TP-Link製Bluetooth機器でMACアドレスが重複 「他社も同様」と説明 BUFFALO、IODATAは否定
MACアドレスが重複しているBluetoothレシーバーがあった――そんな投稿がTwitterで話題になった。投稿によると、中国ネットワーク機器メーカーのTP-Linkが販売するBluetoothレシーバーにおいて、原則同じものは存在しないはずのMACアドレスが重複しており、2台同時に使用できないという。事実関係をTP-Link日本法人に尋ねた。 話題になったのは同社のBluetoothアダプター「UB500」。PCのUSBポートに挿入することで、Bluetooth通信機能を付加する製品だ。TP-Linkによると、同製品でMACアドレスが共有されているのはミスではなく仕様という。MACアドレスはネットワーク機器に振り分けられる識別番号。原則として全ての機器に異なる番号が割り振られる。 複数の個体でMACアドレスが重複している理由についてTP-Linkは「ほとんどのユーザー環境でユーザー1人
高木浩光@自宅の日記 - かんたんログイン方式で漏洩事故が発生
■ かんたんログイン方式で漏洩事故が発生 ガラケーからiPhoneに乗り換えた人々が「ガラケーサイトが見れない!!」とご不満らしいという話は、聞いたことがあったし、そういう方々向けに「ガラケーサイトを閲覧できる」と謳うスマホ用の専用ソフトが提供されたというのも、どこかで見た記憶があった。 そんな10月9日の夜遅く、ある方から、「iPhone用のSBrowserというアプリで、クロネコヤマトのサイトを使ったら、知らない人の個人情報が出てきてびっくりした。どうしたらいいか」という相談が舞い込んできた。 早速、iTunes Appストアで「SBrowser」の商品説明ページを見に行ったところ、数々の雑言レビューが付いており(図1)、この種のアプリの需要とユーザ層が見えた。
WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
XSSはそのサイトを信頼している人が多いほど脅威になりうる - ぼくはまちちゃん!(Hatena)
はい! こんにちは! 今日は珍しくセキュリティについて一言です! タイトルにある通り、 XSSはそのサイトを信頼している人が多いほど脅威になりうる ってことなんだけど…。これだけだと、あたりまえっぽいよね。 まずXSS脆弱性ってなに? って人のために簡単に説明しちゃうと、これ サイトを作った人以外の人でも、好きなスクリプトを実行できちゃう状態 ってことなんだよね。 でもよく考えてみてほしい。 スクリプトが実行できる。へんなスクリプトが実行されちゃうかもしれないページ。 これって別に、「ふつうにスクリプトを許可されている、そこらへんのブログやホームページと同じ」じゃない? いや、微妙に違うかな。 違う点はひとつ。 スクリプトを埋め込めるのが「サイトの管理者オンリー」なのか「誰でも」なのかの違いがあるんだよね。 … じゃあ、「名もなきサイトの管理者」と「誰でも」の違いってなんだろう? なんだろ
aguse.jp: ウェブ調査
あやしいサイトや知らないサイトを訪れる前に、URLを入力するだけでサイト背景情報を調査したり、迷惑メールの送付経路を表示したりすることが出来ます。
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
最も危険なプログラミングエラーTop 25、2010年版 | スラド セキュリティ
昨年も取りまとめられていた「最も危険なプログラミングエラーTop 25」の2010年版が発表された(本家/.記事)。 2010年版で一番のエラーとされたのは、クロススクリプティングを引き起こし得る「ウェブサイトの設計不備」。その後にSQLインジェクションの原因となる「SQLクエリの保護不備」、バッファオーバーフローの原因となる「メモリバッファ境界チェックの不備」と続く。このTop 25のエラーは、最近中国で起きたGoogleへの大規模サイバー攻撃や、その他軍用システムから一般ユーザまでを対象とした大小様々なサイバー攻撃の多くで悪用されているとのこと。 今回のレポートでは、製品のセキュリティに対して開発者らが責任を負うよう消費者が声を挙げるべきであると推奨している。「開発チームのメンバー全員がセキュアプログラミング技術のトレーニングを適切に受けていることを確証する責任を負う」ようベンダーに求
Webアプリの入力検証不備──4つの実例とその対策
Webアプリケーションの入力検証に不備があると、セキュリティ上の深刻な弱点になる恐れがある。しかし、こうした不備は、得てして問題が起こるまで気付かれない。本稿では、わたしがWebアプリケーションのセキュリティ評価を行った際に見つかった入力検証の不備の例を幾つか紹介しよう。 ログインIDが含まれたURL これまでで最も興味深い入力検証の問題を見つけたのは、自分のさまざまな機密情報を保存していたWebサイトだった。ある日、そのサイトを眺めていて、自分専用のログインIDがURLに含まれていることに気付いた。これはWebサイトの最も基本的な、しかし危険な欠陥の1つだ。わたしは「彼らは分かっていないに違いない」と考えた。そこでサイトの管理者に電話で連絡を取り、問題を報告した。彼女は最初は平然としていた。彼女の態度が変わったのは、彼女がそのシステムの自分専用のIDをわたしに教えた後で、わたしが彼女の住
窓の杜 - 【REVIEW】“svchost.exe”とそれが管理するサービスを一覧「Svchost Process Analyzer」
「Svchost Process Analyzer」は、“svchost.exe”の詳細情報をリスト形式で閲覧できるソフト。64ビット版を含むWindows 2000/XP/Server 2003/Vista/Server 2008に対応するフリーソフトで、作者のWebサイトからダウンロードできる。なお、本ソフトの配布ファイルは圧縮されておらず、実行ファイルそのものとなっている。 “svchost.exe”とは、複数のWindowsサービスを一括管理している特別なプログラム。Windowsではサービスのグループごとに複数の“svchost.exe”が起動しているのが普通だが、どの“svchost.exe”がどのサービスを管理しているかを調査するのは面倒で、不審なサービスが起動していても気づかないことが多い。 そこで、本ソフトを使えば、“svchost.exe”とその管理するサービスを手軽に
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
