マイクロソフトのアンチウイルスソフト、Outlookのメールを間違って全削除
この前はノートンがウイルスと誤認してデータを削除するというミスをしてしまいましたが、今度はマイクロソフトが新発売したアンチウイルスソフト「Windows Live OneCare」がOutlookのメールをすべて削除してしまうという事態が相次ぎ、マイクロソフトのフォーラムで大騒ぎになっています。 詳細は以下の通り。 Outlook and Outlook Express Mail Store Missing or Quarantined (combined threads here) - Windows Live OneCare すでに現時点でこのスレッドには100以上のレスが付けられ、「ビル・ゲイツはこのことを知っているのか!」「ノートンの新製品の方がまだましだ!」と訴える人も出てくるなど、かなりむちゃくちゃな状態に。 どうやらOutlookが受信したメールの中にウイルスが含まれていると
フリーメールの盲点
検索サイトやポータルサイトなどが提供するフリーメールを利用するユーザーが増えている。従来,フリーメールには「POPが使えない」「広告が入る」などの使いにくさがあった。しかし,いまではそれらが改善されるとともに,メールボックス容量の拡大やウイルス・チェックなどサービス内容が充実してきている。 そのため,フリーメールをメインに使う,メインとまではいかなくても使い込むユーザーが増えている。しかし,フリーメールを使ううえで注意すべきポイントがある。一部のフリーメールは,一度割り当てたメール・アドレスをそのユーザーが利用中止したあとにほかのユーザーに割り当てることである。いわゆる再利用を認めているサービスがある。 ISPが提供する有料のメール・サービスは,ユーザーが退会したらそのメール・アドレスは永久欠番としているところが大半である。永久欠番ならば,同じメール・アドレスをほかのユーザーが使うことがな
「Winnyは既に必要な技術ではなく、危険性を認識すべき」高木氏講演
大阪弁護士会館で17日、情報処理技術と刑事事件に関するシンポジウムが開催された。シンポジウムは、Winny事件の判決を契機にIT技術と刑事事件を考えるという内容で、大阪弁護士会刑事弁護委員会、情報処理学会、情報ネットワーク法学会が共同で主催した。 シンポジウムでは、Winnyの開発者である金子勇氏によるWinnyの概説や、ファイル共有ソフトに関する刑事法的な問題点など、技術と法律の両面からWinnyやファイル共有ソフトの問題点についての講演が行なわれた。午後の講演では、産業技術総合研究所の高木浩光氏が「ファイル共有の抱える技術的な問題点」と題して、セキュリティの観点から見たWinnyの問題点を語った。 ● Winnyは「人が望まない」ことを止められない点が問題 高木氏はまず前提として、「Winnyがどのような目的や意図で開発されたのかという話とは無関係に、結果としてのWinnyを基に議論を
SEVEN DEGREES: 消極的なCAPTCHA
「人間が入力したかどうか検査」であるCAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)も最近は珍しくなくなり、それにつれて、CAPTCHA対応スパムも出てきた。CouchDbのデモサイトでもこれに困っていたらしいが、Negative-CAPTCHAと呼ばれるしゃれたアイデアでアイデアでスパムを撃退しているようだ(Sofrとかの掲示板がそれ)。 原理は難しくはない。フォーム内にユーザーには見えない隠し項目(但し、Type=Hiddenではない)を設定し、nameをロボットが間違えやすい"email"のような名称にするだけ。 <input type="text" name="email" style="display:none">これでアホなロボットは人間サマには見えないemai
PHPでの入力値チェックのすり抜け - T.Teradaの日記
Webアプリケーションでは、外部からの変数に対して、形式チェック(Validation)を行ないます。PHPでこれを行なう場合に、ありがちなミスをいくつか挙げてみました。 この日記は、がるさんの日記に触発されて書いたもので、いくつかの例を引用しています。 がるの健忘録(2006/11/08) - 素晴らしき自動的な世界〜或いは「型のない」世界〜 型の問題 数値と文字列の比較 <?php $input = "2'; DELETE FROM hoge; --"; if ($input == 2) { // ↑TRUEと評価される がるさんの日記で紹介されていた例に、手を加えたものです。 if文中の式がTRUEになるのは、PHPの「==」演算子が、数値型と文字列型変数を比較する際に、文字列を(かなり強引なやり方で)数値型に変換するからです。変数の比較は、同じ型同士で行なうのが無難だと思います。
「サニタイズ言うなキャンペーン」私の解釈
高木浩光さんの「サニタイズ言うなキャンペーン」 という言葉自体はずいぶん前から存在したのだが、 続・「サニタイズ言うなキャンペーン」とはにて高木さん自身がいくつも誤解の例を挙げているように、 そしてまた最近も 駄目な技術文書の見分け方 その1にて「まだわからんのかね」と言われているように、 「わかりにくい」概念なんだろうとは思う。 そこで、僭越ながら、「サニタイズ言うなキャンペーン」について、 私なりの解釈を書いてみようと思う。 もっともこれが正解であるという保証はないのだが、 間違っていたらどなたかツッコミいただけることを期待しています(_o_) そもそも何のせいで「エスケープ」しなければならないのか たとえば住所氏名を登録させるWebアプリケーションは珍しいものではないと思う。 そこで、私が「Taro&Jiro's castle サウスポール」 とかいう恥ずかしい名前のマンション(?)
Windowsパスワード解析
今回は、自宅WindowsXPのパスワード解除を検証してみます。 Administratorのパスワード忘れたしまった方、セキュリティーについて考えている方参考にどうぞ。 普段使っているWindowsPCに先ほどのCDを入れて起動させますと・・・ なんとLinux(Ubuntu Linux )がbootするではありませんか!ちなみにCDからブートさせるので WindowsOSは無事です。 しばらくすると、ターミナルが起動し、プログラムが勝手に走ります。 あら、パスワード検索してますよ・・・ すると、5分ぐらいですかね、全ユーザのパスワードが検索されてしまいました。 しかも、それなりに複雑なパスワードだったに・・・。怖いですね〜。 調べてみると、レジストリ内のSAM(Security Account Manager) を総当たりで解析するらしい。 で、対策
SCIS2007 開催案内
2007年 暗号と情報セキュリティシンポジウム (SCIS2007)開催案内 (Symposium on Cryptography and Information Security) 新着情報 問い合わせ先メールアドレスscis2007-q@ice.uec.ac.jpの運用は,4月8日を終了いたしました.(04月09日) 問い合わせ先メールアドレスscis2007-q@ice.uec.ac.jpの運用は,4月8日を以て,終了いたします.(04月04日) 予稿集の販売は,3月20日を以て,終了いたしました.(04月04日) 予稿集の販売は,3月20日に終了します.(03月19日) 予稿集の販売に関する情報を掲載しました.(01月29日) SCIS2007 参加に関する重要注意事項を掲載しました. 事前によくお読み下さい. (この内容は,2007年1月17日17時頃に送ったメールと同じもので
高木浩光@自宅の日記 - 非接触型電子マネーは消費者にとって安全なのか
■ 非接触型電子マネーは消費者にとって安全なのか 最近、電子マネーの安全性にについて取り沙汰されているようだ。電子マネーの安全性というと、サービス事業者(発行者)ないし加盟店に損金が出るリスクと、消費者(利用者)に損金が出るリスクを分けて考えるべきだろう。 発行者の損金については、正直、外野がとやかく騒ぐことでもないという面がある。発行者は当然ながらそうしたリスクを詳細に検討した上で事業を展開しているはずであり、一定程度までの被害は必要コストとして計算されているはずだ*1。それに対し、消費者に損金が出るリスクが存在する場合にはそうはいかない。その事実が消費者に知らされるべきであり、回避策があるなら周知されるべきであろう。 さて、何か月か前にラジオライフ誌から取材したいとの申し入れが自宅日記のメールアドレスにあった。Suicaなどでスキミング被害が出ないのはなぜなのか技術的に解説して欲しいと
「安全な鍵長の下限」とは — 旧メイン・ブログ | Baldanders.info
先日書いた 「暗号の危殆化と新しいアルゴリズム」 で署名・暗号に使う鍵の長さについて少しだけ言及しましたが, (私が断定的に書いてしまったのが悪いのかもしれませんが)その部分だけ注目している方もいるようです。 そこで今回は暗号鍵のサイズについてもう少し細かく見ていくことにしましょう。 暗号アルゴリズムの危殆化(compromise)要因には色々あるのですが, 大まかに以下の3つに集約できると思います。 (「将来の暗号技術に関する安全性要件調査」より引用) 暗号アルゴリズムの脆弱性(設計上の瑕疵など) 攻撃法の進歩(既存攻撃法の改良、新たな攻撃法の開発) 計算機性能の向上(解読計算能力の増大) 例えば前回紹介した SHA-1 への攻略法は上記の1番目の要因に相当します。 もし1番目および2番目の要因がないとするなら, 3番目の要因を取り除くためには鍵のビット長を大きくすればいいことに気がつき
切込隊長BLOG(ブログ) - FeliCa@ソニーの暗号が破られる?
FeliCaの暗号を破ったと実演している人がおられるようでして、見ている限りかなりのガチの状況であり、そのまま情報処理推進機構(IPA)に持ち込んでおられるとの由。正直申しますと、PS3で敗退とかいうレベルじゃない規模でヤバいことになりそうなので、もし破られていたんだとすればさっさとソニー(フェリカネットワークス)は公表するべきではないかと思います。まあ、いずれこの手のものは破られるものですし、利用者の混乱を避けるためにも、破られたことが分かったところで改善策とあわせて公開すべきだったかと。 単純な話、「FeliCaが破られてふざけんな」ということではなく、暗号というのは常に破ろうとする側、守ろうとする側のイタチごっこであり、守る側に充分なリソース(資金と知識と技術と体制)があれば、多少破られてもそれほどの被害なく収まるケースも多いというわけです。仮に、「暗号破られました」ということが事
意外と知られていない? DNSが抱えるセキュリティ問題
12月6日、Internet Week 2006のセッションの1つとして行われた「DNS Day」では、インターネットの基盤を支えるDNSサーバの「セキュリティ」がトピックの1つとなった。 12月5日から8日にかけて「Internet Week 2006」が横浜で開催された。このうち12月6日に日本ネットワークインフォメーションセンター(JPNIC)が主催した「DNS Day」では、インターネットの基盤を支えるDNSサーバの「セキュリティ」がトピックの1つとなった。 なりすましと反射を悪用したDoS攻撃 取り上げられた課題の1つは、偽装した発信元IPアドレスから不特定多数のDNSサーバにクエリを投げかけ、被害者に多数のパケットを反射させてDoS状態に陥れる「DNS amplification attack」だ。2006年3月には実際にその被害が発生し、警察庁からも関連するレポートが公表され
PHPで使えるCAPTCHA画像作成ライブラリまとめ:phpspot開発日誌
PHPで使えるCAPTCHA画像作成ライブラリはいろいろあって分かりにくいので以下にまとめてみました。 最近ではスパムが多すぎて、掲示板等へのCAPTCHA実装は必須のように思えます^^; CAPTCHA (GPLライセンス) サンプル利用方法 1. パッケージダウンロード 2. パッケージ解凍後、同じディレクトリにフォント(*.ttf)ファイルを設置 3. captcha.class.php を開く (2)で配置したフォントのファイル名を変数に設定 $this->Font = './〜.ttf'; 4. example.php にアクセス CAPTCHA 2 (GPLライセンス) サンプル利用方法 1. パッケージダウンロード 2. パッケージ解凍後、同じディレクトリにフォント(*.ttf)ファイルを設置 3. captcha.class.php を開く (2)で配置したフォントのファイ
マクドナルドがプレゼントしたMP3プレーヤーがウイルスに感染
日本マクドナルドホールディングス株式会社は13日、同社が8月に実施した「GET!MP3/MP3が当たる!」キャンペーンにおいて、賞品としてプレゼントしたMP3プレーヤーの一部が、ウイルスに感染していたと発表した。 同キャンペーンは8月4日〜31日まで実施され、賞品は9月29日より発送が開始された。プレゼントされたMP3プレーヤーは香港のマーケティングストア社より納品されたスティックタイプで、カラーはレッド。黄色いマクドナルドのロゴマークが入っている。フラッシュメモリタイプで、マクドナルドとコカコーラが選曲した10曲の楽曲データがプリインストールされていた。当選者数は1万名。感染原因については「現在調査中」としている。 同社の調査で、MP3プレーヤーをパソコンに接続することによって感染する可能性が判明しことを受けて、賞品のMP3プレーヤー全品の回収を決定。近日中に、当選者全員に、全品交換
ITmedia Biz.ID:使い捨てのメールアドレス・前編──Gmail、Yahoo
オンラインショップやWebサービスに、友人とのやりとりに使っているアドレスを登録してしまうのは考え物だ。アドレスが汚染されないよう、複数のメールアドレスを使いこなそう。 →後編はこちら 各種のWebサービスを利用するには、普通メールアドレスを登録しなくてはならない。しかし、ところかまわずメールアドレスを登録していると、ある日突然迷惑メールが大量に押し寄せることにもなりかねない。 こうならないためには、プライベートで使うメインのアドレス(アドレスA)と、オンラインのサービスに登録するアドレス(アドレスB)を分けておくのが得策だ。迷惑メールが届くようになったら、アドレスBを削除/読まないようにすればメインアドレスが汚染させることもない。アドレスBからアドレスAへ自動的にメールを転送する設定にしておけば、複数のアドレスをチェックしなくても済む。 Yahoo! JAPANの「セーフティーアドレス」
Web制作者の常識、開発エンジニアの常識 | スラド セキュリティ
d'Arc曰く、"去る2006年7月22日、第8回 WegSig会議が行われた。これはWebディレクターや制作者を対象としたイベントであるが、先日はWebのセキュリティに関する技術的な側面がメインで語られた。 タレコミ子も参加したのだが、第一部で、株式会社ラックの吉田聡氏が講演中にWebディレクター、制作者がメインの聴衆に対して「SQLインジェクション」という言葉を知っている人、と尋ねたところ6割程度の人しか手を挙げなかったのが意外に感じられた。だが一方で、第二部の株式会社ビジネス・アーキテクツの太田良典氏の話では、「HTMLに詳しくないと理解できない脆弱性もある」、システム会社は「HTMLの知識が9年前のまま」等、Web制作者側からの視点での意見が述べられた。確かに、タレコミ人の周囲の人間も「CSSって何?」レベルな人が多いので耳が痛い話であった。 双方がHTMLやCSS、システムの両方
Greasemonkey でセキュアな RSS Syndication を実現する Remix - naoyaのはてなダイアリー
What we're talking about is giving Bloglines a quick upgrade and doing it ourselves. That means we're talking Greasemonkey, a Firefox extension that allows you to write scripts that modify the pages you visit. In this case, the modification is going to be decryption. We'll write a Greasemonkey script, securesyndication.user.js that looks for encrypted content and, using the private key we provide,
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Webページ改竄など「荒らし」行為で3人を逮捕、警視庁
Japan.internet.com Webビジネス - IE 7.0 はセキュアな RSS に対応できるのか?
http://japan.internet.com/busnews/20060728/12.html