0001Softbankというオレオレ基地局で遊んでみた。 - それマグで!
0001Softbankというオレオレ基地局に、SBアンドロイドが無差別に接続する話を試してみたら、意外とあっさりつながったのでエントリに。 コネクトフリーの件で、Wifi認証を調べてた。ちょっと昔聞いた話を思い出したので、 昔の話。 FONとか、公衆Wifi業者と同じssidにして、wifiあげとくと楽しいですよ。 やってみた。 最近は、Wifiスポット自動接続になってきたので、さらに香ばしいことになってるはず。 0001SoftbankのSSIDでWifiたててみた。 0001SoftBankで、SSIDを出してみる。 ソフトバンクのWifiSpotアプリをオンにした。 接続された。 ローカルIPで。認証済みねぇ。まぁそういものなんだろうけど。 いいのかね。 tcmpdump してみた。 アンドロイドのブラウザを開いた。そこそこパケット見えるなぁ。HTTPSは無理でもHTTP Cook
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
コメント masa (2008/02/29 18:31) - パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記
ITProの記事が契機となって、PCIDSS(PCIデータセキュリティ規準)およびパスワードに関する規定が話題となっている*1。 「パスワードは90日ごとの変更」が義務づけられる!? | 日経 xTECH(クロステック) それに対して,PCIDSSは表現が具体的である。現在のバージョン1.1ではパスワードについて下記のような規定がある。 ■要件8.5.8 グループ、共有または汎用のアカウントとパスワードを使用しないこと。 ■要件8.5.9 ユーザー・パスワードは少なくとも90日ごとに変更する。 http://itpro.nikkeibp.co.jp/article/OPINION/20080220/294287/ このうち、要件8.5.9「ユーザー・パスワードは少なくとも90日ごとに変更する」に関して疑問を持った。これはいわゆる「セキュリティの常識」という奴の一つではあるが、実際のところ、
bit.lyにログインしているとメールアドレスを抜かれる
bit.lyにログインしているとメールアドレスを抜かれる ※修正されたようで今は抜けなくなっています (2010/08/10 10:00) account name: - mail: - api key: - » このページをツイッターで紹介する » はてなブックマークでのコメント » ぼくはまちちゃん! » はまちや2(Blog) » はまちや2(twitter) Powered by BEARS SERVER PROJECT: ついったーとHamachiya2はまちや2のtumblr [hmcy]ドリームメーカー:簡単・無料・フリーのノベルゲームが作成できるWebサイトソーシャルゲーム速報簡単!節約!おいしい!お料理レシピのもぐもぐ予告.out - 予告ができる掲示板ぼく専用mxximixiシークレットバトンはまちやブックマークオナホールピンクローター私立恵比寿中学(エビ中)ファンクラ
Opera mini for iPhoneではオレオレ証明書が警告されない - disり用。
通常、オレオレ証明書が使われているサイトにアクセスするとブラウザは警告を表示します。iPhone版のSafariでも警告が表示されます。たとえばオレオレ証明書が使われているサイトにアクセスすると、以下のように警告が表示されます。 が、Opera miniでアクセスした場合は何も警告が表示されません。ちなみに表示が崩れているように見えるのは、Opera miniの専用サーバが元のコンテンツを携帯デバイス用の軽量コンテンツに変換して返している為です。 Opera miniではhttpsなサイトにアクセスした時には、画面上部のサイトタイトルの右側に鍵マークが表示されるようになっています。よく見るとオレオレ証明書の場合はこの鍵マークが表示されていないことが分かります。したがってURLがhttpsであるにも関わらず鍵マークが表示されていない場合はオレオレ証明書だと判断することができます。 ですが、現
芸能人ブログID・パス流出、ホリプロ元社員逮捕 : 社会 : YOMIURI ONLINE(読売新聞)
インターネット広告会社「サイバーエージェント」(東京都渋谷区)が運営するブログサイト「アメーバブログ(アメブロ)」を利用していた芸能人のIDとパスワードがネット上に流出した事件で、警視庁が、大手芸能事務所「ホリプロ」(目黒区)元契約社員岡田邦彦容疑者(30)を不正アクセス禁止法違反の疑いで逮捕していたことがわかった。 逮捕は3月13日。 捜査関係者によると、岡田容疑者は今年1月1日未明、タレントの藤本美貴さんのブログに、藤本さんのIDとパスワードを使って不正に侵入し、芸能人445人分のIDとパスワードなどが記載された個人情報リストを張り付けた疑い。その結果、リストは藤本さんのブログを閲覧した人がクリックすると、ダウンロードできるようになっていた。 このリストはサイバー社の内部文書。同社社員が日頃から仕事上の付き合いのあった岡田容疑者に誤ってメールしたのが原因だった。アメブロは日記形式のホー
McAfeeがパスワードを生で持っている件 - kogawamの日記
高木浩光氏が、docomo IDを作ると生でパスワードを保管されてしまう( http://takagi-hiromitsu.jp/diary/20100314.html#p01 )という記事を書いている。docomoのインターネットセキュリティに関するスジの悪さは何なんでしょうね…。 さて、最近似たようなことに出くわしたので、記録。 世界的なセキュリティ会社として有名なマカフィーですが、ウェブサイトのパスワードは生(非可逆変換ではない形式)で持っているようだ。 確認したのは、マカフィー日本語サイトの個人顧客のためのサイト。確か、サポートとかお買い物とか、クレジットカードで自動更新のために、アカウントが発行されてるんだったと思う。 確認手順は以下のとおり。 ログインページ( https://home.mcafee.com/Secure/Protected/Login.aspx )で「パスワー
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
DNSリバインディング: かんたんログイン手法の脆弱性に対する責任は誰にあるのか - 徳丸浩の日記(2010-02-12)
_かんたんログイン手法の脆弱性に対する責任は誰にあるのか id:ikepyonの日記経由で、NTTドコモのサイトに以下のセキュリティ・ガイドラインが掲示されていることを知った。 iモードブラウザ機能の多様化により、機種によってiモードサイトにおいてもJavaScriptを組み込んだ多様な表現、CookieやReferer情報を有効に活用したサイト構築が行えるようになりました。 しかし、PC向けインターネットサイト同様に、セキュリティ対策が十分に行われていないサイトでは、そのサーバの脆弱性を突き(クロスサイトスクリプティング、SQLインジェクション、DNSリバインディングなど様々な攻撃手法が存在しています)、これらの機能が悪用される危険性があります。十分にご注意ください。 [作ろうiモード:iモードブラウザ | サービス・機能 | NTTドコモより引用] XSSやSQLインジェクションと並ん
パスワード管理術 30個以上のパスワードを簡単に暗記する方法|MOBILE POWER 〜読書とかiPhoneとか〜 - livedoor Blog
ここ半年くらいパスワード流出のニュースが多いですね。。 自分の身は自分で守るしかない!ということで、パスワードをサービスごとに変えつつ、それを全て暗記できる簡単な方法を考えてみました。パスワードの使い回しは危険! 深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説 - ガジェット通信 Twitterのパスワード流出問題、根本原因はユーザーの使い回し - ITmedia エンタープライズ Hotmailに続く:Gmailや米Yahoo!メールも情報流出、パスワードの変更を - ITmedia エンタープライズ パスワード流出自体は完全にサービス側の問題ですが、複数のサービスで同一パスワードを利用していることによって被害が拡大します。 とはいっても同一のパスワードで複数のサービスに登録している人が非常に多い、というのが現実です。それは当然だと思います。 複数のパスワードを覚えて
ソフトバンク携帯の端末シリアル番号リサイクル問題 - Narusaseの日記 -ハニポってどうよ?(仮)-
ソフトバンクの携帯には端末自体に紐付く端末シリアル番号と契約に紐付くUID(x-jphone-uid)が存在しています。 このうち端末シリアル番号は「SN************」の様なフォーマットで表され、固有の値であり同一の値は存在しないと言われています。 しかし、この端末シリアル番号は「あくまでユニークな値」ではありますが、「再利用されない」ものではないらしいと言うことが最近解りました。 端末シリアル番号は実例として修理前後で端末シリアル番号が異なる場合があることが確認されています。 これは推測になるのですが、その際、修理済みの同型携帯(あるいは端末シリアル番号がリサイクルされた新品)をバックするような仕組みになっているようです。(あるいは、修理不可能な携帯の再利用可能な部分のみ再利用している可能性もあります) これによって、以前ほかの誰かが使っていた端末シリアル番号が割り当てられた
CASが廃止。.NET 4のセキュリティはどうなるのか?(1/2) - @IT
4月12日に米国でのローンチが予定されている.NET Framework 4(以降、.NET 4)では、さまざまな新機能の追加や機能拡張が行われる一方で、廃止されるものもある。その中で最も驚くべきものの1つが、「コード・アクセス・セキュリティ(以降、CAS)を利用したセキュリティ・ポリシー設定の廃止(=デフォルト無効化)」だ。 CASといえば、.NETのランタイム・エンジン「CLR」のセキュリティ機構そのものであり、CLRとは切っても切り離せない機能だ(CASについて詳しくは「解説 インサイド .NET Framework [改訂版]」を参照)。.NET開発をしている人なら、ほとんどの人がCASを知っているだろう。 そんな大事なものが廃止される?! これはいったいどういうことなのか? ●CASが廃止される理由とは? 疑いようもなくCASは、.NET 3.5 SP1までのCLRのセキュリティ
NT以降の全ての32ビットWindowsバージョンでユーザー権限昇格を許すバグが見つかる | スラド セキュリティ
ある研究者が、Windowsにユーザーの権限昇格を許してしまうバグを見つけたそうだ。これだけじゃ新しい話じゃないね。ところが、今回のバグは仮想DOSマシン(VDM)に影響を及ぼすもので、しかも全ての32ビット版Windows、つまりNT以降全てのバージョンに影響がある。17年もWindowsを続けてきた甲斐があったもんだ。 (元記事より)「このVDM用のコードを使うと、権限を持たないユーザーでも任意のコードをシステムのカーネルに挿入できる。つまり、OSの最もビンカンな所に変更を加えられる。(中略)この脆弱性は1993年以降にリリースされた全ての32ビット版のマイクロソフト製OSに存在していて、実証コードはXP、Server 2003、Vista、Server 2008、7で動作する。」
セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」
セブン&アイグループが12月8日にオープンしたECサイト「セブンネットショッピング」のソースコードが流出したとネットで騒ぎになっている。同サイトの広報担当者によると、流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。個人情報流出の可能性もないとしている。 デモ用のソースコードが公開サーバに置いてあり、誰でもアクセスできる状態になっていた。同社は12月17日午前、ソースコードに外部からアクセスがあったことに気付き、すぐに公開サーバから削除。「データベース等非公開サーバに侵入されたわけではなく、個人情報流出の危険はない」としている。 同サイトについては14日ごろから、XSS(クロスサイトスクリプティング)脆弱性も指摘されていた。「個人情報を扱うページではXSS脆弱性はなく、個人情報の流出はないが、そうでないページに脆弱性があった」とし、15日までに対策を取ったという。 届け
『Skype』通話を盗聴可能:ソースコードを作者が公開 | WIRED VISION
前の記事 木製ショッピングバッグのような、日本製のスピーカー バーチャルハンド:筋肉の動きで手書き文字を再現 次の記事 『Skype』通話を盗聴可能:ソースコードを作者が公開 2009年9月 1日 Kim Zetter 『Tech World』の記事によると、VoIP(Voice-over-IP)電話の会話を傍受して記録するマルウェアを作ったスイスのプログラマーが、そのソースコードをオンラインで公開した。その目的は、『Skype』のようなプログラムの脆弱性に注目を集めることと、警察がこのマルウェアをひそかに監視に利用するのを妨害することだという。 33歳のRuben Unteregger氏は、2006年に、以前の雇い主であるスイスのERA IT Solutions社のために『MiniPanzer』と『MegaPanzer』のコードを書いた。同社はこれらのマルウェアを、監視への利用を目的とす
htmlspecialcharsに関する残念なお知らせ - 岩本隆史の日記帳(アーカイブ)
「htmlspecialcharsのパッチ私案」に書いた件、バグレポートを出してみましたが、「すでに同じバグレポートがあるだろ」という理由により、あえなく却下されました。 せめて先方が「同じ」とみなしているレポート番号ぐらいは示してほしくて、そのようにコメントしましたが、お相手のjaniという人は気難し屋のようで*1、教えてもらえる気がしません。 私なりに探した結果、下記のレポートがくさいように感じました。 PHP :: Bug #43896 :: htmlspecialchars() returns empty string on invalid unicode sequence 「不正なUTF-8シーケンスの場合に空文字列を返すのはおかしい」というレポートで、私のそれとは正反対どころか、Shift_JISにもEUC-JPにも触れられていない別個のものです。もちろん、私はレポート送信前に
Microsoft Security Essentials Markets
Not available in your country or region You appear to be in a country or region where the Microsoft Security Essentials Beta is unavailable. This beta is available only to customers in the United States, Israel (English only), People's Republic of China (Simplified Chinese only) and Brazil (Brazilian Portuguese only).
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://blog.2maru.com/wp-content/uploads/downloads/2012/10/HTML5-Security-Cheat-Sheet-v0.1.pdf
最も多く使われるパスワードは「123456」、米国情報漏えいで算出 
「UnicodeによるXSSとSQLインジェクションの可能性」プレゼン資料 - ockeghem's blog
