HTTPセッションハイジャック対策のアドバイス、Mozillaセキュリティ | エンタープライズ | マイコミジャーナル
Firefox web browser - Faster, more secure & customizable Firefoxのエクステンションとして公開されたHTTPセッションハイジャックツールFiresheepは、オープンワイヤレスネットワークからインターネットを利用する場合、いかに簡単にクッキーを傍受して他人になりすますことが可能かを示すことになった。WebサービスやWebアプリの提供側と、それを利用するユーザの双方がこの問題を意識し改善に取り組んでいく必要がある。 そしたアドバイスのひとつとしてMozilla Security BlogにおいてCooling Down the Firesheepという記事が掲載された。オープンワイヤレスネットワークであっても通信が最初から最後まですべてHTTPSである限り、そう簡単にクッキーは傍受されない。このため、サイト側からブラウザへHTTP
Big Sky :: TwitterのBasic認証廃止は約半分のデスクトップクライアントを殺した。
さて、TwitterがBasic認証を廃止して1ヶ月が経とうとしています。 皆さんクライアントをOAuth対応したり、乗り換えたりしたでしょうか? 今までBasic認証で動いていた、ちょっとした捨てコード、どうなってるでしょうか? Twitterが始まった当初、gtktwitterというデスクトップGUIで動くTwitterクライアントを作りました。まぁ作りはそれ程優れた物じゃなくて、RTなんか無い頃でfriends_timelineが見れて、発言出来て、@によるリプライが出来る程度の物でした。 ただ純粋なC言語だけでGTKおよびcurlを使ったクライアントという事もあり、一部のgeekからは人気があったみたいです。 さてこのgtktwitterを今回、Basic認証が消え去った現状でも動くようにしてあげようと思い、今回改造を始めた訳です。 まず大きな壁にぶち当たりました。 Twitter
Lynxでアクセスしたら逮捕された? | スラド
koshian 曰く、 "セキュリティホールmemo MLで知ったのですが、スマトラ沖地震救援支援の寄付をしようとテキストブラウザ「Lynx」でウェブサイトにアクセスしたイギリスの男性が、なぜか逮捕されたようです。boingboingの記事ではその理由を「nonstandardなブラウザを使ったため」と書いています。BBCの記事では「'hacking'された」とまで書いてあります。この文脈では不正アクセスということでしょうか。 Lynxは今となってはマイナーなブラウザであることは確かでしょうが、視覚障害を持つ方がウェブを閲覧するのに使用していたりもするブラウザです。それを使ったが為に不正アクセス呼ばわりされ、あまつさえ逮捕されてしまう。こんなことが本当にあるのでしょうか。本当だとしたら、我々はこのことをどう考えたらいいのでしょうか。" 本家でもストーリー(Man Reportedly Ja
エクスプローラの右クリックメニューから簡単にファイルを暗号化できる「AxCrypt」 | OSDN Magazine
普段PCで利用するファイルの中には、他人に見られてはいけないような個人情報や非公開情報などを含むファイルがことのほか多い。万一PCが紛失や盗難にあったり、ファイルがインターネット上に流出してしまうと大変だ。被害を最小限に食い止めるためにも重要なファイルは是非とも暗号化しておきたい。今回紹介するツールは簡単に暗号化が行える「AxCrypt」である。 AxCryptの特徴は操作が分かりやすい点だ。エクスプローラのシェルと一体化しており、暗号化や暗号解除といった基本的な操作はすべてファイルの右クリックメニューから行える。また、暗号化したファイルを閲覧したり、編集する際はダブルクリックするだけでファイルを開くことができる。この場合、編集後にファイルを保存すると自動的に再暗号化が行われるため、暗号化し忘れることがない。 暗号形式は最大128ビットのAESであり、信頼性は折り紙付きだ。正式にサポートし
asahi.com(朝日新聞社):英の監視社会、反省ムード 人権重視の新政権が見直しへ - 国際
ロンドンの街角には、監視カメラを複数据え付けた塔(中央)があちこちに立っている 【ロンドン=橋本聡】「行き過ぎたテロ対策が、市民の自由を侵していた」――。そんな反省の機運が英国で高まり始めた。400万台以上といわれる監視カメラの設置や警察官による身体検査などの施策をめぐり、英政府は全面的な見直しを始めた。秋に具体策をまとめる。「治安優先」から「人権」へ、振り子がふれつつある。 「英国の伝統である市民の自由と、治安対策とのバランスを回復する」。メイ内相(保守党)は7月中旬、異例の見直し着手を表明した。 風向きが変わったのは今年5月、13年間続いた労働党政権が終わり、政権交代が実現したことがきっかけだ。 なかでも、保守党と組んで第2次世界大戦後初の連立政権を発足させた自由民主党の存在が大きかった。同党はかねて、個人のプライバシーや人権問題に力を入れてきた。党首のクレッグ副首相は、前政権
父親「なんでWi-Fiを使わせてあげないんだ」
つい昨日の話 仕事で出張続きで休みがなかったため、昨日代休を貰って家でまったり過ごしていたんだ。 昼過ぎになって家のチャイムが鳴ったので出てみると、中学生くらいの子が3人いた。 以下やりとり 中「wi-fiできますよね?」 俺「は?え?どういうこと?」 中「この家から無線LANの電波が出ているのは分かっているんです。」 俺「え?いやまあ確かに無線LAN使っているけど・・・」 中「AOSSボタン付いてます?」 俺「あ~ついてるね」 中「それを長押ししてください。あとはこっちでやるんで。」 俺「は?ちょっとまって何する気?」 中「え?DSでwi-fiするんですよ」 俺「いやいや自分の家でやってくれ」 中「家にないから持っている人の物を使うんじゃないですか」 俺「いやいやだからといって使わせることはできないよ」 中「少しくらいいいじゃないですか。ボタンを長押しするだけじゃないですか」 俺「駄目な
Mozilla Re-Mix: ユーザーの嗜好を追跡する広告用トラッキングクッキーをオプトアウト(無効化)するFirefoxアドオン「Targeted Advertising Cookie Opt-Out (TACO)」
皆さんご存じのように、最近Google アドセンス広告でも個別IDを付与したクッキーを食べさせ、個人のブラウジングを追跡した上でユーザーの趣味嗜好に合った最適な広告を表示するというシステムが始まっています。 このブログでもプライバシーポリシーを追加したのはそのためですが、訪問者の中には好みにあった広告が表示されるほうがマシという方もいれば、個人的に追跡されるのはなんだか嫌だという方もいらっしゃることでしょう。 そんな方のために、Googleではこのような「興味・関心に基づく広告」で追跡を拒否する「広告 Cookie のオプトアウト」ページが用意されており、このページ内にある[オプトアウト]ボタンをクリックすることによりこうしたターゲティング広告の追跡から逃れることができます。 *オプトアウト設定を恒久的に保持したい場合は、「広告 Cookie オプトアウトプラグイン」というプラグインをFi
女子児童に「もう家に帰り」と老人が声をかけ、帰る児童をその場から見守る事案が発生…兵庫・伊丹 : 痛いニュース(ノ∀`)
女子児童に「もう家に帰り」と老人が声をかけ、帰る児童をその場から見守る事案が発生…兵庫・伊丹 1 名前: 原稿用紙(関西地方):2009/11/30(月) 22:10:14.81 ID:CZQ7fb+e ?PLT 都道府県 兵庫県 メルマガ名 ひょうご防犯ネット 受信日時 2009/11/30 19:36:20 タイトル 声かけ事案発生(11月30日・伊丹) 11月30日(月)午後4時10分ころ、伊丹市野間北2丁目4番7号先路上で、 声かけ事案が発生(警察認知?同日午後5時52分)。 男は、年齢70歳位、身長150センチ位、小太り、茶系のジャンパー、色不明のズボン。 下校中の女子児童に対し「家どこ」と声をかけ、同児童が「分からん」と答えると、 「もう家に帰り」と言い、その場に立って児童が帰る方向をしばらく見ていた後、 男はいずれかに立ち去り。 【地図はこちら】 ttp://p.chizum
法と技術とクローラと私 - 最速転職研究会
こんにちは、趣味や業務で大手ポータルサイトのサービスで稼働しているいくつかのクローラの開発とメンテナンスを行っているmalaです。 さて先日、岡崎市立中央図書館Webサイトをクロールしていた人が逮捕、勾留、実名報道されるという事件がありました。 関連URL: http://librahack.jp/ 電話してみた的な話 http://www.nantoka.com/~kei/diary/?20100622S1 http://blog.rocaz.net/2010/06/945.html http://blog.rocaz.net/2010/07/951.html この件につきまして法的なことはともかくとして技術者視点での私見を書きたいと思います。法的なことは差し置いて書きますが、それは法的なことを軽んじているわけではなく、法律の制定やら運用やらは、その法律によって影響が出る全ての人々の常識
PCゲーム通販大手の顧客名簿が流出 : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)
流出元となったのはPCゲームソフト販売の大手、メッセサンオー。秋葉原に複数の店舗があるほかネット通販でも有名で、マニア御用達のショップともなっている。アダルトゲームや同人誌、同人ゲームの扱いが中心だ。 流出した名簿は表形式のデータをテキストファイルにした「CSV形式」と呼ばれるもの。通販を利用した人の名前、よみがな、メールアドレス、住所、電話番号が載っており、約1400人分のデータがまとめられている。商品名は書かれていないが、一部に備考として出ている部分があり、アダルトゲームと思われるソフトを買ったことまでわかってしまう。 原因は管理者側のミスで、顧客名簿が外部からアクセスできる状態にあったためのようだ。このファイルをGoogleの検索エンジンが拾ってしまい、結果としてGoogle検索で顧客名簿が見られるようになってしまった。流出時期は不明だが、データの日時などから推定すると、今年1月ご
携帯電話向けWebアプリのセッション管理はどうなっているか - ockeghem's blog
最近購入したPHP×携帯サイト 実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引にも「セッション」や「session」という語は出てこない。サンプルプログラムのCD-ROM上で session を検索しても出てこないので、セッションはどこでも使っていないのだろう。 そうは言っても、本書にはブログやSNSなど認証が必要なアプリケーションも登場する。本書で採用している認証方式はこうだ。 携帯電話の個体識別番号を用いた、いわゆる「かんたんログイン」のみを使う 認証状態をセッション管理機構で維持しない。全てのページで毎回認証する そのため、「iモードID」など、ユーザに確認せずに自動的に送信されるIDを用いる つまり、全て
[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
![[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! 記事一覧 | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/7241c583676d54fc052c4388a6edd25e4c7f280b/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2Fgihyojp-ogp.png)
窓の杜 - 【NEWS】IPアドレスをメール送信してPC盗難時の捜索を支援「LocatePC」
自PCのIPアドレスをメール送信してPC盗難時の捜索を支援する常駐ソフト「LocatePC」v1.4.5が、15日に公開された。Windows 98/Me/XPに対応するフリーソフトで、現在作者のホームページからダウンロードできる。 「LocatePC」は、自PCのIPアドレスの変化を検知すると、そのIPアドレスを指定メールアドレスへ自動送信する常駐ソフト。本ソフトがインストールされたPCが盗まれ、別の場所で使われると、本ソフトによりIPアドレスがバックグラウンドで送信され、盗難PCを捜す手がかりとなる。 インストール時に登録する情報は、自PCと送信先のメールアドレス、SMTPサーバーの情報、メールアドレスの件名、本ソフト専用のパスワードなど。パスワードを忘れてしまうと、本ソフトの設定変更やアンインストールが行えなくなってしまうので、絶対に忘れないように注意しよう。 また、本ソフトをインス
パソコンが盗まれたときに犯人の映像を送信してくれる「Prey」をいれてみた : 管理人@Yoski
もはやパソコンに重要な情報を入れて持ち運ぶことはないし(メールはあるけど)、ソースコードなどはリポジトリで管理されていたりするので、パソコンを盗まれたときデータはどうでもよくてなんとかして「本体を取り戻したい」のですよね。。。 使ってきたパソコンに愛着もあるし。 ということで、パソコンに「Prey」をインストールしてみました。 この「Prey」というソフトウェアは、オープンソースで Win/Mac/Linux に対応した盗難対策ツールです。 何をしてくれるかというと、パソコンが盗まれたとき、そのパソコンの IP アドレスや起動しているソフトなどの情報に加えて、Webカメラを自動起動して犯人の写真を撮り、画面のスクリーンショットと共にメールで情報を送信してくれるという優れものです。 ネットワークにつながっていない状態でも、自動的に公衆無線LANに接続を試みるという機能までついていたりします。
Adobeを捨てるときが来たのかも
AcrobatとReaderのゼロデイ脆弱性に、Adobeは積極的に対応できていない。Adobe以外のPDF製品に乗り替えるときが来たのかもしれない。 今週火曜(米国時間3月10日)のMicrosoftパッチデーに時間を割くときには、その次の日の分も忘れず残しておいてほしい。3月11日、AdobeはAcrobatとReaderの最新のゼロデイの脆弱性を修正するアップデートをわたしたちに賜ってくれる。 この脆弱性を突くコードはあまり広がっていないようだが、いつ爆発的に広まってもおかしくないと考えておいてほしい。eWEEKなどで先月起きたことから考えると、パッチがリリースされた後でも、PDFの攻撃コードが長い間大きな影響を持ち得るものと思っておいた方がいい。 JBIG2Decodeとして知られるようになったこの脆弱性のもたらし得るダメージは甚大だ。ディディア・スティーブンス氏はAdobe Re
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
鐃緒申鐃緒申/鐃緒申鐃緒申鐃緒申鐃緒申鐃銃ワ申の編集 - ニンテンドーDSブラウザーWiki