>> 某大手サイトの「4つのやりません宣言」 驚天動地の発表 某大手サイトが昨日「4つのやりません」を公言した。 このサイトでは第三者から攻撃を受けて下記のような事態が発生した。 ・サイトが改ざんされて、閲覧者にウイルスをばらまく状態になったのを知っていながら数日間放置 ・メールアドレスが多数漏洩 ・サイト閉鎖、システム入れ替えして再開 今回の事件に対して某大手サイトでは「4つのやりません宣言」を発表した。 ・過失は認めません ・サイトを見てウイルス感染した被害者へは補償しません ・サイトからメールアドレスを漏洩してしまった被害者へは補償しません ・原因については公表しません これは今回のことだけなく、将来に向けても同様のことを公言したようなものである。 ・第三者から攻撃を受けて問題がおきても自社の過失は認めません ・サイト利用者に被害が
Winnyなどのファイル交換ソフト(*1)を悪用したウイルスにより、組織からの個人情報や機密情報等の漏えいの事象が発生しております。 一度、インターネットに漏えいしてしまうと、その情報を回収することは技術的にほとんど不可能と言え、重大なトラブルに発展することになります。 下記にあげる対策のポイントを参照し、あらためて情報の扱いについて確認し、トラブルの発生を未然に防ぐよう対処してください。 *1:インターネットを利用して、不特定多数のユーザ間でファイルを交換できるソフトウェア。 1.ファイル交換ソフトの使用条件は決められていますか。 組織(委託先を含む)で業務に用いるパソコンにおいては、ファイル交換ソフトの使用条件を定めておくことが重要です。 パソコン内の情報が漏えいするリスクを考慮すると、重要情報が保存されているパソコンではファイル交換ソフトの使用は控えるべきです。 (1) 業務で必要と
Bắn cá đổi thưởng hiện là trò chơi được nhiều người yêu thích, thỏa mãn niềm đam mê giải trí và cá cược của game thủ. Game bắn cá liên tục được cải tiến và phát triển, mang lại chất lượng cao cùng các tính năng ưu việt. Khi tham gia, người chơi chắc chắn sẽ trải qua những giờ phút săn thưởng thú vị và hấp dẫn. Hãy khám phá và tận hưởng trải nghiệm săn thưởng đầy hứa hẹn này. TOP 10+ tựa game bắn c
■ Ken Thompson氏 古い話ですが、今日 Ken Thompson氏の有名なback door事件を知った(氏はUNIXを作った男の一人である)。backdoorとは、システムやプログラムの作者が、作者しか知りえない秘密の手順を組み込んでおき、あとでそのシステムへ侵入するための裏口を作っておくことである。広い意味で言えばゲームの裏技やアクションゲームの主人公の無限増殖などもこの類のものだろう。 氏は初期の(1970年代初頭の)UNIXシステムのlogin コマンドにバックドアを仕込んでおき、ログイン名ktと、とあるパスワードを入力すると、そのアカウントが存在しなくてもシステムに侵入できる仕掛けを入れておいた。しかもそれを氏が1984年に論文で発表するまで誰も見破れなかった。というのだ。 その恐るべき手法は次の通りである。もし login.c にバックドアを記述しておいたらすぐに見
■ PKIよくある勘違い(1)「オレオレ証明書でもSSLは正常に機能する」 「オレオレ証明書クイズ」なるものが実施されていたようだ。 (1) 案内文の前半にある「暗号化は正常に行われます」は正しいでしょうか。 設問が悪い。案の定、正常だと回答する人が現れ、模範解答を見て 「間違っていなかったようだ」などと言っている。 たとえば、 金庫の上にその鍵が置いてあります。この金庫は正常に機能しているでしょうか? と問うことのバカバカしさなら理解できるだろうか。あるいは、 共通鍵暗号による暗号化通信をしています。鍵は一緒に配送します*1。この暗号は正常に機能しているでしょうか? ならどうか。暗号そのものは作動しているだろうが、それを言ったところで何 か意味があるのか? つまり、プロトコル全体として正常に機能しているかが 問われている文脈において、個々の暗号アルゴリズムが作動しているかどうか を云々す
用語「HTTP Response Splitting」についてHTTP Response Splitting (えいちてぃーてぃーぴーれすぽんすすぷりってぃんぐ)話題 : セキュリティ 日本語にすると「HTTP 応答分割攻撃」といったところでしょうか (IPA 的には「HTTP レスポンス分割」みたいです)。簡単に言うと、HTTP応答ヘッダに CR+LF やら Content-Length: 0 やらをインジェクションして、ひとつの HTTP 応答が二つの HTTP 応答であるように仕立てる攻撃です。 以下のような感じの応答を捏造します。 HTTP/1.1 302 Found Conetnt-Type: text/html Location: http://example.com Content-Length: 0 HTTP/1.1 200 OK Conetnt-Type: text/ht
インターネットを介して情報を安全に送るには、情報の完全性を保証するX.509セキュリティ証明書が必要だ。証明書は商用認証機関から購入するが、通常、そのコストはかなり高い。そうした状況の中、コミュニティが主導するフリーの認証機関CAcertが登場した。 セキュリティ証明書は、アプリケーションに情報を送るソフトウェア――ウェブ・サーバや電子メール・スイートなど――が利用するディジタル・ファイルである。他のセキュリティ関連製品同様、証明書には、その正当性を保証する認証機関、すなわち信頼できる第三者が必要だ。しかし、最近まで、認証機関は商業ベースのものしかなかった。 いくつかの大手認証機関の証明書は価格が高止まりしており、有効期間1年の証明書で800米ドルを超えるものがある。この並外れた高価格は、賠償責任保証や監査などの付加価値サービスに影響を与えているほどだ。しかし、誰もがこのレベルのサービス
koshian 曰く、 "セキュリティホールmemo MLで知ったのですが、スマトラ沖地震救援支援の寄付をしようとテキストブラウザ「Lynx」でウェブサイトにアクセスしたイギリスの男性が、なぜか逮捕されたようです。boingboingの記事ではその理由を「nonstandardなブラウザを使ったため」と書いています。BBCの記事では「'hacking'された」とまで書いてあります。この文脈では不正アクセスということでしょうか。 Lynxは今となってはマイナーなブラウザであることは確かでしょうが、視覚障害を持つ方がウェブを閲覧するのに使用していたりもするブラウザです。それを使ったが為に不正アクセス呼ばわりされ、あまつさえ逮捕されてしまう。こんなことが本当にあるのでしょうか。本当だとしたら、我々はこのことをどう考えたらいいのでしょうか。" 本家でもストーリー(Man Reportedly Ja
http://d.hatena.ne.jp/nelbone/20050122 http://d.hatena.ne.jp/nelbone/20050123 http://d.hatena.ne.jp/nelbone/20050124 http://d.hatena.ne.jp/nelbone/20050125 銀行ってこういう感じの応対すること多いよねー。あまり客を客とも思っていない側面が時々出てくるっていうか。 上記の放浪社長日記(笑)で触れられているキャンペーンはこちら。 http://www.ebank.co.jp/use_play/use_play_03.html http://www.ebank.co.jp/p_layer/campaign/mailmoney/top.html 良い味出してますよねー(笑)。 追記:後始末メールが来たみたい。 イーバンクさんはあくまで慇懃無礼です
アップロードファイルの選択 「ドラッグ&ドロップ」で点線の枠内に直接ファイルをドロップするか、「参照してファイルを選ぶ」より、アップロードファイルを選択してください。 ※アップロードできるファイルの容量は、ライトプラン:2GB、フリープラン:5GB、ビジネスプラン:容量無制限となります。 ※フォルダ単位でのアップロードは、枠内に直接ドロップしてください。 ビジネスプランに関する情報はこちら 有効期限の設定 アップロードしたファイルのダウンロードが可能な期間になります。 有効期限を過ぎたファイルは自動削除されますのでご注意ください。 セキュリティ便の利用有無 セキュリティ便を利用したファイル送信を希望するお客様は、チェックボックスにチェックを入れてください。 セキュリティ便についての詳細はこちら ダウンロードパスワードの設定について アップロードされたファイルのダウンロード時に、パスワードを
用語「OSコマンドインジェクション」についてOSコマンドインジェクション (おーえすこまんどいんじぇくしょん)話題 : セキュリティ 外部から任意の OS コマンドを実行することです。また、それが可能になっている状態のことを指すこともあります。 何らかの事情で、ユーザの入力がそのままシェルにコマンドとして渡せるようになっているとこのような事態が発生します。たとえば、以下のような Perl スクリプトによる CGI には OS コマンドインジェクションの危険性があります。 use CGI; my $cgi = new CGI; my $filename = $cgi->param('filename'); open(IN, "$filename.txt"); print qq{Content-Type: text/plain\n\n}; while(<IN>){ print; } exit;
Microsoftが来週、月例のパッチリリースを行う計画だ。そのなかには、Windowsの脆弱性を修正する9本のパッチも含まれる。 Microsoftは米国時間3日、TechNetサイトにこの情報を掲載した。それによると、リリース予定のWindowsパッチのうち少なくとも1本は、同社の定義上、最も深刻度が高いとされる「緊急」レベルに分類されるという。同社は、PCユーザーの注意を喚起する目的で、月例パッチのリリースに先立って、このような予告を行っている。 Microsoftによると、今回リリースされるパッチの数は合計13本で、そのうち2本が緊急レベルの問題に対処するものだという。緊急レベルに分類されたパッチのうち1本は、OfficeとVisual Studioに関連する脆弱性を修正するもので、もう1本はWindows、Windows Media Player、MSN Messengerに関す
■ 政策の専門家達は問題の本質「欠陥の排除」からなぜ目を背けるのか ゴルフ場を舞台にしたカード偽造事件は「今の情報セキュリティの問題の象徴」, ITmedia, 2005年2月4日 という記事が出ているが、またもや問題の本質から目が背けられている。 RSA Conference Japanの実行委員長を務める安延申氏は、「経営の問題として 情報セキュリティを考える必要がある」と指摘する。 (略)安延氏は、こうした傾向を象徴するのが、1月に発覚したゴルフ場にお けるスキミング(カード偽造)事件だと述べた。この事件では、本来ならば利 用客を守るべき立場にあるゴルフ場の支配人自ら犯行グループに加担し、貴重 品ロッカーのマスターキーを渡していた。 ゴルフ場を舞台にしたカード偽造事件は「今の情報セキュリティの問題の象徴」, ITmedia, 2005年2月4日 この事件で注目すべきは次の点だろう。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く