経験者は語る、Googleアカウントのハッキング被害から学んだ10のこと | ライフハッカー・ジャパン
デジタル系ブログメディア「Digital Inspiration」では、Google/Gmailアカウントをハッキングされてしまった筆者が、実体験を元に学んだセキュリティ術を紹介しています。 正確にはどうやってパスワードが破られたのか不明ながら、ハッキングに気づいた筆者はすぐにTwitter上で他のユーザのヘルプを求めたそうです。彼らの情報に従い、そのアカウントの所有者であることを認証してもらうためGoogle復旧要請フォームに必要項目を入力し、オンライン提出した後、Googleと何度かやりとりした末、3時間かけてようやくアカウントの復旧にこぎつけたのだとか。 この苦い経験から学んだポイントとして、以下の10点を挙げています。 その1: Google/Gmailアカウントにログインし、電話と連携させておく。こうすれば、第三者が自分のGoogleパスワードを回復させようとしている都度SMSテ
絶対に使ってはいけないパスワードとは | ライフハッカー・ジャパン
Listableという、ユーザーがいろんなテーマのリストを投稿するウェブアプリの1つとして「Passwords you shouldn't ever use(絶対に使ってはいけないパスワード)」が載っています。そこで、みなさんに、他に思いつく「絶対に使ってはいけないパスワード」があるかどうか、今回は聞きたいと思っています。 まわりの友達や同僚などから聞いた悪いパスワードの話で盛り上がりたいわけではなく、悪い例から、どんなパスワードを設定すべきか学びたいと思っています。 password 1234 12345 123456 1234567 12345678 qwerty abc123 letmein monkey myspace1 password1 blink182 (your first name) god sex money love 696969 このjono Ellisさんのリスト
Google Notebook
As of July 2012, Google Notebook has shut down and all Notebook data should now be in Google Docs. As previously announced, in most cases we were able to automatically export the Notebook data, so please visit Google Docs. Also please update any bookmarks or links to Notebook so that they point to Docs instead. Here are answers to some questions about this transition. We may add or update question
ロック解除のiPhoneを人質に、「身代金」の要求騒ぎ
オランダでAppleのiPhoneが一斉にハッキングされ、「身代金」を要求される騒ぎがあった。セキュリティ企業の英Sophos研究者が報道を引用して11月3日のブログで伝えた。 Sophosのグラハム・クルーリー氏のブログによると、騒ぎを起こした人物はオランダのT-mobileネットワーク経由でポートスキャンを使い、ロックを解除されたiPhoneを探し出してハッキングした。壁紙を書き換えて「おまえのiPhoneをハッキングした。私は現在、おまえの全ファイルにアクセスできる」という英文の警告メッセージを表示、iPhoneのセキュリティ強化のためと称して、あるWebサイトの閲覧を促した。 このWebサイトでは「解決方法を教えて欲しければ5ユーロを払え」と要求し、「払わないならそれで結構だが、おまえのiPhoneを使って他人がどんなことでもできてしまうことを忘れるな」などの脅し文句が書かれていた
パスワードはもう時代遅れ?
ビル・ゲイツ氏がRSA Conferenceの基調講演で述べたように、「パスワードはもう役に立たない」時代が迫り、より強固な認証が求められている。 ビル・ゲイツ氏が2月14日、RSA Conferenceに集まったITセキュリティ専門家の前で、「パスワードはもう役に立たない」と言い切ったとき、多くの聴衆は、IT市場で新たな地殻変動が起こり、強力な認証技術の時代が到来したことを示すものとして受け止めた。 カンファレンスに参加したMicrosoft、VeriSign、RSA Securityなどの大手ベンダーに加え、多数の小規模ベンダーが行った発表は、Microsoftの会長兼チーフソフトウェアアーキテクトの発言を補強するとともに、沈滞気味だったセキュアカード/トークン市場に一種の興奮が生まれている状況を反映したものだった。セキュア認証市場へのMicrosoftの参入は、この技術の普及に拍車を
Windows のパスワードを解析するツール(取扱注意) | alectrope
主にその日遊んだことのメモ、まとめなどの外部記憶。おそらくこれからもずっと準備中。 for mobile : http://alectrope.ddo.jp/mt4i/ ※ 注意。このツールを使用して他人のPC のパスワードを解析する行為は不正アクセス禁止法、あるいはその他の法律(コメント欄参照) で処罰の対象となると思われますので、絶対にそのような用途に使用してはいけません。この記事はそのような行為から自分のPC を守る事を目的としています。 Tech-Security » Ophcrack 2.1 - LiveCD (Linux) & 2.1 Install (Win) http://blog.tech-security.com/?p=15 「Ophcrack 2.1 - LiveCD - にわか鯖管の苦悩日記 _| ̄|● (2006-02-14)」 より。 Windows のパ
個人が暗号を使う時代は終わった
2006年1月26日,電子メールの署名・暗号化ツール「PGP」(Pretty Good Privacy)の開発会社である米PGP社が日本法人の設立発表会を開催した。運用管理の話題を追い続けてきた記者としては恥ずかしい話だが,筆者はその発表会に参加するまで,PGPが電子メール・サーバー向けのソフトとして同社の事業拡大に大きな役割を果たしてきたことを知らずにいた。 前回の本コラムで記者は,分散していた資源をデータセンターに集中化するシンクライアント(画面情報端末)が,2005年4月に全面施行された個人情報保護法と,同法に基づく情報漏えい対策が発端となって注目されていると書いた。シンクライアントのシステム形態では,アプリケーションのCPU処理をデータセンター側に集中させる。 CPU処理などのリソースをどこに配置すべきかという話題はとても興味深い。処理内容以外にセキュリティ対策の需要,WAN回線の
JVN のシステムの話 - naoyaのはてなダイアリー
誰(どの組織)が書いたか不明(JVN編集者が書いているようにも読めなくもない)なのは、システムに問題があるのではないか。署名欄でも設けたらどうか。自由書式だからこういう輩が出てくるのだから、記入様式を用意したらいいのに。 それ書いたの僕なわけですが。 マニュアルとか、フォームのそばにある説明を見ても「CERT/CCへの情報提供(任意)」だっけかな、そんな一文が書いてるだけで何を書いたらいいか分からないのですよ。そこに書いて欲しい具体的な内容があるなら具体的にどういうことを書くかとか、そういうのがないと分からないですね。 あと、このシステムの位置づけというのがいまいち理解できてなかったり。(もちろん、脆弱性情報を安全な経路で教えていただけるのは大変ありがたいことです。 ) それを修正した後に僕らが JVN のシステムを使って決められたフォーマットであれやこれを入力するのは何かしらの義務なんで
高木浩光@自宅の日記 - 適切な脆弱性修正告知の習慣はなんとか広まらないものか, 「はてなツールバー」がHTTPSサイトのURLを平文のまま送信していた問題,..
■ 適切な脆弱性修正告知の習慣はなんとか広まらないものか 2日の日記の件について、伊藤直也さんからトラックバックを頂いた。話は2つに分ける必要がある。1つ目は、一般にソフトウェア開発者・配布者が、配布しているソフトウェアに脆弱性が見つかって修正版をリリースしたときに、ユーザに伝えるべきことは何か、また、どのような方法で伝えるべきかという話。2つ目は、JVN側の改善の余地の話。 1つ目の話 はてなは以前から、Webアプリに脆弱性の指摘があって修正した場合、それを「はてな○○日記」で事実関係を公表してきた*1。これは、他のWebサイトの大半がそうした公表をしていない*2のと比べて、先進的な対応であると言える。 しかし、今回のはてなツールバーの脆弱性は、Webアプリの脆弱性ではなく、「ソフトウェア製品の脆弱性」である*3。一般に、Webサイトの脆弱性は、修正した時点でその危険性は解消するという性
■ - hoshikuzu | star_dust の書斎
■はてなダイアリー本体のXSS脆弱性 background 属性の XSS 脆弱性について::はてなダイアリー日記 あれ?いつからはてなダイアリーではHTMLの意味でのbackground属性が使えるようになったのでしょう。background属性でXSS脆弱性が発見されたようですけれど。 はてなダイアリーはHTML4.01を採用しています。background属性はbody要素でのみ有効なはず。はてなダイアリーでは当初、background属性など許可されていなかったはずです。だって、スタイルシートが使えるのが売りですしね。background属性など必要ないでしょう。悲しみながら調べてみます。 更新履歴-はてなダイアリー利用可能タグとは::はてなダイアリー 更新履歴-はてなダイアリー利用可能タグとは::はてなダイアリーから引用すると、どうも以下のようです。 ■更新履歴 (snip) 利
ブログサービスの設計思想とユーザ側の制約
はてなではサービス全体で共通のログイン cookie を発行し、各種サービスの設定・編集やプライベートモードの閲覧、ログインコメントなどをパスワード入力なしで利用できるよう設計されています。そのため、*.hatena.ne.jp 内で任意の JavaScript が利用可能な場合、悪意あるユーザは他ユーザの cookie を取得してなりすまし、パスワードの入力が必要な退会・個人情報管理・ポイント操作を除く全ての操作を実行できます。 はてなダイアリーで JavaScript の自由な利用が制限されているのは、この危険に対処するためです。各種 SNS でユーザの自由なスクリプト利用が認められない理由も同様です。ログイン情報をユーザが保持していることを前提に設計されたサービスでは、避けられない問題なのです。 こうした事情は一般のユーザには理解されにくい(私も satoshii さんのご教示を受け
俺専用mxxi :: ぼくはまちちゃん!
はまちや2さんの日記 mixiがクローキングしちゃってる Googleで「mixi」を検索してみました! すると、上からいくつかのところに「mixi(ミクシィ)モバイル」の文字がでてくるよね! うんうん…え、あれれ! 検索結果の要約のところに、しっかりとコンテンツの一部がでちゃってるよ! なんで! 続きはこちら [コメント:11件 トラックバック:2件] 2007/01/07 [23:39] コンパクトデジカメを買うための自分用メモ 最近おみせでよく見かける、手ぶれ補正とか高感度とかの コンパクトデジカメが 3万円を切ってきたんだよ! だから買おうと思うんだけど! 候補は 4機種…! せっかくだから色々しらべて検討したときのメモを置いておきますね! 続きはこちら [コメント:2件 トラックバック:0件] 2006/11/15 [20:28] XSS - 表示系パラメータに存在する盲点 こ
Passion For The Future: Webやメールのパスワード一覧を表示する Protected Storage PassView
Webやメールのパスワード一覧を表示する Protected Storage PassView スポンサード リンク ・Protected Storage PassView http://www.nirsoft.net/utils/pspv.html 会員認証付のWebサイトを複数使っていると、IDとパスワードの管理が面倒である。 Internet ExplorerはサイトごとにIDとパスワード情報をしばらく保持してくれるので、再度の訪問時は自動入力、自動ログインになることが多い。だが、設定期間を超えるとセキュリティ上、情報が消されてしまうケースがある。 IE以外にもパスワードはある。OutlookなどWindows系のアプリケーションはパスワードを*****という風にアスタリスク表示で安全性を高めてくれる。しかし、パスワードをメモしたい、人に教えたいようなときには、中身がなんだったのか忘
RTFM
ドキュメントを読まない輩 結論: ぐぐるな。ドキュメントに書いてあるとわかっているのになぜ google に頼る? 巷間でよく見られる、しかし Apache の配布アーカイブ一式に含まれているドキュメントをちゃんと読んでいれば起きないはずの設定ミスや、ミスではないがふしぎな設定について。 <Limit>: セキュリティ上のリスクがあるのですみやかに確認・修正されたし AddDefaultCharset: 穴ではないが修正が必要 LanguagePriority: ほとんどのサイトでは無意味 ScriptAlias: 管理者でなくエンドユーザがハマるのはしかたないけれど SetEnvIf: どこも間違ってはいないのだが… Apache のドキュメントは日本語未訳なところが一部残っているけれど、全体として非常によくまとまった情報源である。少なくとも、「このディレクティブをどう設定するとどう動く
Code Obfuscation & Code Obfuscators - for .Net ASP.Net Java ActiveX Delphi C/C++
Protect the intellectual property contained in your source code and PCode whilst improving the performance of your application by running it through an obfuscator. Remove comments, change variable names and generally make them more difiicult to decompile and reverse engineer. ASPLightning V1.2.1 You've just spent months developing the killer ASP application. You're just days away from unleashing
内部からの脅威をコードの難読化で抑え込む
セキュリティに万全はない。また、攻撃者は外部にいるとは限らない。内部にいる攻撃者に対処するには、物理的制約、ソフトウェアアクセス制御、ソフトウェア保護/難読化などからなる包括的かつ重層的なアプローチが必要である。 企業は、効果的なセキュリティ対策のためなら何十億ドルという出費もいとわない。だが、幾らセキュリティに万全を期したつもりでも、すぐに油断が生まれ、能率優先が幅をきかせだし、セキュリティ手順からの逸脱が起こる。社員も徐々にその逸脱に慣れていく。その結果、最も効果的とされるシステムにさえ、小さいながら大きな危険を潜伏させる穴があき、攻撃者に攻撃の糸口を与えてしまう。攻撃者は外部にいるとは限らない。内部にいることも多く、これに対処するには、物理的制約、ソフトウェアアクセス制御、ソフトウェア保護/難読化などからなる包括的かつ重層的なアプローチが必要である。 内部からの攻撃は、どれほど深刻な
セミナー申し込みフォームがスパムの踏み台?
セミナー申し込みフォームがスパムの踏み台?:星野君のWebアプリほのぼの改造計画(1)(1/4 ページ) 朝7時。いつもより30分早く起きる。星野君、27歳の秋。 今日は、星野君がかねて希望していたWeb担当へ配属替えになる日。星野君の会社では創立記念日の今日を機に、Webに力を入れるための新しいチームが発足するのだ。 足取りも軽く、星野君は会社へ出社する。まだ、「Web担当になる」ということ以外、具体的なことは一切知らされていないが、とてもわくわくしている。 この会社では、人事発令があるときは1人ずつ社長室に呼ばれる。星野君が自席でそわそわしていると、一番に声が掛かった。 社長 「星野君、入りなさい」 星野君は2年ほど前にこの会社へ転職してきた。前職では、簡単なWebアプリケーションの作成やFlash作成などのコーディングが中心のWebデザインの仕事をしていた。Webデザインの仕事を希望
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Tociyuki::Diary