セキュリティ問題となると、必ず「サーバ運営者」の運営姿勢やら知識やらを槍玉に挙げて非難することが多い。…
セキュリティ問題となると、必ず「サーバ運営者」の運営姿勢やら知識やらを槍玉に挙げて非難することが多い。それに引き換え「攻撃者」を非難する発言や摘発するような取り組みは圧倒的に少ない。 例えるなら、「家の鍵を開けておいたら泥棒に入られた。そしたら鍵をかけなかったことを皆から責められた。泥棒を探して懲らしめよう!と言う人はいなかった」という感じでしょうか。 無用心も良くないが、泥棒はもっと悪いはず。なぜ「セキュリティを犯すヤツらを許さない」ではなく、「セキュリティ対策をしないヤツらを許さない」という方向に行くのか、不思議です。 現実的に考えて、数多くの「被害者予備軍」が対策を講じるよりも、圧倒的に数が少ない「犯罪者」を捕まえるほうが効率がいいはず。 あらゆるセキュリティ問題について、日本中の企業やサイト運営者がその対策に費やす労力・コストの総計を考えると、膨大で気が遠くなります。それらの対策コ
高木浩光@自宅の日記 - 「poeny」の使用は禁止できるか
■ 「poeny」の使用は禁止できるか 1月25日の日記で、「ある国立大学の事務系部局のものと思われるドメイン名のIPアドレスが、2006年からずっとWinnyネットワーク上に観測されている。これは何なのかと以前から気になっていた。」と書いた件、その後の調査で、それはWinnyではなく「poeny」であることが判明した。*1 2009-02-09.12:14:20 ***.jimu.********-u.ac.jp/133.**.**.***: Command 0: versionNumber=12710, versionString=Winny Ver2.0b1 (poeny) 「ポエニー(poeny)」とは、2006年初めに開発された、Winnyプロトコル互換のファイル共有ソフトであり、Winnyからいくつかの機能があえて削られたものである。 poenyのWinnyとは異なる主な点は次
「個体識別番号から個人を特定できるのは,事件などで正当性があるときだけ」と高校教員向け模擬授業 | Yansen 教科情報 BLOG
一定期間更新がないため広告を表示しています
PDF 千夜一夜: 2008年04月03日 アーカイブ
Webは修理が必要だ — Turducken問題 New Yorkで3月に開催されたAjax World East2008で、YahooのDouglas Crockford氏が、「Webを修理できるか」という題で講演しています。 ○講演を紹介したブログ:Crockford Speaks on “Fixing the Web” and Appears on Channel 9 ○MSDNのチャンネル9でのインタビュー:http://channel9.msdn.com/Showpost.aspx?postid=391047 ○講演内容のPowerPointスライド:http://yuiblog.com/assets/crockford/crockford-fix.zip Douglas Crockford氏はJavascript分野で大変有名な人らしいですが、講演内容を見ますと相当にショッキン
Work Life Balanceについて - よそ行き顔で
昨年12月に会社で大がかりな情報漏洩対策が始まった。小型可搬媒体の禁止とPCのセキュリティ強化(一種のMACだ)の導入はずっと前から始まっていたけれど、今回はメールが対象だ。メッセージへのファイルの添付が制限され、いわゆるwebメーラーサイトへのアクセスがフィルタリングされ、メール本文の中身は検疫され、Gmailを含むフリーアカウントにメールの送信(今のところ受信は許されている)ができなくなってしまった。単純な仕組みだが、運用が始まってからその効果の高さを痛感し、ある意味感心しているが、逆に言えば、不便で仕方がない。 TOMOYO Linuxのプロジェクトが始まった頃、既に会社のファイアウォールではsshやcvs, svnなどは許可されていなかったから、SourceForge.jpでの作業の大半は、自宅から行っていた。その頃は、ノートPCの持ち出しについても特に規制はなかったから、毎日鞄に
「それは修正済み」、ソフトメーカーが脆弱性情報公開中止を要求
ソフトウェアの脆弱性に関するアドバイザリー公開をめぐり、Secuniaがベンダーから法的措置の「脅し」を受けたという。 主要ソフトの脆弱性情報を公開しているデンマークのセキュリティ企業Secuniaが、あるベンダーから法的措置の「脅し」を受けたとして、このベンダーとのやり取りをサイトで公開した。 Secuniaによると、問題の書簡を送ってきたのはAutonomyというソフトメーカー。同社の「KeyView」ソフトはIBM Lotus NotesやSymantec Mail Securityといった大手のソフトに組み込まれ、文書を開いたり処理するのに使われている。 問題は、KeyView Lotus 1-2-3 File Viewerの脆弱性情報開示が発端となっている。脆弱性に関するアドバイザリー公開についてSecuniaからAutonomyにメールで連絡したところ、Autonomy側は返信
優秀なエンジニアは「入社時のスキルを問わない会社」には就職してはいけない
ちまたで問題になっているIPAフォーラム2007に参加した学生がエントリーを書いているのだが、それが半端じゃないぐらいのエンターテイメント。 ...IT産業というよりSIerの人気がないことについて語りたいだけなんじゃないかという顔ぶれだったし... ...はてなブックマークのコメントを見ている限りでは、パネリストの方々は相当現実の見えていない発言をしているようだ。... ...ITを専攻している学生達からは、「就職時にITスキルが問われないのだとしたら、大学でやっていることには何の意味があるのか」という質問が出ていたのだけど、明確な回答はなかったと思う。その人たちは、ちょっとショックを受けていたような気がする。... ...その流れで、「入社時にITのスキルを問わないというのは、Googleのような企業の方針とは反対であるが、それですばらしいサービスを作ることができるのか」という質問が出
eXperts Connection|オンカジ 登録ボーナスのセキュリティー
eXperts Connection はシステム エンジニアやシステム管理者を対象とし、マイクロソフトのサーバー システム製品を中心に情報交換や意見交換を行うコミュニティです。ユーザーとマイクロソフトからなるチームでテーマを厳選して議論し、情報を共有・蓄積していきます。また、エキスパート コネクションは .NET Framework上で作成されており、サイト上でソースコードを公開しています。ソースコードに対する機能追加や修正に関する議論を行うことで、お客様が作成する.NET アプリケーションの参考にすることが可能です。 eXConn Blogsでは 「マイクロソフト社員による個人または部門(チーム)の Blog」 の運用を行っています。 このブログでは、マイクロソフトでの経験を活かした部門チームが、セキュリティエンジニアを目指している未経験者達が今後取るべき資格や、IT業界においてのセキュ
手口は公開すべきか | 水無月ばけらのえび日記
わたしはいかに簡単に偽造できるか、実際にこうした手口を講演やテレビで公開した。模倣犯が現れるかもしれないという心配はあるだろう。だが、それを教えないことのデメリットの方が大きい。なぜなら、犯罪者は誰もがそんなことはよく知っているからだ。 以上、知らされない犯罪の実態 より 警察は「この資料を配布すると他の泥棒にも手口を教えることになる」と配布することを懸念したが、一般の人が手口を知ることに意味があるのだ。犯罪者は教えなくても知っている。 以上、空き巣のカギ開け手口を全面公開 より
会社に人生を捧げている人は幸せか?
こういう議論に答えは出ないものだ。 それは、仕事に何を求めているか? 仕事をする事によって何を得たいのか?が千差万別だから。 一般的に「仕事をする事によって得たいもの」は、金・地位・名声・女あたりだろうか…。 これらが一番人間の本能と結びつきが強く、求めて当然の欲求と言える。 これらが世間一般より多く手に入っているならば、サラリーマンだろうが、フリーターだろうが、デイトレーダーだろうが満足感はそれなりにあるはず。 しかし、問題は上にあげたような本能と結びつきの強いものと違うことだ。 例えば、やりがい・達成感・社会貢献・自己実現等の自ら精神的な部分。 これのカラクリを紹介しよう。 100人を50人づつの2グループに分ける。 仮にA、Bグループとする。 この両グループに全く同じ仕事をやってもらう。 仕事内容は誰の目から見ても明らかに単調で退屈な仕事。 Aグループには高収入を支払い、Bグループに
詐欺防止の新ドメイン「.bank」創設を? ネットで議論
フィッシング詐欺を防ぐため、銀行のみが利用できる新ドメインを創設すべき――。こんな提言に対し賛否両論が相次いでいる。 銀行サイトなどを装ったフィッシング詐欺を食い止める一策として、セキュリティ関係者が銀行専用のトップレベルドメイン(TLD)「.bank」の導入を提言している。しかしその効果をめぐっては、業界内でも賛否両論あるようだ。 セキュリティ企業F-Secureのミッコ・ヒッポネン氏はブログでICANNに対し、セキュアなドメインを新たに創設すべきだと提言した。 銀行や金融機関サイトは現在、「.com」や「.jp」といった一般的なドメインを使っているが、これが原因で、銀行サイトに見せかけたURLを誰でも簡単に登録でき、詐欺サイトを設置することができてしまうと同氏は言う。 こうした事態に対処するため新しいセキュアなドメインを創設し、正真正銘の金融機関しか登録できないようにすべきだとヒッポネ
ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係
ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係 by 金床 ---------------------------------- はじめに ---------------------------------- 筆者はウェブアプリケーション開発者であると同時にセキュリティ技術にも興味がある。自身がSeaSurfers MLというウェブアプリケーションセキュリティをテーマとしたメーリングリストを主催しており、またセキュリティコミュニティに多くの知人、友人がいる。しかし彼らとウェブアプリケーションなどのセキュリティ対策について意見を交換すると、違和感をおぼえることが多い。 彼らは脆弱性の原理についてとても詳しいのだが、以下のような会話が頻繁に発生するのである。 「…つまり原理的に考えて、このようにすればXSSは発生しないんだよ」 「な
雑記帳 - セキュリティ産業は本当に必要なのか?
先週ロンドンで開催されたInfosecurity Europe 2007で、『セキュリティはなぜやぶられたのか』の著者であるBruce Schneierがセキュリティ産業の必要性について語った。CNETの英語記事では表題が"Schneier questions need for security industry"となっているが、翻訳されたCNET Japanの記事では「「消費者は安全性に欠ける製品を受け入れるべきでない」--B・シュナイアー氏が講演」と表題が変更されているため、この内容が日本国内のブロガーにはあまり注目されなかったのかもしれない。 が、海外では「セキュリティ産業は現状では必要に決まっているじゃないか」などと、この話を巡り議論が巻き起こり*1、Bruce Schneier自身がWiredでこの件について自ら語ることとなった。その記事が、Wiredに5月3日に掲載された"Do
ウノウラボ Unoh Labs: 脆弱性評価レポートから何が重要かを読み取る
こんにちは!やまもと@テスト番長です。 ちょっと面白い記事がありましたのでご紹介したいと思います。 Interpreting the Results of a Vulnerability Assessment: How to Focus on What’s Important in Your Web Application Security Testing by Kevin Beaver on 15/03/07 http://www.infosecwriters.com/text_resources/pdf/Vuln_Assessment_KBeaver.pdf この記事ではセキュリティテスト(ペネトレーションテスト)の調査結果について、ただ鵜呑みにするのは得策ではなく、何が本当に重要であるかを見抜くことを薦めており、実際にセキュリティテストで報告されたいくつかの誤った報告例を挙げて
モジラ幹部:「バグハンターがプロセス掌握」--脆弱性「責任ある開示」で発言
ワシントン発--こと脆弱性の開示に関しては、ソフトウェアメーカー各社はバグハンターらのなすがままである、とMozillaのセキュリティ担当トップが米国時間3月24日に語った。 ソフトウェア業界は、脆弱性の開示に関するガイドラインを何年も前から推進してきた。Mozillaのセキュリティ部門トップWindow Snyder氏は、当地で開催のハッカー関連イベント「ShmooCon」のパネルディスカッションで、これらの「責任ある開示」活動はある程度成果をあげてきたが、そのプロセスはセキュリティ研究者に完全に掌握されている、と語った。 「研究者がすべての実権を握っている。彼らは、開示時期や、ベンダー対応のタイミングについての考えまでもコントロールしている」とSnyder氏は語っている。 脆弱性の詳細公表は何年も前から熱く議論されてきた。ソフトウェア業界は、バグの私的開示と公開前の修正時間確保を研究者
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PC
PC
http://www.mri-security.jp/wiki.cgi?page=2008.1.10%20%20%BE%F0%CA%F3%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3%A4%CB%B5%E1%A4%E1%A4%E9%A4%EC%A4%EB%C6%A9%CC%C0%C0%AD%A4%C8%B2%CA%B3%D8%C5%AA%A5%A2%A5%D7%A5%ED%A1%BC%A5%C1
http://www.mri-security.jp/wiki.cgi?page=2007.11.19%20%A5%B7%A5%B9%A5%C6%A5%E0%A4%AC%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3%B0%D5%BC%B1%A4%F2%B0%E9%A4%E0%A4%C8%A4%A4%A4%A6%A4%B3%A4%C8
http://blogs.sun.com/okazaki/entry/%E3%81%AA%E3%81%9C%E6%97%A5%E6%9C%AC%E3%81%AE%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%81%AF%E5%85%A8%E5%8A%9B%E6%8A%95%E7%90%83%E3%81%AA%E3%82%93%E3%81%A0%E3%82%8D%E3%81%86