タグ

関連タグで絞り込む (14)

タグの絞り込みを解除

securityに関するstanakaのブックマーク (12)

  • セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性

    iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送

  • アメーバスタッフ『Amebaのセキュリティ対策について』

    いつもAmebaをご利用いただきまして、ありがとうございます。 一部の皆様より質問いただきました、弊社サービスのセキュリティ対応について、 ご報告いたします。 弊社では新規サービスの開発時はリリース前に、 既存サービスは定期的に、外部セキュリティ監査会社による調査を必ず実施しております。 調査報告は深刻度別に分類され、これまでユーザーの皆様のデータ漏洩や 破壊につながる可能性がある部分については即時の対応を、 それ以外の部分については一定期間内での対応実施を徹底して参りました。 現在、昨今の事情を鑑み、影響の大きな部分については優先度を最上級にし、 緊急対応を行っております。 ご迷惑をおかけいたしますが、ご理解いただきますよう、お願いいたします。

    アメーバスタッフ『Amebaのセキュリティ対策について』

  • サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話

    「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し

  • ミクシィ、4200人の情報が3日間「露出」(読売新聞) - Yahoo!ニュース

    パソコンや携帯電話の交流サイト「ミクシィ」上で人気のゲーム「サンシャイン牧場」のシステムに不具合があり、クレジットカードでアイテムを購入した利用者の電話番号とメールアドレス最大約4200人分が第三者によって取得可能な状態になっていたことが2日、明らかになった。 同ゲームは230万人が利用するほどの人気で、ミクシィは「トラブルを重く受け止めている」として、今後、審査制度を見直す方針。 ミクシィによると、トラブルがあったのは10月21日〜23日。 同ゲームは、ミクシィ上で会員が利用できるが、実際に制作・運営しているのは中国ゲーム会社「リクー・メディア」。 画面上に自分の「農園」や「牧場」を作って、トマトやナスなどを植えて収穫したり、ニワトリやヤギなどの動物を育てたりするゲームで、8月末にスタート。 最初はすべて無料で遊べるシステムだったが、10月21日から、有料の特別アイテムを使え

  • ファイルシステムごと暗号化する方法 | OSDN Magazine

    単純なファイル単位での暗号化も便利ではあるものの、大量のファイルを保護する必要がある場合などには、ファイルシステム全体やディスク全体をまるごと暗号化してしまう方がより便利なこともある。またファイルの中身の保護に留まらず、秘密を探り出そうとする目から機密情報の存在自体を完全に隠すことが必要になることもあるかもしれない。そのような場合にシステムのセキュリティを高めるための方法をいくつか紹介しよう。 暗号化のために専用のパーティションや専用のディスクを使用して良いのなら、保護するファイルすべてを暗号化/復号するのにパスフレーズやキーがたった一つで済む。しかもソリューションによっては、スワップパーティションやルートパーティションの暗号化までできるものもある。ただし専用パーティション/ディスク全体を暗号化することの難点としては、性能が落ちる可能性があること(残念なことではあるが、セキュリティを重視す

    ファイルシステムごと暗号化する方法 | OSDN Magazine

  • セキュリティ・エバンジェリスト 高木浩光ができるまで(前編) | ITスペシャリストに聞く | 情報セキュリティブログ | 日立システムアンドサービス

    セキュリティ界の最も手ごわい論客、高木浩光氏。実は、エンドユーザーに正しいセキュリティ知識を伝えるために日々、さまざまな活動をされています。今回は、セキュリティの啓蒙活動に取り組むに至るまでの経緯を中心にお話を伺います。『高木浩光@自宅の日記』でもおなじみのアグレッシブな文章からは想像できないような意外な一面も...? 高木浩光(たかぎ・ひろみつ) 独立行政法人 産業技術総合研究所 情報セキュリティ 研究センター 主任研究員 1994年、名古屋工業大学大学院博士後期課程修了。博士(工学)。 同大助手を経て、1998年、通商産業省工業技術院電子技術総 合研究所に転任。2001年、独立行政法人産業技術総合研究所 に改組。2002年より同グリッド研究センターセキュアプログ ラミングチーム長。2005年4月より現職。専門は並列分 散コンピューティング、プログラミング言語処理系、コンピュータ セキュ

  • PowerMTA | MessageBird

    Get your software and services in front of our growing customer base

    PowerMTA | MessageBird

  • Bugtraq

  • ヤフーがyimg.jpを使う本当のワケ - 最速配信研究会(@yamaz)

    ヤフーの画像はなぜyimg.jpドメインなのか? サイト高速化の手法とヤフーの失敗例 でヤフーがなぜドメインを変えて画像サーバを運用しているかが書かれている.「静的なコンテンツに対してクッキーフリードメインを使うことによって速度向上を狙う」というのが理由とあって,これはこれでもちろん正しいのだけれど,これはどちらかというと副次的な理由で当の理由は違う. クッキーフリードメインを使うことで悪意あるFlashコンテンツなどから自社ドメインのクッキーを守るためというのが当の理由で,これはあちこちで使われているテクニックだ.Flashコンテンツは外部の業者さんに作ってもらったり,広告の入稿素材として入ってくるので,信頼できないデータとして取り扱う必要があり,万一まずいデータがアップされることがあっても大丈夫にしておく必要がある. 最近ユーザからの任意のコンテンツを受けつけて同一ドメインで配信し

    ヤフーがyimg.jpを使う本当のワケ - 最速配信研究会(@yamaz)

  • 「WEPは10秒で解読可能」、神戸大と広島大のグループが発表

    無線LANの暗号方式「WEP」を一瞬で解読する方法を実証したとして、神戸大学と広島大学のグループが「コンピュータセキュリティシンポジウム2008(CSS2008)」で発表を行った。 WEPの暗号を解読する方法としては、2007年4月にドイツのダルムシュタット大学からWEPの暗号を1分程度で解読する論文が発表されている。ただし、この手法では大量のARPパケットを観測する必要があるため、通常の環境では解読が難しく、短時間で解読するためにはARPリインジェクション攻撃を仕掛ける必要があったという。 これに対して、今回、神戸大学と広島大学のグループが提案した手法は、任意のIPパケットからWEP鍵を導出できるという。手法としては、流れるIPパケットを盗聴し、IPパケットからキーストリームを回復、3つの関数を用いて鍵を推測し、鍵の候補を決定するというもの。 実験では、OSがWindows XP SP2

    stanaka
    stanaka 2008/10/14
    そろそろWEPはDead pool入りか
    リンク

  • 常駐プログラム隠蔽テクニック

    タスクマネージャーに任意のプログラムを列挙されないようにする方法はないだろうか? Windowsにはプロセスという概念がありアプリケーションはそれぞれプロセス単位で動作しています。プロセスは「Ctr+Alt+Del」で起動されるタスクマネージャーで確認でき、これを見ると現時点で起動しているプロセスのすべてを監視することができます。 さて、Windows上で実行されているアプリケーションはすべてOSの管理下に置かれているわけであり、よってすべてのプロセスをOSは管理していることになります。つまりは「常駐させたいプログラムをタスクマネージャーから消し去ることは難しいのでは?」と思われるかもしれません。ということで、今回は常駐プログラム隠蔽テクニックと題してお送りしたいと思います。 私が使用したOSはWindowsXP、コンパイラはVC++.NETです。前提となる知識は、Win32API、DLL

  • Windows のパスワードを解析するツール(取扱注意) | alectrope

    主にその日遊んだことのメモ、まとめなどの外部記憶。おそらくこれからもずっと準備中。 for mobile : http://alectrope.ddo.jp/mt4i/ ※ 注意。このツールを使用して他人のPC のパスワードを解析する行為は不正アクセス禁止法、あるいはその他の法律(コメント欄参照) で処罰の対象となると思われますので、絶対にそのような用途に使用してはいけません。この記事はそのような行為から自分のPC を守る事を目的としています。 Tech-Security » Ophcrack 2.1 - LiveCD (Linux) & 2.1 Install (Win) http://blog.tech-security.com/?p=15 「Ophcrack 2.1 - LiveCD    - にわか鯖管の苦悩日記 _| ̄|● (2006-02-14)」 より。 Windows のパ

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.