[B! セキュリティ] xuckerのブックマーク

xucker id:xucker

セキュリティに関するxuckerのブックマーク (6)

新たな「Androidウイルス」出現、ゲームに見せかけて位置情報を送信
セキュリティ企業各社は2010年8月17日、Androidを搭載した機器に感染する新たなウイルス（悪質なプログラム）を確認したとして注意を呼びかけた。ゲームに見せかけたウイルスをインストールすると、位置情報を第三者に送信されてしまう。今回、悪質な挙動が確認されたのは、「Tap Snake」という名称のアプリ（図1）。「スネークゲーム」と呼ばれるゲームの一種だとうたっている。スネークゲームとは、“へび”に見立てた連なった点を操作して、画面中の“えさ”に見立てた点を食べさせる単純なゲーム。Tap Snakeでは、画面をタップすることで、自動的に移動する“へび”の方向を変えて“えさ”を食べさせる。 Tap Snakeには、スネークゲーム以外の機能も組み込まれている。機器の位置情報を取得して、特定のサーバーに送信する機能だ。ゲームを終了しても、この機能はバックグラウンドで動き続け、15分ごとに位
xucker 2010/08/20
システム的にはインストール時のパーミッションで問題ないかわかるようになってるんだから、もう少しGoogleはパーミッションの内容を一般人でも理解できるようにするべきだね。

android

セキュリティ
リンク
Androidの制御を奪うルートキット、研究者が披露へ
ラスベガスで7月に開催されるハッカーのカンファレンス「DEF CON 18」で、Androidスマートフォンの制御を奪うカーネルレベルのルートキットのデモが披露される。プログラムを予告するDEF CONサイトから明らかになった。発表するのはセキュリティ企業TrustwaveのNicholas J. Percoco氏とChristian Papathanasiou氏。両氏はローダブルカーネルモジュールとして実行されるカーネルレベルのAndroidルートキットを開発したと述べている。サイトによれば、「トリガーとなる番号」からの電話を受信すると、攻撃者とAndroid端末の間で3GまたはWi-Fiを介したリバースTCP接続が開始され、Android端末へのアクセスが完全に乗っ取られるという。この様子は、カンファレンスでデモされる予定だ。これが悪用されると、デバイスに保存されたSMSメッセージ
xucker 2010/06/07
これが現在流通している端末の初期から入っているOSで起こり得るなら意義はあるが、カスタムROMをインストールする必要性があるなら注目に値しない。Linux rootkitをandroidにもportできたというだけの話になるのでは

android

セキュリティ
リンク
「HTML5は優先順位を間違った。もういちどセキュリティの設計からやり直すべきだ」と語るJavaScript大家のDouglas Crockford氏
「HTML5は優先順位を間違った。もういちどセキュリティの設計からやり直すべきだ」と語るJavaScript大家のDouglas Crockford氏「HTML5の最大の問題は、優先順位を間違ったことだ。機能について議論する前に、セキュリティの扱いについて検討すべきだった」こう語るのは、JSONの発明者として知られ、Yahoo!のシニアJavaScriptアーキテクトでもあるDouglas Crockford氏。5月4日に行われたオライリーのWeb2.0 Expo 2010でのインタビューでのことです。「もうそれを議論するには遅すぎるという人もいるが、そうは思わない。正しいことをするのに遅すぎることはないのだから」（Crockford氏） Crockford氏はHTML5は機能が重複しすぎていることも指摘しています。「Local StorageとLocal Databaseの両方が本当
xucker 2010/06/04
あまりに酷いコンテンツが蔓延してJavaScriptは無効でFlashを有効にするのが主流になる可能性はあるな。

html5

セキュリティ
リンク
「企業内では絶対にGoogle Chromeを使うな」
メッセサンオーの「エロゲ購入者リスト漏れ事件」での教訓だな。 WEBインベンターのゴミのようなCGIシステムとか、メッセサンオーの無知ってのもあるにしても、「実際にGoogleのロボットにURLを教えた」のはおそらくGoogle Chromeだろうし。こんなクソのようなCGIシステムを使ってないとしても、イントラ系グループウェアなんかで利用されるURL構造が逐一Googleに送信される状態がデフォルト設定っていうのは恐ろしすぎる。
xucker 2010/04/03
IE使っても、手動でURLを検索エンジンに登録できるからな。それに他所からリンク貼られていない孤立したURLは、インデックスなかなかされない。普通に企業内でリンクが貼られていたとしか思えない。

セキュリティ

これはひどい
リンク
管理プログラムがGoogleにインデックスされないようにする２０１０年０４月０２日
ＷＥＢインベンターのご利用に心から感謝いたします。さて、当社のカートを利用しているお店で個人情報流出の事故が発生しました。それは、管理プログラムがGoogleにインデックスされてしまったことによるものです。原因は調査中ですが、しかし、そのような場合でも検索エンジンに拾われないような対策を施してありますので、お知らせいたします。対処方法：１．パスワードの管理に気をつける２．最新の管理プログラムを使う３．検索エンジンにインデックスされてしまったときの対処４．今後の対応 ━━━━━━━━━━━━━━━━━━━━━━━━━━━ １．パスワードの管理に気をつける ━━━━━━━━━━━━━━━━━━━━━━━━━━━ パスワード付きのＵＲＬが検索エンジンに拾われないようにするために気をつけてください。間違っても、パスワード付きのＵＲＬを一時的にもホームページで公開しないようにしてください
xucker 2010/04/02
Googleにインデックスされる時点で不特定多数の人から閲覧できる状態になってるのでは。この認識だと、WEBインベンターのツール使ってるサイトからは絶対に物を買いたくないな

これはひどい

ネタ

セキュリティ
リンク
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
2. プロフィール上野宣（うえの・せん）京都市生まれ、幼少期は実家がパソコンショップ、高専でロボコンに熱中し、豊橋技科大でインターネットにハマり、奈良先端科学技術大学院大学にて山口英教授の下で情報セキュリティを専攻EC開発ベンチャー企業で創業メンバー、東証マザーズ上場などを経験を経て、2006年6月に株式会社トライコーダを設立株式会社トライコーダ代表取締役情報セキュリティ教育ネットワークシステム／Webアプリケーション脆弱性診断http://www.tricorder.jp/ 独立行政法人情報処理推進機構(IPA)セキュリティセンター研究員セキュリティ＆プログラミングキャンプ講師情報セキュリティ専門誌 ScanNet Security編集長Copyright©2010 Tricorder Co.Ltd. All rights reserved.2sen_u 3. 著書、連載など今夜わかる
xucker 2010/02/23
あとで読む

セキュリティ
リンク
1