『ぼくの名前をかたったウイルス?』
前の日記にも書いたけれど、 ぼくの名前をかたったウイルスがアメブロに広まっていたみたいなので、 ちょっとだけ調べてみたよ。 (参考) [ほまち] gooブログ検索 ぼくのIDって「hamachiya2」なんだけど、それとすごくよく似たIDを誰かが取得して、そのIDのプロフィールページに変なコードが仕掛けられてあったみたい。 ざざっと調べた感じだと、下の4つのIDを確認したよ。 homatiya2 (ほまちや2) [プロフィールの魚拓] [画面キャプチャ] homachiya2 (ほまちや2) [プロフィールの魚拓] [画面キャプチャ] hamatiya2 (はまtiや2) [プロフィールの魚拓] [画面キャプチャ] hamachya2 (ぼくはまちちゃん!こんにちは…) ※綴りに「i」がない [プロフィールの魚拓] [画面キャプチャ] いずれもプロフィールページに「 http://bit.
はまちちゃんと脆弱性報告のあり方 - 世界線航跡蔵
はまちちゃん がいつものごとく、AmebaなうにCSRF脆弱性を発見して いたずらを仕掛けた 。そして、何故か今回だけ「それは迷惑行為だ」とかなんか騒がしい。 私はそもそも、はまちちゃんのいたずらを「隙があったからカンチョー」に喩えるのが程度がおかしいんじゃないかと思う。それで非技術者には話が通じていないのでは? CSRFやSQL Injectionを許していたら、何よりも守るべきユーザーの情報が危険だ。そしてAmebaがそういう脆弱性を持っていると言うことは、生越さんが指摘するように首相官邸からの公式情報を操作できるという意味だ。これは「隙があった」んじゃないだろう。「開腹したまま内臓が露出している」んだ。 ところが、どうも現実の医師とは違ってこの世界の、特にAmebaみたいな大きな会社の開発者はその辺の意識が甘い。「手術したけど、まー、内臓が見えててもすぐに死ぬ訳じゃないし、適当に皮被
ソーシャルアプリケーションのオプトイン - Nothing ventured, nothing gained.
「MobsterWorldのTwitter上での宣伝に見るOAuthの課題」で書いたように、TwitterにOAuthでアクセスするアプリケーションはユーザーにその許可を求める。つまり、オプトイン形式になっている。 ソーシャルウェブはソーシャルグラフを抱えるSNSサイトとそれに機能を付加するソーシャルアプリケーションとにより実現されることになる。その意味で、SNSはすでにプラットフォームとなっているわけだが、プラットフォームとして必要なのは、柔軟で拡張性の高いインターフェイスと利用者の安全を確保するためのアプリケーション側への制約という2つの矛盾する要素になる。 後者については、結局、SNSサイト側のポリシーに委ねることになるのだが、利用者として認識して置かなければならないのは、ソーシャルアプリケーションに自分のSNSにアクセスを許可するということは、SNSではなく、アプリケーションに自分
高木浩光@自宅の日記 - 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
皆さんこんにちは、川口です。コラムの第6回「IPSは“魔法の箱”か」でまっちゃ139で講演をしたお話を書きましたが、今度は関東でやっている「まっちゃ445」にお招きいただき、お話ししてきました。 まっちゃ445は募集開始から定員が埋まるまでがとても速く、今まで参加したことがなかったのですが、今回は運良く(?)講師側ということでキャンセル待ちにならずに参加することができました。ロックオンの福田さんがオープンソースのECサイト構築システム「EC-CUBE」に脆弱(ぜいじゃく)性が発見された際のインシデントハンドリングのお話をされていました。EC-CUBEにSQLインジェクションとクロスサイトスクリプティング(以下、XSS)が発見されたあとの対応のお話です。JSOCで日々インシデントにかかわっているいる自分としてはとても興味深い内容でした。 日本のエンジニアのセキュリティ意識は過剰? 今回のよう
そろそろクリックジャッキングについて一言いっておくか - 最速転職研究会
Firefox3で「サードパーティのCookieも保存する」をオフにする。 防げる。 いずれのブラウザにもサードパーティ製のcookieを制限するオプションがあるが、Firefox3以外だと、フレーム内表示された場合に「新規にcookieを保存しない」だけで保存済みのcookieは送信してしまう。 軽く調べてみたところ、次のようになった。(間違ってたら教えてください) サードパーティのcookieの新規保存 サードパーティの保存済みcookieの送信 表示中のドメインのcookieの保存/送信 IE6,7,8(デフォルト) x o o IE6,7,8(セキュリティ高) x x x Opera9.6(デフォルト) o o o Opera9.6(制限) x △ o Safari(制限/デフォルト) x o o Safari(全て受け入れる) o o o Firefox2(デフォルト) o o
WinnyとかShareでごにょごにょしてComicView.exeを実行したひとへ。
最近PCの調子はどうですか? すこぶる元気ですか? ごにょごにょして手に入れたzipの中に入っているComicView.exeを実行してしまった人用に対応策を書かせてもらいます。たぶん優秀で善良なはてなの方たちには全く関係がないと思うけど、はてなに書けばGoogle先生も良く拾ってくれますからね。 まず最初に断っておくと、私はWindowsVistaを所持していないのでWindowsXP用の対応策になります。WindowsVistaでは同じように機能するのかも分かりません。 まず、実行した人には分かると思いますが何も起こりませんよね。 これで何も害がない実行ファイルだと思ってしまったらダメです。この時点であなたはウイルスの作者に利用されてしまっています。 ComicView.exeを実行すると「C:\Documents and Settings\All Users\スタート メニュー\プロ
mixi心配です。
ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解 ----------------------------------- 2005年5月にIPAの脆弱性情報届出窓口に届け出られたmixiの欠陥の件が、1年半たってようやく決着したという。この欠陥は、mixi内でアップロードされた画像が、mixiにログインしていなくても画像のURLを指定すれば誰にでも閲覧できてしまうというもの。 ~中略~ IPAはこれを脆弱性として受け付け、取り扱いを開始したものの、11か月後の2006年4月になって、ミクシィ側からギブアップの連絡があったという。その内容は、「システムの改修にて試みましたが、いくつかのプラットフォームにおいてログインができなくなった」「全ユーザーに対応させることは非常に難しい」というもので、改修しないということで取り扱い終了となったそうだ。 -------------------
フィードリーダーの脆弱性まわりのこと
最近、FreshReaderに脆弱性があったということで、いくつか調べて直したり、赤松さんと連絡取り合ったり、それからはてな使ってないのにユーザー様とか書かれて不愉快な気分になったりしてたんですが。 この記事はひどすぎると思う。 フレッシュリーダーの脆弱性に関連してSage++のこと そもそもの問題として「ローカルディスク上のHTMLファイルをブラウザで開くと超危険」です。XMLHttpRequestやIFRAMEでローカルファイルの内容を読み取れるからです。Sageに脆弱性があるということは、あらゆる個人情報の漏洩につながります。「開発者の個人情報を晒すリスクが云々」というのは、個人的には分からなくもないですが、ユーザーの個人情報を危険に晒していることを認識すべきです。 開発者本人が過去に書いているので、危険性の大きさは十分に認識できているはずです。「脆弱性がある」と公表してしまった時点
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://neta.ywcafe.net/000678.html