瀬戸際に立たされた日本の Webプライバシー
瀬戸際に立たされた日本の Webプライバシー ∼研究者にできることはないのか∼ 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 電子情報通信学会 情報通信システムセキュリティ研究会 インターネットアーキテクチャ研究会 招待講演 2010年6月17日 (後日配布版) 1 趣旨 •学術界では…… •プライバシー保護技術に関する沢山の研究、問題定義は明白 •しかし現実は…… •最も初歩的な問題ある方式が導入され、放置、継続、拡大 •日本の「ケータイID」の話、ケータイだけで済まなくなる勢い •開発技術者は…… •その方式があたりまえと視野狭窄に •ビジネス界は…… •その方式を前提にサービス設計し始めている •法律家は…… •技術的な違いがわからないまま現行法の解釈論に終始 •どうすればいいの? 2 ケータイIDとは •契約者に固有のID •HTTPの送信ヘッダに挿入
Ywcafe.net
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: Health Insurance Contact Lens Best Penny Stocks High Speed Internet Migraine Pain Relief Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy|Do Not Sell or Share My Personal Information
Ruby 1.9.2リリースとWEBrick脆弱性問題の顛末 - 西尾泰和のはてなダイアリー
はい、Ruby 1.9.2がリリースされましたね。このバージョンではWEBrick にゼロデイ攻撃可能な脆弱性 - スラッシュドット・ジャパンで紹介されている脆弱性が僕が書いたパッチで修正されているわけなのですけど、そもそもなんで僕が修正しているのか、って顛末がわりと面白いので紹介します。 Apple、upstreamに報告してくれないまま脆弱性をCVEに届け出る upstreamに連絡が来ないまま脆弱性が公開される ruby-devにAppleが書いたと思われるパッチが貼られる(Appleでない人間によって) パッチのライセンスが不明なので取り込めない ライセンスを問い合わせるAppleの窓口が不明なので問い合わせもできない ruby-devを読んだ人はライセンス上安全なパッチを書けない 脆弱性だから話は非公開に進めたい yuguiさんがruby-devを読んでない僕に書かせることにする
Facebookのプロフィール1億件だだ漏れ & その情報をDLしている企業一覧
SNSでなんでもかんでも公開してると後悔するかも。 トレントサイトにFacebookのプロフィール1億人分が流れています。 Skull SecurityのハッカーRon Bowes氏が作ったクローラーはFacebookのオープンアクセスを使い直にガンガン情報をとってきます。プロフィール情報がとられているのは、Facebookの公開設定を全てのユーザーにしている人が特に多いようですよ。 そしてこのトレントはSkull Securityのページから簡単にダウンロードが可能。これをダウンロードすれば1億件のプロフィールがあなたのもとに。 SNSで公開されている情報だもん。秘密じゃないもん。そうは言っても数が集まると怖いですよ。個々としては価値がなくても1億件も集まると価値がぐんとあがりますよね。そんな情報を得るためのトレントが無料ダウンロードできるのですからすごい。米GizmodoのJason記
信頼できないPDFはiPhoneで開かない!Jailbreakされる可能性あり! - iPhone.goodegg.jp
iOS 4.0.1に対応したJailbreakツールがリリースされています。 今回はiOSにおけるPDF取り扱いの不具合を利用するようですが…これは怖い。 iOSアップデートで対策がとられるまで、信頼できないPDFファイルは絶対に開かないようにしましょう。 Jailbreakって何? iPhoneに施されている保護を解除して、App Storeで販売されていないアプリのインストールや、様々なファイルにアクセスできるようにする手段のことです。 Jailbreak後に導入できるアプリは、App Storeにおける制限を無視して、iOSの動作に影響を与えることもできます。例えば、iOS4から利用できるようになった回転ロックも、Jailbreakユーザはその1年以上前から手に入れることができました。(この場合、厳密にはSpring Boardに影響を与えるですが…) 自らのiPhoneに自由にア
PDF Tools << Didier Stevens
Here is a set of free YouTube videos showing how to use my tools: Malicious PDF Analysis Workshop. pdf-parser.py This tool will parse a PDF document to identify the fundamental elements used in the analyzed file. It will not render a PDF document. The code of the parser is quick-and-dirty, I’m not recommending this as text book case for PDF parsers, but it gets the job done. You can see the parser
悪意あるPDF(malicious PDF)に含まれる Exploit コードを pdf-parser.py で確認する - 思い立ったら書く日記
Adobe Reader の脆弱性(CVE-2009-4324)が 0day 状態なわけですが、この脆弱性を悪用した PDF が出回っている模様です。ありがたいこと(?)にこれらの PDF をブログ(contagio)で公開している方がいらっしゃいます。ブログ contagio から悪意ある PDF をダウンロードして*1、その PDF に含まれる Exploit コードを確認しようとしました。しかし、先の日記で使用した PDF Toolkit、pdftk ではエラーが発生し、Exploit コードを確認できませんでした。pdftk に代わり、pdf-parser.py を使ってみたところ、うまく確認できました。備忘録もかねて pdf-parser.py を使用した Exploit コード確認の過程をまとめてみます。 確認対象とする PDF は、"Outline of interview.
We are discontinuing the Anubis and Wepawet services. | Goodbye Anubis and Wepawet
We are discontinuing the Anubis and Wepawet services. Unfortunately, we do not have the resources to maintain these tools and improve them to match an ever-changing malware landscape. The creators of Anubis and Wepawet have created a company, Lastline, Inc., whose products provide malware analysis and countermeasure capabilities to enterprises of all sizes. You can check out the solutions by Lastl
ガラケーで楽しむオレJSの勧め
2. JavaScriptと私 興味をもったのはサイ本(第2版 1997/7)と出会ってのこと 1998年のころと思われる Aha! なんて面白い言語なんだ! 「オブジェクト指向プログラム言語としてのJavaScript 」サイトを立 ち上げる(1998年5月) www.tokumaru.orgは、Yahoo!のカテゴリではJavaScriptで登録され ている 1999年頃 お仕事で、JavaScript風のスクリプト言語を作った GreenScript:ケータイ向けサーバーサイドのスクリプト言語 仮想マシンへのコンパイル、GCはストップ&コピー型 しかし、表面的に似ているだけで、中身はまったく別 レキシカルスコープのみ…(^^; ケータイコンテンツの作成に使用される 初期メロッチャ etc その後10年間なにもしてこなかった 3 3. 携
携帯電話事業者に学ぶ「XSS対策」 - ockeghem's blog
NTTドコモとソフトバンクモバイルは、フィーチャーフォン(いわゆるガラケー)にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている(しようとしている)挙動が観測されましたので報告します。この内容は、オレ標準JavaScript勉強会でネタとして使ったものです。 NTTドコモに学ぶ「XSS対策」まず、サンプルとして以下のようなXSS脆弱なスクリプトを用意します。 <?php session_start(); ?> <body> こんにちは<?php echo $_GET['p']; ?>さん </body>これを以下のURLで起動すると、IE7では下図のような表示になります。 []http://example.com/xss01.php?p=山田<scrip
サーバ管理者日誌 シリーズ・クロールとDoSの違いと業務妨害罪と(3)
タイトルを付け直そうかと思ったが、まだ続くかも知れないのでシリーズ化することにした。 初出の時に サーバ側から観測した時に、相手が行っているのが過剰なクロールか、あるいはDoSなのかは、Webサーバのログでも大体見当は付く インターネットでは、専用線接続やクラサバとは根本的に異なり、ネットの向こうには何があるのか分からないというのがスタートラインだ。これは、インターネット全盛の今にあっては当たり前のことだが、レガシー世界からすると、クライアントが何かも分からないというのは確かに別世界だ。 レガシー世界のサーバとクライアントは一対のものとして実装され、お互いの挙動を把握しながら動いていた。 ところが、インターネットの世界では、 RFC[http://ja.wikipedia.org/wiki/Request_for_Comments] で提案されたプロトコルを拠り所に、サーバとクライアントが
サイバー・ノーガード戦法 - Wikipedia
サイバー・ノーガード戦法(サイバーノーガードせんぽう)は、意図的にセキュリティ対策を放棄してコンピュータを利用すること[1]。 この用語は、情報セキュリティを専門とするニュースサイトの Scan NetSecurity が2004年に考案した[2]。背景として、前年にコンピュータソフトウェア著作権協会 (ACCS) のWebサイトの脆弱性を公の場で指摘した京大研究員が、礼を言われるどころか逆に不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)違反と威力業務妨害の疑いで逮捕されるという事件があった[3]。Scan NetSecurity はこの件で、不手際のあったサーバ管理者側が刑事責任を問われず、個人情報漏洩の被害者に補償も行われなかったことに着目し、セキュリティ対策の意図的な放棄は、費用を節約できリスクも無視できる「新しい形の防御方法ともいえるのではないか」と逆説的に主張した[4
法と技術とクローラと私 - 最速転職研究会
こんにちは、趣味や業務で大手ポータルサイトのサービスで稼働しているいくつかのクローラの開発とメンテナンスを行っているmalaです。 さて先日、岡崎市立中央図書館Webサイトをクロールしていた人が逮捕、勾留、実名報道されるという事件がありました。 関連URL: http://librahack.jp/ 電話してみた的な話 http://www.nantoka.com/~kei/diary/?20100622S1 http://blog.rocaz.net/2010/06/945.html http://blog.rocaz.net/2010/07/951.html この件につきまして法的なことはともかくとして技術者視点での私見を書きたいと思います。法的なことは差し置いて書きますが、それは法的なことを軽んじているわけではなく、法律の制定やら運用やらは、その法律によって影響が出る全ての人々の常識
やんちゃ坊主のWinnyから脱却--配信基盤「SkeedCast 2」を金子氏に聞く
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ドリームボートが開発するP2P型コンテンツ配信プラットフォーム「SkeedCast 2」には、ファイル共有ソフト「Winny」で知られる金子勇氏が開発に参加しており、氏による新たな技術も投入されている。 2009年11月には特許も取得しており、よりセキュリティに配慮したプラットフォームになっているという。今回、そのSkeedCast 2について、ドリームボートに話を聞いた。 やんちゃ坊主のWinnyを優等生に SkeedCast 2は、P2P技術で大容量のコンテンツを配信するためのASP型配信プラットフォーム。大容量データを高速に配信し、DRM(デジタル著作権管理)や課金システムなどを備え、セキュアに配信できるようにしている。 今回新た
【漏洩なう】ユニクロ行列漏洩騒ぎのまとめ
2020/10/18 エンジニア D4DJ Groovy Mix オープンベータ開始 2020/10/18 DJ 秋葉原(を夢見る)パラダイスレイディオ Vol.1 @ twitch配信 2020/10/25 エンジニア D4DJ Groovy Mix リリース 2020/11/14 DJ UNDER Freaks 2nd anniv. @ 渋谷Cafe W (渋谷WOMB 1F) 大手アパレルメーカー「ユニクロ」のキャーンペンサイト「Uniqlo Lucky Line」で発生した漏洩騒動をまとめてみました 「行列なう」しちゃった人は、「なにがあったの?」と「どうしたらいいの?」の項目をとりあえず読んで下さい。 なにがあったの? 応募したユーザーのTwitter IDとツイートが書かれたテキストファイルが漏洩した 漏れた範囲は応募者全員。現在は「最初の400人」と「直近の400人」の計80
高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない
■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管
高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
VirusTotal - Free Online Virus and Malware Scan
CGI-IDS-1.0217
HTML5 Security Cheatsheet