Vpassのパズル認証を突破する - YDiary
SMBCから ★━━【三井住友カード】━★ 【重要なお知らせ】Vpassログイン時の「パズル認証」導入について ★━━━━ 2017年8月7日 ━★ などと書かれたメールが届きました. どうやら今後Vpassにログインする際にパズル認証が必要になるらしいです. メール本文には人の手によるログイン操作であることを認証するものでございますとあります. 個人的にはDr.Walletで請求額取得できなくなりそうで嫌だなぁという感じですが,果たしてパズル認証に機械的なログイン試行を防ぐ効果はあるのでしょうか. 実際にログインページで使われてるパズル認証を見てみると,よく見かけるもので,調べてみるとCapy社のパズルキャプチャのようです. このパズル認証は既にだいぶ前に突破されています*1が,今回Vpassのログイン画面で使用されているものはピースの輪郭が白で塗りつぶされており,この手法が使えないよう
【20140614加筆・訂正】三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なんでURLをチェックするように指示してEV SSL証明書をチェックするように指示しないのか不明なので色々調べてみた。 - いろいろやってみるにっき
<20190814追記> EV SSL証明書についてはブラウザ側の扱いが変わりつつあり、当エントリは古い情報ということで下記エントリを参照頂きたい。 </追記終わり> どう考えても疑問なので色々調べてたら大作になったw(挨拶)。題名も大作w。 (2014/06/14追記)さらに題名が長くなった(´・ω・`)。Android版Chromeについて追記、iOS版Chromeについて加筆・訂正実施。補遺は【補遺】三菱東京UFJ銀行を騙るフィッシングサイトが例の「偽画面に注意!」そっくりらしいのだが、なんでURLをチェックするように指示してEV SSL証明書をチェックするように指示しないのか不明なので色々調べてみた。に記載したのでそちらもどうぞ。 ようこそ、バーボンハウスへ!三菱東京UFJの警告画面をコピーしたフィッシングサイト登場の巻(えふしん) - 個人 - Yahoo!ニュース を見て、一応
Lenovo製品にプリインストールされているアドウェアSuperfishに関連する情報をまとめてみた。 - piyolog
2015年2月19日、Lenovo製品のPCの一部にプリインストールされているアドウェアSuperfishに深刻な問題が確認されたとして報道されました。ここでは関連情報をまとめます。 公式発表 2015年2月19日 LENOVO STATEMENT ON SUPERFISH (魚拓:当初発表・変更後) 2015年2月20日 Superfishに関するレノボの見解 (魚拓:当初発表・変更後) 2015年2月20日 SUPERFISHの脆弱性 (魚拓) 2015年2月21日 Updated Lenovo Statement on Superfish (魚拓) 2015年2月21日 Superfish に関するレノボからのお知らせ(更新)(魚拓) 見解内容 2015年1月以降Superfishのサーバー側作用により完全に無効となっており、この無効化は市場に出回っている全てのSuperfishが対
5分でわかる正しい Web サイト常時 SSL 化のための基礎知識
Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。 HTTPS をランキングシグナルに使用しますと Google が公式に発表したあたりから、Web サイトの SSL 対応、特に Google が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。 そこで、いい機会だしその辺に関する情報をまとめておこうかな~ と思って書いてみた、恒例の (?) 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。 常時 SSL
Askの本日の質問が危ない - Togetterまとめ
おるふぁん / Al-Fun4 @Al_Fun4 aksみたいな質問サイトで出身地とかペットの名前とか母校とか聞き出してパスワードを盗み出す手法、なかなかおもしろいと思ったけどそれって昔ネトゲのチャットで同じ手法で不正アクセスされるの話題になったよね? 2014-02-27 00:45:41 おるふぁん / Al-Fun4 @Al_Fun4 でも、最近だとaskに連携しているTwitterに更に接続しているFacebookアカウントって感じで芋づる式にアカウントが結びついちゃうのかも。メアドとか知ってたらAppleIDあたりが狙われそう。アレ突破するとiCloudのキーチェーン(PWリスト)も見れるんだっけ?マジ怖い 2014-02-27 01:00:40
AWSの認証キーを奪われて仮想通貨を採掘される攻撃が発覚
クラウド環境を悪用した仮想通貨の採掘が密かに行われているようです。今回発覚したのはLuke Chadwick氏のAWSのキーがGitHub上にアップされているのを発見した何者かが、20台ものcc2.8xlargeインスタンスを起動させてBitCoinプロトコルを使った仮想通貨であるlitecoinの採掘を行ったとの事です。 AWSからの警告で気がつき、インスタンスを停止するまでの数日間で利用料金は3000ドルを越えたとの事です。 Litecoinは、世界中の誰に対してもすぐに支払えるP2Pの仮想通貨です。Bitcoinプロトコルに基づいていますが、一般のハードウェアを用いて効率的にデータマイニングできるという点でBitcoinと異なります。Litecoinは素早い取引認証(平均2分半)を実現し、多くの人が所有している一般コンピュータとGPUをターゲットにするメモリーハード、scryptベー
韓国への大規模サイバーテロ事件について | snowwalker's blog
まだ状況がはっきりしていない部分も多いのですが、韓国で大規模なサイバーテロが発生した模様ですね。現在明らかになっている情報を総合すると、犯人は不明ですがきわめて意図的な大規模攻撃のように見えます。Mandiant報告にあるような産業スパイ大作戦とはまた異なる様相のストレートなサイバー戦争が発生しているように思えるので、こちらで少し状況をまとめておきます。 1.被害状況 複数の放送局・金融機関で社内コンピュータネットワークが一時マヒ状態になる 新韓銀行ではATMやオンラインバンキングサービスまで一時的に利用不能 2.攻撃手法 良くありがちなDDOSなんぞではなく、malware配布によるもの。 感染経路としては韓国内で60%程度のシェアを誇るアンラボ社製品の各社に設置された資産管理サーバを乗っ取り、そこにmalwareを仕込んだと思われる。 アンラボ社の見解(韓国語) 資産管理サーバーを乗っ
2012年夏のバーストリンク(隠語)対決
petrovich @petro_vich 今期No.1ヒャッハーアニメのアクセル・ワールド面白い。肥大化した自意識と力への信奉と視野狭窄が支配する子供だけの王国というどうしようもない舞台設定がビンビン来てる。主人公は一昔前だと岩投げられて殺されてそうな感じだけど眼鏡してないから大丈夫でしょう。 2012-05-08 01:36:43 petrovich @petro_vich アクセル・ワールドの黒雪姫さん、あなた身バレを恐れてシアンパイルから逃げ続けていたのでは?以前に常用アバターでハルユキの戦い振りをコソーリ観戦してたのも相当マズイけど、病院で常用アバターからの変身シーンを衆目に晒すなんて完全に自殺行為では。IP抜かれるどころの騒ぎじゃないっすよ。 2012-05-09 00:55:21
【Twitter実験】つぶやきだけで個人を特定できるのか? | オモコロ
こんにちは、セブ山です。 みなさんはTwitterでどんなつぶやきをしていますか? おそらく、今日の予定をつぶやいたり、ランチの写真をアップしたり、あなたの「今」を仲の良い友達に向けてつぶやいていることでしょう。 しかし、本当にそのツイートはあなたの友達だけが見ているのでしょうか? もし、知らない誰かにあなたのつぶやきを覗かれていたとしたら…? つぶやいた内容を手掛かりに個人を特定されてしまうかもしれませんよ!? 今回は、そんな個人情報垂れ流し社会に警鐘を鳴らす実験をおこないます!! ■ルール説明 1.Twitterの検索機能を使って「渋谷なう」とつぶやいているアカウントを探します。 2.「渋谷なう」の検索結果をもとに、さらに詳細な個人情報を垂れ流しているアカウントを割り出します。 3.そのアカウントのつぶやきをこっそり監視して、個人を特定し、実際に捕まえるためにハンター(セブ山)が渋谷の
yebo blog: Carrier IQの本当の話
2011/12/06 Carrier IQの本当の話 Carrier IQの問題は大きくなり米国外にも波及してきているようだ。この問題、集団ヒステリー的に報道され、事実は何なのかをもう一度整理する必要があると思っていたが、セキュリティ研究者のダン・ローゼンバーグ氏がまとめていた。まとめると、キーストローク、SMS本文、電子メール本文などが集められているといった事は誤っている。Carrier IQは電話の使用法を示すメトリックスという情報で収集しており(下表はサムスンEpic 4G Touchを解析した結果)、この中にそれらの情報は含まれていない。具体的な情報としては、いくつかの状況でのGPS位置情報、URLが記録されている。これらのデータは、携帯電話の改善に使われるだけなのは明らか。ただ、ユーザはデータ収集を拒否できるようにする必要があるだろうし、集められたデータの透明性を確保する必要があ
高木浩光@自宅の日記 - Wi-FiのMACアドレスはもはや住所と考えるしかない
■ Wi-FiのMACアドレスはもはや住所と考えるしかない 目次 まえがき これまでの経緯 2つのMACアドレスで自宅の場所を特定される場合 SSIDに「_nomap」でオプトアウト? PlaceEngineはどうなった? まえがき 先週、以下の件が話題になった。 Greater choice for wireless access point owners, Official Google Blog, 2011年11月14日 Removing your Wi-Fi network from Google's map, CNET News, 2011年11月14日 グーグル、Wi-Fiネットワークの位置情報収集で対応策を公開, CNET Japan, 2011年11月16日 Google's WiFi Opt-Out Process Makes Users Navigate Technic
昨今の学校のセキュリティ事情【第一章 学校のPC(生徒使用PC)について】 - toriimiyukkiの日記
昨今における学校のセキュリティ事情についてこの回を含めて全4話構成で話そうと思います。 0話から4話含めて、学校のPCにおける話から学校のWebサイトにおけるセキュリティまでをお話しします。 次のような話構成で進めていきたいと思います。 第一章 学校のPC(生徒使用PC)について 第二章 学校のWebサイトについて-SQLインジェクション 第三章 学校のWebサイトについて-コマンドインジェクション/その他 第四章 昨今の学校のセキュリティ事情のまとめ ここでやっていることはかなり危険な部類も入っています。 真似しないようにお願いします。また、この記事によっていかなる損害が発生してもその責任を負いません。 この記事によって自分のサービスのセキュリティを再認識してもらえばと思います。 第一章 学校のPC(生徒使用PC)について 学校のPCについては誰もが一回はいたずらをしたくなるだろう。 も
なぜiOSでUDIDが必要とされていたのか、メモ - snippets from shinichitomita’s journal
iOSやその開発事情に詳しいと言える状態にはないので、調査を兼ねて書く。 Apple Sneaks A Big Change Into iOS 5: Phasing Out Developer Access To The UDID – TechCrunch http://wirelesswire.jp/Watching_World/201108221335.html 上記の「iOSでUDIDの利用が禁止」というニュースを聞いた時、正直TL上にこんなにいっぱい反応が貼り出されるとは思っていなかった。さすがにUDIDをいじるのはまずいよね、っていうコンセンサスは開発者の間では常識的部類に入ってくるのだろうと楽観的に捉えていたのかもしれない。 以下、なぜUDIDがそのようにスマートフォン開発者に利用されてきたのかについて、調べた限りでまとめてみた。 アプリケーションのサーバとのセッション保持 い
mixi足あと廃止に寄せて - 最速転職研究会 | コメント mixiって今ほとんどがモバイルでアクセスされてたはずだけど、スマホ以外のガラケーでもこの問題が起きるの?
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Geohot氏のmetldr key、Mathieulh氏のkirk engine key、そしてPlayStation神話崩壊 | GameGaz Blog
PS3の署名に十分なセキュリティが施されていなかった事からfail0verflowが生まれました。市販のPS3で署名付きコードを実行するために使われている”秘密鍵”を発見し利用する事で、最終的にはLinuxをすべてのPS3で実行することを目的とし、ノーマルPS3で起動できるLinuxローダーを提供しようという試みでした。fail0verflowはLinuxというソリューションを提供しようとしましたが、世界で最初にPS3をハックしたGeohot氏がその秘密の根底であるMETLDR Keyを公開する事で”とにかく何でも出来てしまう”keyを世界へ向けて発信しました。まさかこれがわずか1日以内でPSPセキュリティの崩壊と言う思わぬ余波を生む事になるとは夢にも思いませんでした。 Geohot氏が公開したmetldr keyは以下のようなものでした。metldr keyが分かればすべてのPS3のファ
fail0verflow - PS3ハック新時代 最大功労者はGeohot氏 | GameGaz Blog
毎年ハッキングチームが各種発表を行うChaos Communication Congressで、WiiのTwilight HackやHomebrew Channel、BootMiiといったWiiのハックシーンの中心となるハッキングを発表してきたTeam Twiizersのメンバー(marcan氏、bushing氏)とsven氏(Team Twiizersのメンバーには名を連ねていない)が長年鉄壁のセキュリティと言われてきたPlayStation3の壁を完全に打ち破るfail0verflowを発表しました。fail0verflowと聞いてもピンと来ないので、いろんな海外サイトから情報を集めてみました。Geohot氏のexploit、PS Jailbreakに続く第三の波fail0verflowは今までで一番大波かもしれません。 【情報源:PSGroove Sony’s PS3 Securit
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews
JVNDB-2011-000089 - JVN iPedia - 脆弱性対策情報データベース
ちょっと経緯をまとめてみる (#1888927) | PS3をハックしたハッカーら、SCEアメリカから訴えられる | スラド