「安全なウェブサイト運営入門」におけるOSコマンド・インジェクションの脆弱性:IPA 独立行政法人 情報処理推進機構
「安全なウェブサイト運営入門」にOSコマンド・インジェクションの脆弱性が存在することが判明しました。 この脆弱性を悪用された場合、悪意ある第三者の攻撃により「安全なウェブサイト運営入門」が動作しているコンピュータ上でOSコマンドが実行されてしまう危険性があります。 このことから「安全なウェブサイト運営入門」は使用しないでください。 脆弱性の説明 「安全なウェブサイト運営入門」が、細工されたセーブデータを読み込むことで任意の OSコマンドを実行される可能性があります。 脆弱性がもたらす脅威 悪意のある第三者によってコンピュータが任意に操作される可能性があります。 対策方法 「安全なウェブサイト運営入門」を使用しない。 「安全なウェブサイト運営入門」の開発およびサポートは終了いたしました。そのため、今後本脆弱性の対策版を提供する予定はありません。「安全なウェブサイト運営入門」の使用を停止してく
Bridge Word
This shop will be powered by Are you the store owner? Log in here
高木浩光@自宅の日記 - APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に
■ APOP終焉で「POP over オレオレSSL」の撲滅運動が可能に APOP(エーポップ)方式におけるセキュリティ上の弱点(脆弱性)の注意喚起について, IPA, 2007年4月19日 回避方法は「『POP over SSL』や『ウェブメール』など、SSLによる暗号化通信を利用する」ことです。 というわけで、POP over SSLの特需が見込まれるところだが、MUAのサポート状況はどうだろうか。 大きなシェアを占めるBecky! はというと、POP over SSLをサポートしているのだが、残念なことに図1の設定がある。 この「証明書を検証しない」は、失効確認のことではない。オレオレ証明書の警告を出さない、そのチェックさえしないという設定だ。 これを設定した場合、偽サーバに接続*1しても何の警告もなしに処理される。(パスワードは偽サーバによって復号ないし解読され得る。) ここはデフ
ギコ猫と暗号技術入門
2ch.netのキャラクタ「ギコ猫」の4コママンガ風対話を通して、 暗号技術を楽しく学ぶページです。 お楽しみください。 拙著『新版暗号技術入門——秘密の国のアリス』もよろしく。 目次 はじめに 「ギコ猫と暗号技術入門」 ぜひ、感想をお送りください 更新履歴 はじめに このページでは、 2ch.netのキャラクタ「ギコ猫」に暗号技術を紹介してもらいます。 どうぞお楽しみください。 といっても、単なるギャグや駄洒落ではつまらないので、 技術的な内容を把握していなければ意味がわからないような構成にしてあります。 毒を持ちつつも愛らしいキャラクタを、 多数生み出している2ch.netの方々に感謝します。 「ギコ猫と暗号技術入門」 以下の各ページは、結城の書いた 『新版暗号技術入門——秘密の国のアリス』という本の各章の構成に合わせてあります。 拙著を読み進めながらお読みになるのも一興かと。 ギコ猫
産総研 RCIS: 安全なWebサイト利用の鉄則
お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。 2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。 この解説について 目的: フィッシング被害を防止するWebサイト利用手順の確認 著名なブランド名や会社名を騙った偽のWebサイトを作り、人をそこに誘い込んでパスワードや個人情報を入力させてかすめ取る、「フィッシング」 (phishing)と呼ばれる行為がインターネットの安全を脅かしつつあります。フィッシングの被害を防止するには、利用者ひとりひとりが本物サイトを正しく見分けることが肝心です。 しかしながら、どうやってWebサイトを安全に利用するか、その手順のことはあまり広く知られていないようです。技術者達の間では暗黙の了解となっていることですが、市販のパソコンの取扱説明書には書か
アップロード可能掲示板(いわゆるあぷろだ、ファイル置き場)を設置していると、誰かが著作権法違反をする以外にも犯罪に巻き込まれてサーバを押収されることがある - 駄文待避所
(2.27追記) 当時の状況が少し分かりました。2.27の記事もご覧ください。画像をちょっと貼られたくらい、という認識は激甘でした。 (2.26追記) 以下の文章は2007/2/24に書いたものでありますが、当日の動揺と、自分のミスを認めたくない気持ちが入り混じって不正確、不明瞭な点があります。管理が行き届いていない自宅サーバの危険性と、アップローダーを放置することの危険性についても混ざってしまっているので追記により修正する予定です。消すことはしません。 これを読んだ自宅サーバーを立てている人、ファイルアップローダーを設置している人は今すぐ自分の管理状況を見なおしてください。お願いします。 家宅捜索されました。マジに。 結論からいうと、自分がある2chのスレのために3年前くらいに自宅サーバに提供していたあぷろだに、海外で不正アクセス事犯で捕まった被疑者が何かの画像(恐らくイスラム教関係、ら
パソコンのファイルを勝手に公開するウイルス、Googleマップで場所まで分かる
専用ソフトの画面例(Websenseの情報から引用)。感染パソコンの情報の一部が表示されている。中には、「japan tokyo」という表示もある。この画面中の「map」をクリックすると、感染パソコンの場所がGoogleマップ上に表示されると考えられる セキュリティベンダーの米Websenseは2007年2月19日(現地時間)、パソコンに保存されたファイルを勝手に公開する新ウイルスを警告した(発表資料)。感染パソコンをWebサーバーにして、攻撃者(ウイルス作者)がアクセスできるようにする。攻撃者の持つ専用ソフトには、感染パソコンの場所がGoogleマップで表示されるという。 今回のウイルスはメールに添付されて送られてくる。メールには、「オーストラリアの首相が心臓発作を起こした」といった虚偽の情報が記述され、詳細は添付ファイルに書かれているとする。添付ファイルの実体はウイルスなので、ユーザー
Googleの対処間に合わず、ブラックリストの個人情報流出
フィッシング対策用ブラックリストに個人情報が含まれていた問題で、Googleの対処は既に遅く、個人情報がネットで出回っていた。 Googleのフィッシング対策用ブラックリストにユーザーネームやパスワードなどの個人情報が含まれていた問題で、セキュリティ企業のMcAfeeは、Googleが手を打つ前にリストの一部が出回っていたと明らかにした。 問題のブラックリストは、Googleが詐欺目的と見られるURLの一覧を作成し、ネットで公開しているもの。Firefox向け拡張機能のGoogle Safe Browsingで利用され、Google ToolbarのFirefox版にも組み込まれているという。 このブラックリストにユーザーネームやパスワードなどの情報が含まれていることが先日発覚し、Googleが問題の情報を削除していた。 しかしMcAfeeで検索エンジンを使って探したところ、Googleが
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
アンチウイルスソフト、何使ってる?:アルファルファモザイク