正体が見えた「クリックジャッキング」
9月末,Internet Explorer(IE),Firefox,Safariなど主要ブラウザやFlashPlayerなどのプラグイン・ソフトに潜む「クリックジャッキング」のぜい弱性が報告された。想定される影響範囲が広いうえ,決定的な防御策がなかったことから情報公開が遅れていたが,10月7日に,いくつかのベンダーによる防御策とともにようやく詳細が公開された。 クリックジャッキングを端的に説明すると,悪意あるWebコンテンツに“見えない”ボタンを埋め込み,それをユーザーにクリックさせる攻撃手法である。ユーザーは目に見えているボタンをクリックしているつもりで,悪意あるコンテンツにアクセスしてしまう。 このぜい弱性の主な特徴は, ・JavaScriptの利用を必要としない ・複数のWebブラウザに影響がある ・何度もクリックさせることが可能 の3点だ。クリックジャッキングのぜい弱性報告者の一人
ヤフーがyimg.jpを使う本当のワケ - 最速配信研究会(@yamaz)
ヤフーの画像はなぜyimg.jpドメインなのか? サイト高速化の手法とヤフーの失敗例 でヤフーがなぜドメインを変えて画像サーバを運用しているかが書かれている.「静的なコンテンツに対してクッキーフリードメインを使うことによって速度向上を狙う」というのが理由とあって,これはこれでもちろん正しいのだけれど,これはどちらかというと副次的な理由で本当の理由は違う. クッキーフリードメインを使うことで悪意あるFlashコンテンツなどから自社ドメインのクッキーを守るためというのが本当の理由で,これはあちこちで使われているテクニックだ.Flashコンテンツは外部の業者さんに作ってもらったり,広告の入稿素材として入ってくるので,信頼できないデータとして取り扱う必要があり,万一まずいデータがアップされることがあっても大丈夫にしておく必要がある. 最近ユーザからの任意のコンテンツを受けつけて同一ドメインで配信し
パスワードハッシュはsaltと一緒にハッシュ化する
(Last Updated On: 2013年11月6日)このタイトルにするとsaltとは、という議論をもう一回する事になるのかもしれませんが、最も近い用語はsaltだと思うので、saltを用語として使います。 随分前からパスワードハッシュはユーザが提供したパスワードと、システムが保持している秘密のランダム文字列と一緒にハッシュ化する方がより安全である、と言っていました。異論がある方もいらしたのですが、どうしてより安全となるのか、場合によっては比べ物にならないくらい安全になるのか、良く分かるビデオを見つけたので紹介します。 (音が大きいので注意!) このビデオを見ると、SQLインジェクションでWebフォーラムのハッシュ化ユーザパスワードを盗み取り、レインボーテーブルを提供しているサイトを利用して「ランダム文字列のパスワード」を解析し、SQLインジェクション情報を提供していたセキュリティ関連
はてなブログ | 無料ブログを作成しよう
春の伊予国漫遊記。松山・今治と愛媛の魅力を満喫してきました。 法事を兼ねて愛媛観光へ 2024年のGWは、毎年恒例の名古屋帰省ではなく自宅でゆっくり過ごしておりました。というのも、4月に法事のため愛媛・松山に親族大集合というイベントがありまして、そちらをGWの旅行代わりにしたという理由です。法事は日曜日の予定ということ…
“アーカイブ”をバックアップと混同するなかれ
そもそもアーカイブとは 「アーカイブ」という言葉自体は非常に広く使われていることもあり、多くの人が通常のデータ保存やバックアップと混同してしまいがちだ。確かにデータ保存やバックアップと密接に関係しているのだが、「アーカイブとは何か?」「どのようにシステムに組み込むのがいいのか?」という点を整理することで、大変効率よくストレージを運用できるようになるのだ。 さらに、今後は内部統制やコンプライアンス(法令順守)を推進する際にアーカイブが大変重要な意味を持つようになることもあり、今回のキーワードとしてあらためて取り上げてみたい。 一般的にアーカイブとは「1つ、もしくは複数のファイルを圧縮して保存すること」ととらえられがちだが、アーカイブのそもそもの由来は「記録保管庫」からきている。例えば、書類などを長期にわたって安全に保管して、必要になった場合に容易に取り出すことができる書庫のようなものだと考え
TechCrunch | Startup and Technology News
Welcome to Startups Weekly — Haje‘s weekly recap of everything you can’t miss from the world of startups. Sign up here to get it in your inbox every Friday. Well,…
TechCrunch | Startup and Technology News
Unlike Light’s older phones, the Light III sports a larger OLED display and an NFC chip to make way for future payment tools, as well as a camera.
JavaとMySQLの組み合わせでUnicodeのU+00A5を用いたSQLインジェクションの可能性
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2008年12月22日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 今年のBlack Hat Japanには、はせがわようすけ氏が「趣味と実益の文字コード攻撃」と題して講演され話題となった。その講演資料が公開されているので、私は講演は聞き逃したが、資料は興味深く拝見した。その講演資料のP20以降には、「多対一の変換」と題して、UnicodeのU+00A5(通貨記号としての¥)が、他の文字コードに変換される際にバックスラッシュ「\」(日本語環境では通貨記号)の0x5Cに変換されることから、パストラバーサルが発生する例が紹介されている。 しかし、バックスラッシュと言えばSQL
void element blog: 「こくばん.in」を運営している立場として「うごメモはてな」を本気で心配してみる
任天堂とはてなが提携して「うごメモはてな」が発表されましたが、老若男女問わず不特定多数が参加するお絵描き投稿の場というのは思った以上に混沌とすることが予測されます。 「こくばん.in」ではユーザ数こそ圧倒的に劣るものの利用年齢層がDSiの購入層と近いと考えているので、過去に起こった事例に当てはめて「うごメモはてな」で発生しうる事態を挙げてみます。 1.通報するはてな市民のモチベーション低下 2.不特定多数とピクトチャットができる 3.アニメーションを利用した不適切な投稿の隠蔽 4.他人の作品に書き足すことによる弊害 5.悪質なユーザを遮断できない 6.狙い撃ち通報 7.通報が追いつかない あくまで一部ですが、事例も含め共有しておいた方がいいと思ったので簡単ですがまとめてみました。 いずれも起こらないことに超したことはありません。 1.通報するはてな市民のモチベーション低下 まず、はてな市民
PDFファイル保存対策「PDF No Save」・HTMLモード
サンプル 料金 動作環境 ※ SHTML PDF保護モードは、「PDF No Save」・HTMLモードと名称変更し、またHTML作成作業を効率的に行えるようにしました。 PDFのセキュリティ関連の製品は数多く販売されており、また、印刷禁止・テキストのコピー禁止程度のことであれば、無料で行うことのできる製品もいくつか存在しています。しかしながら、WEB上で公開することを考えた場合に、躊躇せざるをえない問題があることも事実です。 1.WEBでPDFファイルを一般的な方法で公開する際の問題点 (PDFファイル保存対策の必要性) 最も一般的な方法として、 <a href="sample.pdf" target="_blank">サンプルPDFファイル1</a> のように単純にリンクします。しかし、この方法ですと、次のような問題が発生しえます。 ・下記のようなツールバーが表示されるため
ドラマ「ブラッディ・マンデイ」ハッキングシーン製作秘話(Scan) - Yahoo!ニュース
2008年10月からTBS系列で放映開始、明日12月20日に最終回を迎えるテレビドラマ「ブラッディ・マンデイ」では、コンピュータハッキングが重要な作品要素として取り上げられています。 ドラマや映画のハッキングシーンといえば、どでかいフォントで「ENTER PASSWORD」とモニターに表示されるだの、1分で政府組織のサイトに侵入するだの、専門家の目から見れば荒唐無稽を通り越した、もはやファンタジスタのオンパレード。高校生天才ハッカーが活躍するという「ブラッディ・マンデイ」の設定を耳にしたとき、背筋に冷たいものが走った識者も多かったに違いないでしょう。 しかし実際に放映が開始されると、その予想はいい方に裏切られました。「ブラッディ・マンデイ」は、放映開始直後からハッキングシーンのリアリティが一部で評判になりました。 同作品の技術監修を行ったのは、株式会社サイバーディフェンス研究所。同社
asahi.com(朝日新聞社):デジカメプリント注文機にウイルス 立川のビックカメラ - 社会
デジカメプリント注文機にウイルス 立川のビックカメラ2008年12月17日8時22分印刷ソーシャルブックマーク 東京・JR立川駅北口にある家電量販店「ビックカメラ立川店」で、デジタルカメラの写真プリント注文機がコンピューターウイルスに感染し、利用者の持ち込んだメモリーカードにも感染が広がっていたことがわかった。同社によると、全国28店舗のうち26店で同じ注文機を導入しているが、ウイルスが確認されたのは初めてという。 ビックカメラ広報・IR部は「利用者には伝票の控えで連絡を取るなどし、感染の可能性と対策について早急に告知する」と説明している。 感染していたのは写真プリント注文機「オーダーキャッチャー」の1台で、画像が記録されたメモリーカードを同機に差し込むことで感染して拡大していく「ワーム型」と呼ばれるウイルスが確認された。注文機を開発した富士フイルムの調査によると、3日には感染していたこと
livedoorのad4U、拒否できるのは「1ヶ月」だけ - xenoma日記
今は 1 年に延びた模様です(末尾に関連エントリ)。 昨日は楽天ad4Uについていろいろ書いたんですが、今回はライブドアのad4Uについて。ライブドアもドリコム式行動ターゲティング広告「ad4U」を利用しているサイトだ。サイトの訪問履歴を基準に広告を出してくるというのは当然一緒だから、今さら書くことなし。でも、拒否に対する姿勢に違いがあるので、それについて書く。 livedoorのad4Uを拒否する方法 楽天のad4Uを拒否する方法は前回のエントリをご覧ください。ざっくり言えばこんな感じです。 所定のページで拒否する意思を示す (楽天の)ad4Uを無効にするcookieが渡される 有効期限は1年 ただし、NGUserIDなる(おそらく重複なしの)識別用IDも同時に渡される livedoorの場合も所定のページで拒否の意思を示せばOK。下記から設定できる。 株式会社ドリコムの行動ターゲティン
高木浩光@自宅の日記 - 楽天CERTに対するブラウザの脆弱性修正を阻害しない意思確認
■ 楽天CERTに対するブラウザの脆弱性修正を阻害しない意思確認 楽天は比較的早い時期からコンピュータセキュリティに真剣に取り組んできた希有な存在だと認識している。昨年には、企業内CSIRTを正式に組織し、組織名を「Rakuten-CERT」とした。*1 楽天、社内に「CSIRT」を設置, ITmediaエグゼクティブ, 2007年12月6日 「楽天ad4U」の「脆弱性を突いてブラウザの閲覧履歴を調べるという禁じ手」の問題(前回の日記参照)は、その手法自体が直接人々のプライバシーを侵害するか否かという問題ではない。実際、「楽天ad4U」について言えば、閲覧履歴の有無は参照するけれども履歴自体の送信はしないように作られており、開発元はこれを「プライバシー保護にも優れています」と宣伝している。 しかし、この問題の根本は、10月の日経の記事にも書いたように、この手法が広く使われるようになって、こ
高木浩光@自宅の日記 - 楽天ad4Uの隠しリンクを露出させるユーザスタイルシート
■ 楽天ad4Uの隠しリンクを露出させるユーザスタイルシート 脆弱性を突いてブラウザの閲覧履歴を調べるという禁じ手に手を出した、掟破りの(自称「次世代」)行動ターゲティング広告「楽天ad4U」について、amachangの「IEのinnerHTMLやappendChildで要素が挿入された瞬間を取得する方法」を参考に、その隠しリンクを露出させるユーザスタイルシートを作ってみた。(Internet Explorer用。) #ad4u_list { display: expression(function() { if (!this.__mark) { this.__mark = true; // alert(this.innerHTML); var o = '<div style="overflow:scroll; border:dashed 4px red;">'; o = o + this
Kaspersky製のフリー&常駐保護付きアンチウイルスが登場 | 教えて君.net
海外のアンチウイルス検出力比較テストなどで首位の常連、Kaspersky製の常駐保護付きアンチウイルスが、フリーでリリースされた。簡単に特長を書くと「とにかくマイナーウイルスでも新種ウイルスでも、恐ろしい量&速度でウイルスに対応していて、コード改変による偽装にもクソ強い」という感じ。Winnyウイルスなど国内局所的なウイルスも網羅しており、「マイナーなウイルスが使われたので市販でも検出できず、アンチウイルスを入れているのに感染する人が続出」と言われた価格コム騒動のウイルスに関しては、むしろ価格コムに埋め込まれる一週間ほど前から対応していた。しかも定義ファイルの更新は、何と平均で一日24回。そんな世界最強アンチウイルス、Kaspersky社製のフリーアンチウイルスだけに見逃せない。まだ未検証な部分もあるが、最速レビューを掲載する。 「Active Virus Shield」を、公式サイトでメ
つながらなかったパソコンの正体は…。 : パソコントラブル出張修理・サポート日記
こちらはいきなりのリカバリ+SP2化依頼でした。 こういう依頼も珍しいな、と思いつつお伺いしてみました。 とりあえずヒヤリング。 まずは「なぜリカバリしなければならなくなったのか?」という点から。 「Bフレッツを引いたのはいいんですが、引き込み業者の人に『これはリカバリした方がいいですよ』と言われたもんで」 うーん…。 起動してみたら、確かになんだか動きが鈍い。 すでにインストールされた「フレッツ接続ツール」が、何度も接続に失敗した挙句に、「フレッツ速度測定サイト」につながった状態で通信をしています。 なんだこりゃ? それに… ∑( ̄□ ̄; で、出た!Hotbar! 他にも、タスクバーにいろいろ怪しげなアイコンが。 バージョンをチェックしてみたら、XP Proの初期型。 さらにお聞きしてみると、どうも今までは、ダイヤルアップなどナローバンド接続しかしていなかった模様。 ナローバンドだからっ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA職員がwinnyで嫁以外とのエッチ後画像など大流出 まとめwiki - トップページ
犯罪発生マップ :警視庁
http://twitter.com/HiromitsuTakagi/status/1074354271
