Skype for iOSにXSS脆弱性、アドレス帳を盗むことも可能 - うさぎ文学日記
iPhone/iPod Touch用の Skype 3.0.1以前にはチャットメッセージのウインドウにクロスサイトスクリプティング(XSS)の脆弱性があると、AppSec Consultingのセキュリティ研究者Phil Purviance氏が公開しています。 ユーザーの”名前”欄に悪意のあるJavaScriptを仕込むことで、チャットメッセージを表示する箇所で攻撃することが可能なようです。攻撃の際のURI schemeに”file://” を使うことで、攻撃者はユーザーのファイルシステムにアクセスして、アドレス帳の情報を盗むことができるとのこと。 XSS in Skype for iOS « Superevr デモの動画もあります。Skypeのプロフィールを使ったXSSはたびたび起こっていますね。 ひとまずは、リストに載っていない人からのチャットメッセージは受け付けないようにしたいですね
パキスタンでは暗号化通信が国家安全保障のため禁止に - うさぎ文学日記
Pakistan Telecommunication Authority (PTA)からプロバイダに通達された内容によると、ネットワーク上のすべての暗号化トラフィックをブロックするようにと指示があったようです。 2010年に制定された回線利用に関する条例に従って、リアルタイムに音声とデータトラフィックを監視するために必要な措置とのことです。 Pakistan bans online encryption for the good of state security - Security パキスタンは過去にFacebookやYouTubeもブロックしているようですね。今回はそれだけでなくVPNなどの暗号化通信が禁止されるようです。たぶんHTTPSも同様かと。
赤外線カメラで入力痕を見てATMの暗証番号を盗む - うさぎ文学日記
赤外線サーモグラフィカメラを使って、ATMの暗証番号の入力の痕跡を可視化して、暗証番号を盗むことができるという発表がありました。入力の10秒後なら約80%の成功率、45秒後なら60%で取得できるそうです。 10秒はともかく、45秒もあれば実現できる可能性はありそうですね。ATMの場合にはカードも必要だと思いますが、ドアの暗証番号とかにも応用が利きそうです。 Stealing ATM PINs with thermal cameras | Naked Security これは試してみたいと思って、赤外線カメラがいくらぐらいするか確かめたら軒並み30万とかもっと高かったり。レンタルでも1日5万円とか。 サーモグラフィカメラ - Google 検索
TwitterのOAuth仕様変更、DMアクセスには再度ユーザーの”許可”が必要 - うさぎ文学日記
5月19日Twitterの公式BlogでTwitterのサードパーティなどのアプリケーションが使う、OAuthで設定しているアクセス権限に仕様変更があると、アナウンスがありました。 Twitter Blog: Mission: Permission これまでの”Readのみ”、”Read/Write”以外に、”Read, Write & Direct Messages”という種類が追加されることに。これを選択するとダイレクトメッセージの「読み込み」、「削除」ができなくなるようです。(送信はできるみたいですね) ユーザーにとっては、サードパーティのアプリケーションにダイレクトメッセージを読ませない、という選択肢を取ることができて嬉しいですね。 詳しい仕様は以下にあります。 The Application Permission Model | dev.twitter.com この仕様変更の適用
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
