安易な「秘密の質問」と「答え」にご用心~アカウント乗っ取りの恐れ:セキュリティ通信:So-netブログ
Webサービスの中には、パスワードを忘れてしまった時の復旧手段として、「リマインダー」を用意しているところがある。あらかじめ登録していた「秘密の質問」と「答え」を入力すると、パスワードの再設定などを行える機能だ。このリマインダーを悪用し、パスワードを変更してしまうアカウント乗っ取りが、しばしば起きている。 今月18日、この機能を悪用してパスワードを変え、同級生のメールを盗み見していた福井県内の中学生が書類送検された。昨年12月には、兵庫県内の中学生3人が同様の容疑で書類送検されている。破られにくいパスワードで玄関を守っていても、秘密の質問と答えが安易だと裏口から入られてしまうのだ。 リマインダーは、パスワードを忘れてしまった場合の代替手段として用意されている。登録する質問と答えには、本人確認の手段であるパスワードと同レベルの要件を満たしていなければいけない。本人しか知らないはずの情報である
クロススプリングサイトを間違えて許可してしまい、それ以来PCの調子が悪いです。 - クロススプリングサイトで受け入れてしまった悪質なウィ... - Yahoo!知恵袋
クロススプリングサイトを間違えて許可してしまい、それ以来PCの調子が悪いです。 クロススプリングサイトで受け入れてしまった悪質なウィルスを駆除する方法を教えて下さい。 ウィルスバスターの様なものでも駆除できていない気がします。 知恵をお願いします!!
青瓦台HPに「偉大なる金正恩首領」…北攻撃か : 国際 : YOMIURI ONLINE(読売新聞)
【ソウル=門間順平】韓国大統領府(青瓦台)によると、青瓦台のウェブサイトが25日午前9時30分ごろ、ハッキングによるサイバー攻撃を受けた。 同サイトに接続すると、「偉大なる金正恩(キムジョンウン)首領」などのメッセージが表れる状態になり、接続を停止する措置を取ったという。 青瓦台のほか、政府機関の国務調整室や与党・セヌリ党の地方支部のウェブサイトも閲覧できなくなり、運営を停止した。 韓国政府はサイバー攻撃への警戒を促す5段階の警報のうち、下から2番目の警報を発令した。 聯合ニュースによると、大邱(テグ)市にある新聞社2社の記事作成・送信システムもまひしたという。同ニュースは、北朝鮮によるサイバー攻撃の可能性を指摘している。
朝日新聞デジタル:朝日新聞記者の不正アクセス容疑について - 社会
パソコン(PC)遠隔操作事件で、「真犯人」と名乗る人物が報道機関や弁護士へ送り付けた犯行声明メールのアカウント(以下:当該メールアカウント)への当社記者のアクセス(以下:当該アクセス)についての当社の見解は以下の通りです。 ◇ 当社は、顧問弁護士とともに詳細に事実関係を調べ、検討した結果、当該アクセスについて「不正アクセス禁止違反の犯罪は成立しないことが明らか」と判断しています。 以下、その理由をご説明します。 【1】「不正アクセス禁止法」違反罪の構成要件に該当しない ■「当該識別符号の利用権者」がアクセスを承諾していた 「不正アクセス行為」の構成要件を定めた不正アクセス禁止法第2条4項は「当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く」と明記しています。 当該メールアカウントを使用した犯行声明メールは昨年10月9日、報道機関や弁護士に送信されまし
MySQLの文字列型から数値型への自動型変換が意味不明すぎる - hnwの日記
SQLでは違う型同士の演算で暗黙の型変換が起こります。この挙動はDBMSごとにバラバラであるため、混乱の元になることがあります。これについては徳丸さんが「SQLの暗黙の型変換はワナがいっぱい - 徳丸浩の日記」などで指摘されているので、一読をお勧めします。 徳丸さんの記事に関連してMySQLの自動型変換について調べてみたところ、予想外の実験結果が得られました。本稿ではこれを紹介します。 先に結論を書いておくと、僕にはMySQLの気持ちがサッパリわからんということがわかりました。 マニュアルによれば、文字列を数値に型変換すると浮動小数点数になるらしい 先日の記事「MySQL5.1以降の小数の扱いがキモい」で、僕は「文字列から小数へキャストする場合には浮動小数点数になります。」と書きました。これはMySQLマニュアルに次のような記述があったためです。 比較の演算の両方の引数がストリングの場合、
SQLインジェクションゴルフ - なんと3文字で認証回避が可能に
昨日のエントリ「SQLインジェクションゴルフ - 認証回避の攻撃文字列はどこまで短くできるか?」にて、認証回避の攻撃文字列が5文字にできる(「'OR'1」)ことを示しましたが、@masa141421356さんと、やまざきさん(お二人とも拙著のレビュアーです)から、idとpwdにまたがった攻撃例を示していただきました。やまざきさんの例は、MySQL限定ながら、なんと3文字です。これはすごい。 @masa141421356さんの攻撃例 @masa141421356さんのツイートを引用します。 @ockeghem 大抵のDBでid=''OR' AND pwd='>' ' が通ると思います(id側に「'OR」, pwd側に「>' 」で6文字)。長さ0の文字列がNULL扱いされないDBなら最後のスペースを消して5文字です。 — masa141421356 (@masa141421356) June
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
岩手県議:小泉氏、車内で自殺か ブログ「炎上」で謝罪- 毎日jp(毎日新聞)
PC操作:朝日、共同記者書類送検へ サーバーに侵入容疑- 毎日jp(毎日新聞)