MobsterWorldのTwitter上での宣伝に見るOAuthの課題 - Nothing ventured, nothing gained.
昨夜から今朝にかけて、TwitterでMobsterWorldというゲームの招待がDMで送られてきた。あまり普段DMでやりとりをするような人からではなかったので、ほうっておいたのだが、招待に応じると、自分のTwitterアカウントを使って、DMを送るようなものだったらしい。詳しくは以下のITmediaの記事を参照。 TwitterでスパムDMが出回っている。DMに書かれたURLのページでボタンをクリックすると、同じDMをフォロワーに送り付けるという仕組み。 ITmedia: TwitterでスパムDM出回るフォロワーに自動でDM送りつけ これは、OAuthを利用して、正規の手続きを経て、Twitterのアカウントを利用しているものだ。詳しくは、以下のまちゅダイアリーを参照。 これはウイルスや脆弱性じゃなくて、OAuthという仕組みを見事に悪用している。 OAuth詐欺とでも言えばいいのか。
高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
グーグル、ウェブアプリの脆弱性検査ツール「skipfish」を公開
Googleは米国時間3月19日、オープンソースのウェブセキュリティスキャナ「skipfish」を公開した。ウェブアプリケーションをスキャンして、セキュリティホールの有無を調べられるものだ。 skipfishでウェブアプリをスキャンすると、ブラインドSQLやXMLインジェクションといった「巧妙な仕掛け」を含む脆弱性の有無が確認できると、Googleの開発者Michal Zalewski氏はskipfishのwikiで述べている。 skipfishは対象サイトへの再帰的クロールと辞書ベースの調査を実行し、その結果を表示したインタラクティブなサイトマップを作成する。脆弱性がある場合には強調表示する。また、skipfishが作成する最終レポートは、セキュリティ評価の判断材料として利用できる。 同様のスキャンツールは、「Nikto」や「Nessus」など、すでに商用でもオープンソースでも複数出回っ
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
2. プロフィール上野 宣(うえの・せん)京都市生まれ、幼少期は実家がパソコンショップ、高専でロボコンに熱中し、豊橋技科大でインターネットにハマり、奈良先端科学技術大学院大学にて山口英教授の下で情報セキュリティを専攻EC開発ベンチャー企業で創業メンバー、東証マザーズ上場などを経験を経て、2006年6月に株式会社トライコーダを設立株式会社トライコーダ 代表取締役情報セキュリティ教育ネットワークシステム/Webアプリケーション脆弱性診断http://www.tricorder.jp/ 独立行政法人情報処理推進機構(IPA)セキュリティセンター研究員セキュリティ&プログラミングキャンプ講師情報セキュリティ専門誌 ScanNetSecurity編集長Copyright©2010 Tricorder Co.Ltd. All rights reserved.2sen_u 3. 著書、連載など今夜わかる
Google Apps採用のロサンゼルス市、特別バージョンを要求
ロサンゼルス市がGoogle Appsを電子メールなどのシステムとして採用したことが、グーグルのブログ「Cloud apps, big city: LA goes Google」などで明らかにされています。 米政府は積極的にクラウドを採用すべく、政府機関がクラウドをベースにしたITサービスをセルフサービスで購入できるポータルサイト「Apps.gov」を公開しています。Google AppsもそのApps.govに登録されているアプリケーションの1つであり、これまでにワシントンD.C.やフロリダ州オーランド市などがすでにGoogle Appsを採用しています(参考:オバマ政権がクラウド調達によるコスト削減策を開始、日本は「霞が関クラウド」のままでいいのか?)。 Google Appsの見かけは同じだが中味は違う ロサンゼルス市などが採用したGoogle Appsは、私たちが普段利用しているG
はてなブックマーク開発ブログ
はてなブックマークのブックマーク数が多い順に記事を紹介する「はてなブックマーク数ランキング」。2024年2月のトップ50です*1。 順位 タイトル 1位 マンションリフォーム虎の巻 2位 死ぬほど嫌でした|佐藤秀峰 3位 「面倒なことはChatGPTにやらせよう」の全プロンプトを実行した配信のリンクを整理しました|カレーちゃん 4位 管理職必読 順番に読むと理解が深まる「マネジメントの名著」11冊 | 日経BOOKプラス 5位 メルカリで値段の「¥マーク」を小さくしたら購入率が伸びた理由、ペイディがサービス名を「カタカナ表記」にする理由など、プロダクトのマーケ施策まとめ30(2023)|アプリマーケティング研究所 6位 7年適当に自炊してきて調味料について思ったことを書く 7位 ウクライナ軍に入隊したアジャイルコーチが、さまざまなメソッドを駆使して中隊長としてのリーダーシップを実現した話(
高木浩光@自宅の日記 - エコポイント申請画面が共用SSLサイト上にある件
■ エコポイント申請画面が共用SSLサイト上にある件 「エコポイント」の情報システムがわずか3週間で完成した理由, 有賀貞一, NIKKEI NET, 2009年8月26日 こうした問題を解決するために、エコポイント事務局と関係省庁が選択したのが、米セールスフォース・ドットコムの基盤サービス「Force.com」だった。セールスフォースはこのForce.comを「クラウドコンピューティングプラットフォーム」と表現している。利用者はサーバーなどのインフラを持つことなく、この基盤上で独自のシステムを構築できる。 という記事を読んで、「エコポイント」のサイトを初めて訪れたのだが、これはまずい。 「エコポイント」公式サイトの運営者は、「グリーン家電エコポイント事務局」となっていて、プライバシーポリシーでも個人情報取扱責任者が「グリーン家電エコポイント事務局」として書かれている。しかし、国民の視点か
Twitter,社員の「Google Apps」アカウントから社内文書が流出
米Twitterは同社公式ブログへの投稿で米国時間2009年7月15日,米Googleのオンライン・アプリケーション・サービス「Google Apps」に保管していた社内文書が盗まれ,複数のブログ運営者とメディアに送られたと発表した。ある社員のGoogle Apps用アカウント情報が漏れ,文書が不正にダウンロードされたとみている。文書の詳しい内容は明らかにしていないが,アイデアの段階にある情報を社内で共有するためのもので,大きな秘密の計画は記載していなかったと説明している。 約1カ月前に社員の個人用メール・アカウントが攻撃され,結果的にこの社員のGoogle Appsアカウントに不正アクセスされたという。Twitterユーザーのアカウントに関する情報は漏えいしておらず,Twitterアカウントに対する攻撃もなかった。ただし,盗まれた文書にあるTwitterユーザーのアカウントに関するスクリ
Norton ユーザーアカウント制御コントロール
Buyer Protection Program When you buy a domain name at Dan.com, you’re automatically covered by our unique Buyer Protection Program. Read more about how we keep you safe on our Trust and Security page. Next to our secure domain ownership transfer process, we strictly monitor all transactions. If anything looks weird, we take immediate action. And if the seller doesn't deliver on their part of the
CWE -2009 CWE/SANS Top 25 Most Dangerous Programming Errors
Welcome to the 2023 Common Weakness Enumeration (CWE™) Top 25 Most Dangerous Software Weaknesses list (CWE™ Top 25). This list demonstrates the currently most common and impactful software weaknesses. Often easy to find and exploit, these can lead to exploitable vulnerabilities that allow adversaries to completely take over a system, steal data, or prevent applications from working. CWEs are becom
TechCrunch | Startup and Technology News
Welcome to Startups Weekly — Haje‘s weekly recap of everything you can’t miss from the world of startups. Sign up here to get it in your inbox every Friday. Well,…
はてなブログ | 無料ブログを作成しよう
フルリノベ後4年間住んでみて思った、よかったところと後悔したところ フルリノベの中古マンションに住んでみて、2020年の5月で4年経ちました。 良かった点や、もっと考慮すべきだった後悔ポイントなどをまとめてみます。 間取りは、ぜひ完成時のweb内覧で見てみてください。家具を入れる前の写真なので、室内の作りがわかりやすいです。 …
FON - LaFoneraのセキュリティホール発見でござるの巻 - FreeBSDいちゃらぶ日記
FONって「プライベートネットワークを安全に保ったまま、外部にネットワークを貸し出すことのできる」ツールだと思ってたのですが。 実はそんなでもなく、少しだけ複雑なネットワークを組んでしまうと、すぐに脆弱性が露呈するという、非常に頼もしいツールだったりした訳です。はい。 ネットワークに入られちゃうよぉぉおおお 家の中にネットワーク(サブネット)が二つあると、FONがつながっている方のネットワークは安全に守られるんだけど、FONが参加していない方のネットワークは丸見えになってしまいます。 「そんなネットワークは、そんなに無いだろ(苦笑」っていう人もいるかも知れないけど、実はそんなでも無くて 病院 市役所 学校 とか、普通にサブネット複数あります。そして、こういう所に居る自称物知りさんが「こういうFONってのがあるんだZE☆」とか言いながら、ネットワーク管理者に無断でFONを設置しちゃったりして
吉本興業、個人情報流出の詳細を公表 「ログの一覧表示の許可が原因」
吉本興業、個人情報流出の詳細を公表 「ログの一覧表示の許可が原因」:流出件数を1万2889件に修正 インターネット上に個人情報が流出していた事故について、吉本興業が詳細を公表した。セキュリティ対策の不備に加え、コンテンツのログファイルの一覧表示を許可していたことが最大の流出原因だったとコメントしている。 吉本興業は11月21日、グループ企業が保有する顧客の個人情報がインターネット上に流出していた事故について、発生状況の詳細を公表した。 流出した個人情報は1万2889件で、11月12日に発表した1万5836件とは違う数値になった。流出情報を精査したところ、重複や登録の不備があった情報が多数あった。今回発表した件数は、これらの情報を総件数から差し引いたものになる。 流出の原因は、吉本興業が利用しているサーバの1つのセキュリティ対策が不十分だったこと。管理会社がサーバを移管する際に、休止している
2008-11-12
アイデアを検討しました 1000株に達した以下のはてなアイデアを検討いたしました。ご要望、ご指摘いただいたユーザーの皆さま、ありがとうございました。 はてなアイデア 検討 調査・検討します はてなアイデア 検討 修正します はてなアイデア 検討 修正します はてなアイデア 検討 修正します はてなアイデア 検討 確認します はてなアイデア 検討 確認、改善します ログインしている本人以外のポイントや質問一覧が表示される不具合について 本日、19:56から21:23の間に、ログインしている本人以外のポイントや質問一覧ページが表示される不具合が発生しており、修正いたしました。 19:56ごろ、人力検索はてなの負荷対策のため、ログインしていないゲストユーザーのページをサーバー側で一時的に保存・表示するようサーバー設定を変更いたしましたが、一部設定ミスがあり、ログインしているユーザーのアクセスした
個人で使うドリコム式行動ターゲティング広告 - ぼくはまちちゃん!
はい!こんにちはこんにちは! こんどは寝すぎで、ちょっぴり調子のおかしなはまちや2です! こんにちは…! ところでちょっと前に、こんな記事がありましたよね! 行動ターゲティング広告はどこまで許されるのか http://it.nikkei.co.jp/internet/news/index.aspx?n=MMITbe000015102008 これの仕掛けの部分だけを簡単に説明すると… 見たことのあるページのリンク(visited)は色が変わったりする スタイルで、visitedなリンクと、そうでないものの高さとかを変えることができる 高さとかはJavaScriptで取得可能、つまり訪問済みリンクか取得可能 ページのどこかに、色々なサイトのURLを大量に隠しリンクしておく それぜんぶJavaScriptで調べて、来訪者が行ったことのあるページを把握 訪問済みサイトの傾向にあわせて広告表示 (簡
ドリコムad4U は「行動スキミング広告」
#今さら感あるけど大事なので。 業界関係者の間で「大丈夫なのか」と心配されていたドリコムの「行動ターゲティング広告」ad4U。インターネットユーザーの行動履歴を、「ウェブブラウザの基本機能を活用して」(参照)自社が運用も広告配信もしていないサイトでの行動まで含めて照会できる、というふれこみであったのだが、直線的に考えればブラウザの行動履歴をぶっこ抜くくらいしか実現方法がないわけで。 この種の広告に少し詳しい人間の誰もが疑問に思いながらも「ad4Uは国内で特許を申請中のため,技術の具体的な内容は開示していない」(参照記事)とのことで詳細が開示されないままサービスが開始されていたわけだが、まあ案の定というか……このad4U の正体が高木浩光氏のNIKKEI NET への寄稿によって明らかになった。楽天ad4Uの実際の広告を調べてみたところ、Flashオブジェクトの中に数千個の隠しリンクが埋め込
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ウェブサイトの攻撃兆候検出ツール iLogScanner | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
とくまるひろしのSession Fixation攻撃入門 - ockeghem's blog
行動ターゲティング広告はどこまで許されるのか?インターネット-最新ニュース:IT-PLUS
