監視カメラを覗くことができるサイトが発掘され、祭りに。日本の銭湯やコンビニなど : IT速報
Insecamというおかしなサイトが話題。世界中の無防備なWebカメラを覗き見ることができる。 メニューから「メーカー」「国」「場所」を選べる仕様 http://www.insecam.org/ (自己責任で) 日本ではPanasonic製のカメラが覗き見られているもよう。中には銭湯の脱衣所などもあり、セキュリティー意識の低さが物議に。 Insecamというおかしなサイトが、世界中の無防備なWebカメラ73000台を表示できる、と豪語している。 その多くはCCTVやシンプルなIPカメラだが、それらに共通しているのは、一般的にアクセス可能なネットワークポートへストリーミングされていることと、デフォルトのパスワードをそのまま使っていることだ。だから誰でも、Webをクロールするロボットなどを使って、単純に”admin/admin”とタイプし、そのストリームにアクセスできる。 わざわざ弱いパスワー
第4回 わずか1週間程度でBashが大幅な進化を遂げた ~Shellshock大暴れ~ | gihyo.jp
10月に入り、9月までに起こったことをざっと振り返るというお題がどこかから聞こえてきたので、「じゃあ……」という感じで振り返ってみることとします。 わずか1週間程度でBashが大幅な進化を遂げた ~Shellshock大暴れ~ まだ現在進行形の事案ではありますが、9月下旬に発覚したBashの脆弱性に起因して、10月上旬までまだ収束していないShellshock。 Bash 4.3の例で説明すると、Patchlevel 25~30までは以下のような軌跡をたどっています。 9月24日にPatchlevel 25 9月26日にPatchlevel 26 9月27日にPatchlevel 27 10月1日にPatchlevel 28 10月2日にPatchlevel 29 10月5日にPatchlevel 30 この間に発見、修正された脆弱性は、CVE-2014-6271、CVE-2014-71
【驚愕】LINE詐欺犯「中国のLINE社員からアカウント情報を買い取った」
すでに有名になったにもかかわらず、未だに犯人が暗躍するLINE乗っ取り詐欺。Twitterでは続々とコンビニでプリペイドカードを買ってくるよう要求されたという報告があがっている。そんな中、とある男性がLINE詐欺犯と中国語で会話をして仲良くなり、犯人から「LINEの社員からアカウント情報を買った」という証言を聞き出すことに成功した。 「がじぇぺい @gadget_pei」 と名乗る男性のLINE詐欺ツイート実況はこちらのつぶやきから始まった。Twitter主はメッセージを見てすぐにLINE詐欺と気付き、中国人のふりをしたようだ。 LINEのなりすまし来て、日本語読めませんって返したらsbって言われて草 — がじぇぺい (@gadget_pei) 2014, 7月 29 中国人のふりして返してたらいきなり天安門事件って言ってきたんだけどw pic.twitter.com/3ry6xKVExc
大規模共有型Webバーチャルホスティング基盤のセキュリティと運用技術の改善について書いた論文公開
人間とウェブの未来(旧) 「ウェブの歴史は人類の歴史の繰り返し」という観点から色々勉強しています。2014年までの人間とウェブの未来の旧ブログです。 @jj1bdxさんに「このような運用論文を誰でも読める形で」「情報処理学会や信学会の論文誌掲載論文は、論文誌に掲載された後であれば、著者がWeb上で公開するのに制限はない」という情報を頂き、別に公開しない理由もないので、大規模共有型Webバーチャルホスティング基盤のセキュリティと運用技術の改善という内容で書いた論文を公開したいと思います。 僕が会社にいた時、ApacheのVirtualHost環境でレンサバを構築するというのは既にセキュリティ・運用性・パフォーマンスにおいて色々と問題がある事は10年以上前から分かっており、別の方法で共有環境を構築していました。 ある時、VirtualHostで共有環境を真面目に組むとどうなるか、という議論を元
多発するWeb改ざんに備えてinotifywaitによる改ざん検知を導入した
Webサイトの改ざん事件が多発しています。Webサイトに対する基本的なセキュリティ施策を実施していればまず被害にあうことはないとは思うものの、全ての手口が公開されているわけではないので、何となく「嫌な感じ」もします。 【参考】 Web サイト改ざんに関する注意喚起(JPCERT/CC) 2013年6月の呼びかけ 「 ウェブサイトが改ざんされないように対策を! 」(IPA) @Police ウェブサイト改ざん事案の多発に係る注意喚起について(pdf) 5月から多発しているHP改ざんインシデントをまとめてみた。 - piyolog 当方のサイト(会社、個人)は、一通りのセキュリティ施策は実施しているつもりですが、絶対に改ざんされないかというと、改ざんされることは想定しておかなければならないと考えています。 当方のセキュリティ施策の例 FTPをやめ、sshのみで管理運用 sshのパスワード認証を
Webアプリでパスワード保護はどこまでやればいいか
1. YAPC::ASIA TOKYO 2011 Webアプリでパスワード保護は どこまでやればいいか HASHコンサルティング株式会社 徳丸 浩 twitter id: @ockeghem Copyright © 2011 HASH Consulting Corp. 1 2. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを
IIS 7.5 详细错误 - 404.0 - Not Found
错误摘要 HTTP 错误 404.0 - Not Found 您要找的资源已被删除、已更名或暂时不可用。
hatena は今すぐSPF宣言しましょう。 - pen2 の日記
どうやら hatena は SPF宣言してないみたい・・・!! 「え?SPF?なにそれ?何のこと?」ってな方が多いとおもいます。 紫外線から守ってくれる奴ではありません。 SPFとは電子メールの送信ドメイン認証のひとつで、「このドメインからはこのIPアドレスでメール送るよ!」とDNSに書いておく方法です。yahooメールやgmailなどのSPF認証に対応した受信サーバではメールを受信すると、"Envelope From"のドメインでDNS TXTレコードを引きます。ここに送信サーバのIPが列挙してあるので、そことセッションIPを比較すれば、なりすましたメールかどうかを簡単に見分けられると言う技術です。 http://ja.wikipedia.org/wiki/Sender_Policy_Framework これを宣言していないと「なりすましメール」かどうかの判定ができません。今はまだそれほ
C-Production – UNIXとプログラミングの備忘録
大変ご無沙汰です。約1年半ぶりの更新です。 昨日、ブログを設置しているサーバでOSのアップデートに問題が発生したため、これを機に新サーバ・新OSに乗り換えることにしました。 現在のブログがマルチサイトのため、そのままでは新サーバの構築に苦戦すると予想されるため、他のブログの記事を統合しました。 統合内容は以下の通りです。 ・C-Production ・・・ メインサイトのため、他のブログを吸収して継続。 ・♪8thNote♪ ・・・ メインサイトに統合済みだったので、削除。 ・モバイル魂 ・・・ メインサイトに記事を引き継ぎ、並行稼働中。 ・無線のドキュメント ・・・ もともと閉鎖予定だったので、そのまま削除 外部SNSのアカウントについてはそのまま継続します。 今後ともよろしくお願いします。
Google、行動ターゲティング広告に参入
米Googleは3月11日、「ユーザーの興味に基づく」広告のβテストを、AdSenseのGoogleコンテンツネットワークとYouTubeで開始したと発表した。ユーザーが過去に訪問したWebサイトなどの情報を基に、ユーザーが関心を持つ商品やサービスの広告を掲載する、いわゆる行動ターゲティング広告になる。 β段階のため、広告スポンサーの数を限定し、年末までその数を徐々に増やしていく計画。 これまで同社のAdSense広告は、ユーザーが現在閲覧しているページのコンテンツに関連する商品やサービスを掲載するものだった。例えば新聞サイトのスポーツのページには、ランニングシューズの広告が掲載される。 一方「interest-based」広告は、ユーザーが過去に訪問したサイトや閲覧したページの情報をもとに、Googleがそのユーザーが関心を持つと思われるカテゴリーを作成。そのカテゴリーに関連する商品やサ
Geekなぺーじ : 今朝、インターネットが壊れました
今朝01時23時JST頃から1時間弱、インターネットが世界的に壊れていたようです。 ほどなくして収束していったようですが、ISP同士のBGP接続が切れて通信が出来ないという状況が局所的に発生していたようです。 3/11 (invalid or corrupt AS path) anyone else seeing very long AS paths? [janog:08731] long AS Path incident] JANOGメーリングリスト 世界中で影響があったようですが、国内では上流網の一部でBGPのpeerが切れて国際的な通信が不通になっていた瞬間があったようです。 ただし、繋がったり切れたりという箇所もあったようです。 「壊れた」原因 NANOGでの情報によると、以下のようなログがルータに残されていたようです。 255以上という異常に長いAS pathが原因のようです。
Webサーバへの攻撃を見抜く ― @IT
ウイルス、ワーム、ボットによる攻撃……ネットワーク上に存在する脅威は多種多様である。サーバにアクセスされた形跡を見て、それが通常のものなのか、それとも脅威なのかを判断するには知識と経験が必要となる。そこで本連載では、インシデント・ハンドリングのために必要な「問題を見抜く」テクニックを分野ごとに解説していく(編集部) ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 インシデントを最終判断するのは「人間」 インターネットは、いわずと知れた世
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
