Twitter やブログでなりすましに困っている時は ClaimID で対抗
最近 Twitter やソーシャルネットワークで本人になりすましてアカウントを作成するという問題をよく耳にするようになりました。 有名人のアカウントが勝手に作られるということはよくある話ですが、普通に活動しているブロガーや Twitter ユーザーのアカウントの偽物が作られて、まるで本人であるかのように活動している例もみられます。 こうした偽物を根本的に退治することはできないものの、少なくともネット上における URL の一つ一つを登録して「これは私の関与したサイト」「これは無関係」という情報を一覧にできるサービスが ClaimID です。 たとえば私の ClaimID サイトをごらんいただけるとわかると思いますが、このブログや、まだドメインをとっただけで開始していないサイト、Twitter、Facebook、FriendFeed のアカウント、参加した本などをグループ分けして登録しておくこ
セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
IP Traceback - Research IPLab - NAIST IPLab
Research of IPLabMembers Youki KADOBAYASHI Hiroaki HAZEYAMA Gregory Blanc Alumni Daisuke Miyamoto Yuki Murakosi Masafumi OE Yuko SAWAI Yoshihide Matsumoto Topics Inter-AS Packet Traceback Architecture (InterTrack) Practical Border Traceback Systems Tools for tracking something in an intra-domain network Papers Journal Papers Yoshihide Matsumoto, Hiroaki Hazeyama, and Youki Kadobayashi. "Adaptive
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
仮想橋
仮想橋 〜仮想と現実の架け橋〜 RMT・BOT・不正ツール等のオンラインゲームに関する問題、ゲームのレーティング、フィルタリング、その他ゲーム・ネット全般の問題を取り上げ、改善運動を行っています。リネⅡのパケット解析、難航しています。そんなに難しくは無いはずなのですが、モチベーションが・・・・・・ あまり遊んでいないゲームというのは難しいものですね。最近はBOT被害もあまり聞かないですし。 ということで、リネ2のキャラクエは非常に難航しています。出来るのでしょうか・・・・・・ PacketLengthを教えてくれる人がいないと、まだ暫くかかりそうです。(簡単なはずなんですけどね) と、リネ関係のお仕事が憂鬱になったので、ROのサーバーチェッカーをRAGUに実装してみました。 ソースはA42枚程度+DBの簡単な代物です。実装までも3日かかっていません。 現在はあまり需要がないサー
ユーザーが制御できない「秘密cookie」、半数強のサイトが利用
米研究チームの発表によると、Adobe Flashを使ってネット上のユーザーの行動をひそかに追跡し続けるサイトが増えているという。 Adobe Flashを使ってネット上のユーザーの行動を追跡し続ける「秘密cookie」を利用するサイトが増えているという。米カリフォルニア大学バークリー校などの研究チームがこのほど論文を発表した。 「Flash cookie」は通常のcookieとは異なり、ブラウザのセキュリティ設定ではコントロールできないという。研究チームが大手サイトによる同cookieの利用実態について調べたところ、調査対象としたサイトの半数以上がFlash cookieを使ってユーザー情報を保存していることが判明した。 中にはユーザーが削除したHTTP cookieを、Flash cookieを使って復活させているケースもあった。しかしその存在についてはサイトのプライバシーポリシーでも
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
TwitterでスパムDM出回る フォロワーに自動でDM送りつけ
Twitterで8月1日ごろから、スパムDM(ダイレクトメッセージ)が出回っている。DMに書かれたURLのページにアクセスし、ボタンをクリックすると、同じDMを自動でフォロワーに送り付けるという仕組み。ITmedia Newsのアカウントにも数通届いており、日本のユーザーも被害にあっている。 DMとは、2人のユーザー間でやりとりできるメッセージ機能。通常の投稿「つぶやき」(Tweet)と異なり、内容は送ったユーザーと受け取ったユーザーしか見られず、相手が自分をフォローしていないと送れない。スパムDMも、見知らぬアカウントではなくフォローしているアカウントから送られてくるため、内容を信頼し、書かれたURLを思わずクリックしてしまう人が多いようだ。 スパムDMは英文で、「has sent you a FREE GIFT to join MobsterWorld. Accept you free
404 Not Found
実名などの個人情報を公開することは大変危険です。 実名さえ分かれば、住所や電話番号などを調べることが可能なのです。 TELECOREというテレコア株式会社が運営する個人情報紹介サービスをご存知ですか。 このサイトを利用すれば、あなたの住所や電話番号を調べることができてしまうかもしれません。 私の住所や電話番号は簡単に検索することができてしまいました。 TELECORE(テレコア)無料電話番号検索サービス ■TELECOREで個人情報を検索する方法 「無料検索ログオン」と書かれたボタンをクリックすると、個人情報を検索するページへ移動します。 このサイトで個人情報を調べる方法は、大きく分けて3つあります。 1. 都道府県と市区町村を入力し、苗字を入力し、検索ボタンを押す。 2. 都道府県と市区町村を入力し、苗字と名前を入力し、検索ボタンを押す。 3.
岡田斗司夫さん「プロフィールを改ざんされた」とmixi退会
オタク評論家の岡田斗司夫さんが3月末、mixiを退会した。プロフィールが何者かにひんぱんに改ざんされ、mixi運営事務局に理由説明や対処を求めたが対応が不十分だったため、事務局を信頼できなくなり、退会を決めたという。 岡田さんが退会直前に更新したmixi日記によると、「mixiのプロフィールが何物かに無断で改ざんされる事態が続き、頻繁にパスワードを変えても改ざんされた」という。 岡田さんは事務局に知らせ、対応を求めたが、「対処や理由説明もなく、突っ込んだ質問をしたら返信そのものがなくなった。『原因は分からない』『調べようがない』という答えしかなかった」ため、「mixi運営事務局そのものが信頼できなくなった」としている。 ミクシィの広報担当者は「岡田さんには、共有のPCなどでmixiを利用した際、ログアウトをし忘れたりしていないかのチェックや、パスワードの変更など、必要な案内は行った。不正ア
@IT:Webアプリケーション: 第3回 気を付けたい貧弱なセッション管理
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 「第2回 顧客データがすべて盗まれる」は、クロスサイトスクリプティング(XSS)と同様に実際のプログラミングを行うプログラマの責任であるという対策で、最も危険と思われるSQL InjectionとOS Command Injectionについて紹介した。今回は、プログラミング以前の設計段階で潜り込むセキュリティホール――見落としがちなセッション管理の脆弱性について説明していく。 We
第6章リモートアクセスのセキュリティ対策技術----6.5ユーザ認証システム
ユーザ認証システムとは、文字どおりユーザを認証して特定し、ネットワークシステムのセキュリティレベルを高めるために使用されるシステムのことです。ユーザIDやパスワードなどの組み合わせにより、ログインしてきたユーザが、ネットワークの利用可能ユーザであるかどうかを識別します。 PAP(Password Authentication Protocol:RFC1334)と呼ばれるシステムでは、パスワードファイルは暗号化されています。ユーザがイントラネットにログオンしようとすると、サーバーはユーザ名とパスワードの入力を求めてきます。ユーザが入力した文字はクライアント上では、暗号化されずにそのままの形で回線上を送られてきます。サーバーはユーザのパスワードを受け取るとそれをパスワードファイルを暗号化したときと同じ方法で暗号化します。その後、サーバーは2つのパスワードを比較して、一致していればユーザのログイ
固有IDのシンプル・シナリオ
結城浩 RFIDなどの、固有IDの問題を考えるためのシンプル・シナリオを提示します。 シンプルなシナリオと具体例を通して、固有IDの注意点がどこにあるかを明確にしましょう。 目次 はじめに このページについて このページの構成 わたしについて 「固有IDのシンプル・シナリオ」 時刻(A): 場所(A)にて 時刻(B): 場所(B)にて ボブが知りえたこと シンプル・シナリオ適用例 適用例1: メンバーズカード 適用例2: IDの自動読み取り 適用例3: 読取機を持ち歩く人 適用例4: ダイヤの密輸 適用例5: 徘徊老人の命を救う 適用例6: 遊園地の迷子探し 適用例7: 携帯電話 固有IDに関連するQ&A 固有IDのシンプル・シナリオで、何を言いたいのか? メンバーズカードの例は問題なのか IDには個人情報が盛り込めないのではないか? 暗号化すれば大丈夫? 強固なセキュリティでデータベース
高木浩光@自宅の日記 - Windows Mobileの「オーナー情報」設定に注意
■ Windows Mobileの「オーナー情報」設定に注意 RFID付き米国旅券の情報を遠隔地から収集する試み, スラッシュドット, 2009年2月7日 米国籍パスポート(所有者)が接近すると爆発する爆弾(略) とあるように、無線で近くの人のIDが読めてしまうことの危険性は、米国ではテロの現実性もあって、かねてより話題になっている。 ところで、一昨年、はじめてWindows Mobile機を買った際に気になったものの、小ネタだったので放置していた件があるのだが、やっぱり書いておく。 Windows Mobile搭載機器(スマートフォンなど)を買ったとき、最初にやることといえば、いろいろな設定を試してみることだろう。最初に目につくのは「オーナー情報」(図1)の設定。ここに名前と連絡先を書いておくと、電源を入れたときに表示されるようにできる。
高木浩光@自宅の日記 - Bluetoothで山手線の乗降パターンを追跡してみた , ユビキタス社会の歩き方(6) Bluetoothの「デバイスの公開」「検出可能にする」..
■ Bluetoothで山手線の乗降パターンを追跡してみた この日記を書き始めてからもう6年になろうとしている。書き始めたきっかけは、RFIDタグのプライバシー問題が理解されないことに焦りを感じたからだった。当時の空気では、RFIDタグは5年後くらいに普及し、しだいにRFIDの埋め込まれた日用品で溢れかえるようになり、10年後くらいにプライバシー問題が顕在化すると目されていた。しかし、6年経った現在、私の靴にRFIDタグは埋め込まれていない。 当時の議論で描かれていたRFIDタグの問題は、無線LANやBluetoothにも共通することであり(MACアドレスがユニークIDとなる)、それらの方が先に普及するかもしれないという予感はあったが、現時点でも、無線LAN機器を持ち歩いている人はごく一部の人に限られている。しかし、Bluetoothはどうだろうか。これまでにも何度か、最近のBluetoo
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
asahi.com(朝日新聞社):ネットカフェの本人確認義務化を提言 警視庁・有識者懇 - 社会
リア充を社会的に抹殺したwwwwwwwwwwwww:【2ch】ニュー速VIPブログ(`・ω・´)
Nessus Vulnerability Scanner: Network Security Solution
x.com
Engadget | Technology News & Reviews
