Amazon.co.jp: 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践: 徳丸浩: 本
使用電力を解析すれば視聴番組も割り出せる | スラド ハードウェア
電力使用を細かに監視し制御できる「スマートメーター」のデータから、視聴しているテレビ番組を解析することが可能なことが分かったそうだ (The H の記事、本家 /. 記事より) 。 ミュンスター応用科学大学の行った研究によると、ドイツのスマートメーター「EasyMeter」のデータの電力消費パターンを解析することで、視聴している DVD やその他媒体で再生されるコンテンツ、TV 番組を判別することが可能であるとのこと。その画面遷移の明るさや暗さ、データ量などが分析の鍵となるとのことで、他機器からの干渉が少ないことも重要であるという。 スマートメーターの電力データは電力事業者によって利用されることとなっている。今までスマートメーターで分かることと言えば「電子レンジを使ったか」「オーブンを使ったか」くらいであると考えられていたが、より詳細な解析が可能であることが明らかとなり、今後はデータ保護の
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
私はこうして、twitterアカウントを乗っ取られました | 赤と黒
先日、このブログ用に使っていたtwitterアカウントをハックされてしまった。しかも2回も。 どなたかが当ブログのcontactフォームを通じて教えてくださり、気づいた(その節はありがとうございました)。 慌てて確認してみると、確かに見覚えのない英語のメッセージと怪しげなリンクがtweetされていた。消そうにも、パスワードまで変えられており、ログインできない。 しかし、twitterから登録メールアドレス宛に以下のようなメールが届いていた。 要約すると「あなたのアカウントが乗っとられた可能性があるので、パスワードをリセットしました。このリンクからパスワードを変えてください」という感じ(それにしても、この中途半端な和訳はいつ直るのかな…)。 どうやら、アカウントハックにあったことがtwitterには判別できるらしい。やはり、無差別に攻撃しているのだろう。 でないと、こんなに地味なアカウントを
進化し続けるドライブバイ・ダウンロード攻撃
本城信輔/McAfee Labs東京 主任研究員 Gumblarは,ドライブバイ・ダウンロード(drive-by-download)攻撃の一つである。ドライブバイ・ダウンロード攻撃とは,Web サイトにアクセスしたユーザーのきちんとした同意を得ずに,マルウエア(ウイルス)を勝手にダウンロード・感染させる脅威だ。このうちWebブラウザやアプリケーションのぜい弱性を悪用する方法は,数年前から見られるようになった。今年1月には,「Operation Aurora」という,Internet Explorer(IE)のゼロデイのぜい弱性を悪用したドライブバイ・ダウンロード攻撃も発見された。 2009年4月ころに発見された,元々のGumblar攻撃の流れは,図1の通り。大きく五つのステップがある。(1)攻撃者がWeb管理者になりすましてWebページを改ざん,(2)ユーザーが改ざんされたWebページにア
XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会
適当 XSSがある=なんでもやり放題ではない ブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。個人情報を預かってるサイトは、重要個人情報についてはHTTPSじゃないと参照できなかったり、そもそも表示しなかったり(パスワードやカード番号等)、決済用のパスワードや暗証番号を入れないと操作できなかったりする。 参考までに http://blog.bulknews.net/mt/archives/001274.html (2004年のアメブロ脆弱性の話) http://d.hatena.ne.jp/yamaz/20090114 (信頼できないデータを取り扱うドメインを分ける話) 管理用と別ドメインに分けたにも関わらず、script実行できることに対してDISられ
「FFFTPだけが危ない」はデマ
■乗り換えても無駄 感染した場合、危ないのはFFFTPじゃなく、FTPクライアントソフト全体 SmartFTP、NextFTP、Filezilla、WinSCPもFFFTPと同じ意味で危険 今のところ大丈夫なクライアントはある でも、大勢の人が乗り換えたら、マルウェアがバージョンアップして対応してくるだけだよ ていうか、パスワードを保存すること自体が危険だよ INIファイルに変えたって同じだよ! ■特定のマルウェアに感染しなければ大丈夫 もちろん、「絶対感染しない」ってのは不可能だけどね 感染した場合に、FTPソフトが保存してる情報を盗み出して利用される だから危ないと騒がれてる 「特定のマルウェア」とは、8080系とか“Gumblar”とかいわれてる奴 ** ■過去にパスワードを保存していないなら平気 ** ■今後もパスワードを保存しなければ平気 保存して無いものは盗みようが無い
無料のMyJVNバージョンチェッカで、御社サイトのガンブラー対策も3分チェック | 初代編集長ブログ―安田英久
Windows UpdateでOSを最新の状態にしておくウイルス対策ソフトを入れて最新のパターンファイルにしておく●Webサイトのサーバーで コンテンツが改ざんされて悪質なプログラムが仕込まれていないかチェックするといったことが必要です。 パソコン側の対策すべてのWeb担当者に今すぐしてほしいのが、ガンブラー系ウイルスがねらっているプログラムのバージョンアップ。とはいえ結構面倒なんですよね。そこで、IPA(情報処理推進機構)が無償で提供しているMyJVNバージョンチェッカを使いましょう。3分で簡単に、バージョンアップが必要なプログラムが残っていないかチェックできます。 MyJVNバージョンチェッカのページへ行く http://jvndb.jvn.jp/apis/myjvn/vccheck.html 「MyJVN バージョンチェッカの起動」からXP用かVista用かWindows 7用かを選
パスワードを設定する時に必ず守るべき4つの基本事項 | ライフハッカー・ジャパン
分かり難いパスワードを設定することがいかに大切かということは、ライフハッカーでも口を酸っぱくして何度も言ってきました。それでもまだ多くの人が、分かりやすくて安直なパスワードを使い続けています。3,200万人分のパスワードを分析しても、未だによくあるパスワードの上位はこんな感じ(画像参照)なのです。 去年の12月、FacebookなどのSNSにマルチメディアスライドショーなどを提供している「RockYou」が、パスワードデータベースの情報を漏洩しました。3,200万人分のパスワードとログイン情報が、一人のハッカーの手によって公に晒されてしまったのです。 セキュリティ会社の「Imperva」は、3,200万人のパスワードをくまなく調べ分析しました。その結果、RockYouのユーザーが設定しているパスワードの欠点と、パスワードがあまりにも更新されなさ過ぎるという嘆かわしい事実を、「Consume
UMTS 3GとGSMの音声暗号、それぞれ解読・公開される | スラド セキュリティ
いささか旧聞だが、本家記事Mobile: Second 3G GSM Cipher Crackedによると、3G GSMにおいてトラフィックの安全性を保つ「Kasumi」暗号が新しく開発された解読法によって破られたそうだ。「related-key attack」というこの方法では、完全な復号鍵が得られるという。ただし、Kasumiが即時に危険な暗号となるようなことはないという。 「Misty」と呼ばれる暗号の改良版であるKasumi暗号は「A5/3」とも呼ばれ、3G GSMにおける通信暗号の標準となっている。論文では この論文ではsandwitch attackという新しい攻撃を提示し、それにより8つあるKASUMIのラウンドのうち7つを2^14という驚くべき高い確率で発見する単純な手順を組み、残り一つを解析することで、4つのrelated key、2^26のデータ、2^30バイトのメモリ
twitter大ブームも個人情報の『ダダ漏らし』に要注意 : 【移転しました】twitterやFacebookで結果を出す、はちえん。の中の人
名古屋・岐阜県の中小企業を中心に、twitter、Facebookなどのソーシャル・メディアのビジネス活用を支援する、株式会社はちえん。の代表、ソーシャル・マジシャン坂田誠がノウハウを語るブログ 言うまでもなく、twitterが大ブーム。 そして、どんどんユーザーが増えてきています。 そんな中、少し危惧している事態が一点。それは各ユーザーが意図しない、個人情報をだだ漏らしになっている点です。 今回、犯罪や詐欺などに巻き込まれない為に、twitterで特定条件の個人情報を獲る方法を示してみます。 といっても、特別なツールは必要なく、使うのはtwitter公式検索です。 例えば「彼氏と別れたばかりの女性」だけをtwitterで探したいとしましょう。 その場合、twitter公式検索にて、検索のオプションを使って、こんな風に検索します。 すると、検索結果に、ノイズは入るものの、結構な割合で「彼氏
SQLインジェクションとは何か?その正体とクラッキング対策。
世間では、今Gumblar祭りが勃発中であり、SQLインジェクションがニュースに出てくることは少なくなったが、だからと言ってSQLインジェクションの脅威がなくなったわけではない。SQLインジェクションはGumblarを仕掛ける手段としても利用されることがあり、Webアプリケーションを提供する全ての人にとって、対策を講じなければいけない驚異であることに変わりはない。SQLインジェクションという攻撃手法が認識され、大いに悪用されているにも係わらず、その本質に迫って解説している記事は少ないように思う。従来のWeb屋だけでなく、今やアプリケーション開発の主戦場はWebであると言っても過言ではなく、そういう意味ではSQLインジェクションについて理解することは、全てのプログラマにとっての嗜みであると言えるだろう。 というわけで、今日は改めてSQLインジェクションについて語ってみようと思う。 SQLイン
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
複数パスワードを一括管理して自動ログインもできるFirefoxのアドオン『KeeFox』 | ライフハッカー・ジャパン
ATMスキミング装置設置の手口が公開される | スラド セキュリティ
TechCrunch | Startup and Technology News
“Gumblar”問題を受け、「FFFTP」のレジストリ設定を削除するツールが公開
セキュリティ通信|セキュリティ関連ニュース サイト改ざん(2)ハウス食品、民主党、ローソンなど被害サイト23の改ざん状況
TechCrunch | Startup and Technology News
はてなブログ | 無料ブログを作成しよう
「SSLでHTTPメッセージはどの部分が暗号化されるの?」(1) Java Solution - @IT