携帯のアドレス帳は本名では登録しない | シゴタノ!
先日知り合いと話していたときの話。 最近の携帯電話のアドレス帳には家族や友人の番号はもちろん得意先の番号も登録されているから、もし落としたり亡くしたりしたときにそこから個人情報が漏れるよね、だから自分の携帯電話にはいっさい得意先の番号を登録していないんだ、とのこと。 なるほど、と思いましたが、外回りの多い個人事業を営んでいる者にとっては、所有する携帯電話に得意先の番号を登録しないわけにはいかない事情もあります。 そこで考えたのが、本名では登録しない、という苦肉の策。 ニックネームやその人の特徴、口癖などを名前として登録するようにしました。まだつき合いが浅い人はちょっと考えるのが大変でしたが、なんとか200人弱の名前をニックネームでマスクし終えました。 例えば、得意先でインテリアに凝っていらっしゃる方がおられ、関連の雑誌から取材を受けたりすることもあるという方がいまして、この方は「インテリ
ウェブアプリケーション開発者向けセキュリティ実装講座の開催について
独立行政法人 情報処理推進機構(IPA)におきましては、安全なインターネットの利用をめざして、最近、IPAが届出を受付けたウェブアプリケーションの脆弱性関連情報などを基に、影響度が大きい脆弱性を取り上げ、その解決策を紹介するセキュリティ実装講座を企画いたしました。 ウェブアプリケーションの開発者・技術者および研究者を対象としていますが、ウェブサイトへの新たな脅威に関する内容も含まれるため、ウェブサイト運営者の方々にもご聴講をお勧めします。 記 1.日時 第1回:平成18年2月28日(火) 13:00 ~16:15 受付は終了しました。 第2回:平成18年4月 4日(火) 13:00 ~16:15 受付は終了しました。
[CRYPTO-GRAM日本語版]「Google Earth」によるテロのリスク
「セキュリティ専門家」とは何者なのか,疑問に思うことがある。ここに,「『Google Earth』を使うとサッカー場のGPS座標を読み取れることから,テロのリスクが存在する」と考える専門家がいる。 要するにKlaus Dieter Matschke氏は,これまでGoogle Earthに1kmの誤差があったのに,現在20m以下の精度でビルの位置を特定可能になったため,不安を感じているのだ。同氏は「この情報から,テロリストはミサイル攻撃に使う正確な位置を取得できる」と心配している。 こんな「たわごと」をメディアで発表する人物が出るとは思いもしなかった。GPS端末をポケットに忍ばせてサッカー場まで試合を見に行き,1mの精度でGPS座標を得ることなど,誰でも自由に行える。地図を買ってもよい。 Google Earthには問題などない。真の問題は,短距離ミサイルがブラック・マーケットで入手できるこ
![[CRYPTO-GRAM日本語版]「Google Earth」によるテロのリスク](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
ビジュアルパスワードという考え方:phpspot開発日誌
passclicks Passclicks is a new way to login to websites without users having to remember thir old style textual password. 画像による認証のサンプルが公開されているサイトを発見。 まずこの写真から5つのポイントをクリックして覚えておきます。 5つクリックすることでパスワードを生成します。 5クリックすると画面が遷移するので、ログインページに移動して試してみましょう。 ログインには10回のクリックが許されていて、生成時にクリックした5つの位置をまんべんなくクリックしてあげましょう。 ログインが成功するはずです。 ビジュアルパスワードを使うことで、テキストによるものよりも人間が覚えやすい仕組みを実現できますね。 仕組みとしても斬新で、ちょっと感動しました。
日本ブログ協会のサイトに脆弱性見つかる
総務省がブログの啓蒙、研究の促進を目標に掲げて設立した「日本ブログ協会」のサイトに脆弱性が見つかったことが判明した。 脆弱性が見つかったのは会員登録フォーム。サイトでの会員登録を開始した2月28日14時から22時19分の間に会員登録を行ったユーザーの個人情報が、外部からアクセス可能な状態に置かれていた。この間の登録会員数については「絶対数は申し上げられないが、相当な数の方にご登録いただいた」(財団法人マルチメディア振興センター)。ログの解析から個人情報の漏洩は確認できなかったという。 会員登録を行ったユーザーには3月3日、経緯の説明とお詫びのメールを配信している。現在、会員登録フォームは閉鎖し、メールによる会員登録受付に切り替えているが、脆弱性への対応が終わり次第、再開する予定。 関連情報:総務省が日本ブログ協会を設立
IT Proにちょっといただけない記事が - よくきたblog
元々の掲載が日経ソフトウェアのようなので,ほとんどプログラミングなどの知識が無い方への記事だと思います. だから書かなければいけないこと,書くと本質を見失うことなどあり難しいのですが,この記事のバランスには非常に疑問符です. 実際にはコマンドラインで使用するスクリプト言語環境です PHPというと「Webアプリケーション開発の専用言語」と思い込んでいる方がいるかもしれません。しかし,実際にはコマンドラインで使用するスクリプト言語環境です。 「コマンドラインでも使用できる」程度じゃないのかと. PHPのmbstringを使う php.netで配布されているWindows用PHPバイナリは標準でmbstringは使用できません. しかしそれらについてまったく触れられていないので,下記サンプルはぜんぜん動きません, リスト1 mb_language,mb_internal_encodingの指定が
4-2. Perl の危険な関数
Perlには他のプログラムを起動したり,文字列で与えられた式を実行時に解釈実行する機能を持つ関数が用意されている。こうした関数に与える引数は,十分に吟味しないと,悪用されて意図しないコマンドを実行させられる。 Perlには外部プログラムとの連携機能が複数組み込まれている。Perlは連携機能を実現するため内部的にUnixシェルを起動する(注1)。そのため連携機能をユーザ入力データなどの外部から与えられるデータと組み合わせて使用する場合,外部からシェルコマンドを混入され実行されてしまう可能性がある。次の関数はこのような問題につながる注意すべき関数や構文である。 open system, exec, ``(backticks) <>(fileglob),glob C言語などのコンパイル系言語と異なりPerlはスクリプト系言語である。Perlは実行時にプログラムを解釈して実行する。eval
ネットで知り合った二人がリアルで初めて会います。…
ネットで知り合った二人がリアルで初めて会います。しかし二人とも別人を本人と称して代理で行かせる可能性があります。それを回避する方法を考えてください。
PHPのSession Fixation問題
(Last Updated On: 2006年10月24日)PHPのセッション管理はセッションの固定化(Session Fixation)に脆弱であることは広く知れらていると思っていました。先日、php-users(ja)のMLに「Hardened PHPプロジェクトのStefanさんのパッチにSQLite Sessionモジュール用のセッションセーブハンドラパッチを追加したパッチを公開しました」と投稿しました。しかし、ダウンロード数等から推測するとセッションの固定化のリスクが正しく認識されていないのではないかと思えます。 セッション固定化のリスクを分かりやすく説明するには具体的な攻撃のシナリオを紹介した方がわかり易いのでいくつか説明します。以下の説明はデフォルト状態のPHPインストールでSession Fixation対策を行っていないのPHPアプリケーションに対して可能な攻撃の一例です
ニンテンドーDS を考慮した無線 LAN のセキュリティ設定
Landscape トップページ | < 前の日 2006-01-28 2006-01-29 次の日 2006-01-30 > Landscape - エンジニアのメモ 2006-01-29 ニンテンドーDS を考慮した無線 LAN のセキュリティ設定 当サイト内を Google 検索できます * ニンテンドーDS を考慮した無線 LAN のセキュリティ設定この記事の直リンクURL: Permlink | この記事が属するカテゴリ: [セキュリティ] [ゲーム] [ネットワーク] 私はニンテンドーDSのWI-FIコネクションを利用した通信を行うために無線LANを導入した。ニンテンドーDSを繋ぐ事を考慮した無線 LAN アクセスポイントのセキュリティ設定についてのメモ。 - 私の無線 LAN 環境ちなみに、私が利用している無線 LAN アクセスポイントは 2005-11-18 の「ニンテンド
Ajax ジェスチャー認証 | 秋元@サイボウズラボ・プログラマー・ブログ
via Ajaxian ジェスチャーによる認証のアイデア自体はそれほど新しいものではないと思うが、Ajax でジェスチャー認証はけっこう面白いのではないか。 デモの使い方を説明する。 文中中央下の二つのボックス、左の “Record” ボックス内でマウス左ボタンを押しながら、自分のジェスチャーを記憶させる。 続いて、右の “Login” ボックスでマウス左ボタンを押しながら、自分のジェスチャーを伝える。 右で入力したジェスチャーが、左で保存していたジェスチャーと合致したら、ログイン成功となる。何回かやってみたが、それなりに似たジェスチャーを再現しないとログイン成功にはならない。 マウスで描いた軌跡で認証、というのは、サインの国の人らしい発想ではあると思った。 Ajaxian では、他にも同じブログから、写真に写された「概念」をヒントにクリックさせることでスパムロボットを振り落とすアイデアも
注目の情報管理方式「しきい値秘密分散法」
基礎技術解説:秘密分散法 注目の情報管理方式「しきい値秘密分散法」 岩本 琢哉 (Takuya Iwamoto) 株式会社シーフォーテクノロジー 2004/11/27 情報資産を安全に管理するための1つの手段として、データを「暗号化」するという方法があります。これには鍵を持たない(知らない)者は、暗号化されたデータにアクセスできないというメリットがありますが、ISMS(情報セキュリティマネジメントシステム)の可用性の立場から考えると、それがデメリットとなることもあります。 「もし、急に必要になったデータの管理者が休暇中だったら……」。 本稿では暗号化とリスク分散という観点から、最近注目されている情報の管理方式 「しきい値秘密分散法」 をご紹介します。 秘密分散が従来の暗号とはどう違うのかを明確にするため、先に「暗号」について簡単におさらいすることにします。暗号とは、あるデータを 当事者しか
Linux Fedora
SELinuxを実装したFedora Core 4サーバを作ってみよう(updated 14 Mar/06 ) このページの更新はもう行いません。 SELinuxのstrict-1-27ポリシー、Fedora core 4、postgresql-8.1.1、mysql-5.0.18、apache- 1.3.34、apache-2.2.0、php-5.1.2、php-4.4.2、winscp、 putty、nmap、lsat、java、snmp、mrtg、 meadow、pear、smarty、mod_security、namazu、nucleus、samba-3.0.20bは試しましたか? このページの簡単な説明(今日の独り言) SELinuxに対応したサーバの作り方です。SELinuxを際だたせるために書いていないところは、こち らで確認してください。なかなか大
ブログや掲示板に書込む時のメールアドレス欄に何を入力するか
Landscape トップページ | < 前の日 2005-11-13 2005-11-14 次の日 2005-11-15 > Landscape - エンジニアのメモ 2005-11-14 ブログや掲示板に書込む時のメールアドレス欄に何を入力するか 当サイト内を Google 検索できます * ブログや掲示板に書込む時のメールアドレス欄に何を入力するかこの記事の直リンクURL: Permlink | この記事が属するカテゴリ: [メール] [メモ] 最近、ブログや掲示板にコメントを投稿するとき、メールアドレス欄には http://sonic64.com/img/mail.png と書くようにしている。 - スパムはイヤブログや掲示板のメールアドレス欄。そのまま自分のメールアドレスを書くと、スパム業者のロボットにアドレスを収集されてスパムメールがわんさか来るようになるので、そのままでは書き
ワイアード・コラムニスト「ソニー製品ボイコットを」(上)
ワイアード・コラムニスト「ソニー製品ボイコットを」(上) 2005年11月15日 コメント: トラックバック (0) Dan Goodin 2005年11月15日 数週間にわたる批判を受けた後、米ソニーBMG・ミュージックエンタテインメント社はついに、技術の悪用であって違法でもある可能性が高いコピー防止対策を一時的に中止することに同意した。だが、称賛するのはまだ早い。 世界第2位のレコード会社であるソニーBMG社は11日(米国時間)、コンピューターのセキュリティーを脆弱にするCDの生産を一時的に中止することを約束した。これは正しい方向への第一歩だが、重大な倫理の欠落(日本語版記事)を正すにはまだまだ十分とはいえない。逆に、こうした対応は、ソニーBMG社にはわれわれが信頼し取引する価値がないことを証明しているようなものだ。 この件についてはすでに多くの記事が書かれてきた。しかし、このような行
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
@tarosite
http://izou.s93.xrea.com/blog/node/58
PHPit - Totally PHP » Handling passwords safely in PHP
http://phpwalker.web-frigo.com/item122.html
SCEヨーロッパ:PS3には一台縛り特許は使いません - Engadget Japanese