あやしいサイトの3分調査方法(初心者向け) - QiitaDeleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
最近はJavaScriptをデフォルト無効化してブラウジングしてる
こういう事(これが本当にマルバタイジングだったのかサイト改ざんだったのかどうか等はITmediaから経緯説明があったわけでもないので知らない)があって こういうスタンスなのだけれど、モバイル環境に関しては最近はJavaScriptを無効化してブラウジングしてる。使っているスマホのバッテリーがへたりはじめているので少しでも消費電力を下げたいというのもある。 基本的にはChromeをデフォルトJavaScript無効、よく利用するサイトを例外ドメインとして設定して利用 例外ドメインに追加したくはないけどアドホックにJavaScript有効で見たいページは共有メニュー(インテント)からFirefox Focusで開いている。この運用で今のところ不便さは感じてない。ただデスクトップ環境に関しては今の所は何もしてない。 昔々IEコンポブラウザと呼ばれるものが流行っていた頃のkiller featur
Apple・Google・Microsoftがパスワードなしの認証システム「パスキー」の利用拡大に合意
Apple・Google・Microsoftが「世界パスワードの日」にあたる2022年5月5日に、FIDO AllianceとWorld Wide Web Consortium(W3C)が手がけるパスワードレスのサインイン標準規格「パスキー」の利用拡大に合意しました。 Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins - FIDO Alliance https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-
当社ネットワークへの不正アクセスに関する調査結果のお知らせ | プレスリリース | 東映アニメーション株式会社
本年3月7日に公表しました「当社ネットワークへの不正アクセスによるシステム障害発生に関するお知らせ」に関し、下記の通り調査結果をお知らせします。 なお、本日現在、通常業務および作品製作のいずれもおおむね正常化しております。 お客様、お取引先様をはじめとする関係者の皆様には、多大なるご迷惑とご心配をおかけしましたことを深くお詫び申し上げます。 1.経緯 当社従業員が業務上必要なソフトウェアを外部ウェブサイトよりダウンロードしたところ、ランサムウェアの侵入の起点となるソフトウェアが同時にダウンロードされるよう外部ウェブサイトが改竄されておりました。 その後、3月6日に社内ネットワークへの第三者による不正アクセスを確認いたしました。 2.対応および調査 上記社内ネットワークへの第三者による不正アクセスを確認後、速やかに社内システムの一部を停止し、外部からのアクセスを制限するなどの対応を行いました
仮想通貨の無断採掘で逆転無罪判決 最高裁「許容範囲」 - 日本経済新聞
他人のパソコンを無断で使って暗号資産(仮想通貨)のマイニング(採掘)をするプログラムをウェブサイトに置いたとして、不正指令電磁的記録保管の罪に問われたウェブデザイナー、諸井聖也被告(34)の上告審判決が20日、最高裁であった。第1小法廷(山口厚裁判長)は「パソコンに与える影響はネット広告と大差なく、社会的に許容できる範囲内だ」として、逆転無罪を言い渡した。無罪が確定する。対象のプログラムは「C
ランサムウェア攻撃者が利用する脆弱性リストメモ
■概要 2021年09月12日、Recorded FutureのCSIRTメンバーであるAllan Liska氏がTwitter上で呼びかけを行いました。 その呼びかけはランサムウェアの攻撃者が初期アクセスを獲得するために使用する脆弱性のリストを作成しようとしているというもので、いくつかのベンダーや製品名とともにCVE番号が列挙されたリストの画像が添付されており、このリストに掲載されていないものがあるかというものでした。これに対して、様々なレスポンスがあり、リストは拡充(初期アクセス獲得に利用される脆弱性以外も含む)され、セキュリティ研究者である、Pancak3氏が以下のような図を作成しました。 これらの流れを見ていて、非常によい取り組みだと思い、私も微力ながら貢献したいと考えました。 pancak3氏が作成された図だけでは、個別の脆弱性情報へのアクセスや影響を受けるバージョンを知ることが
Smoozサービス終了に寄せて
202012_smooz.md Smoozサービス終了に寄せて 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。 Smoozに報告した脆弱性2件 最近、Smoozというスマホ向けのブラウザアプリに2件脆弱性の報告をした。 この記事を書いている時点で、Smoozの配布が停止されていて、修正バージョンの入手が出来ない。 2件目についてはまだ返事が来ていない。 脆弱性情報の開示にあたって特段の許可は得ていないが、開発元からも利用停止す
続・続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している
この記事は過去2回にわたる検証記事の続きとなります。 国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している 続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している 前回の記事では、おすすめ記事機能を有効にしていると、Smoozがユーザーの閲覧しているURL情報を送信してしまうことについて解説しました。 ユーザーID、URLと共に送信されているbc、bt、bdという項目の内容がわからないままでしたが、これもユーザーの情報であるはずだと思い、調査を続けてきました。 ▼これがおすすめ記事のために送信される内容 (この内容は記事の最後にテキスト情報としても掲載しておきます) URL情報に関連するもので 『c、t、d』 と呼ばれそうなものは何か。 ・cのデータ量は飛び抜けて多い ・cとdは一致が見られることがある ・一部が一致しながらもcのほうが長かったりもする
あなたのコンピュータはあなたのものではない
ジェフリー・ポールのブログより。 ここにあります。それが起こりました。あなたは気付きましたか? リチャード・ストールマンが1997年に予言した世界のことを話しています。コリイ・ドクトロウも警告しました。 macOSの最新バージョンでは、アクティビティのログが送信されたり、保存されたりしない限り、コンピュータの電源を入れ、テキスト・エディタや電子書籍リーダを起動して、文書を書いたり読んだりすることはできません。 macOSの現在のバージョンでは、OSはそれを実行する時に、あなたが実行したすべてのプログラムのハッシュ(一意の識別子)をAppleに送信することが分かりました。多くの人はこれに気づいていませんでした。なぜなら、それは静かで目に見えず、オフラインのときに即座に、そしてうまく失敗するからが、今日はサーバが本当に遅くなり、フェイルファストのコードパスにヒットせず、インターネットに接続して
ウェブカメラ、ネットで丸見え3割 パスワード設定せず:朝日新聞デジタル
インターネットでつながるウェブカメラ(ネットワークカメラ)をめぐり、パスワードを設定するセキュリティー対策がとられていないため、商業施設や住宅の映像・音声を第三者がネット上で見たり聞いたりできることが朝日新聞の調べでわかった。調査の対象としたカメラの3割以上がこうした状態にあり、カメラを勝手に操作されたケースもあった。低いコストと手軽さで活用が進む一方で、「ネット社会」のリスクが浮き彫りになった形だ。 ウェブカメラも含めてネットにつながる全ての機器にはIPアドレス(ネット上の住所)が割り当てられており、国内には9千万以上ある。朝日新聞は昨秋以降、これらのIPアドレスを無作為にたどる方法で調べ、約125万のアドレスを抽出。先月末時点で2163台のウェブカメラがネットに接続されていることを確認した。 そのうえで接続状況を慎重に検証した結果、35%にあたる769台がパスワードを設定することによっ
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
第4回 Flash、JSONでのクロスドメインアクセス | gihyo.jp
Flashを用いたクロスドメインアクセス 前回までは、クロスドメインアクセスを行うための方法として、リバースProxyを使う方法とJSONPを使う方法を紹介しましたが、どちらの方法も少し変わった方法だったと思います。なにか無理やりのように感じた方もいるのではないでしょうか。今回紹介するFlashを使った方法では前回までの方法とは違い、自然な形でクロスドメインアクセスを行うことができます。 Flashでは、呼び出される側で設定を行うことでクロスドメインアクセスが可能になります。 設定といっても非常に簡単で、呼び出される側のWebサーバにcrossdomain.xmlというファイルを設置するだけです。このときのURLは http://www.example.com/crossdomain.xml となります。 ファイルの内容は以下のようになります。 crossdomain.xmlの内容 <cr
PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな
タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー(Twitter)でも、よく「○○ったー」みたいなサービスがばんばん登場してますね! おかげでますますツイッターが面白い感じになってて、いい流れですね! でも・・・ちょっと気になることが・・・ 最近「もうプログラマには頼らない!簡単プログラミング!」だとか・・・ 「PHPで誰でも簡単Webサービス作成!」だとか・・・ はてなブックマークのホッテントリで見かけますよね・・・ プログラミングする人が増えるのは素敵です!レッツ・プログラミングなう! なんですけど・・・ ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです!
FTP の危険性に関して超簡単まとめ
今日話題になった Gumblar の亜種によって FFFTP の設定情報から FTP 情報が漏れる件で、FTP 自体の危険性と FFFTP 自体の特性、さらに Gumblar 対策という点で少し情報が混乱している状況が見受けられます。そこでその点を簡単にまとめてみました。 去年あたりから、「Gumblar (ガンブラー)」 に代表されるような、FTP のアカウント情報を何らかの手段で盗み出して Web サーバにアクセスし、Web サイトを改竄して被害を広めていくタイプのウィルスが問題になっていますが、今日になって広く利用されているフリーの FTP クライアントである 「FFFTP」 にアカウント情報漏洩の危険性が見つかったということで話題になっていました。 「FFFTP」のパスワードが"Gumblar"ウイルスにより抜き取られる問題が発生 : 窓の杜 ただ、この問題で、FTP 自体の危険性
404 Not Found
実名などの個人情報を公開することは大変危険です。 実名さえ分かれば、住所や電話番号などを調べることが可能なのです。 TELECOREというテレコア株式会社が運営する個人情報紹介サービスをご存知ですか。 このサイトを利用すれば、あなたの住所や電話番号を調べることができてしまうかもしれません。 私の住所や電話番号は簡単に検索することができてしまいました。 TELECORE(テレコア)無料電話番号検索サービス ■TELECOREで個人情報を検索する方法 「無料検索ログオン」と書かれたボタンをクリックすると、個人情報を検索するページへ移動します。 このサイトで個人情報を調べる方法は、大きく分けて3つあります。 1. 都道府県と市区町村を入力し、苗字を入力し、検索ボタンを押す。 2. 都道府県と市区町村を入力し、苗字と名前を入力し、検索ボタンを押す。 3.
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Node.js のセキュリティの話
http://blog.boreal-kiss.com/2008/05/09185722.html
http://livedocs.adobe.com/flex/3_jp/html/help.html?content=05B_Security_03.html
[ヅラド] Flash/Flex SDK で信頼できるローカルSWFの設定方法