mixi足あと廃止に寄せて - 最速転職研究会 | コメント mixiって今ほとんどがモバイルでアクセスされてたはずだけど、スマホ以外のガラケーでもこの問題が起きるの?
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
P3Pによるプライバシーポリシー設定
P3Pとは? † P3P(The Platform for Privacy Preferences)とはWebサイトが収集しえるプライバシー情報の取り扱い方(プライバシーポリシー)を自然言語ではなく、XMLで定義し、表明する文書です。従来、「顧客情報の取り扱い」「プライバシーポリシー」といったコンテンツで自然言語で表現されていたプライバシーポリシーをP3Pを使うことでプログラムが読める形にし、これによってユーザはあらかじめ自分のポリシーをクライアント(Webブラウザなど)に設定しておくことで当該Webサイトのポリシーが自身が設定しておいたポリシーに抵触しないかを自動的にチェックすることができます。 ただし、P3Pはあくまで当該Webサイトが自身のプライバシーポリシーを表明し、ユーザに通知することを自動化する手段です。つまり、当該Webサイトが実際にプライバシーポリシーに沿った運用をしている
セッションIDのみの認証はセキュリティレベルが低いのか - 岩本隆史の日記帳(アーカイブ)
はてなブックマークモバイル版の脆弱性 昨日、はてなブックマークモバイル版の脆弱性に関する報告が公開されました。 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 - はてなブックマーク日記 - 機能変更、お知らせなど キャッシュ機構の不備により、セッションID付きのURLを含むコンテンツページがキャッシュされてしまい、悪意のあるユーザが他人になりすます(セッションハイジャック)ことができたというものです。 セッションIDのみの認証なんてありえない? 報告記事に対する下記のブックマークコメントを目にしたとき、私は違和感を覚えました。 セッションIDのみの認証なんてありえない。そもそもセッションIDは認証に使うべきではない。せめて各種完了処理のときくらいはUID(NULLGWDOCOMO)もしくはFOMAカードor端末の製造番号(icc〜、ser〜)を使って認証し
学生はネット上で気を抜くべからず:Geekなぺーじ
昔から後輩や知らない学生がネット上で色々と撒き散らしているのを見ることがあります。 本人が気づいていないだけである場合もあるので、今回まとめて書いてみる事にしました。 なお、学生であろうが無かろうが気をつけた方が良いと思われるものも含まれます。 何故ネット上で気を抜いてはいけないのか そもそも、何故ネット上で公開する内容に気をつけなければならないのでしょうか? それは公開することで不利益が生じる可能性があるからです。 高校入試で落ちるかも知れない 最近、茶髪・眉剃りをしていた受験者を高校が落とすという事件がありました。 今回の事件は茶髪・眉剃りが原因でしたが、近い将来「ネット上での言動が高校入試に影響」という事件が発生するだろうと予測しています。 「高校入試、茶髪・眉そりチェックし不合格 神奈川の県立」 就職活動に影響を与えるかも知れない 就職活動に影響を与える恐れがあります。 実名を公開
高木浩光@自宅の日記 - MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を
■ MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を Mac OS Xの初期設定の危険性 私の周囲に物理的に近づくことのできる人は、私が使っているノート型コンピュータの無線LANインターフェイスのMACアドレス*1を知ることができる。たとえば、セミナー等で私が講演している会場に来れば、講演中に私が無線LANのスイッチを切り忘れていたなら、無線LANのパケットを傍受することで私のMACアドレスを知るだろう*2。それだけでは他の人のアドレスと混じって区別できないだろうが、別の場所で再び同じことをすれば、両方に存在したものが私のMACアドレスだ。 これはもう隠しようがないので、先に自ら暴露してしまおう。「00:1f:5b:d1:ec:bd」は私のMACアドレスだ(図1)。 これを暴露するのはリスクのある行為であり、お薦め出来ない。また、仮に他人のMA
グーグルが収集している280項目以上のユーザーデータ一覧/グーグルのダークサイド?(後編) | Moz - SEOとインバウンドマーケティングの実践情報
訪問したウェブサイトのコンテンツ分析Googleアカウント個人ユーザーに関する情報を集めるためのリソースとして使われる登録情報登録した日付ユーザー名パスワード予備のメールアドレス住所(国)顔写真利用情報友人グーグルサービスの利用状況ログイン回数Googleツールバー訪問したすべてのウェブサイト固有のアプリケーション番号404エラーとなったページを全部グーグルに送信ツールバー同期機能グーグルのアカウントに自動入力情報を保存ウェブフォームの構造をグーグルに送信セーフブラウジングセキュリティに関する警告への応答を保存自動入力フォームデータを保存スペルチェックはグーグルサーバーにデータを送信ウェブの履歴グーグルの検索結果ページから閲覧した全ウェブサイト日付時刻検索クエリクリックした広告利用したサービスGoogle翻訳グーグルのサーバーに送ったテキストすべてGoogle Finance株式のポートフ
「会社のメールアドレスは個人情報ではない」が4割
アイシェアは5月20日、電子メールアドレス、名前、住所などの中で個人情報だと思うものを複数形式で選ばせる調査の結果を発表した。回答者は20代から40代のネットユーザー男女636人だった。 調査名は「個人情報だと思うランキング」。「携帯電話のメールアドレス」が個人情報に値すると回答した人は86.3%という結果が出た。一方、同じメールアドレスでも「会社・学校付与のメールアドレス」を個人情報と認識している人は66.5%にとどまった。携帯電話のメールアドレスを個人情報だと認識する人との差が20%もあった。 この差はどこから生じるのか。調査を実施したアイシェアの広報、佐藤みつひろ氏は「会社のメールアドレスからは個人を特定するには至らないと思っているのだろう」と話す。20%の差はそこから生じているという。だが、実際には会社付与のメールアドレスには氏名と会社名が使われていることが多く、個人を特定できてし
SaaSで溶解する通信主権 - 雑種路線でいこう
学生時代は自分でメールサーバーを運用していたからSMTPなんて信じないし、メールは/var/spool/mail以下をlessすれば読めるけど読まないのが良心というものだし、わざわざPlan 9とかでrootがユーザーのメールを読めないメールシステムを構築しようにも面倒かつ制限が多いし、この辺の事情がSELinuxのMACとかで微妙に改善しているのかどうかとか知らないけど、他人のメールなんか見る気がなくてもpostmasterにはエラーメールとか飛んでくるし、たまに夜中に書いたであろう研究室内のラブレターとかがエラーメールで飛んできた日には儀礼的無関心を保つのが難しかったりするものだ。 そういうトラウマがあって今でもPCメールを書く時には読まれて大丈夫な書き方をするよう気をつけているけれども、送られてくるメールの内容までは管理できないから僕にとってもメールボックスのプライバシーが大事なこと
GnuPGの導入
GnuPGと言うのは、「公開鍵暗号方式で文章を暗号・復号化する事が出来、さらに、 電子署名をする事が出来るツール」の事です。 元々、DSAとRSAの両方の公開鍵暗号方式をサポートしたPGPと言うものがありましたが、 RSAは特許の問題で、使う時には高額のライセンス料を支払わないといけなくなりました。 そこで、RSAを除いてDSA方式のみを採用(RSAに比べDSAの方が暗・復号化に計算時間は 掛かりますが、DSA方式の方が数学(計算量とか)的に解読が困難であるので、実用上 問題ないでしょう)し、完全にGNU Public License(GPL)に準拠したGnuPGが登場しました。 GnuGPは各種プラットフォーム(Linux等のUNIX系OS、Windows、Mac等)に移植されていて、 現在の最新版はバージョン1.0.6です(2001/06/17現在)。 GnuPG本体はコマンドラインで
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
