高木浩光@自宅の日記 - 「VeriSignシール」という幻想
■ 「VeriSignシール」という幻想 オレオレ証明書ではないSSLサーバ証明書は、2つの独立した機能を果たしていると言える。1つ目は、SSLプロトコルによるサーバとクライアント間の暗号化通信のために不可欠な役割であり、2つ目は当該サイト運営者の実在証明の機能である。ただし、今日では、後者を含まない、前者だけのサーバ証明書もある。 後者の実在証明は、かつては認証局サービスを提供する各事業者がそれぞれの独自の基準で、サイト運営者の実在性を確認、認証していたが、それでは利用者にわかりにくいことから、認証の際の実在性確認の方法が標準化され、誕生したのがEV SSLであった。 その結果、VeriSignなど、古くから実在証明に力を入れていた認証局サービスでは、EVのものとEVでない実在証明付きサーバ証明書の2種類が存在することとなった。VeriSignでは、EV証明書の提供開始後も、EVでない実
asahi.com(朝日新聞社):「ネット全履歴もとに広告」総務省容認 課題は流出対策 - ビジネス・経済 (1/2ページ)
インターネットでどんなサイトを閲覧したかがすべて記録される。初めて訪れたサイトなのに「あなたにはこんな商品がおすすめ」と宣伝される――。そんなことを可能にする技術の利用に、総務省がゴーサインを出した。ネット接続業者(プロバイダー)側で、情報を丸ごと読み取る技術を広告に使う手法だ。だが、個人の行動記録が丸裸にされて本人の思わぬ形で流出してしまう危険もある。業者は今後、流出を防ぐ指針作りに入る。 この技術は「ディープ・パケット・インスペクション(DPI)」。プロバイダーのコンピューター(サーバー)に専用の機械を接続し、利用者がサーバーとの間でやりとりする情報を読み取る。どんなサイトを閲覧し、何を買ったか、どんな言葉で検索をかけたかといった情報を分析し、利用者の趣味や志向に応じた広告を配信する。 DPIは従来技術に比べてより多くのデータを集められるため、こうした「行動ターゲティング広告」に利
ゲームでウイルス拡散→名前暴露→削除料要求 : 社会 : YOMIURI ONLINE(読売新聞)
コンピューターウイルスを使ってパソコンから個人情報を流出させたうえ、感染者に流出情報の削除を持ちかけて金をだまし取ったとして、警視庁がウイルス作成者の男ら2人を詐欺容疑で逮捕していたことがわかった。 男らはウイルスをアダルトゲームなどに仕込み、ファイル交換ソフトを通じて拡散させており、感染者は5000人以上に上るとみられる。ウイルス作成者の摘発は、京都府警が2008年1月、「原田ウイルス」作成者を著作権法違反容疑で逮捕して以来、2例目。ウイルスを使った詐欺事件の摘発は全国初。 逮捕されたのは東京都北区、会社員岡顕三容疑者(27)と、ネット広告会社「ロマンシング」(埼玉県志木市)役員の男(20)(事件当時19歳)。岡容疑者は25日、役員は10日に逮捕された。 同庁幹部によると、2人は昨年11月頃、アダルトゲームに仕込んだウイルスに感染して、パソコン内の個人情報を流出させたファイル交換ソフト利
セキュリティ情報 - Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題
文書番号HASHC2010052401 Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題 HASHコンサルティング株式会社 公開日:2010年5月24日 概要 昨年11月24日づけアドバイザリにて、iモードブラウザ2.0のJavaScriptにより、携帯端末に割り当てられたID(以下、端末固有ID)を利用した認証機能(以下、かんたんログイン)に対する不正アクセスが可能となる場合があることを報告した。その後の調査により、同種の問題がYahoo!ケータイのブラウザ(通信事業者はソフトバンクモバイル)でも発生することを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者およびYahoo!ケータイ利用者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザに用意された端末固有IDを利用した簡易的な認証であり、ユーザがIDやパスワード
Googleが「間違って」個人的な無線通信を傍受【湯川】 | TechWave(テックウェーブ)
米Googleは、Googleマップ向けに都市部の街頭写真や位置情報を収集する際に個人的な無線通信のやり取りを「間違って」傍受していたことを同社のブログで発表し、謝罪した。プログラミングのミスでデータ通信の内容を自動的に傍受する仕組みになっていたことが内部調査で発覚したもので、傍受した個人的な通信の中身を利用することはなかったとしている。 ドイツ当局の要請を受けて実施した内部調査で、ストリートビューと呼ばれる街頭写真を撮影するために都市部をくまなく走行している自動車が無線通信の個人的な情報を傍受していたことが明らかになったという。緯度、経度といった位置情報を特定する方法としては、人工衛星からのデータを解析するGPSに加え、周辺の無線LANの電波状況のデータを解析する手法も一般的だが、Googleの自動車は電波状況のデータに加え個人的な通信内容までも「間違って」収集していたという。 同ブログ
Twitter、「強制フォロー」のバグ修正でフォロワー数をリセット
米国時間5月10日は、ソーシャルメディアにとって困ったセキュリティ上の問題が相次ぎ発覚する1日となった。Twitterはこの日、他のユーザーに自分を強制的にフォローさせることができるバグの存在を認めた。 問題のバグを最初に報告したのは、あるトルコのブログのようだ。その後、「Webrazzi」ブログがバグを実際に試してみたところ、Facebookの創設者Mark Zuckerberg氏や、Twitterの最高経営責任者(CEO)Evan Williams氏など、業界著名人のTwitterアカウントに、ダミーのアカウントを強制的にフォローさせることに成功したという。このバグは、Twitterユーザーが「accept」という単語に@をつけ、その後に任意のユーザー名を入れた文字列をツイートすると、自身のアカウントにフォロワーを追加できてしまうというものだった。 Twitterの広報担当者Sean
serien stream deutsch - Apple Tv Plus Inhalte
Tanzsausb.: Ja. Tanz: Ballett, Bauchtanz, Jazz, Modern, Orientalischer Tanz, Salsa, Standard. Führersch.: AM - Moped bis 45 km/h, B - Pkw, L - Zugmaschinen. Carolin Eichhorst. Projektkoordination. Kontakt aufnehmen · CVK, Reinickendorfer Straße Charité – Universitätsmedizin Berlin Augustenburger Platz 1. Join Facebook to connect with Carolin Eichhorst and others you may know. Carolin Eichhorst's
asahi.com(朝日新聞社):シリコーン偽造指紋、指につけ不法入国容疑 韓国人ら - 社会
他人の指紋をシリコーンなどでかたどった偽造指紋=ソウル地方警察庁提供 【ソウル=箱田哲也】ソウル地方警察庁は6日、他人の指紋を偽造して韓国人らを日本に不法入国させていたとみられるグループの20人を、旅券法違反の容疑などで摘発したと発表した。他人の指紋をかたどったシリコーンを人さし指につけて、入国審査時の指紋認証システムをすりぬけさせる新たな手口を使っていたという。 発表によると、偽造グループは、不法滞在などで日本から強制退去させられた韓国人ら13人から計約2億ウォン(約1600万円)を受け取り、韓国の旅券などとともに他人の指紋をシリコーンや接着剤などで偽造した疑い。13人のうち8人が実際に日本に不法入国していたという。 同庁は主犯格の男を逮捕、その他の17人を在宅で立件したほか、逃亡中の2人を指名手配した。
自動起動を無効にしても防げないUSB攻撃、ほとんどのOSが該当 | エンタープライズ | マイコミジャーナル
Taranfx.com - Your Gateway to Technology, Redefined. ウィルスやマルウェア、スパイウェア、悪意あるプログラムはあの手この手でPCに侵入を試みる。特定のルートがあるわけではなく、その時々の流行に合わせてさまざまな方法が発見される。たとえば古くはFDDからの侵入、不正なプログラムを含んだアプリケーションをダウンロードさせる形式での侵入など。現在ではブラウザの特性を活かして不正なプログラムをインストールすることなく重要な個人情報を取得したり、クッキーを取得してから総当たり手法でサーバへの侵入を試みるなどがある。 そうした侵入経路の一つに、USBメモリに不正なプログラムを仕込んでおき、USBポートにさしたときに自動実行するというものがある。この侵入自体は自動起動機能を無効にしておけばいいし、特定のOSに限定されるためそれほど驚異的というものではな
高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない
■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管
McAfee、Windows XP破壊問題で家庭/ホームオフィスユーザーの復旧費用を補償
米McAfeeのウイルス対策ソフト向けアップデートによりWindows XPパソコンが正常動作しなくなった問題について、同社は米国時間2010年4月26日、家庭/ホームオフィスユーザーを対象として、被害パソコンの修復などにかかった費用を支払うと発表した。McAfee製品の契約期間を無料で2年間延長することも約束した。 現在McAfeeは「被害に遭ったパソコンを復旧させることが最優先課題」として、無料電話サポートによる対処方法の案内や、修復用ソフトウエアのダウンロード配布およびCDメディアの郵送などを行っている。家庭/ホームオフィスユーザーに対しては、同社が復旧作業の費用を補償する。補償金の請求方法や対象となる費用の詳細は後日説明するが、サポート窓口までの交通費などを対象にするという。 さらにMcAfeeは、被害を受けた家庭/ホームオフィスユーザーの契約期間を無料で2年間延長する。延長は、同
高木浩光@自宅の日記 - サイボウズOfficeも匙を投げた「簡単ログイン」
■ サイボウズOfficeも匙を投げた「簡単ログイン」 今年2月20日のこと、サイボウズOfficeに「簡単ログイン」機能があることに気づいた私は、以下の質問をサイボウズ社に送った。 「サイボウズ Office 8 ケータイ」の「簡単ログイン」機能についてお尋ねします。 「携帯端末認証に対応しているので、毎回ログインする手間なく利用できます」とのこと。試用版で試したところ、たしかに2度目以降はパスワードが不要のようです。 この機能は、いわゆる「契約者固有ID」を用いて実現しているものと理解していますが、「契約者固有ID」を用いて端末認証を行う場合、通常は、IPアドレス制限を行って、携帯電話事業者のゲートウェイのIPアドレスからのアクセスしか許さないように実装するものであると考えます。 しかしながら、「サイボウズ Office 8 ケータイ」はそうしたIPアドレス制限を施しておらず、一般のイ
Googleストリートビューカーが街中の無線LANをスキャンして記録、2010年末までに表示開始か
by Olaf_S ドイツ政府のプライバシーデータ保護官が明らかにしたところによると、GoogleはGoogleストリートビューカーで街中を撮影するだけでなく、個人の無線LANネットワークとMACアドレスをスキャンして記録していたとのこと。 詳細は以下から。 Google Street View logs WiFi networks, Mac addresses ・ The Register Google Street View: Erfasst auch private WLAN - Digital - Bild.de ドイツ連邦プライバシーデータ保護官であるPeter Schaar氏はこの事実を発見した際に「ぞっとした」としており、現時点ではまだGoogleはこれらの収集したデータをGoogleマップで表示はしていないものの、「無線LANマップを表示するサービスを今年度末までには開始し
プレス発表 複数のサイボウズ製品におけるセキュリティ上の弱点(脆弱性)の注意喚起:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、複数のサイボウズ製品におけるセキュリティ上の弱点(脆弱性)に関する注意喚起を、2010年4月20日に公表しました。 これは、複数のサイボウズ製品において、サイボウズ製品に登録した携帯電話以外から、その携帯電話になりすましてアクセスできてしまうというものです。この弱点が悪用されると、サイボウズ製品に保存されている個人情報が悪意あるユーザに漏えいしたり、書き換えられる可能性があります。 対策方法は「開発者が提供する対策済みバージョンに更新する」、または「開発者が提供する情報をもとに回避策を実施する」ことです。 サイボウズ株式会社が提供する「サイボウズOffice 7 ケータイ」、「サイボウズ ドットセールス」は、企業内での利用を想定したグループウェア等のソフトウェアです。 これら複数のサイボウズ製品には、登録した携帯電話以外から、そ
高木浩光@自宅の日記 - ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を
■ ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を 昨年示していた、 やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合, 2009年8月2日の日記 日本の携帯電話事業者の一部は、「フルブラウザ」にさえ契約者固有ID送信機能を持たせて、蛸壺の維持を謀ろうとしているが、iPhoneのような国際的デファクト標準には通用しないのであって、今後も、他のスマートフォンの普及とともに、蛸壺的手法は通用しなくなっていくであろう。 そのときに、蛸壺の中の開発者らが、このニコニコ動画の事例と同様のミスをする可能性が高い。「IPアドレス帯域」による制限が通用しない機器では、アプリケーションの内容によっては特に危険な脆弱性となるので、関係者はこのことに注意が必要である。 の懸念が、今や、さらに拡大し、ケータイ業者のみならず、一般のシステムインテグレータの思考
Javaの新しい脆弱性を突く攻撃出現、国内企業で被害を確認
日本IBMは2010年4月15日、Javaの開発・実行環境である「Java SE 6 Update 10」以降に含まれる「Java Deployment Toolkit」の脆弱(ぜいじゃく)性を突く攻撃を確認したとして注意を呼びかけた。細工が施されたWebサイトにアクセスするだけで被害に遭う恐れがある。同社によれば、国内のある企業で被害が観測されたという。対策は、同日公開された最新版「Java SE 6 Update 20」に更新すること。 米オラクルが提供するJava SE 6 Update 10以降に含まれるJava Deployment ToolkitのプラグインおよびActiveXコントロールには、入力データを適切に検証しない脆弱性が見つかり、4月9日に公表された。このため、このプラグイン/ActiveXコントロールがインストールされた環境で、細工が施されたWebサイトにアクセスす
[JS10001]一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (update: 2010.4.23) | お知らせ | ジャストシステム
お知らせ セキュリティ情報 10.04.12 [JS10001]一太郎の脆弱性を悪用した不正なプログラムの 実行危険性について (update: 2010.4.23) 概要 2010年 4月 7日、弊社の一部製品に脆弱性の存在を確認いたしました。 この脆弱性が悪用されると任意のコードが実行され、パソコンが不正に操作される危険性があります。 この問題の影響を受ける製品と、その対策方法、回避策を以下にご案内いたしますので、ご確認の上、ご対応をお願いいたします。 今回の脆弱性は該当製品のフォント情報の処理部分に存在しています。 そのため、この脆弱性を悪用することを目的に改ざんされた文書ファイルを直接開いたり、 悪意のあるサイトへのリンクをクリックするなどしてそのサイトに埋め込まれた文書ファイルを意図せず開いてしまった場合、 悪意のあるプログラムをローカルディスクに保存しようとします。
![[JS10001]一太郎の脆弱性を悪用した不正なプログラムの実行危険性について (update: 2010.4.23) | お知らせ | ジャストシステム](https://cdn-ak-scissors.b.st-hatena.com/image/square/ca8590b04d73704bfa97052f84e507de03e84e24/height=288;version=1;width=512/https%3A%2F%2Fwww.justsystems.com%2Fshared%2Fimg%2Ficon%2Fogimage.png)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ソフトバンク端末100機種以上にJavaScript関連の不具合
ブログ | S2ファクトリー株式会社
ほとんどのブラウザーで個人を識別できる“指紋”を残す、米EFFが警告 