,、,, ,、,, ,,　,, _,,;' '" '' ゛''" ゛' ';;,, （rヽ,;''"""''゛゛゛'';, ﾉｒ） ,;'゛ i ＿　　、＿ iヽ゛';, ,;'" ''| ヽ・〉　〈・ノ |ﾞ゛ `';, ,;''　"|　　 ▼　　 |ﾞ゛　`';, ,;''　　ヽ＿人＿ /　　,;'_ ／ｼ、　 ヽ⌒⌒ /　　 ﾘ　＼ |　　　"ｒ,,　｀"'''ﾞ´　　,,ﾐ゛　　 | |　　 　　 ﾘ、　　　　,ﾘ　　　　| |　　　i 　　゛ｒ、ﾉ,,ｒ"　i　　　_| |　　　｀ー――----┴ ⌒´ ） （ヽ　 ＿＿＿＿＿＿ ,, ＿´） （_⌒ ＿＿＿＿＿＿ ,, ィ 丁　　　　　　　　　　 | |　　　　　　　　　　　| 前回のエントリ で軽く触れましたが、ARPスプーフィングを用いると、サブネット内からデフォルトゲートウェイを通って外に出て行くはずのパケットを、自分のホ

「UPnPに脆弱性が見つかり、危険だ」というニュースがいろいろなWebサイトに掲載されていますが、例によってまた何言ってるかよく分からない部分が多かったので、調べたことを書いておきます。 目次 1. 概要2. 日本語サイトの情報源3. 「libupnpの脆弱性」は「UPnPパケットを使ったバッファオーバフロー」4. 「WANから攻撃可能」というニュースの意味5. 「WANからのSSDPリクエストを受け付ける」ルーターとは？6. 「libupnp」と「SSDPリクエストを受け付けてしまう脆弱性」の関係について7. 「WANからのSSDPを受け取ること」自体の問題8. 何があったからニュースになった？9. １月２９日にあったこと10. 本当のニュースは「Rapid7のホワイトペーパー」の公開11. ホワイトペーパーの中身12. じゃぁどうして脆弱性情報が出たのか13. 結論：見つかったのは「脆

サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。

http://www.videonews.com/ ニュース・コメンタリー （2012年10月20日） 遠隔操作ウィルス事件： 犯行声明に見る犯人像と冤罪を生む刑事捜査の問題点 ゲスト：高木浩光氏（情報セキュリティ専門家） 　他人のパソコンを遠隔操作してインターネット上で殺害予告などが繰り返し行われた事件で、これまでに警察が逮捕した4人がいずれも誤認逮捕だったことがわかり、改めて警察の刑事捜査のあり方が問われる結果となっている。 　今回の捜査はサイバー犯罪の捜査という意味でも、また一般の刑事事件の捜査という意味でも、捜査そのものが杜撰だった。しかし、捜査の杜撰さをとりあえず脇に置いたとしても、逮捕された4人のうち2人が、やってもいない犯行を自供している。そればかりか、犯行の動機まで詳細に供述していた。なぜやってもいない犯罪を自白したり、動機まで詳細に供述するなどということが

If you were looking for MSDN or TechNet blogs, please know that MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. How to use this site Archived blogs are grouped alphabetically by the initial letter of the blog name. Select the initial letter from the TOC to see the full list of the blogs. You can also type the name of the blog or the title of the

マット・ホーナン（Mat Honan）米Gizmodo元記者が金曜夜ハックされた事件の詳しい話を現勤務先ワイヤードに発表し、ホラーの全容が明らかになりました。 なんとアップルの技術サポートは電話でクレジットカード下4桁と請求先住所を言うだけでハッカーを本人認証してパスワード再発行してたのです！ しかもこのクレカの情報はアマゾンに電話すればちょちょっと手に入るんですってよ？ これって誰にでも起こりうることなので、話を少し整理しておきましょう。 ハッカーが使った手口 マットはハッカーの｢Phobia｣なる人物と連絡をつけ、訴えないと約束し、全容を聞き出しました。 今回の僕を襲った事件は、アップルとアマゾンはじめ一部カスタマーサービス・システムが抱えるセキュリティの致命的欠陥を浮き彫りにした。 アップル技術サポートはハッカーに僕のiCloudアカウントへのアクセスを許し、アマゾンの技術サポートは

2. もくじ ► おさらい ► クライアント(ssh/scp)の話 ポート転送の話 多段ssh その他の転送の話・他のオプション ► サーバ(sshd)の話 ► ちょっとした疑問 ► セキュリティの話 ► まとめ 2 / 62 5. RFC RFC 4250 The Secure Shell (SSH) Protocol Assigned Numbers RFC 4251 The Secure Shell (SSH) Protocol Architecture RFC 4252 The Secure Shell (SSH) Authentication Protocol RFC 4253 The Secure Shell (SSH) Transport Layer Protocol RFC 4254 The Secure Shell (SSH) Connection Protocol RF

b-casカードの不正改造問題が騒がれているが、「カードがクラックされた」ということではなく「カードが交換できない」ということが問題の本質で、この点がクローズアップされるべきだと思う。 鍵を盗まれたのかアルゴリズムに欠陥があったのか？ 2ちゃんねるでは「b-casカード完全解析」とか「b-casカード終了」とか言われているが、暗号化アルゴリズムが破られたわけではない。 「暗号化アルゴリズムが破られた」という言葉は、鍵無しで暗号文を復号する方法が発見された時に使うべきだ。暗号化アルゴリズムが知られても、鍵が無ければ破れない暗号はたくさんある。というか、本来は、暗号化アルゴリズムは公開され(てレビューを受け)るべきもので、中身を知られてから暗号文をどれだけたくさん集めて研究されても、鍵無しでは絶対に(現実的な計算時間では)復号されないということがアルゴリズムの役割である。 今回のクラッキングは

プライバシーバイデザイン（英語: Privacy by Design、略称：PbD）は、エンジニアリングプロセス全体にわたってプライバシーを考慮するシステムエンジニアリングのアプローチである[1]。 プライバシー権とは、一般人ならば公開を望まない私生活上の事実もしくは個人に関する情報の自己情報コントロール権と言える。前者を古典的プライバシー権、後者を現代的プライバシー権と呼ぶ。高度情報化社会の進展に伴い、個人情報が大量に収集・蓄積されるようになり、個人情報保護を課題とするプライバシー問題が顕在化した。 プライバシーバイデザインは、カナダ・オンタリオ州情報＆プライバシーコミッショナー（the Office of the Information and Privacy Commissioner（以下、IPC））のAnn Cavoukian博士が1990年代に提唱したものである。PbDとは、「プ

こんにちは。今回はmalaさんのインタビューをお届けします。 malaさんはNHN Japanのエンジニアとして多くのウェブサービスの設計に関わるだけでなく、セキュリティやプライバシの観点から見たアーキテクチャについて、ブログでさまざまな情報や問題提起を発信されています。 特に昨年末に公開されたブログ記事「はてな使ったら負けかなと思っている2011」は、インターネットはどこへ行くかという私のもやっとした問題意識にピッタリとハマる素晴らしい文章でした。あの記事を読んで、これはぜひ一度お会いして、インターネットの現状やエンジニアの役割について、お話を聞いてみたい、と思ったのが今回の企画の発端です。未読の方は、まずそちらからどうぞ。 なお、インタビューは三月末に行われました。無職期間中に公開する予定で、ずいぶん時間がかかってしまいました。文中、私の所属する企業の話も出てきますが、例によってここは

「Android Bazaar and Conference 2012 Spring」が、3月24日に東京大学 本郷キャンパスで開催された。同イベントで、産業技術総合研究所情報セキュリティ研究センターの高木浩光氏が「スマホアプリの利用者情報送信における同意確認のあり方」と題した講演を行い、スマートフォンのアプリがどのように情報収集の同意を行うべきかを説明した。 3月24日に東京大学 本郷キャンパスで開催された「Android Bazaar and Conference 2012 Spring」において、産業技術総合研究所情報セキュリティ研究センターの高木浩光氏が「スマホアプリの利用者情報送信における同意確認のあり方」と題した講演を行い、スマートフォンのアプリがどのように情報収集の同意を行うべきかを説明した。 オプトインとオプトアウトの線引き 今回の講演は、3月8日に総務省で開催された「スマ

サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。

はてなから公式に「取得やめます」と発表があって、一応は終息した件。 当初の認識では「グレーゾーンだけどアウトとは言えないんじゃないか」だったんだけど、色々考え/調べてちょっと認識変わったので書く。 発端 はてなは元々、「サイトに埋め込んでおくとクリック一発ブックマークできたりURLごとのブックマーク数を表示したりする機能」を提供していた。国内のSBMに於いてはてなブックマークは大手であり、そのブックマーク数は人気指標として広く認識されているため、はてなの各サーヴィスはもちろん外部に於いても当機能の利用率はかなり高い。 で、この機能に2011年9月から突然「埋め込んだページを閲覧した人の履歴情報を取得する」機能が追加された。このことは一応はてなのブックマークの機能解説ページには告知されたが、それ以外には説明がなかった。どうやら一部大手顧客については説明が為されたようだったが、大半を占める個人