docomo ID認証が怪しげすぎる件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 NTTドコモがOpenIDを採用、PCサイトも“iモード認証”が可能に 「docomoがOpenIDに対応した」と話題になっているが、よくよく仕様書を見ると怪しげな点が多い。 ポイントはこの3つ。 ・RPに規制は無い(当たり前だけど)。つまり勝手サイト(勝手RP?)でも利用可能。これはケータイでも同じだけど ・iモードIDとUser-Agentを取得できる ・iモードID 取得はAXでもSREGでも無い独自仕様 つまり簡単に言うと、勝手サイトを立ててdocomo IDでログインできるようにして
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
FTP の危険性に関して超簡単まとめ
今日話題になった Gumblar の亜種によって FFFTP の設定情報から FTP 情報が漏れる件で、FTP 自体の危険性と FFFTP 自体の特性、さらに Gumblar 対策という点で少し情報が混乱している状況が見受けられます。そこでその点を簡単にまとめてみました。 去年あたりから、「Gumblar (ガンブラー)」 に代表されるような、FTP のアカウント情報を何らかの手段で盗み出して Web サーバにアクセスし、Web サイトを改竄して被害を広めていくタイプのウィルスが問題になっていますが、今日になって広く利用されているフリーの FTP クライアントである 「FFFTP」 にアカウント情報漏洩の危険性が見つかったということで話題になっていました。 「FFFTP」のパスワードが"Gumblar"ウイルスにより抜き取られる問題が発生 : 窓の杜 ただ、この問題で、FTP 自体の危険性
川口洋のセキュリティ・プライベート・アイズ(22) 新春早々の「Gumblar一問一答」 − @IT
皆さん明けましておめでとうございます。川口です。2010年も引き続き「川口洋のセキュリティ・プライベート・アイズ」をよろしくお願いします。このコラムも20回を超え、初めてお会いした方が読んでくださっていたということも増えてきました。これからもJSOCという特別な場所から見える風景をお伝えしようと思っています。 前回のコラム「実はBlasterやNetsky並み? 静かにはびこる“Gumblar”」で書いたGumblarの被害がいまも継続しています。特に年が明けてからは、大手サイトの改ざん事件が報道され、注目がさらに集まっているようです。JSOCのお客様でも感染被害やホームページ改ざん被害が継続しており、新年早々のんびりはできないようです。 今回のコラムはスタイルを変えて、私がGumblarについてよく質問されることについて答えるかたちで、Gumblarの現状を説明します。厳密には、このウイ
セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
Winnyサイトブラウザ "Nyzilla" - Download
発行元: Hiromitsu Takagi, Toshima-ku, Tokyo, JP (期限切れ中) 脆弱性対応期限: 2012年12月23日まで 重要なお知らせ 現在、インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れています。(2011年12月30日) 最新情報 インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れました。(2011年12月30日) 脆弱性対応期限を延長しました。(2011年12月23日) Nyzillaとは Nyzillaは、Winnyのサイトを閲覧するブラウザです。ファイル共有・交換ソフトではないので、ファイルのアップロード機能はありませんし、ダウンロード機能もありません(※1)。WebブラウザやFTPソフトと同じように、1つのサイトとだけ接続して、そのサイトがどんなファイルを公開しているか(
アメブロお年玉パスワード事件について
新年早々、お年玉として芸能人のパスワード入りエクセルファイルがプレゼントされた「アメブロお年玉パスワード事件」。 アメブロお年玉パスワード事件とは 「アメブロお年玉パスワード事件」とは、一体どんな事件だったかというと、 1. 2010年になり、ミキティなどの芸能人ブログでお年玉画像入りの記事が投稿された。 2. お年玉画像をクリックすると、芸能人ブログのパスワード等が記載されたエクセルファイルがダウンロードできるようになっていた。 3. お年玉プレゼントだと思った一般ユーザーが芸能人ブログにログインし、不正アクセスしてしまった。 このような事件でした。 サイバーエージェントの対応 アメーバブログ運営元のサイバーエージェントは即日、「Ameba」オフィシャルブログ、不正アクセス被害についてというPDFで”不正アクセス被害”について報告しました。 株式会社サイバーエージェント(本社:東京都渋谷
tk-gerb.net » 【参加報告】第2回東北情報セキュリティ勉強会
どうも. Taka_Gerberaです. 先日11/14(土) に行われた第2回東北情報セキュリティ勉強会に参加してきたので 恒例の参加報告・・・なんですが, 諸事情により写真のみ先行して公開します. 内容の更新は出張から帰ってきた後・・・ということで. 岩手出発が朝6時, 11時半ぐらいに仙台着. 雲行きが怪しくて時折雨が降る, 決して晴天とは言えない天気でした. 案内用のチラシもこんな感じに・・・. 今回のテーマは“セキュア開発プロセスとウェブ健康診断仕様の応用”というもの. 講師はハッシュコンサルティング株式会社の徳丸氏. 今回も友人と同伴で参加. 二人中二人ともマカー(Macintosh使い)です. そんな私はポメラニアン(pomera使い). お楽しみのおやつタイムは喜久水庵のものがメイン. おやつのうちのひとつは友人のゴトウ君の手作り. アップルクラ
第2回東北情報セキュリティ勉強会にいってきた - eikihaya’s Note
昨日は、第2回東北情報セキュリティ勉強会に参加してきました。 メイン講師は徳丸浩(id:ockeghem)さん。 「セキュア開発プロセスとウェブ健康診断仕様の応用」という事で、Webアプリの脆弱性対策とか検査とかいかに仕様に盛り込むかとか、実際の検査のデモなんかも見せてもらい、なかなか面白かった&勉強になった。 それから、"ちょっことLT"ということで、MS09-047の脆弱性を発見して、IPA に報告された体験を nig_luceさんが発表し、これまた興味深い話を聞けて面白かった。 その後は、参加者全員が4班に分かれて、「如何にセキュアなWebアプリ開発を行うか」というテーマでグループディスカッション。この企画は、初対面の人たちが多い勉強会の中で、見ず知らずの人たちがお互いに話すきっかけを作るという意味では、大変いい手段だなぁと思いました。さすが、まっちゃさん^^ そして忘れちゃいけない
第02回東北情報セキュリティ勉強会 - ankopanda - 迷走中
第01回から3ヶ月、第02回東北情報セキュリティ勉強会が開催されました!今回は受付係をやらせていただきました! 「セキュア開発プロセスとウェブ健康診断仕様の応用」(ハッシュコンサルティング 徳丸浩さん) 自分は業務で実際にセキュリティ関係を気にしたことが無かったため、技術部分は知らないことが多く、XSSとかSQLインジェクションとか気をつける体制が無かったことをヤバいなと思いました。セキュリティだけじゃないんですが、"完璧"ってことは無いので、ここまでやるけどここはやらないという決めの問題が難しいんだなぁ、と思いました。まずは「安全なウェブサイトの作り方」を読んで意識改革ですね。 ライトニングトーク「MS09-047の話とか」(nig_luceさん) 大学院生のnig_luceさんが、MS09-047の障害を見つけ、報告した流れについてのお話。こういうのって自分には縁遠いものだと思っていた
徳丸さんの話のTsudaり。
HID @shidho 漠然としたものでは難しいし、用語を列挙した場合質の維持が難しい。具体的対策で書けば開発が難しくなる(=コスト増)の可能性がある。あとは検収方法指定で考えるか。 2009-11-14 13:54:30
Perlでroot権限で動作させる場合の注意点 - pepponの日記
root権限で動作させたい常駐プログラムを作って動作させてみたものの、うまくいく場合とうまくいかない場合があって、かなりはまってしまった。 シェル上でrootユーザでperlプログラムを実行した場合と、なんらかのトリガー(メールや、xmlrpcとかでコマンドを受け取って)を経て自動で実行させるときの違いを調べてみた。 perlsec - Perl のセキュリティ http://perldoc.jp/docs/perl/5.6.1/perlsec.pod Perl は、そのプログラムが異なる実ユーザー ID、実効ユーザー ID、実グループ ID、実効グループ ID を使って実行されることを検出したときに、自動的に 汚染モード (taint mode) と呼ばれる特別なセキュリティチェックのセットを有効にします。 UNIX パーミッションにおける setuid ビットはモード 04000 で、
あまり知られていないけれど、HTML5では正規表現が使えるようになる
正規表現といえば、主にsedやawkといったUNIXのコマンドで、あるいはPerlやPHP、JavaScriptなどのスクリプト言語の中などで、プログラマーが文字列を操作するために使う道具でした。 その正規表現がHTML5でサポートされる見通しです。いままで正規表現を使わずに済んでいたデザイナやコーダーといった職種の方々も、いずれ仕事としてきちんと正規表現を扱わなければならない時代がやってきます。 HTML5のどこに正規表現が使えるようになるの? 正規表現は、input要素のpattern属性の中で使えることになる予定です。W3Cが2009年8月25日付け公開しているHTML5のワーキングドラフトの「4.10 Forms」の「4.10.4.2.8 The pattern attribute」では次のように記載されています。 The pattern attribute specifies a
UTF-8の冗長なエンコードとは何で、なんでそれがセキュリティ的に危ないのか?を文字コード知識レヴェル3くらいの凡プログラマが考えてみる - tohokuaikiのチラシの裏
何故かあたり前にならない文字エンコーディングバリデーション | yohgaki's blog ってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。 SJISの問題は、(2/3)SQLインジェクションを根絶!セキュア開発の極意 - 第5回■注目される文字コードのセキュリティ問題:ITproの記事がわかりやすかった。 というか、やっぱりPHP使ってると誰でも一度は「なんじゃこの『¥』は?」って思うもんなんで。 なるほど、確かに↓の図のように「あるバイト」が2つの意味を持つっていう文字コード形態はやばいんだなと。 EUC-JPはそんなことはしないで、1つのバイトには1つの意味しか取らせない。 だけど、これでも文字化けが起こることがある。経験的には、「マルチバイトをXX文字で切り落としたい」とかやった場合。ちゃんと文字コードを判定してくれるPHPでいえばmb_subst
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
docomo IDについて サイト運営者様向け | NTTドコモ
JPCERT、マルウェアによるアカウント情報窃取が確認されたFTPクライアントを公表
「安全なウェブサイトの作り方」改訂、Webアプリの失敗例を拡充 
PCをサンドボックス化、再起動ですべてを“なかったこと”にできる「Returnil」NOT SUPPORTED
はてなブログ | 無料ブログを作成しよう
「俺の邪悪なメモ」跡地