scanner, irc botプログラムが設置され、外部に対して実行されるという被害が発生しました。 はてなではさらに、内部に存在するデータベースサーバーなどへのアクセスの形跡などについて調査を行いましたが、これらの形跡は発見されておらず、データベース上のユーザー情報が取得されたり、皆様にご利用いただいているサ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く