ブラウザのタブごと書き換えてしまうフィッシング手法「Tabnabbing」 | スラド セキュリティ
ユーザが気付かないうちにブラウザのタブの内容を書き換えてしまう新たなフィッシング手法「Tabnabbing」が報告されている (IDEA*IDEA のエントリー、Mashable の記事、本家 /. 記事より) 。 UI の専門家であり、Firefox 開発の主要メンバーでもある Aza Raskin 氏によって報告されたこの「Tabnabbing」は、ブラウザのアクティブでないタブの中身をユーザが気付かないうちにメールや銀行などの偽ログインページに書き変えてしまうという手法 (Aza Raskin 氏のブログ記事)。従来のフィッシング手口はメールなどのリンクからユーザを偽サイトに誘導しアカウント情報を盗むというものであったが、最近ではユーザの意識も向上し、怪しげなメールやリンクに対する警戒心も高くなっている。しかし Tabnabbing では開いているブラウザのタブの中身を (タブアイコ
「.svn」「CVS」ディレクトリを狙ってWebサイトの非公開ファイルをゲット | スラド セキュリティ
TechCrunchの記事「初歩的な管理ミスで3300もの有名サイトがソースコードを盗まれる」によると、ロシアのセキュリティグループが、「.svn」や「CVS」といったSubversionやCVSの管理ディレクトリを狙ってWebサイトの非公開ファイルを盗み出す手法により、3300あまりのWebサイトのソースコードを入手することに成功したそうだ。 原理は簡単で、Webサイトでうっかり公開されてしまっている.svnや.cvsといったディレクトリを探し、発見したらその中身のデータを吸い出すだけ。確かに言われてみればうっかり見逃しそうなミスではある。皆様もご注意くださいませ。 (追記@14:50)原文では.cvsとなっているが、コメント#1644247で指摘されているとおり、CVSの管理ディレクトリは「.cvs」ではなく「CVS」である。
電子カルテ検索結果を過信して誤った薬剤を投与、患者は死亡 | スラド セキュリティ
朝日新聞の記事によると、徳島県で医師が電子カルテシステムの検索結果を正しいと思い込み、誤った薬剤を投与して患者を死亡させる事件が発生したそうだ。 この事件は、副腎皮質ホルモンである「サクシゾン」という薬剤を投与すべきなのを、間違って筋弛緩剤の「サクシン」を投与してしまったために発生したのだが、誤って投与してしまった原因は「電子カルテで『サクシ』と検索したら『サクシン』だけが表示された」からということらしい。 この病院では、「サクシン」と「サクシゾン」という名前が似ている2つの薬剤があると紛らわしいという理由でサクシゾンの常備をやめていたそうで、そのために「サクシゾン」が検索結果に表示されなかったそうだ。看護師から「本当にサクシンでいいのですか」との口頭での確認はあったのだが、医師は誤っていることに気づかなかったという。 この事件は、「不注意だった」だけでなく、「コンピュータを過信しすぎた」
2008年度「陰険なCコードコンテスト」開始 | スラド セキュリティ
本家/.の記事より。毎年開催されている「陰険なCコード」(Underhanded C Contest)だが、今年も募集が始まった。締切は9月30日。このコンテストでは、応募者は一見単純かつ無害で、可読性の高いCプログラムに、ちょっとソースを読んだくらいではなかなか分からない予想外の有害なふるまいを実装することが要求される。今年のテーマは「PPM形式の画像を与えると、その画像の一部が消える(ただし後で復旧可能)」というもの。ちなみに去年のテーマは「0.01%から1%の確率で暗号化が脆弱になってしまう単純な暗号化ユーティリティを書け(ただし暗号化に失敗したことを簡単に見破られてはいけないし、復号もできなければならない)」というものだったが、昨年の優秀者とその作品も発表されている。
セキュリティ調査と「恐喝」の差 | スラド セキュリティ
本家/.の記事より。ロシアのセキュリティ調査企業Glegの行動が、海外のセキュリティ系ブログで話題になっているようだ(eWeek Security Watchの記事)。この企業は最近RealPlayer 11の最新バージョンにおいてゼロデイ攻撃につながる脆弱性を発見したが、その詳細を(数度の要請にも関わらず)RealNetworks社にもUS-CERTにも公開せず、最低10,000ドルからという高額料金で自社と契約した顧客にのみ開示しているらしい。このようなGleg社の行動とビジネスモデルに対し、一部のセキュリティ関係者は、これはユーザを人質に取った「恐喝」ではないかと批判している(Daniwebの記事)。
SSL 証明書の運用管理どうしてますか? | スラド セキュリティ
uxi曰く、"今朝、livedoor wiki にログインしようとして気付いたのですが本日 10/20 の 9 時をもって SSL 証明書の有効期限が切れになってしまったらしく、接続時に警告が表示されるようになっていました。 (参考: SSL モードの livedoor ID 登録) 公式CAを通した証明書は、コストもかかりますから無駄に更新するのも馬鹿げていますが、スケジュールを詰め過ぎてしまうと、今回のように有効期限切れの期間が生ずる可能性があるかもしれません。また、スケジュールに相当余裕を見ていたとしても、更新手続きがスムーズに行かず、スケジュール通りに行かない事もあるかもしれません。 経路の暗号化のみを行いたい場合、独自CAによる証明書を使うことも少なくないと思いますし、 有効期限切れになったからと言って、即 SSL の安全性が大きく揺らぐわけではありません。 しかし SSL がど
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
7&Yのネットショッピングサイトのソースコード、公開サーバー内の「.svn」ディレクトリより流出? | スラド セキュリティ
自動音声を使った振り込み詐欺が登場 | スラド セキュリティ