こんなの絶対騙される……古いURL形式を使った巧妙な詐欺リンクの偽装方法が話題に/なるほど、頭いいなぁ【やじうまの杜】
Windowsに「デフォルトのブラウザをMicrosoft Edgeから変更できないようにするドライバー」が配信されていたことが判明
Microsoftは、Google Chromeのダウンロードを中止するように促すメッセージを出したり、チャットAI「りんな」を動員したりと、Microsoft Edge以外のブラウザを使おうとするユーザーをなりふり構わず引き留めることで知られています。そんなMicrosoftが、Windows 10とWindows 11のデフォルトブラウザの設定を変更できないようにするドライバーを、2024年2月のWindows更新プログラムで導入していたことが発覚しました。 UserChoice Protection Driver – UCPD.sys – the kolbicz blog https://kolbi.cz/blog/2024/04/03/userchoice-protection-driver-ucpd-sys/ Windows UserChoice Protection Drive
絶対に画像をダウンロード&スクレイピングさせないWebページを本気で作ってみた - blog.potproject.net
巷で話題になっているこの話題、画像をスクレイピングやダウンロードされたくないということで騒がれています。その話に関しては色々な意見があると思ってますがここでは置いておくとして・・・ 技術的にやるとしたら実際どれくらい対策できるの?ということが気になったので、自分の知識で出来る限り対策したものを作ってみることにしました。 最初に 賢い方はわかると思いますが、タイトルは釣りです。 絶対に画像をダウンロード&スクレイピングさせないページは存在しません。ソフトウェアにおいて絶対と言う言葉はまず存在しないのです。ブラウザで表示している以上、仕組みさえわかれば技術的には可能です。 そのため、 「元画像のダウンロードとスクレイピングを非常に困難にしたWebページを本気で作ってみた」 が実際のタイトルかなとなります。 とはいえ、この仕組みであれば大多数の人は機械的にスクレイピングすることを諦めるレベルの作
DNSリバインディング(DNS Rebinding)対策総まとめ
サマリ DNSリバインディングが最近注目されている。Google Chromeは最近になってローカルネットワークへのアクセス制限機能を追加しており、その目的の一つがDNSリバインディング対策になっている。Googleが提供するWiFiルータGoogle Nest WiFiはデフォルトでDNSリバインディング対策機能が有効になっている。 DNSリバインディング対策は、攻撃対象アプリケーションで行うべきものであるが、ブラウザ、PROXYサーバー、リゾルバ等でも保護機能が組み込まれている。本稿ではそれら対策機能の状況と対策の考え方について説明する。 DNSリバインディング(DNS Rebinding)とは DNSリバインディングはDNS問い合わせの時間差を利用した攻撃です。DNSのTTL(キャッシュ有効期間)を極めて短くした上で、1回目と2回目の問い合わせ結果を変えることにより、IPアドレスのチ
「デジタル庁創設に向けた準備サイト」がスクリプト無効で閲覧できない
デジタル庁創設に向けた準備サイト(www.digital.go.jp)なるものが立ち上がったようです。 が、スクリプト無効設定でアクセスすると残念なことに……。 スクリプト無効設定で www.digital.go.jp にアクセスした様子。真っ白で何も表示されていない。オリジナル画像 サイトポリシー(www.digital.go.jp)の「閲覧環境について」を読むと、 当ウェブサイトでは、より快適にご利用いただくためJavaScriptを使用しています。ご使用のブラウザの設定においてJavaScriptが有効となっていない場合、正しく表示されない、又は操作できないことがありますので、ご了承ください。 サイトポリシー(www.digital.go.jp) とあるので、これは設定ミスやサーバーのエラーでそうなっているのではなく、意図的な作りと思われます。ソースコードを見るに「Nuxt.js」を
パスワード管理「LastPass」の無料版、3月にスマホかデスクトップかの選択必須に
マルチプラットフォームのパスワード管理ツールを提供する米LastPassは2月16日(現地時間)、無料版「LastPass Free」で利用できるデバイスタイプを1つに限定すると発表した。3月16日から、モバイル端末かデスクトップWebブラウザかの選択を迫られる。 モバイル端末にはスマートフォン、スマートウォッチ、タブレットが含まれ、デスクトップWebブラウザは現在サポートされているすべてのPC上のWebブラウザのことだ。 例えばモバイル端末を選ぶと、iPhone、Android端末、iPad、Apple WatchでLastPassが使えるが、WindowsノートやMacでは使えない。デスクトップWebブラウザを選ぶと、その逆になる。 PC(Mac)とモバイル端末の両方でパスワード管理を続けたい場合は、月額3ドルの「LastPass Premium」あるいは月額4ドルの「LastPass
ベストなパスワードマネージャーはこれ!数十種類から厳選してみた
ベストなパスワードマネージャーはこれ!数十種類から厳選してみた2020.11.25 21:0063,872 Andrew Cunningham, Thorin Klosowski -WIrecutter [原文] ( satomi ) Tags : プロダクトバイヤーズガイドWirecutterソフトウェアレビュー ネットで個人情報が盗まれたら大変! 保護の基本は2段階認証とパスワード管理ソフトというわけで、今回はガジェット徹底比較でおすすめをバシッと言い切る信頼の米国メディア「Wirecutter(from The New York Times)」 が数十種類を審査、4つをテストして、機能と互換性、堅牢性、使いやすさの観点から選んだベストを紹介します。 イチ押し:1Password1Passwordアプリは使いやすさ抜群。読みやすい文章でセキュリティのおすすめが表示され、使う人の身に立っ
Flashエミュレーター「Ruffle」はなぜ本家Flashの問題点を解決できるのか - 緑SM64のいろいろメモ
Adobe Flash Playerがセキュリティの問題などから2020年末に終了することが発表され、Flashで作られたゲームなどのコンテンツをなんとか次世代につなげようという試みがいくつか出てきています。 それらの中でも注目を集めているのが、ブラウザ上で動くFlashエミュレータRuffleです。 ruffle.rs Ruffleはユーザーがブラウザの拡張機能やデスクトップアプリとして利用可能なほか、Webサイト管理者側がWebサイト側に設置すればユーザーが特に何もしなくてもFlashコンテンツを再生することが可能です。 つまり、ユーザーかWebサイト管理者側のどちらか一方が導入していれば、Flashコンテンツを再生することができます。 開発は急速に進められており、多くのFlashアニメーションが再生可能なだけでなく、最近では「くまのプーさんのホームランダービー!」「ハム将棋」などの人
HTML5のLocal Storageを使ってはいけない(翻訳)|TechRacho by BPS株式会社
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Randall Degges - Please Stop Using Local Storage 原文公開日: 2018/01/26 著者: Randall Degges 日本語タイトルは内容に即したものにしました。 画像は元記事からの引用です。 初版公開: 2019/10/19 追記更新: 2024/04/05 -- リンク情報を記事末尾に移動しました 本気で申し上げます。local storageを使わないでください。 local storageにセッション情報を保存する開発者がこれほど多い理由について、私にはさっぱり見当がつきません。しかしどんな理由であれ、その手法は地上から消えてなくなってもらう必要がありますが、明らかに手に負えなくなりつつあります。 私は毎日のように、重要なユーザー情報をlocal storageに保存す
今の若者はURLという概念を持たない。 - Togetter
酒野美杉 @SAKENO_MISUGI @H1se2 そういえばTV番組でサイト紹介する際に『だぶりゅだぶりゅだぶりゅーどっと…』っていつの間にか言わなくなった! れなち🖋️💚🥼 @Ere_7kd @H1se2 機種によりけりかもですが、私の機種はWebページをスクショするとこのように表示され、そのページに飛べるという機能があるのでURLがいらないかもです。 (こちらはスクショのスクショで、どこかにスクショを貼り付けたりする時には「Webサイトに移動」は表示されません。あくまで端末内のみです) pic.twitter.com/F27AOD93Yl
人間の目で見抜けないURL偽装がフィッシング詐欺に悪用される可能性、Firefoxでの対策はコレ
通信の安全を保証するプロトコル「HTTPS」が採用されているURLの表記が正しければ、それが正規サイトだと認識するのは自然なことですが、ブラウザのURL表記上からは見抜けないフィッシング詐欺の危険性が指摘されています。このフィッシング詐欺は「homograph attack(ホモグラフ攻撃)」を進化させた手法を用いており、ブラウザに内在する脆弱性を突いたもので、人間が画面表示から詐欺サイトであることを見抜くことは不可能。現実問題として「ブラウザ側の対応を待つしか対策法はない」と言える状況です。 This Phishing Attack is Almost Impossible to Detect On Chrome, Firefox and Opera http://thehackernews.com/2017/04/unicode-Punycode-phishing-attack.htm
「Microsoft Edge」からパスワードを盗む攻撃手法が判明、対策はほぼなし?
関連キーワード Windows 10 | Microsoft(マイクロソフト) | JavaScript | セキュリティリスク | 脆弱性 研究者が明らかにしたRow Hammer悪用攻撃とは あるセキュリティ研究者が、メモリ重複排除と、「Row Hammer」(メモリセル間の干渉が引き起こすエラー)のエクスプロイト(攻撃コード)を組み合わせた攻撃の概念実証を発表した。JavaScriptを使ったこの攻撃では、攻撃者が「Windows 10」で稼働するWebブラウザ「Microsoft Edge」に対する読み取り/書き込みアクセス権限を入手できる。企業にとってこの脅威は重大なのか。この脅威に対策はあるのか。 併せて読みたいお薦め記事 「Microsoft Edge」はIEよりも安全なのか さようならIE、「Microsoft Edge」が挑むWebブラウザセキュリティの極北 “危険なIE
ブラウザへ保存したパスワードの表示方法 「保存はよく考えた上で」
*1)ツールでまとめて表示可能(IE8,10,11で確認。保存できるVerではすべて可能なはずです) 【ご参考】パスワードの確認方法 ☆IE11 (RTM版で確認Windows 8.1正式発表後には変わっているかもしれません(9/23注)) 1、インターネットオプションを表示 2、「コンテンツ」タブ⇒[オートコンプリート]の「設定」ボタン⇒「パスワード」の表示ボタン 3、表示したい項目を右側の矢印で拡張して、「表示」リンクを押すと、パスワードの確認が表示される ☆Firefox 1、画面左上の「Firefox」メニュー⇒「オプション」メニュー⇒「オプション」メニュー 2、「セキュリティ」タブ⇒「保存されているパスワード」ボタン ★上記画面で、マスターパスワードを設定していると、「パスワードを表示する」ボタンを押したとき、パスワードの入力が求められます 3、項目を選んで「パスワードを表示する
Chrome などで保存したパスワードが丸見えだから危険とか言われている件について
Google Chrome では設定画面からブラウザに保存してあるパスワードを簡単に見ることができて危ないっていう件について誤解されていそうな点をまとめてみたいと思います。 ソフトウェア開発者の Elliott Kember 氏が自身の Blog に「Chrome's insane password security strategy」 というタイトルで指摘する記事を書き、日本ではギズモード・ジャパンで翻訳記事が上がったことで話題になった、「Google Chrome では設定画面からブラウザに保存してあるパスワードを簡単に見ることができて、マスターパスワードの設定もないから危ない」 っていう件。 Chromeでは自動保存のパスワードが丸見え。サーッと血の気が引いたわ : ギズモード・ジャパン Chromeブラウザの「パスワード丸見え」問題にGoogleが釈明 : ITmedia ニュース
Chromeでは自動保存のパスワードが丸見え。サーッと血の気が引いたわ
Chromeでは自動保存のパスワードが丸見え。サーッと血の気が引いたわ2013.08.10 19:0010,614 satomi Chromeは初めて立ち上げると面白いことが起きます。 先日Ember.jpアプリ向けの開発でChromeを使った時のことです。閲覧はSafari常用ですが、Safariは一番ファイルをキャッシュして欲しくない時に限ってキャッシュする癖があるので、時たまChromeに切り替えるんです。 すると、Chromeにこんなのが出てきました。Safariのブックマークレット移植したら両ブラウザとも同じ環境になって便利だな、と思って「Import bookmarks now(ブックマークを今すぐインポートする)」のリンクを押してみたら、こんな予想外のものが出てきたんです。 なぜ「保存済みパスワード」がグレイで、もうチェックしたことになってるんでしょうね?? チェック外せない
Google Chromeに保存したパスワードが丸見えに、開発者が問題指摘
例えば職場でユーザーが席を外している間に他人が操作するなど、PCに物理的にアクセスできれば誰でもChromeに保存されたパスワードをのぞき見ることができてしまう。 米GoogleのWebブラウザ「Chrome」に保存されたパスワードは、設定ページを通じて誰でも簡単に平文で見ることができてしまう――。ソフトウェア開発者が自身のブログでそんな実態を報告し、Googleのパスワードセキュリティ対策の甘さを指摘している。 ソフトウェア開発者のエリオット・ケンバー氏は8月6日、「Chromeのあり得ないパスワードセキュリティ戦略」というタイトルのブログでこの実態を紹介した。 同氏はWebブラウザをAppleのSafariからChromeに切り替えて使っている過程で、Chromeの設定ページから保存したパスワードの一覧を表示すると、この画面にパスワードの「表示」ボタンが現れることを発見した。このボタン
高木浩光@自宅の日記 - 日本の携帯電話はいつになったらアドレスバーを付けてくれるの?
■ docomo IDを作ると生でパスワードを保管されてしまう docomo IDについて, NTTドコモ My docomo-新規登録:ご登録前の準備, NTTドコモ docomo IDを作ると初期パスワードが発行されるが、これは各自、愛用のパスワードに変更して使えるようになっている。それなのに、「ID/パスワードをお忘れの方」の説明を見ると、パスワードを忘れたときは、携帯電話で現在のパスワードを閲覧できるのだという。 これはないわ。パスワードは照合さえできればよいのであって、不可逆変換して持っておけば十分。生で持つ*1必然性がない。パスワード忘れの場合は、再発行すれば済むこと。特にここの場合、登録時と同様に、初期パスワードを生成して画面に出せばよいのであって、何ら不都合がない。 弊社サービスではパスワードを平文で保存していますが何か, AnonymousDiary, 2010年1月2日
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
BlueskyとX(旧Twitter)の両方に投稿できるサービス「Skyshare」登場、スマホやタブレットにも対応【やじうまWatch】
新規タブリンクの恐ろしい仕様、Chrome 88で変更へ ~Safari/Firefoxに合わせた安全な仕様に/“rel=noopener”を付け忘れても大丈夫【やじうまの杜】
input type = password autocomplete = off は使ってはいけない