mala氏の心配している未来はもう来ている
サービスについて、身に覚えのないクレームを頂いた。もちろん会社としては丁寧に対応しながらも、裏ではその人の素性を調べる。そしてその人のblogやらtwitterやらそこら辺が引っかかる。そこら辺を追いかけると「ああ、この人は高木信者なんだな」って認識する。 この場合の高木信者というのは「わずかでもリスクがあれば、それを根拠にどれだけひどい罵倒中傷をしてもいいんだ、そこから考えられる『可能性』と称して憶測で悪事を行っていることにしていいんだ」と考えている人のことである。普通に指摘するだけで良い所を、わざと「過剰な悪である」と言うことを前面に押し出してクレームを付けてくる。『セキュリティ』という大義名分を得て自己満足をしたいただのサディストである。 ……というのは、もちろんその人の言動を見ればみんな薄々気付くわけで、その様子から「セキュリティって言うのはクレームのための道具なんだ」と認識されて
webセキュリティ4天王同士のいがみ合いは日本の損失
言わずと知れた日本が誇るwebセキュリティ4天王がいる。我々が快適にネットサーフィンできるのは彼らのお陰と言っても過言ではない。 ひろみちゅmalaはまちやhasegawayosuke このうち、ひろみちゅとmalaの仲があまり芳しく無いということは薄々皆さんも感じていただろうが、いよいよ本格的に抗争が顕在化してきて大変に憂慮すべき事案であるのでここで周知徹底しておきたい。 ライブドア社員malaが高木浩光の定置網に引っかかりtwitter民にフルボッコにされるの図 http://togetter.com/li/326127 高木浩光さんへ、しっかりしてください 最速転職研究会 http://d.hatena.ne.jp/mala/20120830/1346309790 ますます膨張するwebセキュリティの危機に対し技術者としてピュアな態度で臨むという共通点を持ち合わせる四天王。 それ故
twitterの位置情報の取得
最近 「Twitterのつぶやきから自宅の住所を特定するサイトWeKnowYourHouse.com」 http://nlab.itmedia.co.jp/nl/articles/1208/14/news060.html とかいう記事を見て、 ちょっと気になったので調べてみたら、ブラウザから見るとツイートの位置情報は少し範囲広めに出ているけど、 apiからデータを取ってみてみると、めっちゃ詳細な住所が出ていたのでびっくりしました。 (~~市~~町X-XX まで) geo情報なので「○○市」までとかそんな情報に丸められないのかもしれないけれど、 登録された位置情報そのまま?保存されているっぽいので危険ですね… ちょっとした練習もかねて作ってみました。 twitterで位置情報を登録しておうちに帰ったっぽい人を見つけてツイートしてみるbot https://twitter.com/pengin
おっさんIT用語。
「選択と集中」「利益が出なかったので撤退、でも俺の間違いだったとは認めない」 「新規事業育てる体力がなくなった、でも俺は間違ってない」 のいずれかの意味「PDCAサイクル」「反省しました」 「これからはがんばります具体案はないけど」 のいずれかの意味「再発防止策」「次に二度と同じ失敗をしないための仕組みづくり」 「俺のせいじゃないけど謝っておきます」 「具体案を作りようがないけど次からは凄く気をつけます」 のいずれかの意味「ソリューション」「受託開発」 「前の受託開発で作ったものをちょっと改造して他の所に売ります」 「お客様と同業種の会社から開発を請け負った経験があります」 のいずれかの意味「パッケージ」「前の受託開発で作ったものをちょっと改造して他の所に売りますお安くしますよ」 の意味「クラウド」「アマゾンかグーグル」 「レン鯖」 「クラサバ」 「ホストとダム端」 「ブラウザで操作する社
女子中学生とブルートフォースアタックと日本やばいという話
女子中学生を名乗るスパムメールが来て釣られてみるかと会いに行ったら本当に女子中学生だった話。あるいは日本の将来やばい。 ありのまま起こったことを話す。女子中学生を名乗るスパムメールが来て釣られてみるかと会いに行ったら本当に女子中学生だった。何を言っているかわからないと思うけれど、自分でも何が起こったのかよく分からない。とりあえず詳しい経過を書いてみる。 最初は1通のメールから始まった一昨日(9/23)の深夜、一通のスパムメールが来た。簡単に「友達になりませんか?」と。普通ならそこで削除して終わりなのだけれど、他のスパムメールと決定的に違うことがあった。送信者のアドレスが@docomo.ne.jpだったのである。 ほぼ釣りか巧妙なスパムだと思ってスルーしていたけれど、ふと「どちらさまですか」と返信してみるとすぐに「XXX(以下、仮にハルカとする)っていいます。中3です!!」と返事が来た。 9
平文メールにパスワードを書いて送ってくる糞企業一覧
ぼく就活生。リクナビからJR東海にプレエントリーして驚いた。 ■■■JR東海からID・パスワードのお知らせ■■■ あのに 増田 様 ◆あのに 増田さんのID・パスワード◆ ID:12345678 パスワード:mypassword こんにちは!JR東海人事部です。 このたびは当社にプレエントリーを行って頂きまして、 誠にありがとうございました。 こんなメールが届いたの。 なにに驚いたって?登録画面で入力したパスワードが平文メールに書かれてたってとこ。 「mypassword」って書いてるところにぼくの大事なパスワードが書かれてたの。Gmailでも使ってる大切なやつ。 同じパスワード使ってるぼくも相当間抜けなんだけど、いまの時代いくらなんでも平文メールにパスワードはないでしょ。 とっても怖かったのでJR東海とGmailのパスワードを変更して寝ました。 恐怖はこれで終わらずに2ヶ月後。こんなメー
楽天はニセ脆弱性を放置しないで欲しい
やや古い話だがid:BEWの「全楽天ユーザーが今すぐに登録情報の実名をハンドルネームにすべきたった1つの理由」という日記で楽天に個人情報漏洩の欠陥があるにも関わらず楽天が対応しないという話があった。 http://d.hatena.ne.jp/BEW/20100121/1264078657その数日前に書いた「楽天である条件の下だと別のユーザーでログインできてしまう件+α」という記事が予想に反してあまり話題にならなかったので煽情的なタイトルにしたたそうだ。こちらはBEW氏が意図した通り「また楽天か」的なムードがはてブやTwitterで沸き上がった。 http://b.hatena.ne.jp/entry/d.hatena.ne.jp/BEW/20100121/1264078657http://togetter.com/li/3755しかし楽天からBEW氏の期待していたような発表は一切なく、逆
はてなのXSSをはてなダイアリーで公表したら強制非公開にされた
こちらははてなサポート窓口です。 このたび、ご利用いただいているはてなダイアリーにつきまして はてな利用規約に抵触する内容が掲載されていることが確認されましたため 勝手ながら当該ダイアリーを非公開状態にする措置を行わせて頂きました。 これは、ダイアリー内に下記のいずれかの内容が掲載されていたことによります。 ・はてなの承認していない広告リンク ・副業の勧誘や情報商材の販売などを目的としたリンク ・倫理的に問題のある内容、成人向け情報、ポルノ、風俗情報など ・多数のキーワードリンクを意図的に掲載し別サイトへの誘導を行う、 あるいは隠しリンクなどで検索順位の操作を行うなど、スパム行為と みなされる内容 ・犯罪に関わる内容、法令に違反する内容 ・複数のメインアカウントを取得しての利用 ・そのほか、はてなが不適切であると判断する内容 はてなでは、利用規約(6)禁止事項にて以下のように定めております
両親のネットセキュリティ意識が低すぎる件
数年前両親から電話がきた「知らない人から『あんたのPCからウィルスが発信されまくってる』と電話がきた」「最近デスクトップにアダルトサイトへのショートカットがあって消えない」「PCの挙動が遅くて使えない」ウィルスソフトは?「何それ?」 すぐに帰省して早くノートンでもなんでも入れろと説教。しかしPC(Me)自体がかなりガタが来ていたので、ネットで新しくPCを買わせた最近最近PCの調子どう?「調子いいよ」ウィルスソフトの期間延長の更新した?「あ、忘れてた」大至急更新しろ「フリーのウィルスソフトも入れてるから大丈夫かなって」「ヤフオクと楽天しか見ないし」あんた(母)はそうかもしれないが父は仕事の関係で海外のサイトにメルアド載せてるんだぞどんだけ危険かわけってねえのかうちの親が「電気屋にインターネットください」レベルの知識しかないことに失望を感じざるを得ない
株式会社ウェブマネーはユーザのフィードバックを活用する能力が低い
株式会社ウェブマネーはwebmoney.co.jp、webmoney.jp、webmoney.ne.jpといったドメインを使用している。webmoney.jpでチャージの手続きをした後、他のサイトからウェブマネーを使おうとしたら、ログイン画面のドメインがwebmoney.ne.jpだった。 その時は複数のドメインを使っている事を知らなかったのでフィッシングかと思って、証明書を確認するなど余計な手間がかかったし、何より不安で仕方なかった。 だから、ドメインを統一すればいいのに、と思って下のメールを送ってやった。 ウェブマネー 担当者様 御社ではドメイン名としてwebmoney.co.jpやwebmoney.jpも使用しているようですが、 他社のサイトからウェブマネーウォレットを利用する場合に ログイン画面のドメインがwebmoney.ne.jpになっている場合があります。 ドメイン名が違うた
WinnyとかShareでごにょごにょしてComicView.exeを実行したひとへ。
最近PCの調子はどうですか? すこぶる元気ですか? ごにょごにょして手に入れたzipの中に入っているComicView.exeを実行してしまった人用に対応策を書かせてもらいます。たぶん優秀で善良なはてなの方たちには全く関係がないと思うけど、はてなに書けばGoogle先生も良く拾ってくれますからね。 まず最初に断っておくと、私はWindowsVistaを所持していないのでWindowsXP用の対応策になります。WindowsVistaでは同じように機能するのかも分かりません。 まず、実行した人には分かると思いますが何も起こりませんよね。 これで何も害がない実行ファイルだと思ってしまったらダメです。この時点であなたはウイルスの作者に利用されてしまっています。 ComicView.exeを実行すると「C:\Documents and Settings\All Users\スタート メニュー\プロ
エガミくんの脆弱性のやつ
こんにちは! id:Hamachiya2 ですよー。 ブックマークコメントでIDコールされたけど、 「コメント返すためにブクマ (してリンクジュースを流すこと) 」は、ちょっと今回は間接的にでもできない感じなので こっちで返答しますね! http://zapanet.info/blog/item/1418 http://b.hatena.ne.jp/entry/http://zapanet.info/blog/item/1418 2008年10月19日 hiroyukiegami id:Hamachiya2 助けてください。色々やってみたのですがやはり、わかりません…。コード公開しております。すみません、誰か具体的に教えてもらえると嬉しいのですが(涙)http://flickr2.in/flickr.zip いきなりソースコード丸投げして「わかりません」って言われてもちょっと困るよー。 ま
初心者を批判し過ぎる風潮が嫌過ぎる
これはえがい人とgoodhomeの揉め事のまとめ えがちゃんだっけ? これなぁ。どうも解せないんだよな。いや、もちろん批判してるやつがね。 言いたい放題批判してるやつって自分が当事者になる可能性を考えてないやつか、自分でサービス展開しようとする気が微塵もないやつばっかだろ。 お前らどんだけ敷居を上げれば気が済むんだ?そうやって素人追い込んでフェードアウトさせれば満足なのか? XSSが直らないだって?簡単に言うなよ。そりゃお前だからすぐ対策できるんだよ。 別に素人ってのを盾に何でもやれという気もないし、批判ダメ!絶対!とか言いたいわけじゃないんだけどさ。ただそれにしても言いたい放題言い過ぎ。 どーせ自分ではWebサービスを作る気ないやつばっかだろ。マジで。 いーじゃねーか。量産したって。そこから面白いサービスが一つや二つ出てくる可能性だってあるだろ? 批判ばっかしてるから皆が億劫になって面白
諸君 私は脆弱性が好きだ
諸君 私は脆弱性が好きだ 諸君 私は脆弱性が大好きだ PHPが好きだ XSSが好きだ SQLインジェクションが好きだ CSRFが好きだ UTF-7が好きだ expressionが好きだ シェアウェアで Webで Googleで スペシャルねこまんまで LiveHTTPで Filemonで Regmonで OllyDbgで Perlで この地上に存在するありとあらゆる脆弱性が大好きだ セキュリティに関して口うるさく言っているサイトの脆弱性をいとも簡単に見つけるのが好きだ 大企業のサイトがGoogleによって脆弱性を発見された時など心が踊る Googleがあっけなく脆弱性を見つけてしまうのが好きだ Perlを馬鹿にしていた奴のアカウントを乗っ取った時など胸がすくような気持ちだった 粘り強い同業者がMS Officeのシリアル認証と格闘している様が好きだ PHP覚えたての野郎共が続々と脆弱性を作
初心者はPHPで脆弱なウェブアプリをどんどん量産すべし
http://www.rubyist.net/~matz/20080126.html#p04 趣味でやってるプログラミング初心者の立場で言わせてもらう。だいたいな、あんたらプロのプログラマが小難しい顔してセキュリティセキュリティ言うもんだから初心者プログラマのセキュリティ意識がまったく向上しないばかりか、よけいに低下するんだよ。ごちゃごちゃ言われたり叩かれるのはイヤだけど、眼前の問題はプログラムで解決したいってヤツは耳塞いで黙ってPHPでやりたいようにやるんだよ。何が「楽しいRuby」だよ。「Webアプリケーションをなめるな」ってその時点でもう全然楽しくねーだろが。 それでこれだよ。 http://d.hatena.ne.jp/essa/20080130/p1 もう萎縮萎縮!初心者超萎縮ですよ。「あーセンコーうぜー。隠れてタバコ吸おう」って高校生の心境だよ。難しい顔して訳知り顔でかっこつけ
会社に人生を捧げている人は幸せか?
こういう議論に答えは出ないものだ。 それは、仕事に何を求めているか? 仕事をする事によって何を得たいのか?が千差万別だから。 一般的に「仕事をする事によって得たいもの」は、金・地位・名声・女あたりだろうか…。 これらが一番人間の本能と結びつきが強く、求めて当然の欲求と言える。 これらが世間一般より多く手に入っているならば、サラリーマンだろうが、フリーターだろうが、デイトレーダーだろうが満足感はそれなりにあるはず。 しかし、問題は上にあげたような本能と結びつきの強いものと違うことだ。 例えば、やりがい・達成感・社会貢献・自己実現等の自ら精神的な部分。 これのカラクリを紹介しよう。 100人を50人づつの2グループに分ける。 仮にA、Bグループとする。 この両グループに全く同じ仕事をやってもらう。 仕事内容は誰の目から見ても明らかに単調で退屈な仕事。 Aグループには高収入を支払い、Bグループに
高木先生のご指摘はもっともな面があるものの、一部でヒステリックな反応..
高木先生のご指摘はもっともな面があるものの、一部でヒステリックな反応があるので、言及をする。 NTT DoCoMoの端末はCookieを利用できない。そこで、セッションを引き継ぐために、セッションIDをURLに含める必要がある。ただし、端末はHTTP_REFERERを送信しないので、セッションIDが端末の参照元情報から漏れる心配はない。 一方、AU・SoftbankはCookieを利用できるので、セッションIDをURLに含める必要はない。 全キャリア対応のためと称して、セッションIDをURLに含めると、セッションハイジャックの危険性がうまれる。ただし、フレームワークでそのセッションIDをURLへ埋め込むかどうかを切り替えれば済む話なので、対応が難しいというわけではない。 さらに、携帯電話向けのサービスでは、キャリアの指定するIPアドレスの範囲以外からのアクセスを制限することが一般的になって
はてなセリフタイトル欄で危険なタグが使える件について
http://hatena.g.hatena.ne.jp/hatelabo/ </a><a href="http://anond.hatelabo.jp/20061130233021" style="color: yellow;" onclick="javascript:alert('test');">test こんなんとか普通に通った。はてのくん対策よろ。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
就活サイトのセキュリティ
はまちちゃんが狙っているもの