高木浩光@自宅の日記 - 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない
■ 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない 「ぼくはまちちゃん」 ――知られざるCSRF攻撃, 上野宣, @IT, 2005月4月27日初版、2006年11月8日修正版 ●リファラーで発信元をチェック HTTPリクエストを受けたとき、そのリクエストがどこのWebページから発行されたものかを示すリファラー(REFERER)と呼ばれる情報を得ることができる。この情報を活用し、本来意図したWebページ以外からのリクエストを拒否することで、CSRFによる外部からのリクエストを防ぐことができる。 ただし、ユーザーがリファラー情報を出力しないブラウザを使っている場合、このチェックを導入すると正当な操作でも受け付けなくなってしまう。 懸念されるリファラー情報偽装に対する問題だが、以前はリファラー情報を発行するのは攻撃を踏んでしまった自分自身なので、リファラー情報を偽装する動機がなく
イランからGoogleへのSSL通信が傍受されていた疑い。CAから発行された偽証明書が原因:Geekなぺーじ
多くのユーザがSSL通信(https)の中身を傍受されていた可能性があるようです。 今回、この問題が報告されたのはイラン国内からのGoogleへの通信を行った場合です。 約2ヶ月間にわたってイラン国内からのSSL通信で、検索結果、Gmailに含まれるメールの中身、その他情報が傍受されていたかも知れません。 EFF: Iranian Man-in-the-Middle Attack Against Google Demonstrates Dangerous Weakness of Certificate Authorities Google Online Security Blog: An update on attempted man-in-the-middle attacks 傍受の手法 本来、暗号化されたSSL通信の傍受は困難です。 今回利用された方法はMan-In-The-Middl
フィッシング詐欺サイト情報
ClamAVでEmail.Phishing.Bank-63と検知されています。ゾンビPC詐欺サイトです。 URLは以下 ttp://commercial.wachovia.online.financial.service.onlineupdate.QG4TGcD97seyqNP.sitesurvey.ptcontrol.ioejnvi.com/support.html?/sessionervlet/siteminderagent/OSL.htm?LOB=1224903340&refer=4TGcD97seyqNP1W 午後の部 ttp://commercial.wachovia.online.financial.service.privatelogin.7mJAvNR6ht1fzGg.carehtmlclient.privatelogin.kilegre.com/support.html
フィッシング詐欺が再喚起するHTMLメールの危険性 | 大和総研
「HTMLメールを使うな」「Outlook Express 等のマイクロソフト製メールソフトを使うな」という言説を聞いた経験は、ネット利用者なら一度や二度ではないだろう。 マイクロソフト製メールソフトから送信されるHTMLメールが出回り始めた当初は、HTMLメールに対応していないメールソフトへの配慮の無さや、ファイルサイズの増大が問題視された。当時普及していた他社製メールソフトにおいて、HTMLメールの内容をまともに読めない状況が続出した。後発メールソフトがばら撒くそのような混乱が、まずは問題となった。また、当時は通信速度が遅い時間課金制のダイアルアップ接続が主流であったため、ファイルサイズの増大も問題となった。これはパケット従量課金制の携帯メールにも共通する問題である。 次に、HTMLメールと聞いて多くの人が連想する、ウィルスメールの流行が始まった。HTMLメールを表示するために使用する
高木浩光@自宅の日記 - エンドユーザにできるフィッシング対策, 銀行の深夜営業ATMの入り口ドアにあるカード読取機に注意, デジタルコアの合宿討論会に..
■ エンドユーザにできるフィッシング対策 フィッシング詐欺の被害に遭わないため、エンドユーザが本来習得しておくべきWebの基礎リテラシーは、次の行動をとることである。 重要な情報を入力する直前に アドレスバーに表示されているURLのドメイン名が、自分が記憶している本物サイトのドメイン名に一致しているかを確認する。 SSLによる暗号通信がサポートされているサイトならば、ステータスバーにある錠アイコンをクリックしてサーバ証明書を表示し、本物サイトの運営者の英文組織名が書かれていることを確認する。 サイトを訪れる前に いかなるメールであっても(本物サイトが発行するメールマガジンやニュースリリースに見えるメールであっても)そこに記載されたURLを信用せず、ジャンプしない。 本物だと知っているURLをアドレスバーに手入力してアクセスし、ブックマークに登録し、それ以降はブックマークで当該サイトを訪れる
パスワード認証を回避してWindowsにログインする方法 - うさぎ文学日記
目の前にPCがあるのに、パスワードがわからずログインできないという状況ありますよね。合法的な状況なのであれば、パスワードなしでログインする方法を試してみてはいかがでしょうか。 今日現在、最新状態のWindows7で実行可能です。当たり前ですが、自分に権限のないPCなどで試さないようにして下さいね。 方法は以下の通り簡単です。 Ubuntuなどでブートして、Windowsドライブをマウント C:\Windows\System32以下の「Utilman.exe」を「Utilman.old」にリネーム C:\Windows\System32以下の「cmd.exe」を「Utilman.exe」にコピー 再起動して、Windowsの起動画面で「Windowsキー + U」でコマンドプロンプトが起動 あとは、「explorer.exe」などを実行することもできます。 実験 Ubuntu(ここではBac
Mac用マルウェア『MAC Defender』 | WIRED VISION
前の記事 Amazon社、新タブレット2機種を準備中? 意見共有で「集団の知恵」が低下:研究結果 次の記事 Mac用マルウェア『MAC Defender』 2011年5月18日 IT コメント: トラックバック (0) フィードIT Chris Foresman Image:Intego セキュリティ企業米Intego社は5月2日(米国時間)、偽物のMac OS X用ウイルス対策ソフトが頻繁に発見されていると発表した。 この偽のウイルス対策ソフトは『MAC Defender』[「MACを守る者」の意味]と名乗っているが、おそらくこれが、このソフトを信用してはならないという最初の暗示になるだろう(米Apple社が製造しているのは「Mac」であり、「MAC」ではない)。 このマルウェアの作成者は、SEOポイズニングを行ない、『Google』などの検索エンジンで、このソフトへのリンクが検索結果の
自宅作業時のセキュリティを考える
自宅作業時のセキュリティを考える:セキュリティ、そろそろ本音で語らないか(19)(1/2 ページ) 計画停電の影響で、多くの企業が出社制限や自宅待機を行っています。急な自宅作業を余儀なくされたこんなとき、セキュリティ対策はどのようにあるべきなのか、考えてみましょう(編集部) 計画停電で避けては通れない自宅作業 ご存じのように計画停電によって大きな社会的な影響が生じています。しかも、この計画停電はいつまで続くのか、先が見えない状況といえるでしょう。大急ぎで火力発電所などを復旧したとしても、今度は夏の大需要期がやってきます。そのときの供給計画は明らかにされていません。 まして、これから復旧フェイズに入っていくためには、現在以上の電力が必要になります。従って、計画停電や節電はこれからも長く続く、と覚悟した方がいいでしょう。数カ月、あるいは1年以上この状態が続くかもしれません。火力発電所も周波数変
間違いだらけの「かんたんログイン」実装法
今回は、そのかんたんログインの問題点について説明します。 「契約者固有ID」を用いるかんたんログイン かんたんログインとは、携帯電話の「契約者固有ID」を用いたログイン手法です。 第1回で説明したように、携帯電話のブラウザのリクエストヘッダには契約者固有IDと呼ばれるIDを付けることができます。契約者固有IDは、携帯電話事業者によって詳細は異なりますが、すべての携帯電話事業者が対応しています。 図1は、NTTドコモの携帯電話がサポートしている契約者固有IDである「iモードID」がサーバに送信される様子です。この情報は、ユーザーがそれと意識することなく送信されます。携帯電話のかんたんログインとは、契約者固有IDのみを用いて認証を行い、ログイン機能を実現することです。 かんたんログインは、ベーシック認証のようにIDとパスワードを管理する必要もなく、Cookieのように対応する端末を考慮する手間
ペニーオークションのセキュリティを斬る
あくまで私個人あてのスパムメールが対象ですが、「ペニーオークション」という文字列を含むスパムは、2010年10月から以下のように増加していました。 このように、ペニーオークションに関係するスパムが徐々に増えてきています。今回はこのペニーオークションについて、セキュリティ的な側面から考察してみます。 「入札するたびに手数料」というビジネスモデルの問題 ペニーオークションとは、通常のオークションとは違い、落札価格が非常に低く設定されている(といわれている)代わりに、入札するたびに手数料(だいたい70円前後)が必要なオークションです。詳細については以下を参照してください。 ペニーオークションは昨年から急に盛り上がってきたようです。日本語のペニーオークションサイトも20以上あることがすぐに確認できました。 まず、全体のユーザー数の割にサイト数が多いため、1サイトの平均ユーザー数が少ないであろうこと
iPhoneのJailbreakの危険性に関してひと言
iPhoneをハックして、Appleが認めている以上のカスタマイズを可能にしたり、Apple公認のApp Store以外からのソフトをインストール可能にしたり、することをJailbreak(=脱獄)と言うのだが、PhotoShareでの会話とかを見ていると、その危険性をちゃんと理解せずにJailbreakしている人たちがたくさんいるようなので、ひとこと警告しておく。 まず最初に考慮しておくべきことは、iPhoneはNintendo DSやSony PSPと違い、携帯電話でありメールマシンであり、インターネットマシンであり、住所録やらメールやらウェブサイトのパスワードなどの個人情報を思いっきりやりとりする、ある意味パソコン以上にプライバシー管理が大切なマシンであること。当然、ウィルスに感染したり、セキュリティホールからハッカーに情報を盗まれたりしないようにすることがものすごく大切。 パソコン
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
