IDとパスワード知ってたら誰でもログインできるって危険なんじゃないの?:アルファルファモザイク
編集元:プログラマー板「38 名前:仕様書無しさん 投稿日:2008/12/14(日) 17:52:11」より 139 仕様書無しさん:2008/11/29(土) 16:09:20 元悪塩のシステム開発部長が進捗会議で発した名言 「君たちさ〜、ログイン画面でユーザ認証って言うけど、 IDとパスワード知ってたら誰でもログインできるって事だよね? それってどうなの?危険なんじゃないの?」 協力会社社員の回答 「パスワードが漏洩した場合は直ぐに変更して下さい。 そもそも、既存システムではIDとパスワードが同じですよね? 変更も出来ませんし。 新システムではパスワード変更機能が提供されています。」 「いやいや、そんなことより、IDとパスワード知ってる人間が ログインできる事を問題視する発言が問題だろ?w」 「アカウント漏洩に対するセキュリティ講習で受けてきたらどうですか?
謝罪とミスを認めることは異なる - NATROMのブログ
■腹水穿刺後の死亡についての記事比較の続報。 ■「病院はミスを認めていた」遺族の悲痛な訴え(MBSニュース) 患者は重度の肝硬変で入院していた35歳の女性で、腹部に大量に溜まった水を針を刺して抜く治療を受けました。 治療したのは20代の研修医。 1度目は失敗し、2度目でおよそ1.5リットルの水を抜きましたが、その後女性が腹痛を訴え、皮下出血を起こしていたことがわかりました。 しかし病院はすぐに血を止める治療を行なわず、数日後、輸血をしましたが、女性は先月16日、出血性ショックで死亡しました。 「娘が『失敗された、痛かった』と言ったから。『失敗したんでしょ』と言ったら『はい』って」(亡くなった女性の母親) 不審に思った家族は病院に説明を求めます。 そのとき病院側は結果的に病状を悪化させたと謝罪しました。 「出血に対して十分な対応を結果的にしていなかった。甘く見ていたんだと思う」(女性の主治医
void element blog: 「こくばん.in」を運営している立場として「うごメモはてな」を本気で心配してみる
任天堂とはてなが提携して「うごメモはてな」が発表されましたが、老若男女問わず不特定多数が参加するお絵描き投稿の場というのは思った以上に混沌とすることが予測されます。 「こくばん.in」ではユーザ数こそ圧倒的に劣るものの利用年齢層がDSiの購入層と近いと考えているので、過去に起こった事例に当てはめて「うごメモはてな」で発生しうる事態を挙げてみます。 1.通報するはてな市民のモチベーション低下 2.不特定多数とピクトチャットができる 3.アニメーションを利用した不適切な投稿の隠蔽 4.他人の作品に書き足すことによる弊害 5.悪質なユーザを遮断できない 6.狙い撃ち通報 7.通報が追いつかない あくまで一部ですが、事例も含め共有しておいた方がいいと思ったので簡単ですがまとめてみました。 いずれも起こらないことに超したことはありません。 1.通報するはてな市民のモチベーション低下 まず、はてな市民
仮想geek的女子による女の子的感覚の代弁 - ぼくはまちちゃん!
(前の日記)geekと女の子的感覚の違いへの追記 はてな: はてなスターのつけた/つけられた一覧がユーザーごとに見られるページつくったよ! どうぞご利用ください! geek: (おーやっと作ったんだ) べんりだねー。 女の子: (まさか晒されるとは思ってなかった…、スター削除してまわらないと) これはひどい…! geek: は? なにがひどいの? 女の子: 晒しとか最悪 geek: あのさ、そんなページなくても、きみのスター、今までだって僕個人で集計できていたんだから 女の子: これだからgeekは… geek: スイーツ乙 女の子: …じゃあ言うけど、あなたの住んでいるマンション、多くの世帯が集合ポストで名前を公開しているよね? じゃあそれ、べんりなようにネットで閲覧/検索できるようにしてもいいってわけ? それ日本中の住宅に対してやっちゃうことも技術的に可能だよね geek: …それ別に
エガミくんの脆弱性のやつ
こんにちは! id:Hamachiya2 ですよー。 ブックマークコメントでIDコールされたけど、 「コメント返すためにブクマ (してリンクジュースを流すこと) 」は、ちょっと今回は間接的にでもできない感じなので こっちで返答しますね! http://zapanet.info/blog/item/1418 http://b.hatena.ne.jp/entry/http://zapanet.info/blog/item/1418 2008年10月19日 hiroyukiegami id:Hamachiya2 助けてください。色々やってみたのですがやはり、わかりません…。コード公開しております。すみません、誰か具体的に教えてもらえると嬉しいのですが(涙)http://flickr2.in/flickr.zip いきなりソースコード丸投げして「わかりません」って言われてもちょっと困るよー。 ま
Bridge Word
This shop will be powered by Are you the store owner? Log in here
PHP/脆弱性リスト/メモ - yohgaki's wiki
なんだかやけに長い説明ばかり検索に引っかかったので書きました。 Linuxのローカル環境でDockerコンテナ内のXアプリ(GUIアプリ)を利用するには $ xhost localhost + を実行した後に $ docker run --rm --net host -e "DISPLAY" container_image_name x_app_binary_path とすれば良いです。 もっと読む SSHなどよく知られたサービスポートで何も対策せずにいると数えきらないくらいの攻撃リクエストが来ます。不必要なログを増やしてリソースを無駄にし、もし不用意なユーザーやシステムがあると攻撃に成功する場合もあります。 SshguardはC作られており、flex/bisonのパーサールールを足せば拡張できますがカスタム版をメンテナンスするのも面倒です。必要なルールを足してプルリクエストを送ってもマー
(危険な追記あり) はてなダイアリーでYahoo!サイトエクスプローラーの認証をしよう! - ぼくはまちちゃん!(Hatena)
(Summary in English of this entry) Utilizing Yahoo! Site Explorer, it is possible for third parties to prevent your site by being displayed in search results. The reason is that the meta tag used for administrative rights confirmation is accepted even in the the page body even if it is html escaped. 3rd parties can gain control of your site simply by adding a comment to one of your pages. こんにちはこんに
「会社のメールアドレスは個人情報ではない」が4割
アイシェアは5月20日、電子メールアドレス、名前、住所などの中で個人情報だと思うものを複数形式で選ばせる調査の結果を発表した。回答者は20代から40代のネットユーザー男女636人だった。 調査名は「個人情報だと思うランキング」。「携帯電話のメールアドレス」が個人情報に値すると回答した人は86.3%という結果が出た。一方、同じメールアドレスでも「会社・学校付与のメールアドレス」を個人情報と認識している人は66.5%にとどまった。携帯電話のメールアドレスを個人情報だと認識する人との差が20%もあった。 この差はどこから生じるのか。調査を実施したアイシェアの広報、佐藤みつひろ氏は「会社のメールアドレスからは個人を特定するには至らないと思っているのだろう」と話す。20%の差はそこから生じているという。だが、実際には会社付与のメールアドレスには氏名と会社名が使われていることが多く、個人を特定できてし
SQLインジェクション検出ツール「iLogScanner」を機能強化:IPA 独立行政法人 情報処理推進機構
なお、iLogScannerでSQLインジェクション攻撃が検出された場合や、特に攻撃が成功した可能性が検出された場合は、ウェブサイトの開発者やセキュリティベンダーに相談されることを推奨します。 iLogScannerは簡易ツールであり、ウェブサイトの脆弱性を狙った攻撃のアクセスログが無ければ脆弱性を検出しません。また、実際の攻撃による脆弱性検査は行っていません。攻撃が検出されない場合でも安心せずに、ウェブサイトの脆弱性検査を行うことを推奨します。 IPAとしては、ウェブサイト運営者が、この脆弱性検出ツールを利用することにより、自組織のウェブサイトに潜む脆弱性を確認するとともに、ウェブサイト管理者や経営者に対して警告を発し、セキュリティ監査サービスを受けるなど、脆弱性対策を講じるきっかけとなることを期待しています。 また、ウェブサイトの開発者やセキュリティベンダーが、本ツールを取引先等に紹介
5分で絶対に分かるバッファオーバーフロー ― @IT
バッファオーバーフロー攻撃の仕組みを知ろう 皆さんがよく利用しているアプリケーションにセキュリティホールが見つかり、「悪意のあるコードが実行される可能性がある」というような内容のニュースをよく耳にします。 しかし、自分でインストールしたわけでもなければ、実行させたつもりもない「悪意のあるコード」がなぜ実行できるのでしょうか? 今回は、バッファオーバーフローを利用して、ほかのアプリケーション上で悪意のあるコードが実行される仕組みについて説明していきます。
高木浩光@自宅の日記 - ハマチをちゃんとテリヤキにするのは難しい, CSRF脆弱性を突く攻撃行為を現行法で処罰できるか
■ CSRF脆弱性を突く攻撃行為を現行法で処罰できるか CSRF脆弱性が攻撃されることは、それがもたらす被害の内容によっては、不正アクセス禁止法が守ろうとしているものと同等のものが侵害される場合もある。たとえば、本人でなければ見ることのできないはずの情報が、CSRF脆弱性を突く罠を仕掛けた者に送信されるといった攻撃は、不正アクセス行為の典型的な侵害事例と同様の被害をもたらす。また、同法の目的である「アクセス制御機能により実現される電気通信に関する秩序の維持」(第1条)が損なわれるという点も共通する。 しかしながら、CSRF脆弱性を突く攻撃行為は、結果が同じてあっても手段が異なるために、不正アクセス禁止法による処罰は難しいのではないかと以前から思っていた。これについては、2005年7月3日の日記「クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか」にも書いた。
本名バレてもへっちゃら? - ぼくはまちちゃん!(Hatena)
そうだね。 たいていの家には表札がかかっているし、 (今では減っただろうけど)電話帳なんかにも色々と載っていたりするよね。 外にでたら、普通に名前を名乗るし、とにかく本名で生活してる。 そういう感覚ならそう。 誰かに本名を知られても平気。 それは平気なことだった。 だけどネットが絡むとそうも言っていられないと、ぼくは思うよ。 なぜかって? ネットじゃなければ、沖縄にいる知らない人が、きみのちょっとした「つぶやき」を聞く機会はほとんどないよね。 北海道の知らない人に、興味を持たれる機会もほとんどない。 きみのポエムが2年後に、知らないひとの目にふれる機会なんてのも、たぶんない。 偶然、きみの一言が、誰かの目に留まり、 少し興味を持って調べてみると、 どんどん出てくる若かりし頃のポエム。写真…! 尽きない興味、高まる興奮…! そうして本人にはまったく心当たりのないまま 知らない人に、変質的に惚
高木浩光@自宅の日記 - Amazonは注文履歴の消去を拒否、アカウント閉鎖後もデータは残る
■ Amazonはやっぱり怖い そろそろ使うのをやめようと思う 今は朝6時。数時間前、寝ようとしたころに大騒ぎになっていた。 密かな趣味が全公開--Amazonのウィッシュリスト、改め「ほしい物リスト」に注意?, CNET Japan Staff BLOG, 2008年3月12日 これはひどいことになった。HATENA Co., LTD. では暗号解読の本をお求めのようだった。 幸い私は、ウィッシュリストを空にしていたので、何も見られることはなかったが、自分のAmazon登録メールアドレスを入れると、氏名と「茨城県」などの情報が表示された。(メールアドレスも非公開のものを使っているが、ワイルドカード指定もできたようなので、どうなっていたかわからない。もっとも、私は実名を隠していないが。) そもそも何年か前、この「ウィッシュリスト」なるサービスが始まったとき、やたらウイッシュリストへの登録が
Amazonのすごいアクセス解析サービス - ぼくはまちちゃん!
こんにちは! Amazonほしい物リスト、すごい話題になってますね! なんでも、メールアドレスで検索すればAmazonに登録してある本名がでてくる (ケースもある) とか…。 で、さっそくぼくも試してみたよ! ほしい物リストサーチ! これって、いま話題になっているのは、誰かのメールアドレスを手がかりにして ウィッシュリストや本名、下手すると住所まで知られてしまうってところだよね。 それだけでも面白いんだけど、 あまり注目されていない機能として、こんなものがあったよ。 友だちにほしい物リストについて知らせる これ。 自分のほしい物リストを誰かにメール送信できちゃう機能らしいね! じゃあ試しにメール送信時のリクエストを確認してみると… http://www.amazon.co.jp/gp/registry/send-nudge.html?ie=UTF8&type=wishlist&__mk_j
服の下まで見通せるカメラ、英企業が開発 - ITmedia News
Expired:掲載期限切れです この記事は,ロイター・ジャパンとの契約の掲載期限(30日間)を過ぎましたので本サーバから削除しました。 このページは20秒後にNews トップページに自動的に切り替わります。
twitter のアカウント乗っ取りが可能だったかもしれない件 - 児童小銃
実際には試してないので勘違いかもしれないけど3/9の夕方まで twitter のアカウントが乗っ取り可能だったかもしれない、という話。←特殊なケースを除いて不可能だった模様。追記参照。 「ついったー足あと帳」(http://hamachiya.com/junk/twlog/)でアクセスした人のidと発言ログを抜き出す(protectedでも!)デモをやっていたり、それがきっかけで過去に settings から id とメールアドレスを抜き出す「(元祖)ついったー足あとちょう」があった(昨日までは動作していた)のを見て、ひょっとして、と思って昨夜少し調べてみた。 去年の11月のDK祭り*1の時に、パスワードクラック以外で乗っ取り可能か検討されたことがあった。 twitterの仕様を調査した結果、仮にtwitterにXSS脆弱性などがあり、セッションハイジャックができたとすると、第三者がパスワ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IBM Developer
IDEA * IDEA
http://mainichi.jp/enta/mantan/news/20080310mog00m200043000c.html