https://jp.techcrunch.com/2010/12/22/20101221hackers-embed-spam-into-google-search-listings-for-unsuspecting-sites/
Kazuho@Cybozu Labs: XSSに強いウェブサイトを作る – テンプレートエンジンの選定基準とスニペットの生成手法 (第1回神泉セキュリティ勉強会発表資料)
発表資料は以下のとおり。春山様はじめECナビの皆様、ありがとうございました。 XSSに強いウェブサイトを作る – テンプレートエンジンの選定基準とスニペットの生成手法View more presentations from kazuho.
Firefoxに未修正の脆弱性、ノーベル賞サイトで悪用見つかる
Firefoxでノーベル平和賞のWebサイトを閲覧したユーザーは、知らないうちにマルウェアに感染した可能性があるという。 ノルウェーのセキュリティ企業Normanは10月26日、MozillaのWebブラウザFirefoxの未知の脆弱性を突くマルウェアが、ノーベル平和賞のサイトに感染しているのを見つけたと発表した。 ノーベル平和賞サイトの感染は、Normanの研究者が26日に発見したという。マルウェアはFirefox 3.5と3.6の脆弱性を悪用した新手のトロイの木馬で、これらのWebブラウザで同サイトを閲覧した場合、知らないうちに感染した可能性があるとしている。 このトロイの木馬は台湾にあるサーバに接続を試み、接続に成功すると攻撃者が感染先のコンピュータにアクセスできる状態になってしまう。ほかのWebサイトにも感染している可能性があるとNormanは警告している。 SANS Intern
偽セキュリティソフト「Security Tool」感染爆発、原因はマイクロアドの広告配信サーバへの攻撃
9月24日(金)の21時半頃から9月25日(土)0時27分にかけてGIGAZINE・毎日jp・Impress・Slashdot・価格.com・食べログ・みんなの株式・みんカラ・J-CASTなど多数のサイトのページを見た一部ユーザーが偽セキュリティソフト「Security Tool」に感染している可能性が明らかになりました。原因はページ内に表示していたマイクロアド社の広告が原因、この広告を配信していた多数のサイトでも同様の被害が発生していたとのことです。 GIGAZINEでは即座に原因を特定したため、マイクロアドの広告を非表示にし、今も念のため非表示処理を続行しています。もう少し早くこちらで特定できればもっと早くに非表示にして被害を抑えることができたのですが、これが限界でした、非常に申し訳ないです。 現時点までで明らかになった経緯まとめと「Security Tool」の駆除方法などは以下から
文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2010年9月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPカンファレンス2010にて「文字コードに起因する脆弱性とその対策」というタイトルで喋らせていただきました。プレゼンテーション資料をPDF形式とslideshare.netで公開しています。 文字コードのセキュリティというと、ややこしいイメージが強くて、スピーカーの前夜祭でも「聴衆の半分は置いてきぼりになるかもね」みたいな話をしていたのですが、意外にも「分かりやすかった」等の好意的な反応をtwitter等でいただき、驚くと共に喜んでいます。土曜にPHPカンファレンスに来られるような方は意識が高いというの
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について
昨日の Twitter の XSS 騒ぎは、まだ皆さんの記憶に新しいことと思います。いい機会なので、ツイートのような構造化テキストのエスケープ手法について触れておきたいと思います。 Twitter のメッセージは、単なる平文(プレインテキスト)ではなく、「@英数字」のような他のユーザーへの言及と「http://〜」のような URL を自動的にハイパーリンク化する構造化テキストです。 このような複数のルールをもつ構造化テキストを HTML 化する際には、どのようなコードを書けばいいのでしょう? まず「@〜」をリンク化してから、URL をリンク化すればいいのでしょうか? それだと、@〜 のをリンク化した A HREF タグの中の URL がさらにリンク化されていまいますね。 では、URL をリンク化してから @〜 をリンク化すればいいのでしょうか? それだと、@ を含む URL があった場合に
セキュリティを高めた「仮想化Firefox」を無償配布、デル
米デルは、アプリケーション仮想化技術によってセキュリティ性能を高めたWebブラウザ「Dell KACE Secure Browser」(以下、Secure Browser)の無償配布を開始したと発表しました。対応OSは、Windows XP/Vista/7の32ビット版。 Secure BrowserはFirefox 3.6をベースとし、アプリケーション仮想化によって実行環境をOSから隔離することで、Webブラウザ経由でOSやほかのアプリケーションがマルウェアなどに感染するのを防ぎます。 またブラウザのファイルや設定などが書き換えられた場合でも、すぐに元に戻せる機能、特定のサイトのみアクセスを許可するホワイトリスト機能や、特定のサイトへのアクセスをブロックするブラックリスト機能なども備えています。 Secure Browserの設定画面。全体はアプリケーション仮想化を示すウィンドウ内で動作
yebo blog: DELL、サーバのマザーボードにマルウェアが感染している事を警告
2010/07/22 DELL、サーバのマザーボードにマルウェアが感染している事を警告 Registerによれば、DELLが出荷済みのPowerEdge R310、R410、R510、T410 というサーバのマザーボードに組み込まれている Embedded system mangement ソフトウェアの中にマルウェア (W32.Spybot worm) が感染している事を警告している。DELLがシステムの検査中に混入したものらしい。サーバ上のシステムが非Windows、iDRAC ExpressあるいはiDRAC Enterpriseカードがインストールされているシステムは影響しない。いやはやお粗末な事で。 投稿者 zubora 投稿時間 05:35 ラベル: Computer, Security 0 コメント: コメントを投稿
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IDEA * IDEA
VIPPERな俺 : mixiメールアドレス検索がヤバイ件
https://jp.techcrunch.com/2010/11/21/20101120whoa-google-thats-a-pretty-big-security-hole/
https://jp.techcrunch.com/2010/11/09/20101108firesheep-blacksheep/
「Panda Cloud Antivirus 1.3」公開、無料版でも広告非表示に 
Engadget | Technology News & Reviews
https://jp.techcrunch.com/2010/10/26/20101025firesheep/
https://jp.techcrunch.com/2010/10/26/20101024firesheep-in-wolves-clothing-app-lets-you-hack-into-twitter-facebook-accounts-easily/
YOMIURI ONLINEに掲載された「iPhoneで人の情報丸見え」記事について、当事者から。
https://jp.techcrunch.com/2010/10/11/20101010being-eric-schmidt-on-facebook/
Engadget | Technology News & Reviews
