タグ

2013年9月2日のブックマーク (11件)

  • 最悪のプログラミング言語、BANCStar

    Following is the email I received from Google for this article. This is so unhelpful to identify the cause. After carefully reviewing the article, I found one URL that was flagged to contain malware(probably usual old domain expired and purchased by other problem) so I removed that link. Please review and re-publish this article. I hope Google's flagging system tells me why it trigger the flagging

    最悪のプログラミング言語、BANCStar
  • ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策

    既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備

    ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
    tsupo
    tsupo 2013/09/02
    シンボリックリンク攻撃
  • 新サービス「FC2まとめ」をリリースしました!

    平素は、FC2(fc2.com)をご利用いただき、誠にありがとうございます。 この度、あらゆる情報を簡単に整理・投稿ができる 新サービス FC2まとめ(summary.fc2.com) をリリースしました! まとめサイトとは? 欲しい情報に簡単にアクセスすることができ、 短時間で必要な情報を集めることができるサイトです。 テレビなどのマスメディアでは得られない情報など、 より深く広い情報を、効率的に得ることができます! まとめ記事は誰でも簡単に作成することができます。 【記事作成の手順】 ・素材となる情報を集める ・整理・編集する ・投稿する 皆さんが記事を作成されることで 短期間で多種多様のあらゆる情報が整理された状態で大量に集まります! また、FC2まとめを活用し 自分のブログや動画などのコンテンツにアクセスを集めることが可能です。 もちろんアフィリエイトにつなげてもOK! アクセスを

    新サービス「FC2まとめ」をリリースしました!
    tsupo
    tsupo 2013/09/02
    FC2もキュレーションサービスに参入。というか、FC2にしては、参入するの遅い気がする
  • 匿名のはずの書き込みで個人特定、2ちゃんねる発の「犯人捜し」に問題はないか

    先日、日最大の掲示板サービス2ちゃんねるの「●」と呼ばれる有料サービスから、個人情報が漏えいしたことは記憶に新しいだろう(関連記事 「『2ちゃんねる』の有料サービスで情報流出、カード情報などが3万件以上」)。●とは2ちゃんねるを利用するためのサービスツールの総称で、書き込みを規制されたプロバイダーからの掲示板への書き込みや、過去データとしてアーカイブされた(DAT落ちした)データの閲覧など、様々な機能を月額300円(年額3600円)で利用できるものだった。 この有料サービスを利用していたのは3万2000人ほど。2ちゃんねる側は、ここで得た収入をサーバーの増強やサーバーの維持管理費などに充ててきた。 今回の●の利用者情報が漏えいしたことによって、既に様々な問題が発生している。なんといっても今回漏えいした情報の中に、個人を特定する情報が含まれていたことが最大のポイントである。 名前や住所電話

    匿名のはずの書き込みで個人特定、2ちゃんねる発の「犯人捜し」に問題はないか
    tsupo
    tsupo 2013/09/02
    「第三者からもたらされた個人情報」の利用は、プライバシーポリシーの設置理念(Pマークで定めた、取得した情報の運用方法)から逸脱している可能性
  • Microsoft、MCA/MCM/MCSMの認定プログラムを終了へ

    Microsoftは、認定プログラムのMCA(マイクロソフト認定アーキテクト)、MCM(マイクロソフト認定マスターズ)、MCSM(マイクロソフト認定ソリューション マスター)を終了する。有資格者に送付された終了告知がTechNetブログで8月30日(現地時間)に公開された他、Microsoft社員のジム・ミラー氏が9月1日、個人としてMSDNブログで明らかにした。 有資格者へのメールによると、テクノロジーの変化を鑑み、マスターあるいはアーキテクトレベルのトレーニングの提供を終了するという。今後、業界のニーズに合った認定プログラムの検討は続けるとしている。 終了する認定プログラムはいずれも高度な資格で、ミラー氏によると、これらはMCSE/MCITP/MCSDと比較して取得者が極端に少なく、運営コストが見合わないという。 Microsoftは、これらの資格は終了後もスキルを証明できる有効な資

    Microsoft、MCA/MCM/MCSMの認定プログラムを終了へ
    tsupo
    tsupo 2013/09/02
    MCA(マイクロソフト認定アソシエイト)、MCM(マイクロソフト認定マスターズ)、MCSM(マイクロソフト認定ソリューション マスター)を終了 / 取得者が極端に少なく、運営コストが見合わないため → MCAって不人気なのか
  • OS Xに放置された脆弱性、root権限を取得される恐れ

    Unixの「sudo」コマンドの脆弱性がOS Xでは修正されないままになっている。Metasploitはこの脆弱性を突くコードを追加したことを明らかにした。 Unixの「sudo」コマンドで2013年3月に報告された脆弱性が、AppleのOS Xでは修正されないままになっているという。脆弱性検証ツール「Metasploit」は8月29日、この脆弱性を突くコードをMetasploitに追加したことを明らかにした。 sudoの認証回避の脆弱性は3月に報告されたもので、時刻を1970年1月1日に設定することにより、パスワードを入力しなくてもroot権限を取得できてしまう恐れがある。特にOS Xなどでは危険が大きいと指摘されていた。この脆弱性はsudo 1.8.6p7と1.7.10p7で修正されている。 しかし、セキュリティ企業のSophosによると、OS Xではsudoがまだ古いバージョンのまま

    OS Xに放置された脆弱性、root権限を取得される恐れ
    tsupo
    tsupo 2013/09/02
    sudoの認証回避の脆弱性 / 2013年3月に報告された脆弱性が、AppleのOS Xでは修正されないままになっている
  • Javaの脆弱性を突く新たな攻撃、Java 6のパッチは存在せず

    セキュリティ専門家は「JRE6のパッチは存在しない。アンインストールするか、JRE7 Update 25に更新を」と呼び掛けた。 さまざまな脆弱性の悪用を狙った攻撃ツールの「Neutrino」に、Javaの既知の脆弱性を悪用する機能が加わった。Java 6ではこの脆弱性が修正されていないことから、セキュリティ各社は改めて、最新版のJava 7にアップグレードするよう促している。 セキュリティ企業F-Secureの研究者は8月26日、TwitterJavaの脆弱性(CVE-2013-2463)を突くコンセプト実証コードが公開され、Neutrinoにこの脆弱性を突くコードが実装されたと報告した。「JRE6のパッチは存在しない。アンインストールするか、JRE7 Update 25に更新を」と呼び掛けた。 CVE-2013-2463は、Oracleが6月の定例パッチで修正した脆弱性で、危険度は極

    Javaの脆弱性を突く新たな攻撃、Java 6のパッチは存在せず
    tsupo
    tsupo 2013/09/02
    「Java 6は一般向けのサポートが既に打ち切られており、脆弱性を解決するためにはJava 7にアップグレードする必要がある」
  • セキュリティ対策に数学の力を――機械学習は先行防御の夢を見るか?

    膨大なログの中から不審な通信を見つけ出したり、マルウェアの挙動を解析するならば専門家の長年の経験やカンに勝るものはない、という印象が強い。しかし、次々と亜種のマルウェアを生み出してくる攻撃者の「物量作戦」の前には、いくら優秀な専門家でも後手に回りがちだ。ならば「機械学習」を活用して異常を速やかに検出し、次の亜種を予想して、先回りして攻撃を防げないだろうか――そんなアプローチが始まろうとしている。 機械学習は、コンピュータの黎明(れいめい)期から研究が進んできた分野だ。コンピュータプログラムにデータを与え、その中に潜んでいる規則性を機械学習のアルゴリズムを使って抽出し、モデル化することで、あたかも人間と同じように判断を下せるようにする。かつては、膨大な計算量が必要なことがネックとなっていたが、近年のコンピューティング能力の向上に伴い、画像処理やユーザーの行動分析、それに基づくレコメンデーショ

    セキュリティ対策に数学の力を――機械学習は先行防御の夢を見るか?
    tsupo
    tsupo 2013/09/02
    この記事で紹介されている手法は既知の攻撃の亜種には対応できる可能性はあるけど、全く未知の新しい攻撃が発明された場合に対応できない。防御側で新しい攻撃手法をあらかじめ発明しておいて対応するしかない(えっ)
  • https://www.anisec.jp/yuzawa/

    tsupo
    tsupo 2013/09/02
    2013年10月11日(金)-12日(土)
  • 謎のiOS向けアダルトゲーム「Hな女の子」、アップルの厳重な審査を突破。 - すまほん!!

    tsupo
    tsupo 2013/09/02
    アプリ起動時に、ゲームデータを外部からローディング / アップル側の審査時には、健全なデータを配信しておき、審査通過後は、わいせつなシーンを含んだデータを配信するという形をとっているものと推測
  • 台湾当局、HTC副社長など幹部らを拘束。未発表機種「HTC One MAX」などの技術を中国企業に売却する「スパイ容疑」により。 - すまほん!!

    すまほん!! » ニュース » 台湾当局、HTC副社長など幹部らを拘束。未発表機種「HTC One MAX」などの技術中国企業に売却する「スパイ容疑」により。 「中国時報」などの中華圏のメディアは、台湾の検察当局が、台湾HTC社の幹部らを拘束したと報じました。そこには同社の副社長兼チーフデザイナーの簡志霖氏も含まれているとのこと。 幹部らの容疑としては、新会社を通じ、共謀して中国企業に最新技術を売却していた「産業スパイ」です。HTC社の訴えにより当局が動いたとのこと。 流出していたのは、HTC社は直接の明言を避けたものの、開発中の未発表機種「HTC One MAX」に関する技術、特に「Sense UI 6.0」と呼ばれるソフトウェアのユーザーインターフェイスに関するものと報じられています。Senseは同社の開発してきた独自UIであり、現行モデルには「Sense UI 5.0」が搭載されて

    台湾当局、HTC副社長など幹部らを拘束。未発表機種「HTC One MAX」などの技術を中国企業に売却する「スパイ容疑」により。 - すまほん!!