もっとも危ないプログラミングエラー25、+16 | エンタープライズ | マイコミジャーナル
CWE is a Software Assurance strategic initiative sponsored by the National Cyber Security Division of the U.S. Department of Homeland Security. CWE - 2010 CWE/SANS Top 25 Most Dangerous Programming Errorsにおいて脆弱性の原因となる危険なプログラミングエラー25が発表された。開発者にセキュリティ問題の原因となるプログラミングに関する注意を促し、実際にソフトウェアが動作する前の段階で問題を発見し対処できるようにすることを目指したもの。2009年に発表されたリストの更新版にあたり、内容の多くが更新されている。2009年版を使っていた場合には、今回発表された2010年版を再度検討する価値がある。
FTP の危険性に関して超簡単まとめ
今日話題になった Gumblar の亜種によって FFFTP の設定情報から FTP 情報が漏れる件で、FTP 自体の危険性と FFFTP 自体の特性、さらに Gumblar 対策という点で少し情報が混乱している状況が見受けられます。そこでその点を簡単にまとめてみました。 去年あたりから、「Gumblar (ガンブラー)」 に代表されるような、FTP のアカウント情報を何らかの手段で盗み出して Web サーバにアクセスし、Web サイトを改竄して被害を広めていくタイプのウィルスが問題になっていますが、今日になって広く利用されているフリーの FTP クライアントである 「FFFTP」 にアカウント情報漏洩の危険性が見つかったということで話題になっていました。 「FFFTP」のパスワードが"Gumblar"ウイルスにより抜き取られる問題が発生 : 窓の杜 ただ、この問題で、FTP 自体の危険性
はてなのCAPTCHAを破るプログラムは30分で書ける - やねうらおブログ(移転しました)
CAPTCHAとは、スパムコメントなどを防止するための認証画像のことである。 それにしても、はてなのCAPTCHAはひどい。無いよりマシという考え方もあるのでそれについてはあまり議論する気は無いのだが、それにしてもこれを破るプログラムは30分あれば十分書ける。 具体的には、はてなのCAPTCHAには8つの好ましくない特徴と、2つの脆弱性がある。 ■ 8つの好ましくない特徴 ・画像自体のサイズが小さすぎる。→ こんなに小さいと探索量(計算量)が小さくて済む。 ・フォントにゆがみがない → フォントはある程度変形させたほうが良い。変形させてあるとテンプレートマッチングがしにくくなる。 ・フォントが固定。→ フォントは毎回変えたほうが良い。 ・フォントを回転させていない → フォントは文字ごとにある程度ランダムに回転させた方が良い。 ・フォントサイズが一定 → フォントサイズは文字ごとにある程度
OpenID.ne.jp - OpenIDを使って10000サイト以上にたった1つのIDで入れます。あなたもOpenIDを作成しませんか?
最も安い引越し業者を探す方法は簡単です! それは、引越し業者に1社ずつ見積もりを取ってもらい、比較すること。 しかし、 1社1社、見積もりを依頼するのは非効率で、 時間も労力もかかってしまいます。 そこで、おすすめなのが、 引越し業者一括見積もりサービス ご自身の荷物量と住所や引越し時期など、 概要を一度入力するだけで、 複数の引越し業者に対して見積もりを依頼することができます! 一回の手間で見積り依頼が可能なので、 労力がかからない、時短!お役立ちサイトを使って、 賢く引越し業者を比較しましょう。 さらに、引越し業者一括見積もりサービスだと、 料金を比較される、ということを引っ越し業者も分かっているので、 通常の見積もりよりも安く提示してくれることが多いです。 安く引っ越したいなら、引越し業者一括見積もりサービスをフル活用しましょう。 引越し業者一括見積もりサービスおすすめ5社 サイトに
FBIが令状によりデータセンターを押収、巻き添えの顧客は大損害
CBS 11 Newsの報道によると、4月2日の午前6時、米国テキサス州のデータセンター企業Core IP Networks LLCはFBIに予告なしに急襲され、全データセンターのシャットダウンを命令されました。その後、機材すべてが令状によって押収。社長宅にも同時に15台のパトカーとSWATチームが急襲したとのことです。 これによって、同社の顧客約50社が電子メールやデータベースへのアクセスを失い、また通信企業も顧客だったため緊急通報電話911が一部つながらなくなるという被害が発生。 FBIは押収した理由について、同社から過去にサービスを購入したことのある企業を調査するため、としているそうです。 同社の社長はこの件についての顧客向けの書簡をGoogle Site上で公開しており、「私もしくはCore IPはいかなる違法な活動にも関与していません」と説明した上で次のように警告しています。 I
アップル、「iPhone」のSMS脆弱性を修正へ--IDG News Service報道 : CNETニュース : ニュース : ネット&デジタル : YOMIURI ONLINE(読売新聞)
セキュリティ研究者が米国時間7月2日に語ったところによると、Appleは7月後半までに、攻撃者にSMSを通じてリモートからのデバイス制御を可能にする「iPhone」の脆弱性を修正する見込みであるという。 IDG News Serviceの報道によると、The Mac Hacker's Handbookの共著者でIndependent Security Evaluatorsの主任セキュリティアナリストであるCharlie Miller氏が、シンガポールで行われたSyScanコンファレンスのプレゼンテーションで、攻撃者はiPhoneがショートメッセージサービス(SMS)メッセージを扱う方法の脆弱性を悪用し、GPSを使用してiPhoneの場所を追跡する、マイクロフォンをオンにして盗聴する、デバイスの制御を奪いボットネットに追加するなどを行う可能性があると語った。 Miller氏は、Apple
パスワード入力の「****」は不要? 研究者の間で激しい論議
入力したパスワードは「****」で隠さずに、はっきり見えるようにした方がいいのではないか。そんな提案をめぐり研究者が賛否両論を展開している。 Webサイトなどでパスワードを入力する際、「****」を使って入力した文字が見えないようにする必要はないのではないか――。そんな提案をめぐり、研究者が賛否両論を展開している。 最初に問題を提起したのはWebユーザビリティ研究の第一人者ヤコブ・ニールセン氏。「パスワードを入力する際、画面に“****”としか表示されないのはユーザビリティ上問題がある。一般的に、パスワードを隠してもセキュリティは向上しない。それどころかログインに失敗してコストがかさむ」と指摘し、入力したパスワードの文字がはっきり見えるようにした方がいいと提言した。 著名なセキュリティ研究者のブルース・シュナイアー氏も、ブログでニールセン氏の意見に賛同を表明。「パスワードの文字を表示すれば
パスワードによるユーザー認証【後編】:ITpro
前編では,パスワードを“使い捨て”にする「ワンタイム・パスワード」(one time password)システムが,不正アクセス対策として有効なことを説明した。ある時点でのパスワードが流出したとしても,後の不正アクセスには使えないためだ。 ワンタイム・パスワードを使うには,小型のトークンと呼ぶパスワード生成器を用いるのが一般的である。ただ,携帯電話を端末としたリモート・アクセス・システムの場合,携帯電話に加えて認証用のトークンも持ち歩くのでは利便性が大きく損なわれる。今回は,トークンを使わないワンタイム・パスワード方式について見ていく。 乱数表から決まった“パターン”で 数字を選ぶ「マトリックス認証」 ワンタイム・パスワードの基本的な考え方を維持したまま,トークンを使わずに済ませる方法の一つとして登場したのが,「マトリックス認証」と呼ばれるシステムである。認証時に数字でできた乱数表(マト
ページを開いただけで感染するGumblar(ガンブラー)感染対策!駆除方法 – GENOウイルス(ジェノウイルス・ゲノウイルス)対策方法 - EC studio 社長ブログ
ウェブページを開いただけで感染するGumblar(ガンブラー)、 GENOウイルス(ジェノウイルス・ゲノウイルス)が猛威を振るっています。 ※この記事では感染対策と、感染したPCのウイルス駆除方法について解説します。 Yahoo!、JR、ホンダ、ローソン、京王電鉄、小林製薬など大手企業も次々に感染しています! 感染力が強い上に、与える被害も大きく本当に危険です・・・ 社内の全パソコンはもちろん、自宅のパソコンもきっちり対策しておきましょう!(所要時間5分) このウイルスはAdobe Reader (PDF)やFlash Playerの脆弱性をついて感染します。 感染すると ・PC動作が重くなる ・個人情報の漏洩 ・FTPアカウントが乗っ取られサイトが改竄される ※サイトが改竄されると御社のサイトがウイルスをばらまくことになります。 下記対策を行うとGumblar(ガンブラー)、GENOウイ
Googleにもアクセス拒否され、スパム送信源と化した「libwww-perl」とは?
スパム対策をして気がついたのですが、どうやらスパムトラックバックを送信してくるリモートホスト(IPアドレスなど)はバラバラであっても、ユーザーエージェント、いわゆるブラウザの名称部分に「libwww-perl/5.805」というように「libwww-perl」と入っているものが多く、結果として、Googleなどは検索結果ページに対してこのユーザーエージェント名の一部「libwww」が含まれているとアクセス拒否しているようです。 ネット上で調べてみると、かなり多くの人が「libwww-perlはスパム送信ボットだ」と思っているらしいので、その正体を探ってみます。実際にはスパム送信のためのものではないです。どんなものでも悪用されると悲劇が起きるという例になってしまっています。 詳細は以下の通り。 まず最初に、「libwww-perl」がスパム発生器と化している状況は検索すれば国内や海外含めて山
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PCをサンドボックス化、再起動ですべてを“なかったこと”にできる「Returnil」NOT SUPPORTED
SECUREMATRIX | 取扱製品 | ネットワールド
PC
PC