タグ

2013年12月18日のブックマーク (9件)

  • オープンソースな製品でどうセキュリティバグをハンドルするか?

    Life with Web Browser Engine (Gecko, WebKit and etc), Mobile and etc. 自分がFirefox 26で直した話でSecurity Bugとしてマークされているのがあったんだけど、それの話。バグ自体は、CVE番号は振られているけどただのクラッシュなのでSecurity Advisoriesには載ってないものね。 今までもたまにSecurity bug自体は直してたり (面倒であればバグを登録。最近もした) するんだけど、ほとんどの場合はリリース版になっていないベータとかTrunkのものでの話のバグを直すことばかりなので現在のプロセスに疎いことがあるんだけど (今の日のオフィスで働いている人達に、いまってこういうプロセスになってたって知ってた?って聞いたら、「えっ?」って言わたのは内緒)、こんな感じで対応する。 commit

  • 総務省|報道資料|「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表

    昨今、リスト型アカウントハッキングとみられる不正アクセス事案が急増していることに鑑み、総務省では、サイト管理者などのインターネットサービスを提供する事業者が適切な対策を講じることによって、被害の拡大を防ぎ、安心・安全なインターネットの利用環境の確保に資するよう、事業者向けの対策集を作成しましたので公表します。 昨今、国内のウェブサイトに対して、リスト型アカウントハッキング(リスト型攻撃)※とみられる不正アクセス事案が急増しています。 このようなリスト型攻撃に対しては、関係者が適切な対策を講じ、今後の被害の拡大を防ぐことが重要です。このため、総務省では、「情報セキュリティアドバイザリーボード」(参考1)のワーキンググループ(参考2)での議論を踏まえ、サイト管理者などのインターネットサービス提供事業者が、サービスを運営する際に参考にしていただきたいリスト型攻撃への対策集を作成しました。 ※ リ

    総務省|報道資料|「リスト型アカウントハッキングによる不正ログインへの対応方策について(サイト管理者などインターネットサービス提供事業者向け対策集)」の公表
    sho
    sho 2013/12/18
    概要だけ見て予防対策の2.と3.はどうなんだと思ったけど、本文ではそれなりの配慮がされていた。あと、拡大対策の1.って有効なの?
  • 『ガラスの仮面』配信終了について - 電子書籍・漫画のCOCORO BOOKS

    いつもGALAPAGOS STOREをご利用いただき、誠にありがとうございます。 現在配信中の『ガラスの仮面』1~49巻は、諸般の事情により2013年12月26日(木)をもって配信終了とさせていただきます。何卒ご了承ください。 なお、購入後の再ダウンロード・閲覧は配信終了後も可能です。 『ガラスの仮面』シリーズ一覧はこちら 今後ともGALAPAGOS STOREをどうぞよろしくお願い申し上げます。

    sho
    sho 2013/12/18
    へっ。
  • OWASP AppSec APAC 2014 | セキュリティ チョットデキル人、集合。

    ウェブセキュリティの国際会議、はじめての東京開催。 March 17th - 20nd, 2014, at Tokyo, Japan OWASP Global AppSec APACは、ソフトウェアセキュリティに関する国際的なカンファレンスです。ソフトウェア技術の関係者、監査人、リスクマネージャ、研究者、アントレプレナー、最先端の実践者とともに、ウェブのセキュリティを高めるための最新の調査研究や、知見を共有することを目的としています。 2014年のアジア・パシフィックエリアでのGlobal AppSec開催は、ついに3月17日より20日まで、はじめて東京で開催されます。ご期待ください。 企業・団体の皆様:この機会に、是非スポンサーシップへのご参画をご検討ください。このスペースなどにロゴを掲載できます。 OWASP AppSec Conferenceに参加すべき理由 クリティカルな情報基

    OWASP AppSec APAC 2014 | セキュリティ チョットデキル人、集合。
  • Remove defunct searchbox implementation from webview. · aosp-mirror/platform_frameworks_base@0e9292b

    You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

    Remove defunct searchbox implementation from webview. · aosp-mirror/platform_frameworks_base@0e9292b
  • ソフトとハードの交差点:Googleの真意 - livedoor Blog(ブログ)

    今月,日のロボット業界は2度の大ニュースに上へ下への大騒ぎとなった.そして,その騒ぎは業界だけで留まらず一般の人をも驚かす事態へと発展した.Googleによるロボット企業の立て続けの買収劇である.このことについては,ニュースやWeb記事などでも取り上げられており,目にした方も多いだろう.そこでは,「ウェブに続いて現実世界を制覇するためだ」などと様々な憶測が流れている. しかし筆者の予想では,それは副次的にそうなる可能性はあるが,Googleが真に狙っているものではない.Google当に狙っているのは,既存のAndroid事業で確立した,アプリ開発者とエンドユーザをGoogle Playで結ぶエコ・システムのロボットへの水平展開であると,筆者は予想する. この結論を導くためには,ロボット分野で繰り広げられて来た,ロボットで使用されるOSのデファクト・スタンダードを獲る戦いや,福島の原発

    sho
    sho 2013/12/18
    面白い考察だ。なるほどなー。
  • Androidの脆弱性を見つけちゃった話

    JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。 不肖私が昨年9月にIPAに届け出たものです。 これまでは情報非開示依頼があったので多くを語ることができませんでした。 ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。 周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m 当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。 2012年9月15日(土) WebViewを使ったビジネスアプリのフレームワークを作りたいという構想があって(PhoneGapにはないビジネス用の固有の機能を入れようと思って。バーコードリーダーとか印刷機能とか)、そういえば addJ

    sho
    sho 2013/12/18
    こんなん胸に抱えて1年とか、つらくてやってられないなー。お疲れ様でした。
  • Androidの脆弱性(まとめ版)

    JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 について見つけたいきさつを記事にしました。 こちらは長いので、ざっくりバッサリ、なるべく簡潔に、何ができちゃうのか・何がヤバいのかをまとめます。 【原因】 WebViewの addJavascriptInterface()の危険性(参考)が、Android 3.x/4.0/4.1 ではWebViewそのものに存在する。 このためWebViewをそのまま使っているアプリや、WebViewのラッパにすぎない標準ブラウザに同様の脆弱性がある。(AndroidChromeはWebViewを使っていないので問題ないです) 【何ができてしまうか】 JVNに書かれている通り Android 標準ブラウザや WebView クラスを利用しているアプリで、細工されたウェブページを閲覧した際に、ユーザの意

  • インターネット・バンキングに係る預金等の不正な払戻しへの対応について|全国銀行協会

    一般社団法人全国銀行協会(会長:國部 毅 三井住友銀行頭取)では、日開催の理事会において、インターネット・バンキングにおける預金等の不正払戻し事案が急増している状況を踏まえ、お客さまに安心してインターネット・バンキングをご利用いただくための自主的な取組みを一層強化すべく、別紙のとおり、インターネット・バンキングにおけるセキュリティ対策の強化等に関する申し合わせを行いましたので、ご連絡申しあげます。 現在、わが国の多くの銀行では、インターネット・バンキングサービスを提供し、資金決済や資産運用などの様々なお取引についてお客さまにご利用いただいている。インターネット・バンキングは、今や重要な社会インフラの一つになっている。 その一方、インターネット・バンキングを利用した犯罪も発生しており、昨年1月、当協会では不正プログラムによるID・パスワードの盗取が原因と考えられる預金等の不正な払戻しに対

    sho
    sho 2013/12/18
    (3)がよくわからん。何か具体的な製品を念頭に置いているのだろうか?