コメントからの情報だが、Friio社の発表によれば、10月25日に発売する新バージョンではB-CASカードなしでコピー制御を外すことができるようになるという。現在でも「ダウンロード」で新しいソフトウェア（ベータ版）を入手し、制御方式を「ネットワーク」とすると、普通のテレビ番組が見えるという報告がある（未確認）。 これはおそらく国外にある（B-CASカードを入れた）サーバに地デジの放送信号を転送し、そのサーバでB-CASのスクランブル(MULTI2)を復号化して（コピー制御フラグのついた）MPEG2-TSにしてインターネットで送信しているものと思われる(*)。これはB-CAS社との契約には違反するが、サーバが国外にあれば差し止めは不可能だ。 この信号をFriioで受信してコピー制御フラグを無視すれば、コピーフリーになる。フラグを無視することは違法ではないので、この復号化サーバのIPアドレ

Gmailユーザーは今すぐSSL接続にしましょう！ハッキングされる前に！ 管理人 @ 8月 20日 10:44pm Gmail（Gメール） 便利なGmailですが、SSL接続(https)で接続しないと簡単にハッキングされてしまうらしいです。 Webmonkey（英語）によると、Gmail Account Hacking Tool （Gmailアカウントハッキングツール）という物がリリースされているとのことです。（追記：詳しくはこちら→スラッシュドット・ジャパン | GmailのセッションIDを自動的に盗むツールが登場） 重要な記録も最近はメールで送ることが多いです。この記事を見た人は今すぐhttps接続に変更しましょう！ 実はGmailはひっそりとhttps接続機能を追加しているのです。 https接続への変更方法は次の通りです。 Gmail画面右上の「設定」をクリック 表示される「全般

》 「ストリートビュー」はどこが問題か、MIAUシンポジウムで議論 (Internet Watch, 8/28) 関連: Googleストリートビューの応用例 (悪徳商法？マニアックス ココログ支店, 8/29) 要は、Googleはあらゆる広告の効率を高めたい、すなわち「リアルの広告スペース」もAdwords/Adsenseで管理したいと思っているのだろうから、ストリートビューは単なる副産物だろう。副産物であっても公開しておけば、「自動販売機の設置スペースを自動で探せます」とか良く分からない応用例を実現する人も出てくるのが期待できる。「ストリートビューで、何をやりたいのか分からない」と言う人が多いみたいだけど、もしも「副産物」なのだとしたら分かるはずもない。 まあ、仮想ネットショップを実現しようとしている可能性もある（実際の店の画像をクリックすると、店のウェブサイトに飛ぶ）けど、そんな「

The big security news of Summer 2008 has been Dan Kaminsky's discovery of a serious vulnerability in DNS. This vulnerability could allow an attacker to redirect network clients to alternate servers of his own choosing, presumably for ill ends. This all led to a mad dash to patch DNS servers worldwide, and though there have been many writeups of just how the vulnerability manifests itself, we felt

2008/08/07 2006年以降、「標的型攻撃」の危険性が指摘されるようになった。無差別に大量のメールやウイルスをばらまくのではなく、特定の組織に属する個人を狙い、カスタマイズされた攻撃を仕掛けるものだ。送信先（＝ターゲット）に応じてメールの文面などが工夫されるため、大量配信型の攻撃に比べ、対策が難しいとされる。 JPCERTコーディネーションセンター（JPCERT/CC）によると、2006年以降、国内でも多数の標的型攻撃、中でも凝った文面で悪意あるメールを送り付け、添付ファイルを実行させようとする「標的型メール攻撃」が多数確認されているという。それも、警察庁や防衛庁など、政府機関を狙うケースが多い。こうした標的型メール攻撃では、PDFやMicrosoft Office、一太郎といった「オフィス」で利用されるアプリケーションの脆弱性を悪用するファイルが添付されている。 JPCERT/C

■ 日本の家屋の塀はグーグル社に適応して70センチ伸びるのか 前回の日記に傍聴録を記したように、その研究会では図らずもグーグル社の考え方を聞くことができた。そのタイミングから、Googleマップの「ストリートビュー」について述べられたものと解釈している人がいるようだが、このご発言は、携帯電話や固定通信網における個人識別子の扱いに関連する議論の文脈において出たものである。 さて、Googleマップの「ストリートビュー」だが、日本でも開始されたと知って早速いろいろなところを見てみたところ、それは予期していたのとは違うものになっていた。車一台スレスレ通れるか通れないかのような細い道にまで撮影車が積極的に入り込んでおり、特に予想外なことに、住宅密集地で、高い視点から塀の中を見下ろして撮影している。 これは通常の通行人の目線で見える風景との違いを比べる必要があると思った。そこで、現地を訪れて実際の塀

DNSの危機に対応を! 〜キャッシュ毒入れ新手法 Kaminsky Poisoning 〜(8/28 脅威についての説明追記) 2008年7月、セキュリティ技術者 Dan Kaminsky 氏が考案したDNSに対する新たな攻撃手法が明らかになり、8月6日、Kaminsky氏による発表がセキュリティ関連の国際会議 Black Hatで行われました。 これはDNSキャッシュサーバに偽の情報を注入（毒入れ/Poisoning）するものです。DNSは原理的にキャッシュへの毒入れ脆弱性を持ち合わせており、特に脆弱な実装のDNSサーバソフトウェアでは過去に何度か対応が図られてきました。今回あきらかになった手法は従来手法よりはるかに効率的に、状況によってはほぼ確実に毒入れができるというもので、大変危険なものです。 すでに攻撃コードも公開されており、被害も発生していることが報告されています。 まず、以下の

（追記：９番目のコメントに捕捉説明があります。必要に応じて参照してください） 昨日我慢できなくなってtwitterで喋ったやつのコピペ。 ＞NHKニュースですらエスカレーター報道むちゃくちゃだ。 ＞設計重量や人の乗り方じゃなくて、過負荷で最初に起こることが逆走なのが問題だろ。「専門家」すらコメントで安全装置に触れないとか何事。 ＞いいかげんすぎてちょっと腹立ったなぁ。 WFエスカレーター事故ね。 昨日のNHKニュース９では、この件に６分も使っていながら、安全装置に触れていない。 人が乗りすぎたせいだ、というところと、エスカレーター自体は国の基準を満たしているという事、専門家曰く、設計性能が発揮できるよう秩序をもって運用すべき、という事、最後に、エスカレーターに乗れる量が決まっているのを知るべき、周知すべきという内容だった。 もうね・・・ あのね。 日本中のビルや地下駅・地下街にどんだけ

■ Yahoo!ケータイ初回利用時のユーザID通知に関する告知 ソフトバンクモバイルのケータイWeb（「Yahoo!ケータイ」と呼ぶらしい）では、https:// ページへのリンクが妙な動作をするらしいというのが以前から気になっていたのだが、これは自分で調べるしかないと決意し、ソフトバンクモバイルの回線を契約し携帯電話を購入した。 早速「Y!」ボタンを押してみたところ。以下のページが現れた。最初に一回だけ表示される告知だと思われる。 SoftBankをご利用いただきありがとうございます。Yahoo!ケータイをご利用いただくにあたって必要な、お客様情報（ユーザID, ローミング情報）の通知設定を行います。 現在の情報： 未登録 ユーザIDの通知とは？ （必ずお読みください） 通知する 通知しない ここで「ユーザID通知とは？（必ずお読みください）」のリンク先を見に行くと、図2の説明が現れた。

■ MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を Mac OS Xの初期設定の危険性 私の周囲に物理的に近づくことのできる人は、私が使っているノート型コンピュータの無線LANインターフェイスのMACアドレス*1を知ることができる。たとえば、セミナー等で私が講演している会場に来れば、講演中に私が無線LANのスイッチを切り忘れていたなら、無線LANのパケットを傍受することで私のMACアドレスを知るだろう*2。それだけでは他の人のアドレスと混じって区別できないだろうが、別の場所で再び同じことをすれば、両方に存在したものが私のMACアドレスだ。 これはもう隠しようがないので、先に自ら暴露してしまおう。「00:1f:5b:d1:ec:bd」は私のMACアドレスだ（図1）。 これを暴露するのはリスクのある行為であり、お薦め出来ない。また、仮に他人のMA

■ 通信路上の改竄攻撃発生に、Webサイト運営者が説明責任を負うのか？ セキュリティホールmemoにまとめられているように、レンタルサーバのさくらインターネットのLAN上で、ARP spoofing攻撃が発生したのではないかとの疑いが浮上している。しかし、現時点でさくらインターネットは公式にそれを認めておらず、誰も確かな情報として伝えることができない状態にある。 昨今、Webサイトのコンテンツを改竄されて、ウイルスファイルへのインラインリンクを埋め込まれる手口の被害が多発しており、その際、Webサイトを改竄されたサイト運営者は、サイトを訪れた一般利用者に対してウイルス感染に注意を呼びかける告知を出すというのが、慣例になりつつある。これは、サイト運営者がサイト管理の不備を詫びる意味も含めて、行われている発表であろう。 しかし、ARP spoofingによる「改竄」は、Webサイトのコンテンツ

by Tan Chew Keong　タン　チュー　ケオン Release Date: 2008-05-31 [en] [jp] 概要 FFFTP の FTP クライアントには、ディレクトリトラバーサルの脆弱性が存在します。悪意のある人は、この脆弱性を利用し FTP クライアントの作業ディレクトリを越えたディレクトリにファイルを転送する事ができます。 問題を確認したバージョン FFFTP Version 1.96b 問題 FFFTP の FTP クライアントには、ディレクトリトラバーサルの脆弱性が存在します。悪意のある人は、この脆弱性を利用し FTP クライアントの作業ディレクトリを越えたディレクトリにファイルを転送する事ができます。 FFFTP の FTP クライアントは、LIST コマンドに対するレスポンスを適切に検査しないから、ディレクトリトラバーサルの脆弱性が存在します。ユーザーが、

(Summary in English of this entry) Utilizing Yahoo! Site Explorer, it is possible for third parties to prevent your site by being displayed in search results. The reason is that the meta tag used for administrative rights confirmation is accepted even in the the page body even if it is html escaped. 3rd parties can gain control of your site simply by adding a comment to one of your pages. こんにちはこんに