ChromeでAccess-Control-Allow-Originを停止させつつ、別アプリとして動かす - ZeBeVogue別館
以前からChromeでの開発・デバッグがメインになっているのですが、ちょっと前からローカルで開発している時に、以下のようなメッセージが出て、リソースにアクセスできない事が多々ありました。 XMLHttpRequest cannot load file:///*****. Origin null is not allowed by Access-Control-Allow-Origin. セキュリティ上の理由は分かるし、MAMP上のディレクトリ上で確認していたのですが、わざわざApache動かすのもダルいし、MAMPでリソース食うのも気持ちよくないなーと思っていました。 Access-Control-Allow-Origin自体はコマンドライン引数から抑制させる事はできるのですが、開発中とは言え、普通にネットを見ながらなので、Chrome全体に適用させてしまうと、セキュリティ上よろしくない。
6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について
2013/06/11 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について 2013年6月9日に放映されました、フジテレビ「ほこ×たて」に関しまして、反響が大きいようですので撮影の裏側をご紹介いたします。 まず、番組コーナー内の冒頭にご紹介いただきました弊社製品「防人」については、弊社がどのような会社なのかを簡単に紹介するということでお見せしましたが、防人はメールによる標的型攻撃を防ぐための製品ですので、その後の対決には一切使用していません。 実際の対決に際して防御側に求められたのは、サービスパックや修正プログラムの全く当てられていないパソコン上で、脆弱性が確実に存在しているサー
iCloudハック事件の手口がガード不能すぎてヤバイ | fladdict
GizmodeのライターがiCloudのアカウントを乗っ取られ、iCloud消滅、iPad, iPhone, Macのデータワイプ、Gmail, Twitterの乗っ取りを食らった件について、ハッキングを本人が語ってらっしゃる。 手口としては典型的なソーシャルエンジニアリングによる、複数サイトから得た情報のギャザリングを用いたハック。 だがこのハッキングのプロセスが鮮やかすぎてヤバイ。ツールを一切つかわず電話だけでハッキングしてる。 Twitterアカウントに目をつける 元々クラッカーは、Gizライターの持っていた「3文字のTwitterアカウント」が欲しくてアタックをかけたらしい。 Twitterプロフィールから、本人のウェブサイトへ 本人のウェブサイトからGmailのアドレスを発見 Gmailで「パスワードがわからない」から再発行 再発行メール用のアドレスが画面に表示される。この m*
カルピスの顧客情報約10万件が流出か、業務委託先で不正行為も
カルピスは7月13日、顧客の個人情報9万5689件がインターネット上に公開され、第三者に漏えいした可能性があると発表した。現在はデータを削除して閲覧できないようにしたといい、電話による専用窓口を開設するなどの対応を進めている。 同社によると、漏えいした可能性がある情報は2009年8~10月に実施いた「’09年秋のHAPPY REFRESH キャンペーン」で収集した個人情報。全体のうち5万4266件はキャンペーンに登録・応募した顧客のもので、氏名、フリガナ、郵便番号、住所、電話番号、メールアドレス、性別、年齢、応募した賞品コース、キャンペーンを知ったきっかけの情報(一部は任意)となる。残る4万1423件は、キャンペーンに登録したが応募をしなかった顧客のメールアドレスのみとなっている。 漏えいした可能性は7月5日に判明。キャンペーン参加者の個人情報がインターネット上に公開されているとの通報が外
個人情報漏れすぎ,[hack] TSUNAKAN hack - luminのコードメモ
またまた来ました大変なことをしてくれるAndroidアプリ。 ヘンなアプリに要注意! データぶっこ抜きアプリか?Google playに不審なアプリが出回る - ライブドアニュース ITライフハック なんとか The Movieという名前がつくのが今回のアプリの特徴です。内容はそのアプリを動かした動画が見られます。 結果から言いますと、このアプリは、アプリを実行した電話の電話番号とAndroid_ID 自分の名前、電話帳に登録してある人すべての名前とメールアドレスをこの人のサーバにアップロードしてしまいます。 これらのアプリの総ダウンロード数GooglePlayの表示を足すと、66,600〜271,500。ダウンロードした人たちの連絡先に平均50人入っているとして、3,330,000〜13,575,000人という、とてつもない人数の個人情報が集まっているのではないかということです。 パケッ
![個人情報漏れすぎ,[hack] TSUNAKAN hack - luminのコードメモ](https://cdn-ak-scissors.b.st-hatena.com/image/square/9688324e42954d9cebf9276ec3f66bb80887b494/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fl%2Flumin%2F20120412%2F20120412222936.png)
高木浩光@自宅の日記 - ローソンと付き合うには友達を捨てる覚悟が必要
■ ローソンと付き合うには友達を捨てる覚悟が必要 当初3月末開始とされていた「LAWSON Wi-Fi」が、なぜか「当初の計画より事前テストに時間を要したため」として、遅れて4月6日から開始されたのだが、早速Twitterでこんな指摘が出ていた。 少なくともこういうのを「ログイン」と呼ぶのはやめて頂きたい。金融機関などでは、暗証番号に電話番号や誕生日を使うのをやめるよう利用者を啓発する活動にコストをかけてきたが、そうした労力を台無しにする。ローソンとしては、無料の無線LANを使わせるくらい、本人確認が甘くても自社の問題だから許されると思っているのだろうが、こういうやり方が社会に悪弊をもたらすことに気付いていないのか。 今回は、前回の日記で取り上げた「PASMOマイページ」の問題とは違って、「ログイン」で電話番号と誕生日を使用している。一般に、不正アクセス禁止法では、このような、IDと電話番
フォーム自動入力(x-autocompletetype)の実験
※ご注意: ウイルスバスターがインストールされている環境だと、この記事は読めないようです (→参考画像) (x-autocompletetypeとは?) Webサイトのフォームにワンクリックで個人情報を自動入力してくれる便利機能。ブラウザに、あらかじめ名前やメールアドレスや住所やクレジットカード番号などの情報を設定しておく。 アンケートサイトとかに超便利 入力が苦手なオカンも便利 とにかくべんり Google Chrome のみ対応してる (2012年4月4日時点)。 便利すぎて今後、他のブラウザも追随必至。 (ユーザーが自動入力を使うには) Google Chrome 設定 → 個人設定 → 自動入力設定の管理 → 住所氏名メールアドレス等を入れておく (Webページ側での自動入力の設定) inputにx-autocompletetype属性をつけて、値を email とか sname
WebSocketにセキュリティの懸念。Firefox 4とOperaで機能を無効化へ
もともとHTML5の仕様の一部として検討され、現在は独立した仕様となったWebSocket。Webブラウザで柔軟な通信が行える機能として注目されていましたが、Firefox 4では、当面WebSocketのサポートを見送ることが発表されました。Operaでも同様に、デフォルトでWebSocketをオフにすることが発表されました。 原因はWebSocketプロトコルにセキュリティ上の問題が発生したため、とのこと。 WebSocketにはどのようなセキュリティ上の問題が発見され、影響はどういったところに及ぶのでしょうか? Mozilla Japanの浅井智也氏に解説をお願いしたところ、次のような文章を送っていただきました。 以下からは浅井氏による解説です。 なぜFirefox 4はWebSocketをサポートしないのか? 現在仕様策定途中のWebSocketプロトコルには重大なセキュリティ上の
マイクロアドの広告サーバに攻撃、毎日jpやImpress Watchなど100サイト閲覧者にマルウェア感染の疑い
マイクロアドの広告サーバに攻撃、毎日jpやImpress Watchなど100サイト閲覧者にマルウェア感染の疑い マイクロアドは9月25日、同社の広告サーバ「VASCO」の一部バージョンが25日夜、第三者による攻撃を受けてデータが改ざんされ、配信したHTMLファイルを閲覧したユーザーがマルウェアをダウンロードした疑いがあると発表した。 毎日jpやImperss Watchなど大手を含む100サイトが導入しており、被害を受けたユーザー数など詳細は「調査中」(マイクロアド広報担当者)。 9月24日午後9時30分ごろ~11時30分ごろにかけ、VASCOのプログラムが改ざんされ、HTMLファイル内に1×1ピクセルのiframeタグが挿入、タグ内にマルウェア「Security Tool」をダウンロードさせるサイトへの誘導リンクが仕込まれていた。 Security Toolは偽セキュリティソフトで、ダ
偽セキュリティソフト「Security Tool」感染爆発、原因はマイクロアドの広告配信サーバへの攻撃
9月24日(金)の21時半頃から9月25日(土)0時27分にかけてGIGAZINE・毎日jp・Impress・Slashdot・価格.com・食べログ・みんなの株式・みんカラ・J-CASTなど多数のサイトのページを見た一部ユーザーが偽セキュリティソフト「Security Tool」に感染している可能性が明らかになりました。原因はページ内に表示していたマイクロアド社の広告が原因、この広告を配信していた多数のサイトでも同様の被害が発生していたとのことです。 GIGAZINEでは即座に原因を特定したため、マイクロアドの広告を非表示にし、今も念のため非表示処理を続行しています。もう少し早くこちらで特定できればもっと早くに非表示にして被害を抑えることができたのですが、これが限界でした、非常に申し訳ないです。 現時点までで明らかになった経緯まとめと「Security Tool」の駆除方法などは以下から
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
アメーバなうでこんにちは!
ぼくはまちちゃん! こんにちはこんにちは!! このページは、アメーバなうの実験をしていましたが公開終了しました。 → 【緊急】アメーバなう利用中の皆さんへ【ご注意!】|ぼくはまちちゃん!(アメーバ) → はてなブックマーク - アメーバなうでこんにちは!
404 Not Found
実名などの個人情報を公開することは大変危険です。 実名さえ分かれば、住所や電話番号などを調べることが可能なのです。 TELECOREというテレコア株式会社が運営する個人情報紹介サービスをご存知ですか。 このサイトを利用すれば、あなたの住所や電話番号を調べることができてしまうかもしれません。 私の住所や電話番号は簡単に検索することができてしまいました。 TELECORE(テレコア)無料電話番号検索サービス ■TELECOREで個人情報を検索する方法 「無料検索ログオン」と書かれたボタンをクリックすると、個人情報を検索するページへ移動します。 このサイトで個人情報を調べる方法は、大きく分けて3つあります。 1. 都道府県と市区町村を入力し、苗字を入力し、検索ボタンを押す。 2. 都道府県と市区町村を入力し、苗字と名前を入力し、検索ボタンを押す。 3.
高木浩光@自宅の日記 - Bluetoothで山手線の乗降パターンを追跡してみた , ユビキタス社会の歩き方(6) Bluetoothの「デバイスの公開」「検出可能にする」..
■ Bluetoothで山手線の乗降パターンを追跡してみた この日記を書き始めてからもう6年になろうとしている。書き始めたきっかけは、RFIDタグのプライバシー問題が理解されないことに焦りを感じたからだった。当時の空気では、RFIDタグは5年後くらいに普及し、しだいにRFIDの埋め込まれた日用品で溢れかえるようになり、10年後くらいにプライバシー問題が顕在化すると目されていた。しかし、6年経った現在、私の靴にRFIDタグは埋め込まれていない。 当時の議論で描かれていたRFIDタグの問題は、無線LANやBluetoothにも共通することであり(MACアドレスがユニークIDとなる)、それらの方が先に普及するかもしれないという予感はあったが、現時点でも、無線LAN機器を持ち歩いている人はごく一部の人に限られている。しかし、Bluetoothはどうだろうか。これまでにも何度か、最近のBluetoo
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://livedocs.adobe.com/flex/3_jp/html/help.html?content=05B_Security_09.html