セキュリティはなぜやぶられたのか - sta la sta
セキュリティはなぜやぶられたのか 作者: ブルース・シュナイアー,井口耕二出版社/メーカー: 日経BP社発売日: 2007/02/15メディア: 単行本購入: 2人 クリック: 35回この商品を含むブログ (54件) を見る個人情報の漏洩事件が珍しくなくなった今日この頃。個人レベルでもかつてないほどにセキュリティに対する感度が高まった時代に私たちは生きているのではないでしょうか。 本書では、コンピュータセキュリティの権威である著者が実に様々な角度・視点から「セキュリティ」を詳細に説明してくれています。 ビジネスでも「セキュリティ」は当然意識しなければならない問題ですが、著者のセキュリティに対する視野の広さにはただただ感嘆するばかり。いかに自分がセキュリティを分かっていなかったかが身に染みました。 セキュリティの対策や効果を評価する方法として、本書では以下の「五段階評価法」が繰り返し登場して
活字中毒R。 - 松本人志が写真週刊誌を訴えた「本当の理由」
「週刊プレイボーイ」(集英社)2006.6/5(Vol.23)号の「松本人志の怒り!」より。 (読者からの[松本さんが、写真週刊誌を相手に「裁判で勝訴」という記事を読みました。なんでも、プライベートでAVを借りているところを盗撮された」からとか。確かに、そんなことされたら腹立ちますよね!] というメッセージに対しての松本人志さんの答えの一部です) 【この裁判はねえ、勝つには勝ったんですけど、本当に大変でした。 もうね、ワザとやと思うんですけど、新聞やその他の報道でね、ボクのいちばん言いたかった主張が歪曲されているんですよ! 報道の多くが「プライベートでAVを借りているところを盗撮された」ことを怒っているように書いてありましたが、違うんですよ。 そうではなくて、写真を載せる時に「防犯カメラの記録ビデオから転載した」ことをボクは怒ったわけです。 もし、こんなことがこれからも許されるのなら、有名
高木浩光@自宅の日記 - IE 7のセキュリティ改善を台無しにするIE 7 Beta2日本語版
■ IE 7のセキュリティ改善を台無しにするIE 7 Beta2日本語版 「セキュリティで保護された」というと何を思い浮かべるだろうか。Windows用語のような気がするが、普通は、SSLによる接続( https:// ページへのアクセス)のことを連想するだろう。(「セキュリティ(暗号化処理)で保護された接続」など。) それはともかく、Internet Explorer 7 がさまざまなセキュリティ上の改良を施していることは既に報道等で伝えられているところだ*1が、報道されていないところとして、「インターネットゾーン」のセキュリティ設定の画面の改善がある。 凶悪設定3兄弟の改善 図1の「Download signed ActiveX controls」の部分は、日本語版で言うところの「署名済み ActiveX コントロールのダウンロード」という、悪名高い設定項目で、アホな業者がしばしばこれ
mixiという幻想の共和国、そこは内ではなく外である - ガ島通信
「ブログはちょっと怖いからやっていないけど、ミクシィならやってますよ」という言葉を聞く事が多くなりました。「招待制」というシステムだからか、まだ、十分にマナーが確立していないインターネットという荒野の「内側」にいるような安心感があるのですが、冷静に考えれば「外」なわけです。招待制、インターフェイス、雰囲気…、いろいろなことが重なり「外」を忘れさせる装置となっているのでしょう。 なぜこのようなことを書くかと言えば、リテラシーという言葉を口に出すのも、あまりに無防備な利用方法がまかり通っていることに驚かされたからです。いくつかあったのですが、例えば、あるコミュニティには、某企業グループで別会社への出向希望が募集されたことがトピックとして上げあられ、どの会社に行くのがいいかの相談が行われていました。『こういうとこで公開してしまうのはまずいのでは』など注意した人がいましたがスルーされ、議論は進行し
ITアーキテクト諸君、君は本当に姉歯建築士を笑えるか? - 雑種路線でいこう
いま仕事でバンガロールにいる。インド人というのは本当に25x25くらいまで覚えているらしく、インド人のツアコンの前で1万円札を両替したら、いきなり1の位まで5桁の割り算を暗算されて、びっくりした。この調子なら、32bitや64bitの2進、10進、16進の変換なんざ一瞬であろうし、さぞ素晴らしいプログラムを書いてくれるのではないか、と期待が沸いてくる。にしても、話し始めると止まらないし、妙に聞き取りにくい英語を話す人々なので、口から生まれてきたのではないかと評されがちな私でさえ、あまり長丁場の議論はしたくない。理詰めで延々と議論が続くものだから、曖昧な仕様書を渡そうものなら、きっと著しく生産性が下がるに違いない。仕様のはっきりしているカーネルやプロトコルスタックとか、機能のはっきりしたミドルウェアとか、いまあるソフトの最適化は頼みたいけれども、業務システムとかユーザー・インターフェースとか
高木浩光@自宅の日記 - ウハ、三井住友銀行の素晴らしいセキュリティ教室
■ ウハ、三井住友銀行の素晴らしいセキュリティ教室 昨日の日記でリンクした「シンプルな安全確認ルールと……」の講演では、「本当に伝えるべきことを誰も伝え ていない」という趣旨のことを述べたのだったが、なんと、民間事業者が 既にそれを伝えていたことを知った。 簡単! やさしいセキュリティ教室 金融犯罪に遭わないために, 三井住友銀行 すばらしい。ほぼ完璧の出来栄えだ*1。いつから公開されていたのだろう? 少なくとも10月31日には既にあったようだ。 ぼやぼやしているうちに仕事を一つ先に取られてしまった。 以下、ハイライトシーン。 そもそも「アドレスバーがない」なんて論外 簡単!やさしいセキュリティ教室, 三井住友銀行 うはは。 三井住友銀行では、このような画面によるログイン方法を提供しません 簡単!やさしいセキュリティ教室, 三井住友銀行 うひひ。 偽メールの例3 ただいまアクセス集中により
高木浩光@自宅の日記 - リダイレクタの存在は脆弱性か?
■ リダイレクタの存在は脆弱性か? 星澤さんの2日の日記 に出ていた件、ITmediaにも記事が出ており、次のように要点が書かれている。 このフィッシングメールは、571.94ドルの税金還付を受けるためにIRSのサイ トで手続きをするようにと受信者に伝えている。より本物らしく見せるため、 このメールはメール内のURLを直接クリックするのではなく、ブラウザのアド レスバーにコピー&ペーストするよう指示している。このURLは本物 の IRSサイトのドメイン名を使っているが、このサイトの設定ミスのために、 フィッシング詐欺犯が設置した偽のサイトにリダイレクトされてしまう。 (略) 「これは典型的なフィッシングよりも高度だ。URLが――最初は――本物のサイトにつながるからだ」とSophosのセキュリティコンサルタント、 グラハム・クルーリー氏は語る。 政府サイトの設定ミスを突いたフィッシング, I
高木浩光@自宅の日記 - トレンドマイクロが嘘を言い始めてしまったが大丈夫だろうか
■ トレンドマイクロが嘘を言い始めてしまったが大丈夫だろうか *1 11月25日の日記で いろいろ質問したところ、正確に回答するためにメールで回答したいとのこと だった。そして、今日、メールでの回答が到着した。 と書いたが、同じ日の同じころトレンドマイクロの製品Q&A(トラブルシューティング)に、「solution 12478」というエントリが追加されていた。 このエントリは11月25日に登録されたが、11月28日に改定されている。改定部 分がどこかというと、以下の部分だけのようだ。 上記機能に伴い、弊社サーバに送信された情報の扱いに関しましては、アクセス先URLのパラメータ部分を除くURL情報(*注1)のみ弊社サーバに蓄積され、お客様に関する各種情報(アクセス元IPアドレスやアクセス時間、ブラウザの種類など)につきましては一切保持されません。 solution 12478: [URLフィ
セキュリティレベルの高いサイトを構築する 22 カ条 :: Drk7jp:
最近、何処の会社でもセキュリティに関してうるさく言われているかと思います。自分としても今まで気を遣ってきていたつもりではあります。しかしながら、 なぜSSL利用をケチるのか:IT Pro SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも 安全なWebサイト設計の注意点 を読んでみて、お恥ずかしい限りですが勘違いしていた部分もありました。実際、Amazon とか Yahoo! のログイン画面を見ても、デフォルトが http によるアクセスになっていたりして、メジャーどころでも最新の注意が払われている訳ではないのだなぁ〜と思ったり・・・。本当は全ページ SSL が理想とは知りつつも、SSL の処理負荷の高さ故に、ついついケチったページ遷移にしまうからなのでしょう。。。自分含めて。 自分への情報もかねて、上記ページに記載されている、31箇条の鉄則と最近の事情を加
サイト管理人のセキュリティホール対策 - ARTIFACT@はてブロ
9bit confusion - 死のロングメトロクロス/Σ(; ●◇●)〆_. http://gmk.9bit.org/note/20051202-metrocross.htm 「俺にからめよゲーモク」やってすいません! ほんと同時期だったのでつい…。関係ないけど、更新されるたびにXbox360を買おうかどうか悩んでいるのを見てニヤニヤしてます。ワタクシめは新しいゲームマシンが出ても欲しいゲームタイトルが出るまで買わないという家訓なので悩んでおりません。 で、ゲーモクさんのセキュリティ対策が面白かった。 ひとつのエントリにたくさんのネタをぶち込み、個別に言及されにくくする。 特に触れられたくない話題ほど後ろに持って行く。 エントリはなるべく長く! わかりにくく! 結論を見えにくく! なるほど、あの記事スタイルは対策だったのか! 自分が考えている対策としては「問題が起きそうな話題は長文にし
高木浩光@自宅の日記 - SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも, クレジットカード業界は最もWebセキュリテ..
■ SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも 24日のIT Proの記者の眼に「なぜSSL利用をケチるのか」という記事が出ていた。筆者の阿蘇氏には勤務先でWebアプリケーションセキュリティについて取材を受けたことがある。この記事の主張はこうだ。 Webサイトはログイン画面からSSLを使い,利用者はログイン時に鍵マークを確認するのが常識。 阿蘇和人, なぜSSL利用をケチるのか, 日経IT Pro記者の眼, 2005年11月24日 正しい。より正確には「ログイン時」というのは、パスワードを入力する前にということだろう。ただ、その根拠としてこの記事は、フィッシング対策としてサイトが本物かを確かめるためという点だけを挙げているが、その根拠はやや弱い。 SSLをパスワード送信先の画面からではなく、入力画面から使わなくてはならない理由のもうひとつの重大な理由
どんなセキュリティソフトを使えばいいの? | スラド セキュリティ
あるAnonymous Coward曰く、"Windowsを使っている/.Jer諸氏にお伺いしたいのですが……。 恥ずかしながら今まで、まったくウィルスやスパイウェア対策をしてこなかったのですが、やはりこれではダメだということで、対策案を考慮中です。SONY BMGのrootkit問題など、判り難くて物騒なものが出回る世相になってきたので、それらにも対応できるプランがあればよいな、と考えています。 市販パッケージやフリーウェア/シェアウェアなど、選択肢と組み合わせは多数あるかと思いますが、皆さんのおすすめをお聞きしたいところです。" 「対策なしにネットに繋ぐな」のように厳しい指摘も飛んできそうだが、現実問題として常時安全セキュリティ24の設定ミス問題のような話もあり、詳しくない人には厳しい昨今であることも事実。苦労話なども踏まえ、皆さんの「Windowsの安全確保論」を語ってみてほしい。
高木浩光@自宅の日記 - ウイルスバスター2006はトレンドマイクロの定義で言うところのスパイウェアである
■ ウイルスバスター2006はトレンドマイクロの定義で言うところのスパイウェアである 星澤さんがウイルスバスター2006のスパイウェア疑惑について、11月2日から書いていらしたが、18日になってもト レンドマイクロから回答が得られないとお困りのご様子だったので、21日 の午前、私も聞 いてみることにした。 一般的に、ユーザからの問い合わせが多くなる商品を販売している会社では、 この種の重要事項の問い合わせ(たとえば脆弱性の指摘など)が、ユーザの一 般的な質問に紛れ込んでしまい、判断のできる肝心な担当者へ情報が伝わらな いということが起きがちなものだ。そこで、大代表に電話をし、個人情報保護 担当者と電話で話したいと伝えた。 (トレン ドマイクロの個人情報保護方針にはメールアドレスしか書いてない。) すると「システムの都合でここから個人情報保護担当者には電話をつなげない」 と言われるわけだが、
「企業はSkypeの利用を禁止すべき」,カナダの調査会社が警告
カナダのInfo-Tech Research Groupが現地時間11月10日に,企業内ではPtoP型IP電話ソフトウエア「Skype」の利用を禁止するよう警告した。Info-Tech Research Group社は「社内でSkypeを使うのなら,ほかのITサービスと同様に管理するべき」と指摘する。 同社によると,約1700万人のSkype登録ユーザーが仕事でSkypeを使用しているという。「並みのハッカーなら,Skypeのぜい弱性を悪用できる」(同社) 企業内でSkype利用を禁止する理由として,同社は以下の5項目を挙げた。 ・各種標準技術を使っていないため,ファイアウオール越しでもぜい弱性を悪用できる ・Skypeの暗号化技術は公開されておらず,仲介者(man-in-the-middle)攻撃を受けやすい。暗号化鍵の管理方法も不透明である ・Skypeの利用が既に禁止されている国や組
Authentication/Identity for Mashups: blog.bulknews.net
Authentication/Identity for Mashups マイミクマップ というアプリケーションがあります。 mixi に登録している自分の友達の出身地あるいは現在地を調べて Google Maps でプロットするという、典型的な Web 2.0 的アプリ。mixi のデータと Google Maps API の remix (Mashup) であり、とってきたデータを視覚的に見せる (Data Visualization) と、Web 2.0 の王道をいっている感じでグッジョブ!といいたいところなのですが、ひとつ決定的に残念なのが、 パスワードやメールアドレスを入力することに不安がある方は、一旦メールアドレス、パスワードを変更してからご利用いただき とあるように mixi のIDとパスワードを渡してログインさせてスクリーンスクレイプしてデータをとってきているところ。これは
『Google』の検索から自分を守る方法(上) | WIRED VISION
『Google』の検索から自分を守る方法(上) 2005年10月25日 コメント: トラックバック (0) Ann Harrison 2005年10月25日 サンディエゴ在住のジェリ・アガリアさんは、ほとんどの米国人と同じように、個人情報に結びつく痕跡を残しているように見える。自分の名義で電話を所有し、銀行口座を持ち、公共料金を支払い、ローンもクレジットカードもある。しかし、定時制の学校に通いながら主婦業をしているアガリアさんは、インターネットの世界では減少の一途をたどっているえり抜きの特権階級に属している――アガリアさんの名前は『Google』(グーグル)でヒットしないのだ。 「プライバシーを大切にしているだけ」とアガリアさんは話す。「政府や企業はすでに、マーケティング目的で個人のことを知りすぎていると思う」 インターネットが日常生活に浸透するにつれ、ウェブ上にうっかり自分への道しるべを
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Amazon.co.jp:セキュリティはなぜやぶられたのか
Firefox 1.5にブラウザを使用不能にさせられる脆弱性~米SANS報告
PS3では中古ゲーム・借りたゲームは動かない? - Engadget Japanese