先日、PS3 で任意のプログラムを実行可能にする暗号鍵が発見され、SCE 側が訴訟を起こすという事態にまで発展したが、PS3 のファームウェアには PSP で使用される暗号鍵も含まれていたことが発見され、これを用いて任意のプログラムに署名を付加するプログラム「PrxEncrypter」も公開された (Wololo.net の記事より) 。 これにより、カスタムファームウェアなどの非正規ソフトを利用していない純正 PSP で動作するプログラムを自由に作成できるようになるようだ。
先日、PS3 で任意のプログラムを実行可能にする暗号鍵が発見され、SCE 側が訴訟を起こすという事態にまで発展したが、PS3 のファームウェアには PSP で使用される暗号鍵も含まれていたことが発見され、これを用いて任意のプログラムに署名を付加するプログラム「PrxEncrypter」も公開された (Wololo.net の記事より) 。 これにより、カスタムファームウェアなどの非正規ソフトを利用していない純正 PSP で動作するプログラムを自由に作成できるようになるようだ。
2010年09月22日21:30 カテゴリLightweight Languages 構造化テキストの間違ったエスケープ手法について 昨晩のtwitter XSS祭りは、ふだんもtwitter.comは使わない私には遠くの祭り囃子だったのですが、せっかくの自戒の機会なので。 Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について 正しいアプローチは、全てのルールを同時に適用することです。 これは残念ながら(おそらく)必要条件であっても十分条件ではありません。 こういう(かなりええかげんな)正規表現でtweetをparseしていたとします。 re_http = '(?:https?://[\\x21-\\x7e]+)'; re_user = '(?:[@][0-9A-Za-z_]{1,15})'; re_hash
不正アクセスによりユーザー情報が流出、そのためサイトを一時閉鎖していた通販サイトビックカメラ.comが、サービスを再開した。しかし、アカウントを登録していたユーザーに対しては安全性確保のためパスワードのリセットが行われ、新パスワードがメールで送られてきたのだが、そのパスワードでログインした後にパスワードの変更が行えないという、常識では考えられない運用になっている。 会員メニューによると、 下記の個人情報表示に制限を設けています。 段階的に、制限の解除を行っていく予定になっております。(現時点では未定です) ご不便をおかけしますが、ご了承くださいませ。 万一、情報の変更が必要の場合、当社サポートセンターにご相談をよろしくお願いします。 [制限事項] 「登録内容の変更」:ご利用いただけません。 「パスワードの変更」:ご利用いただけません。 「住所録」:ニックネームのみの表示/変更・削除不可(追
ぼく就活生。リクナビからJR東海にプレエントリーして驚いた。 ■■■JR東海からID・パスワードのお知らせ■■■ あのに 増田 様 ◆あのに 増田さんのID・パスワード◆ ID:12345678 パスワード:mypassword こんにちは!JR東海人事部です。 このたびは当社にプレエントリーを行って頂きまして、 誠にありがとうございました。 こんなメールが届いたの。 なにに驚いたって?登録画面で入力したパスワードが平文メールに書かれてたってとこ。 「mypassword」って書いてるところにぼくの大事なパスワードが書かれてたの。Gmailでも使ってる大切なやつ。 同じパスワード使ってるぼくも相当間抜けなんだけど、いまの時代いくらなんでも平文メールにパスワードはないでしょ。 とっても怖かったのでJR東海とGmailのパスワードを変更して寝ました。 恐怖はこれで終わらずに2ヶ月後。こんなメー
ハッカーが大手セキュリティ技術企業に大恥をかかせた。Kaspersky LabのWebサイトが週末にハッキングされ、セキュリティソフトを求める顧客を、偽ソフトのダウンロードを勧める外部ページに転送していた。 10月17日に、ユーザーがKasperskyの米サイトからソフトをダウンロードしようとすると、「Security Tool」という偽ウイルス対策ソフトをダウンロードさせるマルウェアサイトにリダイレクトされた。Security Toolを実行すると、多数の脆弱性とセキュリティ脅威が見つかったと報告するポップアップウィンドウが表示され、これらの問題を修正する完全版のソフトを購入するようユーザーを脅かした。 ユーザーはさまざまなオンラインフォーラムにこの攻撃のことを書き込んだが、Kasperskyはいかなる侵害も起きていないと否定した。日本法人の社員と思われる人物が、問題は修正されたと書き込
さて、P2Pにおいて厄介なシステムとしてファイアウォールが挙げられます。ここではファイアウォールをP2P通信がうまく通過する方法について説明します。まずはファイアウォールの内側のユーザがグローバルアドレスを持っているユーザと通信する方法を考えて見ましょう。 1.パケットフィルタリング 通常のブロードバンドルータはポート番号をチェックし、ルータが制限しているポートは外部へ通信できないようにしています。そのため、このファイアウォールにおいて外部と通信するには、ルータに設定している外部へ通過させるポート番号において、P2Pサービスに必要なポート番号も追加する必要があります。もし管理者によって適切なポート番号を透過できない場合、P2Pサービスのポート番号をHTTPやHTTPSなどのポート番号に変更して通過させる方法があります。(ただし対応方法はソフトに依存します。) 2.プロキシ プロキシは会社や
前の記事 「シングル版電子書籍」が持つ可能性 環境に良い車:ホンダ5年連続で1位 次の記事 『Facebook』を使わない6つの理由 2010年10月13日 社会メディア コメント: トラックバック (0) フィード社会メディア David Rowan (the editor of Wired UK ) 私はFacebookを使っていないが、それについて、「ずいぶん時代遅れだな!」とからかわれたことがある。からかったのは、ソーシャル・ファイナンス・サイト『Kiva』を運営するMatt Flannery氏で、彼は私に対して、「何を怖がっているんだい? プライバシーについてうるさいのは年寄りだけだよ」と言った。 たしかに私は30代後半だし、いまだに、フォーマルなメールでは顔文字は使わない。しかし、私がなぜFacebookを利用せず、Blippyではクレジットカードを使った買い物をせず、Goog
マイクロソフトが個人向けに提供していた無償のセキュリティソフト「Microsoft Security Essentials」が、10月初旬より中小企業でも利用可能になるそうだ(Internet Watch)。 Microsoft Security Essentialsはシンプルなセキュリティソフトで、ウイルスやスパイウェア、マルウェアのリアルタイム検出・駆除機能を持つ。今までは家庭、もしくはホームオフィスでの利用に限られていたが、今後は中小企業でも合法的に利用できるようになる。 無償のウイルス対策ソフトはいくつかあるが、商用利用できるものは少なかったため、中小企業にとっては歓迎すべき変更だろう。
Microsoft.comは常に大量の攻撃にされされているそうだ(本家記事)。 (マルウェアなどの)スクリプト初心者はまず同社をターゲットにするとのことで、Microsoftのシニア・セキュリティ・アーキテクトRocky Heckman氏によるとMicrosoft.comは毎秒平均7000~9000回もの攻撃を受けているとのこと。また、マルウェア製作中にWindowsをクラッシュさせ、うっかりエラーの詳細とその原因となったコードをMicrosoftに送ってしまうハッカーもかなりの数いるそうだ。 この話はMicrosoft Tech.Ed 2010で明らかにされたとのこと。Heckman氏曰く、最も使われるハッキング手法はこの6年間変わらずにクロスサイトスクリプティングおよびSQLインジェクションであり、これは悪意ある者が馴れた手法を使うことを好むのと、開発者らが(これらの手法やその対処など
米 IBM X-Force のレポートによると、2010 年上半期の脆弱性公表件数は前年同期よりも 36 % 増加し 4,396 件に上り、記録的なレベルに達したとのこと (日本 IBM のプレスリリース) 。そのうち 55 % が上半期末になってもベンダーからパッチが提供されていないらしい。 公表された脆弱性のうち 55 % は Web アプリケーションの脆弱性とのこと。JavaScript を使った攻撃が増えており、難読化された JavaScript は従来のセキュリティー・ツールでは検出できないらしい。また、PDF を利用した攻撃も増えているとのこと。逆にフィッシング詐欺は減少しているらしい。ただし、金融機関をターゲットにしたフィッシング詐欺は依然として流行っているとのこと。
リスク対応では、リスク評価の作業で明確になったリスクに対して、どのような対処を、いつまでに行うかを明確にします。対処の方法には、大きく分けて「リスクの低減」「リスクの保有」「リスクの回避」「リスクの移転」の4つがあります。 (1) リスクの低減 「リスクの低減」とは、脆弱性に対して情報セキュリティ対策を講じることにより、脅威発生の可能性を下げることです。ノートパソコンの紛失、盗難、情報漏えいなどに備えて保存する情報を暗号化しておく、サーバ室に不正侵入できないようにバイオメトリック認証技術を利用した入退室管理を行う、従業員に対する情報セキュリティ教育を実施するなどがあります。 (2) リスクの保有 「リスク保有」とは、そのリスクのもつ影響力が小さいため、特にリスクを低減するためのセキュリティ対策を行わず、許容範囲内として受容することです。「許容できるリスクのレベル」を超えるものの、現状におい
dev版を使っていますが、今日時点での最新版は6.0.408.1。 ↑ で、これはその最新版ChromeでGmailにアクセスした時のアドレスバーの表示(Gmailのオプションで常にhttps接続に設定してあります)。 https部分が赤文字になっていてナナメの取消線とどくろマーク。どう見ても注意喚起の表示っぽい気が。。。しかし、Google製のブラウザを利用して推奨されるhttps接続でGoogleのサービスにアクセスしているのに、この表記ってどういうこと? ↑ ちなみに、どくろマークをクリックするとセキュリティ情報が表示されます。これを見る限り問題はなさそう? ↑ こちらはEvernoteにアクセスした時のアドレスバーの表示。httpsが赤文字にもなっていなければどくろマークもありません。 なぜ、Gmailアクセス時に上のような表示になるのかがわかりませんが、わからないのでどうしたらい
Security Advisory Microsoft Security Advisory 2286198 Vulnerability in Windows Shell Could Allow Remote Code Execution Published: July 16, 2010 | Updated: August 02, 2010 Version: 2.0 Microsoft has completed the investigation into a public report of this vulnerability. We have issued MS10-046 to address this issue. For more information about this issue, including download links for an available se
最近、常時接続というのが当り前になり、自宅サーバを立てることを 勧めるような書籍や Web ページが非常に多く出てきているので、 自分でもサーバを立ててみたいと思っている人を多く見受けます。 しかし、サーバを立てる際に気をつけるべきことを全く認識せずに 立てようとしている例も非常に多く見受けられます。 ここは、インターネットに公開するサーバを立てる際に一般の方が 勘違いしがちなこととそれに対する(私の個人的な)回答を、 世の中に溢れる「自宅サーバ立てよう!」系の書籍/Web ページには あまり書かれない 「自分でサーバを立てるのは大変だからやめよう!」 という視点で行い、 サーバ運営の現実をしっかり認識して頂くための ページです。 対象とする読者は基本的に 「サーバを自分で立てようと思っている人全員」で す。特に 「あまりコンピュータに詳しいわけじゃないけど、 なんだか自分で立てられるって
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く