高木浩光@自宅の日記 - JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり
■ JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり 一昨年7月のWASフォーラムのイベントで話した以下の件。 セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏, MYCOM PCWEB, 2005年7月12日 誤った解説や必要以上に危機感を煽る報道に不満 (略)アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、
窓の杜 - 【NEWS】MS、ネットワーク解析ツール「Microsoft Network Monitor」の最新版v3.1を公開
MS、ネットワーク解析ツール「Microsoft Network Monitor」の最新版v3.1を公開 米Microsoft Corporationは6日、ネットワーク上のパケット情報を解析できるツール「Microsoft Network Monitor」の最新版v3.1を公開した。Windows XP/Server 2003/Vista/XP x64/Server 2003 x64/Vista x64に対応するフリーソフトで、現在同社のダウンロードセンターからダウンロードできる。 「Microsoft Network Monitor」は、ネットワークを流れるパケット情報をリアルタイムで解析できる、ネットワーク管理者向けのツール。今回公開されたv3.1では、Windows Vista上で無線LANの通信内容を解析できるようになった。また同じくWindows Vistaにおいて、リモートア
仙台経済新聞を2秒でクラックした - omoti の日記
なんか読売だかのサイトで 「仙台経済新聞がスタートする」 って書いてあって、それで 「正式に開始するまでサイトは見れないようになっている」 って書いてあって、そこに書いてあったURLを入れてみたら BASIC認証がかかっていて、IDとパスワードを入れないと 見れないようになっていた。 で、その責任者みたいなやつのインタビューが載っていて 「仙台の良い面をアピールしたい」 とかってインタビュー記事が載っていて、 今回、利用できるデーターはほんとにわずか それだけだったけど、たぶんこいつの頭の中は 「仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台! 仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台! 仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!」 って感じになってるんだろうなーと思って って入れてみたら、一回目の試行で いきなりヒットで、認証通って 本来非公開の
高木浩光@自宅の日記 - 住民票コードを市町村が流出させても全取替えしない先例が誕生する?, 追記
■ 住民票コードを市町村が流出させても全取替えしない先例が誕生する? 愛媛県愛南町の住基情報がWinnyネットワークに流出させられた事故では、住所、氏名、生年月日、性別と共に住民票コードも流出しているとのことだが、報道によると、愛南町は、「住民票コードの変更を求める住民については変更に応じる」とされていた。愛南町の発表文を確認してみると次のように書かれている。 愛南町では今後、5月21日(予定)から職員全員で関係する全世帯を訪問し、情報が流出したことについての説明とお詫びに伺う所存でございます。また、住民票コードの変更を希望される方には、変更申請を行っていただくようお願いいたします。 愛南町の住民の個人情報の流出に関するお詫びとお知らせ, 愛媛県愛南町, 2007年5月18日 「変更に応じる」と言っても、今回の事故の対応措置というわけではなく、元々、住民票コードの変更は平常時から用意されて
切込隊長BLOG(ブログ): ついに、取引メールでデコメを使う奴が出現
仕事してて腹の立つことのひとつに、それなりに重要な業務連絡をmixiメッセージで送る馬鹿が後を絶たない、というのがある。本当にこの手の馬鹿は絶滅してもらいたいと思う。あくまで水面下の話ならともかく、エビデンスを残したい事案でmixiメッセージって、いったい何を考えているのだろう。勤め先に知られたくないという理由でmixiメッセージを使うというのは分からんでもないが、普段やりとりしない相手からmixiメッセージが届いて「?」とか思ってたら、表題が「基本合意書ドラフト内容の変更願い」とか堂々と書かれていて、中身が細かく契約内容についてのあれこれだったときは発狂しそうである。 しかし、昨今はそれを上回る恐るべき事案が発生してしまった。mixiで、モバゲーで、スタビで、キラキラ★素材などのデコメを文書の中に敢然と挿入して送付してくる馬鹿の出現である。このままでは日本が危ない。どう考えても知能指数二
ITMediaにとんでもなく危険なLifeHackが載ってる件 - nak2kのブログ
しかも、「mshta [任意のURL]」と入力すれば、WebページをHTA(HTMLアプリケーション)として開くことも可能だ。 「ファイル名を指定して実行」の便利な使い方(その1) - ITmedia エンタープライズ このTips、HTMLアプリケーションとしてWebページを実行した場合はIEのセキュリティゾーンがローカルコンピュータの状態で実行されるから、表示したWebページでは「どんなスクリプトでも」動かせてかなり危険。 以下のようなスクリプト(MicrosoftのJScriptについてのヘルプに載ってるサンプル)を含んだHTMLを上記の方法で表示してみたよ。 <script> var fso = new ActiveXObject("Scripting.FileSystemObject"); var a = fso.CreateTextFile("c:\\testfile.txt"
CNET Japan
「T-Mobile G1」は中身で勝負--初の「Android」携帯が持つ可能性 米国時間9月23日に発表されたGoogleの「Android」を搭載した携帯は、外観はほかの携帯電話と大差はないが、これまでの携帯電話にはないユーザーエクスペリエンスを提供するソフトウェアが搭載されている。 2008/09/26 07:00 [スペシャルレポート] セカイカメラの世界観--Air Tagging The RealWorld iPhoneアプリ「セカイカメラ」は、究極のWYSIWYGを実現する可能性を秘めている。iPhoneの画面を通じて見えるものが、そのまま自分の情報として得られるという。オープンモバイル・コネクションズ2008で、同アプリを開発する頓智・CEOの井口尊仁氏がプレゼンした。 2008/09/26 14:58 [ネット・メディア] フォトレポート:分解、アップル「iPo
相次ぐWeb改ざん,いったい何が起こっているのか
2008年3月に入ってから,SQLインジェクション攻撃によるWeb改ざんが相次いでいる。例えば,セキュリティ対策ベンダーのトレンドマイクロは3月12日,同社のウイルス情報ページが改ざんされ,午前11時30分に同ページを閉鎖したことを発表した。実際にウイルス情報ページが改ざんされたのは3月9日の午後9時頃。同社はぜい弱性対策を施した後,13日午前8時30分からページ公開を再開した(関連記事)。 攻撃の標的になったのは,国内サイトだけではない。同様の手口による大規模Web改ざんが,世界中で確認された。米マカフィーは3月13日時点で,2万ページ近くのWebページが改ざんされたと推測した(関連記事)。 これらは,いったいどのような攻撃手法だったのだろうか。それについて,セキュリティ対策ベンダーのラックが説明会を開催した。この説明会については,ニュースとして記事化したが(関連記事),詳細についてはお
「パスワードは書きとめて」:アップル、Macユーザーにアドバイス - CNET Japan
AppleがMacユーザーに対し、忘れたときに備えてパスワードを書きとめておくよう勧めている。 Appleは同社のウェブサイトMac 101に「My Mac Cheat Sheet」(PDFファイル)という文書を掲載している。その文書には、Mac OS X関連のユーザー名やパスワードだけでなく、電子メール、ISP、ルーターなどのログインアカウントを書きとめておく欄もある。 Appleはウェブサイトで「あなたや、Macに詳しいあなたの家族や友人のMacライフが少しだけ楽になるよう、忘れやすい情報を記入して安全な場所に保管しておくためのフォームを用意しました」と説明している。 Appleはどうかしてしまったのではと思うかもしれないが、そうではない。パスワードを付箋に書いてコンピュータのモニタやキーボードに貼り付けておくのは賢明ではないが、情報を書きとめて安全な場所に保管しておくのは有益である。
第3回 ウイルス対策ソフトは効果なし:ITpro
取引先や同僚を装って限られたユーザーをピンポイントに狙い,ウイルス・メールを送り付けるスピア型攻撃が国内で顕在化してきた。まんまと騙され,ウイルスをパソコン上に仕込まれると,これを発見するのは至難の業だ。 スピア攻撃で添付されてくるウイルスを対策ソフトが阻止してくれれば,感染は防げる。しかし,実際にはウイルス対策ソフトは無力だ。 犯罪者は「ウイルス対策ソフトを使って検知されないことを確認した上で攻撃を仕掛けてくる」(ISSの高橋CTO)からである。当然,送られてきたときには対応するパターン・ファイルがないため,ウイルス対策ソフトは反応しない。 スピア攻撃を助長する,こうした未知のウイルスが世の中にまん延していることを象徴する数字がある(図3)。テレコム・アイザック推進協議会とJPCERTコーディネーションセンターが2005年4月~5月に実施した調査結果だ。インターネット上にウイルスに感染さ
市販のプリンターは印刷時に追跡用の隠しコードを描き込んでいるものがある
どのプリンターで印刷したか、調べたらわかる? プリンターによっては、印刷した際に肉眼では見つけづらい黄色の点を勝手に印字することで、その紙に印字したプリンターのメーカー名や機種名、プリンターのシリアルナンバーや印刷日時ま […] どのプリンターで印刷したか、調べたらわかる? プリンターによっては、印刷した際に肉眼では見つけづらい黄色の点を勝手に印字することで、その紙に印字したプリンターのメーカー名や機種名、プリンターのシリアルナンバーや印刷日時までが読み取れるようになっているらしい。 顕微鏡で拡大したイエロードットの写真 この件自体は、2005年に一度話題になっていた。 スラッシュドット ジャパン | Xeroxプリンタの印刷物に追跡コード HotWired Japan ユーザーの知らぬ間に「追跡コード」も印刷 最初聞いたときは頭の悪い陰謀論みたいな話だ、と思ったけど、これを調べて注意を呼
高木浩光@自宅の日記 - 本物がいい加減なことをしていると偽物につけ入られる事例2件
■ 本物がいい加減なことをしていると偽物につけ入られる事例2件 スパイウェア対策ソフト売りのFUD PC世界のリフォーム詐欺、「ミスリーディングアプリ」って何だ?, ITmedia, 2007年1月11日 という記事が出ているが、ここで次の映像の冒頭を見てみる。 【動画】 眞鍋かをり「スパイウェアの恐さをもっとわかって」*1, ソフトバンクビジネス+IT, 2006年10月5日 いや正直ですね、ほんとにあの去年の春に、はじめてあのー、まあ、お仕事させていただいてソフトを頂いたんですけど、それまでセキュリティ対策を一切やってなかったので、あのー、はじめてあの、ソフトを入れてチェックしたときはですね、スパイウェアがね、208個出てきたんですよ。(ハハハハ。)ふふ。ちょっとひどい状態、もしかしたら情報出ちゃってたかもしれないなと思うくらいなんですけども、たいした情報入ってないんですけど、ねー、で
高木浩光@自宅の日記 - 東京労働局がITmediaを否定「spamを遮断しないと措置義務違反というわけではない」
■ 東京労働局がITmediaを否定「spamを遮断しないと措置義務違反というわけではない」 6月1日にITmediaからこんな記事が出て各所で話題となっていた。 会社宛ての“エロスパム”、対処しないとセクハラに?, 岡田有花, ITmedia, 2007年6月1日 この記事は一読して変だと思った。何が変なのかと、もう一度読み返してみると、ようするにこの記事は、事実と伝聞と推論と意見がごちゃまぜに書かれていて区別されていない。こういった文章に必須の基礎が守られていない。 この記事の肝は次の部分であろう。 セクハラ相談などを受け付けている東京労働局雇用均等室によると、性的なスパムメールは、男女雇用機会均等法上で事業主が防止を義務づけられている「性的な言動」に当たり、受信を防止せずに放置した場合は「環境型セクハラ」とされる可能性が高いという。 会社宛ての“エロスパム”、対処しないとセクハラに?
おさかなラボ - 人間様には見えなくて、spamボットには見える不思議なCAPTCHA
それは偶然発見した。なんとGmailのパスワード入力画面にもちゃんと歪んだ画像CAPTCHAが実装されているのだ。しかもほとんどのボットに見え、ほとんどの人間に見えないCAPTCHAである。ちょっとした工夫でCAPTCHAの欠点を補い、利点を生かしているのだ。見つけた時、思わず拍手してしまった。 事の始まりはこうだ。さっき、Gmailにログインしようとしたら、以下のようなエラーが出た。 平凡なエラーだ。しかしまずいことに、2度目、3度目も間違えた。そこでふと「Gmailは何回くらいでアカウントがロックされるんだろう」という疑問が湧いた。そもそも自分には、ブルートフォースアタックに対抗するにはアカウントロックしかないと考えていた。 するとなんと、10回目のミスで、次の画面が現れたのだ。 アカウントがロックされる代わりに、突然CAPTCHAが現れた。 つまりこうだ。パスワードを10回
高木浩光@自宅の日記 - Winny問題解決への糸口が今、山梨県警の手に託されている
■ Winny問題解決への糸口が今、山梨県警の手に託されている 1. 山梨県警がこの機会に職員に周知すべきこと またもや悲惨なプライバシー漏洩事故が起きてしまった。 山梨県警の情報流出、婦女暴行被害者の氏名・住所も, 読売新聞, 2007年2月24日 山梨県警甲府署勤務の男性巡査の私物パソコンから、ファイル交換ソフト「Winny(ウィニー)」を通じて500人以上の犯罪被害者らの個人情報を含む捜査資料がインターネット上に流出していた問題で、流出した資料に婦女暴行事件の女性被害者の名前や住所などが含まれていたことが24日、わかった。(略) 県警によると、この巡査は20歳代で、報告書などを作成する際の参考にしようと、前任の長坂署勤務時代の先輩警察官から入手し、私物のパソコンに保存していた。県警の事情聴取に対し、「学生時代からウィニーを使っていた」と話している。 警察からの機密漏洩はこれで発生時期
Windows XP Service Pack 3のFAQ 【更新版】
米Microsoftによると,2008年第2四半期にリリースされる予定の「Windows XP Service Pack 3(SP3)」が,XPの最後のサービス・パックになるそうだ。XP SP3のリリースは,既に遅れに遅れている。XP SP2が出荷されたのは3年以上前のことであり,それ以降,OSの修正プログラムは数百個リリースされ,ユーザーは複数回の再起動を必要とする面倒なアップデートを強いられている。XP SP3は,これらの修正プログラムを全て1つのパッケージにまとめて提供し,さらに驚くべきことに,新機能もいくつか追加する。それらの新機能には,何とXPの後継であるWindows Vistaで初登場したものも含まれている。Windows XP Service Pack 3に関して筆者が知っていることを,以下に紹介する。 Q:Service Pack 3とは何か? A:Windows XP
高木浩光@自宅の日記 - IE 7の普及でサーバ証明書失効によるトラブルが表面化する
■ IE 7の普及でサーバ証明書失効によるトラブルが表面化する Internet Explorer 6まででは、「サーバー証明書の取り消しを確認する」の設定(「インターネットオプション」の「詳細設定」タブのところにある)が、デフォルトでオフになっていたが、IE 7で、これがデフォルトでオンになった。 Internet Explorer 7 における HTTPS セキュリティの強化点, Microsoft Windows Vista にパフォーマンス強化および OCSP プロトコルのサポートが追加されたことで、Windows Vista 上で実行される IE7 では既定で失効状態のチェックが有効になり、セキュリティが強化されます。 この影響が出始めているようだ。 QNo.2856522 証明書エラーがでてしまいます・・, 2007年3月22日 ビスタに変えてから、XPの時に普通に入れていたサ
SEVEN DEGREES: 消極的なCAPTCHA
「人間が入力したかどうか検査」であるCAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)も最近は珍しくなくなり、それにつれて、CAPTCHA対応スパムも出てきた。CouchDbのデモサイトでもこれに困っていたらしいが、Negative-CAPTCHAと呼ばれるしゃれたアイデアでアイデアでスパムを撃退しているようだ(Sofrとかの掲示板がそれ)。 原理は難しくはない。フォーム内にユーザーには見えない隠し項目(但し、Type=Hiddenではない)を設定し、nameをロボットが間違えやすい"email"のような名称にするだけ。 <input type="text" name="email" style="display:none">これでアホなロボットは人間サマには見えないemai
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
国内open proxyの現状
メールのパスワード暗号破った…APOP規格を解読 : 経済ニュース : 経済・マネー : YOMIURI ONLINE(読売新聞)