エフセキュアブログ : 「SHA-1+salt」はパスワードに十分だと思いますか?
「SHA-1+salt」はパスワードに十分だと思いますか? 2011年02月09日17:39 ツイート fsecure_corporation ヘルシンキ発 by:ジャルノ・ネメラ アナーキーなインターネットグループ「Anonymous」が先頃、HBGary Federalとルートキットテクノロジの分析と開発に専心しているオンラインフォーラム「rootkit.com」をハッキングした。「rootkit.com」の全ユーザパスワードに障害が起きている。 この件に関連して、アプリケーションセキュリティで気に入っているトピック、すなわちパスワードハッシュについて指摘したい。 Web(およびその他の)アプリケーションが、ユーザパスワードのハッシュにMD5、SHA1またはSHA-256を使用しており、先進的なデベロッパさえ、そのパスワードをsaltしている。そして私は長年に渡って、salt値はどの
エフセキュアブログ : Macユーザの認識の差を埋める新しいアプリ
Macユーザの認識の差を埋める新しいアプリ 2015年05月13日08:00 ツイート fsecure_blog ヘルシンキ発 OS Xは、直感的なユーザエクスペリエンスと魅力的な美しいデザインをMacユーザに届け、数多くのMacBook所有者が、MacBookを使って公の場での活動を楽しんでいます。しかし、こうしたデバイスをWi-Fiが利用できるカフェやその他の場所で使うことで、Macユーザは、PCユーザに比べて自らのプライバシーが侵害されるリスクを高めています。このような状況では、エフセキュアの新しいFreedome for Macアプリが、OS Xユーザのオンラインプライバシーをコントロールするのに役立つ重要なツールとなります。 エフセキュアが実施した調査*によると、Macユーザがオンラインプライバシーを侵害されるリスクは、PCユーザに比べ高く、講じている予防策も少ないことが示されて
エフセキュアブログ : いかにWindows XPが攻撃しやすいか
いかにWindows XPが攻撃しやすいか 2013年10月08日07:39 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 先日よりInternet Explorerのゼロデイ攻撃(CVE-2013-3893)がアジア各地で確認されており、Metasploitにも攻撃モジュールが組み込まれたことで危険性が高まっています。現在のところMetasploitで対象となっているのは、Office 2007/2010がインストールされているWindows 7のIE8/IE9だけですが、Windows XPを攻撃するのは簡単でOfficeなんかインストールされていなくても攻撃が可能ですので、XPを使っている方も油断してはいけません。 [Windows XPでIE8の脆弱性を悪用し電卓を起動したところ] 攻撃が簡単な理由は、Windows 7ではASLRといってメモリ
エフセキュアブログ : 機密情報を編集しない方法
機密情報を編集しない方法 2009年12月16日22:59 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン 我々は新たなPDF編集騒動に関する記事を興味深く読んだ。 このケースで、デジタル的に編集された起訴状を提示し、オンラインでPDFファイルとして公開したのは、TJX/7-11ハッカー、アルベルト・ゴンザレスの弁護士だったため、もともとの改訂されていないテキストに戻すことは、些末な事柄になってしまった。 先週、米Travel Security Authority(TSA)は、デジタル的に「編集された」セキュリティ・ガイドライン文書のオンラインでの公開に関し、5人を解任した。 デジタル編集問題について知る人の大部分は、書類の編集済みテキストを、コピー&ペーストできるという程度のことだと考えている。 しかし実際のところ、これはもっと深刻な問題だ。大部分のユー
エフセキュアブログ : 政府の署名鍵で署名されたマルウェア
政府の署名鍵で署名されたマルウェア 2011年11月14日23:23 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン 証明書とCAは今もホットな話題だ(Stuxnet、Duqu、Comodogate、Diginotarなどを考えて欲しい)。 我々は時折、コードサイニング証明書で署名されたマルウェアに遭遇する。エンドユーザが無署名のWindowsアプリケーションをWebからダウンロードすると、ユーザに警告が出されるため、これは問題となる。署名のあるアプリケーションは、警告は出さないからだ。また、セキュリティシステムの中には、署名の無いコードよりも署名のあるコードを信用するものもあるだろう。 こうしたケースの中には、マルウェアを署名する目的で、犯罪者により証明書が作成されているものがある。またその他の場合には、コードサイニング証明書(およびパスフレーズ)を盗む
エフセキュアブログ : Webアドレスは慎重に見るべし
Webアドレスは慎重に見るべし 2011年05月25日21:38 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン 何とばかばかしいフィッシングサイトだろう。 このサイトは躍起になって、ユーザがアクセスしているURLが「accounts.craigslist.org」であることを再確認させようとする。 もちろん、違うのだが。 これは私がこれまで見た中で、最高に馬鹿げたフィッシング攻撃の一つと言える。 こんなものに誰も引っかかりはしない。 一部のケースを除いては。 ご存知のように、最近では誰もが自分のコンピュータで電子メールを読まなくなっている。携帯電話で読んでいるのだ。そのため、フィッシング詐欺メールも自分の電話で受信し、自分の電話で詐欺サイトをオープンすることになる。 iPhoneやAndroid、Nokiaの端末で同サイトがどのように見えるか、確かめてみ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
