Firefoxで「プライバシー情報の消去」の全部にチェックしても履歴は完全には削除されない - Active Galactic : 11次元と自然科学と拷問的日常
っていうことを、今頃知った。みんなで使うパソコンの設定をしていた身としては、履歴やクッキー、パスワードやフォームの類を全削除にしておけば問題はなく、クリーンなブラウザを快適に使ってもらえると思ってた。 へぇ、Flashクッキーなんて楽しい手段があるんだ。マクロメディアのローカルフォルダにクッキーがばっちり残っているじゃないか。Adobe Flashにはブラウザのクッキーとは独立した個人情報保管システムがあるみたいだね。他のプラグインも独自にローカルフォルダにデータを保管していたりするのかな。ん、ニコニコ動画の前回検索タグ履歴なんてのがあるぞ。 多分、Windowsだとこの辺にあると思う。 >C:\Documents and Settings\ユーザー名\Application Data\Macromedia\Flash Player\#SharedObjects\ もちろん、これは特定のブ
今更だけどDNSキャッシュポイズニングについて簡単に説明するよ! - そして、DNSポイズニングがなかなか対応されない理由。 - FreeBSDいちゃらぶ日記
先日IIJの一日インターンに行ってきました。 NDAがあるので、事細かに書くことは出来ないのですが、教育的なプログラムが組まれていて非常に面白かったです。 そこで、色々お話しして、その中でDNSポイズニングがなかなか対応されない理由、当たり前の理由が聞けたので、「DNSポイズニングって何がヤヴァイのか良くわかんね」って人に向けた簡単な解説とあわせて書きたいと思います。 まず、DNSキャッシュポイズニングの何が怖いか? 簡単に言うと、 「googleに繋いだはずが全く別サイトに繋がっちゃう!」 って話です。 本当に繋ぎたいサイトと違うサイトに繋いじゃう事が出来るので、例えば 実在するショッピングサイトそっくりの偽サイト作って、ショッピングさせて。クレジットカードの番号ゲットしちゃったり、住所ゲットしちゃったり。 夢が広がる怖い事が出来ちゃいます。 きちんとしたセキュリティ対策していれば大丈夫
高木浩光@自宅の日記 - 通信プラットフォーム研究会 傍聴録 (Google社の発言あり)
■ 通信プラットフォーム研究会 傍聴録 (Google社の発言あり) 通信プラットフォーム研究会が一般公開されているのを最近になって知り、先週7日に開かれた第6回会合を傍聴してきたので、討議の様子を書き留めておく。 それまでの会合の議事録を事前に読んで行ったのだが、これほど大きな会合(たくさんの人に発言権があり、たくさんの人が傍聴するもの)とは予期していなかった。構成員だけに発言権があると思っていた(各回のヒアリング対象が「オブザーバー」として発言することもあると理解していた)が、そうではなく、「オブザーバー」(傍聴者のことではない)全員に発言権がある形式だった。「オブザーバー」の今回の出席者は、配布資料の座席表によると以下の通り。 ヤフー、モバイル・コンテンツ・フォーラム事務局、マイクロソフト、東日本旅客道、日本インターネットプロバイダー協会、テレコムサービス協会、情報通信ネットワーク産
サイバー犯罪による消費者被害は85億ドル
Consumer Reportsは消費者のサイバー犯罪被害状況に関する調査を実施した。独自テストに基づく推奨セキュリティソフトも発表した。 米Consumer Reportsは、消費者のサイバー犯罪被害状況に関する調査結果を発表した。ウイルスやスパイウェア、フィッシング詐欺により、米国の消費者が過去2年間で被った損失額は推計で約85億ドルに上ると試算した。 Consumer Reportsは米国でネットを利用している2000世帯を対象に調査を実施し、全米の被害状況を試算。それによると、フィッシング詐欺では推定で約650万人が個人情報を提供し、このうち14%が金銭被害を受けた。フィッシング詐欺による被害の推定額は約20億ドル。しかし、回答者の75%はフィッシング対策ツールバーを使っていなかった。 消費者がサイバー犯罪被害に遭う割合は、2007年の4人に1人から、今回の調査では6人に1人と減少
機械化帝国Googleが破壊する「生身の人間」 - umeten's blog
Google マップ日本版にも「ストリートビュー」機能--道路に立って街中を見渡せる:ニュース - CNET Japan http://japan.cnet.com/news/media/story/0,2000056023,20378334,00.htm?ref=rss ご存じない方もいるだろうが、本日、Google マップ日本版に「ストリートビュー」という市街地・住宅街の盗撮画像がUPされた。 撮影対象となっているのは、主要幹線道路のみならず、文字通りの一般住宅街にまでおよんでいる。 「今回」の撮影対象となった地域では、車が入れる程度の路地ならほぼすべてが撮影されているという、異様な入念さである。 その写真の中では、付近の住民の日常の無防備な姿がとらえられており、また誰も自分が撮影されていると思っていない様子が一目で見てとれる。 また、路地に入った写真では、個人の住宅の玄関や窓の様子、
rumblefish - 怒っていいよマジで。
(追記:9番目のコメントに捕捉説明があります。必要に応じて参照してください) 昨日我慢できなくなってtwitterで喋ったやつのコピペ。 >NHKニュースですらエスカレーター報道むちゃくちゃだ。 >設計重量や人の乗り方じゃなくて、過負荷で最初に起こることが逆走なのが問題だろ。「専門家」すらコメントで安全装置に触れないとか何事。 >いいかげんすぎてちょっと腹立ったなぁ。 WFエスカレーター事故ね。 昨日のNHKニュース9では、この件に6分も使っていながら、安全装置に触れていない。 人が乗りすぎたせいだ、というところと、エスカレーター自体は国の基準を満たしているという事、専門家曰く、設計性能が発揮できるよう秩序をもって運用すべき、という事、最後に、エスカレーターに乗れる量が決まっているのを知るべき、周知すべきという内容だった。 もうね・・・ あのね。 日本中のビルや地下駅・地下街にどんだけ
高木浩光@自宅の日記 - 続・出鱈目なURLで運営されているケータイWebの実態
■ 続・出鱈目なURLで運営されているケータイWebの実態 2日の日記「 出鱈目なURLで運営されているケータイWebの実態 」では、「dwango.jp」のサイトが「b.nu」というドメイン上にあることを示したが、他にも、以下のようなケースもあった。 Yahoo!ケータイのトップ画面から、検索機能で「日本航空」を検索し、トップに出てきた「日本航空」のサイトを訪れて、URLを確認してみたところ、図1のとおり、数値形式のIPアドレスが現れた。 これはひどい。 「172.22.101.1」とプライベートアドレスが使用されているので、セキュリティ上の目的もあってか、おそらくソフトバンクモバイルのセンター内か、VPNで接続されたどこかにサーバが設置されているのであろう。 しかし、こんな形式では、ユーザに本物サイトであることの説明がつかないし、SSLサーバ証明書の取得とかもできないんではないだろうか
個人だから甘いのかな - ぼくはまちちゃん!
あらあら予告inがXSSやられちゃったらしいですね! 使い古された手法? いまどきエスケープ処理すらしてなくてダサい? 関連の記事に対して、はてなブックマークでも色々言われていたり、 http://b.hatena.ne.jp/t/%E4%BA%88%E5%91%8A.in?threshold=1 ニュースサイトでも、こんな煽り記事を書かれていたりするけれど… 今回の件についてIT企業に勤めるエンジニアに聞いてみると、 「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの?」 と語る。 予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」 http://news.livedoor.com/article/detail/3759632/ それってどうだろうね。 GoogleやAmazo
高木浩光@自宅の日記 - Yahoo!ケータイ初回利用時のユーザID通知に関する告知
■ Yahoo!ケータイ初回利用時のユーザID通知に関する告知 ソフトバンクモバイルのケータイWeb(「Yahoo!ケータイ」と呼ぶらしい)では、https:// ページへのリンクが妙な動作をするらしいというのが以前から気になっていたのだが、これは自分で調べるしかないと決意し、ソフトバンクモバイルの回線を契約し携帯電話を購入した。 早速「Y!」ボタンを押してみたところ。以下のページが現れた。最初に一回だけ表示される告知だと思われる。 SoftBankをご利用いただきありがとうございます。Yahoo!ケータイをご利用いただくにあたって必要な、お客様情報(ユーザID, ローミング情報)の通知設定を行います。 現在の情報: 未登録 ユーザIDの通知とは? (必ずお読みください) 通知する 通知しない ここで「ユーザID通知とは?(必ずお読みください)」のリンク先を見に行くと、図2の説明が現れた。
Windows必携の無償セキュリティツール10選 - builder by ZDNet Japan
Windowsコンピュータの保護やウイルス除去、管理に用いることができる、Windowsユーザーにとって必携の無償セキュリティツールを10個紹介しよう。 #1:Secunia Personal Software Inspector トップを飾るのはSecunia Personal Software Inspectorだ。このツールはおそらく、Windowsマシン上で実行できる無償アプリケーションの中で最も役に立ち、かつ最も重要なものである。 このツールを用いることで、PC上にインストールされているすべてのアプリケーションをスキャンし、セキュリティパッチ/アップデートが必要なアプリケーションを特定することができる。 このツールはまず、あなたのコンピュータに格納されているファイルを検査し(検査するファイルは主に、拡張子が.exeと.dll、.ocxのいずれかのものである)、特定のソフトウェアビ
高木浩光@自宅の日記 - 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
高木浩光@自宅の日記 - 「日本のインターネットが終了する日」あとがき
■ 「日本のインターネットが終了する日」あとがき 10日の日記「日本のインターネットが終了する日」には、書ききれなかったことがある。また、頂いた反応を踏まえて追記しておきたいこともある。 青少年は結局どうすればいいのか はてなブックマークのコメントに、「本当に知らなければいけない人には理解されないかと思うとね・・・哀しくなってくる」という声があった。リンク元のどこだったかには、「肝心の子供たちにはどう説明したらいいんだ」というような声もあったと思う。 契約者固有IDの送信を止める設定をしてしまえば、モバゲータウンや魔法のiらんどなどが使えなくなってしまう。設定をアクセス先毎に変更しながら使うという方法もあり得るが、子供たちにそれをさせるのは無理な話だろう。保護者としては、確実に安全に使える設定を施した上で電話を子供に渡したいはずだ。「住所氏名は入れちゃ駄目」というのは、これまでも子供たちに
元携帯勝手サイト運営者が、実際に使っていた端末IDの使い方とかばらしちゃうよ! - FreeBSDいちゃらぶ日記
まぁ、Day 2000hit程度の(携帯勝手サイトの中では)中の下程度のサイトでしたが。 (今更になって)端末に付加されているユニークなIDにわーわー騒いでいる人が多いのですが、実際どのように使われていたのか、元携帯勝手サイト運営者が書いてみます。 参考リンク: 高木浩光@自宅の日「日本のインターネットが終了する日」 web屋のネタ帳「iPhoneと携帯契約者固有IDと複アカと青少年ネット規制によるケータイ闇ナベ狂想曲」 まず、背景ね。 アニメ・ゲームの情報交換系サイト。 Day 2000hit位の、携帯サイトの中では中の下かなぁ、という感じのサイト auがメイン、docomo対応はオマケ。PC・SoftBankからのアクセスは基本弾いていた 当時運営者の私は高校生 アニメ・ゲーム系サイトの中で、レンタル鯖使ってcgi置いてたりする勝手サイトは少なかったので、そういったサイトの管理人同士の
MOONGIFT: » 盗難されたノートPCを追跡する「Adeona」:オープンソースを毎日紹介
最近のノートPCはどんどん軽く、便利になっていく。動画や画像、3D、ゲームなどの高性能を必要としない人であれば、大抵の作業はノートPCだけで事足りてしまう。さらに無線LANを使ったどこでも利用できる便利さになれてしまうと、デスクトップには戻れなくなってしまう。 立ち上げた所 だが、その利便性ゆえに盗難や紛失に合うケースも増えている。普段の業務の中で使っていれば、重要なファイルも多くなるだろう。そうした時に役立つのがこのソフトウェアだ。 今回紹介するオープンソース・ソフトウェアはAdeona、ノートPC追跡ソフトウェアだ。 実際に盗難にあっていないので、具体的にどう動作するのかが分かっていないのだが、単純に言えばIPアドレスなどの現在位置を特定できる情報を発信する仕組みになっている。それらの情報は暗号化され、パスワードをかけて保存される。 結果ファイル ごく小さなプログラムを定期的に実行する
またもやSQLインジェクションによるWeb改ざんが大量発生,トレンドマイクロが警告
トレンドマイクロは7月17日,日本を含む世界中でSQLインジェクションによるWebサイト改ざんが発生していると警告した。SQLインジェクションにより,正当なWebサイトに不正なiframeタグを埋め込む攻撃で,改ざんされたサイトにアクセスしたユーザーは,不正なサイトに誘導され,ウイルスになどに感染させられる危険がある。トレンドマイクロでは既に,全世界で最大21万,日本国内においても約1万のWebページで疑わしい記述を確認しているという。 攻撃の特徴は,攻撃者が「TROJ_ASPROX」というトロイの木馬を忍び込ませたパソコンを悪用していること。TROJ_ASPROXは感染したパソコンで勝手にTCPの80番ポートを開き,Webプロキシ・サーバーとして動作させる不正プログラム。攻撃者は,このプロキシを経由してWebサイトにSQLインジェクション攻撃を仕掛けている。 改ざんされたサイトにアクセス
新生銀システム改竄のインド人を逮捕 「正社員になれないのは人種差別」と腹いせで - MSN産経ニュース
採用を断られた腹いせに新生銀行の社員用ウェブサイトを改竄(かいざん)したなどとして、警視庁ハイテク犯罪対策総合センターと原宿署は不正アクセス禁止法違反などの疑いで、インド国籍で東京都江戸川区清新町、元派遣社員、アビナッシュ・シャルマ容疑者(32)を逮捕した。 調べでは、シャルマ容疑者は今年2月18日から3月11日までの間、以前、新生銀に派遣社員として務めていたときに入手していたIDとパスワードを使い、67回にわたって新生銀の内部ネットワークに不正にアクセス。 4回かけて約2600件のファイルを削除するなど社員用ウェブサイトを改竄した上、自分の犯行が発覚していないか確認するため、63回にわたって同社幹部のメールをのぞき見た疑い。 シャルマ容疑者は平成16年に、インドにある新生銀子会社から派遣され、約3年間、新生銀でシステムエンジニアとして勤務。「自分のレベルを上げたい」と19年10月に退社し
Gmailアドレスから氏名を明らかに、スパムへ悪用の恐れも
Googleアカウントを利用して、他人のGmailアドレスからそのユーザーの氏名を割り出せてしまう方法があることが分かり、セキュリティ専門家がSecuriteamのブログで紹介した。 それによると、自分のGoogleアカウントでカレンダーの共有機能を使い、他人のGmailアドレスを入力すると、そのアドレスの持ち主が登録している氏名が表示される。 Securiteamブログでは、GmailシステムがGoogleカレンダーなどのサービスと密接に結び付いていることに起因する「脆弱性」としてこの問題を紹介。このやり方で、「admin@gmail.com」のアドレスの持ち主の氏名を表示させたスクリーンショットを公開している。 この「機能」を利用すれば、スパム送信者がGmailユーザーの氏名を割り出し、名指しでスパムメールを送ってくる可能性もあるとブログでは指摘している。 過去のセキュリティニュース一
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
情報処理推進機構
<内容> 平成20年7月7日夕刻、当機構前役員が在職中お世話になった方々に本人の辞任の挨拶を電子メールで送信する際、本来は受信者の方々のメールアドレスが隠れる送信方法(bcc)を用いるべきところ、637名の方々に、誤ってメールの宛先に他の受信者の方のメールアドレスが分かる状態で送信してしまいました。既に流出したアドレスの所有者の方には、お詫びのメールを送信し、併せて同メールの削除を依頼したところです。 ご関係の皆様にはご迷惑をおかけしましたことを深くお詫び申し上げます。 <今後の対応> 当機構では、今回の事態を厳粛に受け止め、今後このような事態が生じないよう、改めて全職員に対し、電子メール送信時における注意事項について機構内に周知徹底を図ります。 本件内容に関するお問い合わせ先:
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ゾンビPCがブラジル、トルコ、中国で増加傾向〜G DATA調べ