セキュリティ過敏症 - ぼくはまちちゃん!(Hatena)
初心者はPHPで脆弱なウェブアプリをどんどん量産すべし ↑のブックマーク うん。増田くんはいつもいいこと書くね! ブックマークの方には 危険だとか迷惑だとか踏み台だとか色々かいてあるけれど(というか踏み台ってなんだろ?) そんなに大切な個人情報をたくさん扱ってるサイトなんてどれだけあるかな。 みんなそういうサービスつくってるの? なんかすごいね。 ぼくの使っている範囲だと、(提供側が気をつけていないと) 本当にまずいのは銀行と証券とカード会社のような、お金のからむサービスくらいだよ。 もちろん、他にメール内容だとか、購読しているフィードだとか、知られたくない個人情報なんてのは、人によってたくさんあるよね。 だけど、例えばぼくがメールサービス作りましたなんて言ったら誰か使う? それか無名の団体だったらどうかな。それで大切なメールやりとりしちゃうの? そう。そもそも、利用者もそれほどバカじゃな
高木浩光@自宅の日記 - ユビキタス社会の歩き方(3) 無線LANのSSIDを不用意に明かさない
■ デイリーポータルZ 記者の家を探しに行く 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では次のように書いた。 つまり、家庭の無線LANアクセスポイントのMACアドレスを誰かに知られることは、住所を知られることに等しい。そのような事態をPlaceEngineサービス(および類似のサービス)が新たに作り出したことになる。 「MACアドレスは個人を特定するものではない」と言えるだろうか?もし、別のネットサービスで、何らかの目的で家庭の無線LANのMACアドレスを登録して使うサービスが始まったとする。そのサービスもまた、「MACアドレスから個人が特定されることはありません」と主張するだろう。このとき、PlaceEngineとこのサービスの両者が存在することによって、わからないはずの住所が特定されてしまう事態が起きてくる。 PlaceEngineなどのサービスが存在する現
2007-06-16
人のホームページやブログをみたり、あとは掲示板やチャットに参加したら、どんな個人情報が人に知られるかを正確に知ってる初心者の方は少ないと思うので、簡単に説明します。 まず、あなたのブラウザがどんな情報を出しているかを、以下のサイトで調べてください。 IPひろば:環境変数チェック(詳細版)http://www.iphiroba.jp/env.php これらの情報をホームページやブログをみていたらその管理者に、掲示板やチャットに参加したらその一部の情報が参加者に知られる可能性があります。 ホームページやブログの管理者が「アクセス解析」を行っていれば来た人のリモートホスト・IPアドレス・ブラウザのバージョン・OSのバージョンなどはわかります。 掲示板への書込みのログにも、それらの項目が記載されます。(それが表示されるかどうかはその掲示板次第です。リモートホストまでは表示されるところもあります。)
livedoor ニュース - mixiへの書き込みで即日解雇
mixiへの書き込みで即日解雇 2008年05月16日07時41分 / 提供:PJ 【PJ 2008年05月16日】− 非常に驚いた話で、ちょっとした裏事情もあるようだが、ここではできるだけ客観的に中立に事実だけ書くように努力したい。わたしの知人がmixiへの書き込みが原因で即日解雇を言い渡された。 知人はごく普通の青年である。この「ごく普通」が実は問題で、わたしや彼の主観での「普通」であって、社会的に見れば足りない部分があった言われても仕方がない。ただその「足りなさ」がこれを読んでいらっしゃるあなたにもないか、ということである。 知人はごく普通の青年で、ブログやmixiで日記を書いていた。「今日○○をやった」「××があった」というような誰もが書く感じのもので、ただ悪口や批判めいたことはあまり書かないようにしていた。 彼はあるコミュニティーに次のような趣旨の書き込みをした。本人によ
[R30]: PVではなくFeedがウェブの価値基準になる?
今年初めぐらいからあちこちで言われていたことが少しつながったような気がしたのでメモ書き。 気になっていた1つめは、こちらのブログでさりげなく書かれていた話。ページビュー(PV)とかリーチで見た日本のインターネットの伸びが、今年第1四半期で頭を打ったというもの。 こちらのブログでは「インターネットが右肩上がりである、というオプティミズムは、意外に早く崩壊するかも」と、ネガティブなファクトと受け止めていたのだが、僕自身は何か腑に落ちないものを感じていた。実感として、日本人のネット利用時間がここに来て減り始めているという印象はない。 まあ、6月末になれば総務省の情報通信白書が出てくると思うので定量的なものが明らかになるだろうが、今年初めからのYouTubeの大人気ぶりなどを見ていても、むしろ情報メディアとしてのネットの勢いは、ここに来て一気に加速し始めたというほうが感覚値的には正しい。 じゃあど
![[R30]: PVではなくFeedがウェブの価値基準になる?](https://cdn-ak-scissors.b.st-hatena.com/image/square/ca4c1668addd937635f304418d0e1b58fc22d03c/height=288;version=1;width=512/http%3A%2F%2Fshinta.tea-nifty.com%2F.shared-cocolog%2Fnifty_managed%2Fimages%2Fweb%2Fogp%2Fdefault.png)
教えることの難しさ - ぼくはまちちゃん!
こんにちは! いきなりだけど教えることって、すごい難しいと思いませんか! とくに初心者に教えることが…! なんていうか、初心者にこそ本当に上級者クラスの人があたらないと、 ちゃんと教えられないんじゃないかなーって、いつも思っちゃうよ。 だって初心者の人は、いつも本当にとんでもないことを聞いてくるよね。 もうね、自分みたいな中級者なんかじゃ「それはそんなもんやねん」としか答えられないことが多いよ! ぼくそんなことまで知らないのに! それはたぶん、初心者だと自分の知りたいことの範囲すら、まだ理解していないからってこともあるのかな。 だから基本から応用、あと関連知識みたいなところまで広く深くカバーしている上級者でないと、初心者相手には、きちんと答えられないことが多いのかもしれないね。 それとも、どうせ相手はわかってないんだから、そこまでキッチリ答えなくてもいいかな。 うん。中級者相手に教えるのな
T.Teradaの日記 - ログイン直後のレスポンスの返し方
多くの会員制Webサイトでは、ID/PWによるログイン処理がある。ユーザにログイン画面を提示し、ユーザがフォームにID/PWを入力してsubmitする。ID/PWがOKであれば、ユーザのブラウザにはログイン後の画面が表示される。 以下に、これを実現するための2通りのシーケンス図を描く。セキュリティの観点で望ましいのはA、Bのどちらだろう?というのが今回のテーマ。 Aではログイン要求に対してHTTPステータス200応答とともにログイン後画面をブラウザに返している。Bではログイン要求に302応答を返して(HTTP1.1では303応答)、ログイン後画面にリダイレクトしている。 結論を言うと、セキュリティの観点では、私はBの方が望ましいと考えている。 逆に言うと、Aにはどうにも気に入らないところがある。それは、ID/PWを含むリクエストに対して200応答を返していることだ。200応答のページは、ブ
切込隊長BLOG(ブログ): 仕事中に、はてブとかやるなよ
”藤元健太郎の「フロントライン・ビズ」”というのに興味深い記事が。 第18回 あなたの会社は仕事中にはてブを使えますか?──IT鎖国する大企業 http://wiredvision.jp/blog/fujimoto/200802/200802191000.html この記事の場合、コンプライアンスとの兼ね合いで企業が就業時間中の社員のネット閲覧にどのような制限をかけるかという軸足で論じているんだが、これって「就業時間に社員がネットを自由に見ることが生産性を上げる」という前提なのかな。 「今企業の競争力で重要なのは創発力であり、新しいアイデアを生み出すために必要な知識の多くは社内にあるのではなく、社外である」という建前はいいとしても、実際には仕事上の創意工夫がネットで転がってる職種なんて少数派じゃないの? 経理が仕事の進め方を知りたくてネットを見るとかって使い方かね? 社員が企画書書くときに
10代のネット利用を追う: 子どもがネットで受ける被害は甚大
総務大臣が2007年末、未成年者の携帯電話新規加入者におけるフィルタリングサービスの原則加入を要請して話題になった。そこには、未成年者が携帯電話のネット利用によりさまざまな被害に遭ってきたという背景がある。10代の子どもたちは携帯電話のネット利用でどんな被害に遭っているのだろうか。また、それに対して大人はどんなことができるのだろうか。未成年者のネット被害に詳しい、インターネット協会の主任研究員である大久保貴世氏に聞いた。 ● 声を聞くだけでほっとする相談者たち インターネット協会では、ネットのルール&マナー検定やアドバイザー講座、フィルタリング普及啓発活動を行なうほか、インターネットホットライン連絡協議会でネット利用に関する悩み相談を受けたり、インターネット・ホットラインセンターで違法・有害サイトの通報も受けている。これまでに3,643件ものネット利用に関する相談が寄せられており、小中高生
Gmailにゼロデイの脆弱性情報、メール盗み見の恐れ - ITmedia Biz.ID
米GoogleのWebメールサービス「Gmail」に、他人のメールを盗み見できてしまう脆弱性が報告された。Googleをめぐっては、このほかにも複数のサービスでゼロデイの脆弱性情報が公開されている。 Gmailの脆弱性情報は、ハッカーサイトの「GNUCITIZEN」などで公開された。同サイトによれば、この問題を悪用するとクロスサイトリクエストフォージェリ(CSRF)攻撃を仕掛け、Gmailアカウントにバックドアをインストールして会話をすべて盗み見することができてしまうという。 ユーザーがGmailにログインした状態で悪質サイトを閲覧すると、バックドアがインストールされ、被害者のフィルタリストに新しいフィルタが作成される。例えば、添付ファイルが付いたメールを自動的に別のメールに転送するフィルタを作成することが可能だという。 この攻撃は非常に悪質であり、ユーザーが被害に気付くことはまずあり得な
中国の検閲用ファイアウォール、ケンブリッジ大研究グループが突破
ケンブリッジ大学に所属するコンピュータ専門家らが、中国の国家的なファイアウォールを突破し、さらには同ファイアウォールを踏み台にして、国内の特定のインターネットアドレスへサービス拒否(DoS)攻撃を仕掛ける方法までをも発見したと述べている。 Ciscoのルータを利用するこのファイアウォールは、政治的なイデオロギーや団体など、中国政府によって不適切と判断され、検閲対象になったキーワードを基準に、ウェブトラフィックをふるいにかけるために用いられている。 ケンブリッジ大の研究チームは、「Falun」という語句を含むデータパケットを送信し、ファイアウォールの性能を検証したという。Falunとは、中国で活動が禁止されている宗教団体「法輪功(Falun Gong)」を意味している。 その結果、エンドポイントに接続破棄を強制するために中国側のルータが挿入してくる偽のTCPリセットを無視すれば、侵入検知シス
霞ヶ関からのネット利用 - 雑種路線でいこう
なかのひとという面白いサービスがあって、ガジェットを張っておくとどんな組織からアクセスがあるかタグクラウド風に表示してくれる。それによると財務省・総務省・国土交通省・文部科学省・厚生労働省・環境省・農林水産省・特許庁・気象庁・内閣法制局・会計監査院・最高裁判所・衆議院・参議院あたりからは当ブログへのアクセスを確認できるのだが、確かに経済産業省・外務省・防衛省・警察庁からのアクセスはみない。ちなみに大手ITベンダでHP・IBM・NEC・富士通・日本ユニシス等からはかなりのアクセスがあって日立からだけ全くないのだが、同社の社員によると実際フィルタされているという。 北畑隆生氏の「株主はバカ」発言は大反響を呼び、ブログ検索でみると倖田来未の「羊水」発言を上回っている。しかし経産省では、blog.goo.ne.jpは有害サイト(?)としてフィルタリングされているそうなので、官僚諸氏が休日に読めるよ
ぷららの「Winny遮断」はISPの産業革命だ:ITpro
インターネット通信事業者(ISP)のぷららネットワークスは2006年3月16日,ファイル交換ソフト「Winny(ウィニー)」のトラフィックを遮断すると発表した。同社は遮断開始の時期を明確にしていないが,一部報道によれば5月ごろにも開始する模様だ。これが実現すれば,インターネット接続を生業とするISPが特定のアプリケーションの通信を公に禁止する,過去に前例のないエポック・メイキングな事例となる。 従来から,ピア・ツー・ピア(P2P)型のファイル交換ソフトはISPにとって悩みの種だった。帯域の多くがファイル交換に占有されてしまい,バックボーンへの設備投資の費用をペイできなくなる恐れがあるからである。特に,下りではなく上りのトラフィック,つまり,自社と契約しているユーザーがインターネットにファイルを公開し,ほかのISPと契約しているユーザーからのダウンロードが殺到する,このトラフィックが問題とな
【単独インタビュー】「当社が不正アクセスの手口を公開しない理由」,カカクコムの穐田CEO : IT Pro ニュース
5月14日から10日間,不正アクセスを受けてサイト「価格.com」を閉鎖していたカカクコム。5月24日にセキュリティ対策を終えた一部のサイトを再開した。だが同社の不正アクセス対応を巡っては,侵入手口を公開すべきと指摘する声も少なくない。今回の対応の真意について,穐田誉輝・代表取締役CEO(最高経営責任者,写真=5月25日の会見時のもの)に聞いた。 --不正アクセスが発覚した5月11日時点で,なぜ即座にサイトを閉鎖しなかったのか。 今から振り返れば,そうすべきだったと思う。だが当時は,何が原因か特定できないままサイトを閉鎖することは,多くのユーザーや出店者に迷惑をかけてしまうと考えていた。それよりは,サイトを運営しながら理由を突き止めて対策を打つのがよいと判断した。それが発覚してから3日間,サイトを閉鎖しなかった背景にある。 11日に不正アクセスを受けた時点では,被害の実態が把握できなかった
ウノウラボ Unoh Labs: 脆弱性検知ツールratproxyをCygwin上で動かしてみました
こんにちは!やまもと@テスト番長です。 先日Googleからプロキシ型の脆弱性発見ツール「ratproxy」が公開されました。 これは触らないと!ということでCygwin上で動かしてみました。 ratproxy http://code.google.com/p/ratproxy/ cc1:error: unrecognized command line option "-Wno-pointer-sign" ので、 Makefileの23行目 CFLAGS = -Wall -O3 -Wno-pointer-sign -D_GNU_SOURCE のところから-Wno-pointer-sign を消して再チャレンジします。 すると今度はこの警告が出ます。 *** WARNING: flare-dist/flare binary is not operational. *** Plea
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Internet Week 2005 チュートリアルプレゼンテーション資料 - JPNIC
http://www.technobahn.com/cgi-bin/news/read2?f=200708291010&ref=rss