パスワード盗み返し | 水無月ばけらのえび日記
インターネットのIDとパスワードを盗もうとした「ハッカー」から逆にパスワードなどを盗み返したとして、愛知県警は5日、兵庫県尼崎市の中学3年の少年(15)を不正アクセス禁止法違反の疑いで書類送検した。調べに対して、少年は「メールを盗み見たりして、困らせてやろうと思った」と話しているという。 パスワードを盗んだとしても、それだけでは不正アクセス禁止法の言う不正アクセス行為にはならないはずです。三条で定義されている不正アクセス行為は、以下の三つだけです。 2 前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。 一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がす
ほんとうは怖い国際化ドメイン名 | 水無月ばけらのえび日記
「JVN#16018033 Safari における URL の表示偽装の脆弱性 (jvn.jp)」。IPA 側の「JVN#16018033「Safari」における URL の表示偽装の脆弱性 (www.ipa.go.jp)」を見ると、IDN(国際化ドメイン名) の話のようですね。で、届出者の吉野さんに話を聞いてみたりしたのですが、なかなか興味深い話が。 IDN がまずいのは、似たような文字の紛らわしいドメインが使われてしまうということです。しかし、あからさまに紛らわしいドメインを取得しようとするとレジストラに怪しまれますから、それは難しいのではないか……。そんな風に考えていた時期が私にもありましたが、よく考えると、IDN はサブドメインにも使えるのですね。サブドメインに紛らわしい文字を使ってもどうということはない、と思うかもしれませんが、「/」をごまかされると非常に厳しいです。 ※試しに未
WILLTY! | 水無月ばけらのえび日記
日経BPに「ウイルスを受信した瞬間に「無力化」するソフト、リアルクリエイトが3月から販売開始 (itpro.nikkeibp.co.jp)」という記事があるのですが、謎の追記がありますね。 【追記】2007年6月22日に,リアルクリエイトに再度取材した結果は以下の通りです。 (~中略~) 以上の点から,現時点では当ソフトの有効性を認めるまでには至りませんでした。(高槻 芳) WILLTY というソフトなのですが、fetus Diary 2006/11/10(金) (fetus.k-hsu.net)やカテゴリー: WILLTY (fetus.k-hsu.net)を見ると、いろいろ参考になるネタがあります。要は昔懐かしい CompJapan の「新メモリ最適化ツール」と同じで、プラシーボ効果を動作原理とするツールなのでしょうね。 そもそも、アンチウィルスは「何も異常が起きないようにする」という
最新のHTMLって何? | 水無月ばけらのえび日記
更新: 2007年5月16日 「全問正解できる? HTML文法基礎クイズ (allabout.co.jp)」というものがあるようですが、難易度がとても高いですね。全問正解できる人いるんでしょうか? 私が悩んだ難問だけメモ。 Q1. 非推奨要素 以下の4つの記述のうち、文法的に最新のHTMLでは使わないことが推奨されているものがあります。それはどれでしょうか? 1. <strong> ~ </strong> 2. <b> ~ </b> 3. <table> ~ </table> 4. <h1> ~ </h1> 以上、全問正解できる? HTML文法基礎クイズ より 初っぱなから超難問で、私には答えが全く分からないのですが……。ちなみに、b要素は使わない方が良いと個人的には思いますが、HTML4.01 では deprecated になっていませんし、XHTML1.1 でも Presentatio
HTTP通信を行うゲートウェイのセキュリティ問題 | 水無月ばけらのえび日記
少し前に Another-HTML-lint (openlab.ring.gr.jp) のメーリングリストに興味深い話が流れていましたが、今日も別件で興味深いものを目撃したので、軽くメモなど。 HTML の文法チェックやアクセシビリティチェック、その他のチェックや計測ツールにおいて、しばしば「URLを入れるとそのサイトにアクセスしてチェックします」という形のインターフェイスが提供されていることがあります。たとえば、Another-HTML-lint では、URL を入れると HTTP でその URL にアクセスし、HTML を取得してチェックしてくれます。 このようなツールでは、任意のユーザが任意の URL を入力することができます。無条件にその URL にアクセスしに行ってしまいますので、DoS攻撃の踏み台として悪用される可能性があります (Another-HTML-lint の場合は、
XSSフィルタはきりがない | 水無月ばけらのえび日記
歴史的経緯を振り返ってみても、HotmailやYahoo! Mailなど、HTMLメールに対応したWebメールが90年代から繰り返しこの種の原因による脆弱性を指摘されてきましたが、発見者達は言外に「このような作り方はやめるべきである」という主張を含んでいたのだろうと私は思います(し、私が指摘したものについてはそのような意図を含んでいました)。しかしながら、そうした脆弱性を指摘されたサービス提供者たちは、根本的な解決を選択せずに、フィルタリング方法のその場しのぎの改善を繰り返して現在にまで至っています。 そうですねぇ。 いつぞやの講演でも言ったと思いますが、指摘→修正→別の方法で貫通することを指摘→修正→別の方法で貫通することを指摘……などという経験をすると、本当にあほらしく思うわけでして。 「XSSフィルタはきりがない」へのコメント (5件)関連する話題: セキュリティ
情報処理試験でNUL文字攻撃の問題など | 水無月ばけらのえび日記
更新: 2006年4月20日 スラッシュドットに「情報処理試験(2006年春)はどうでしたか (slashdot.jp)」というトピックができていますね。今回、「テクニカルエンジニア(情報セキュリティ)」という試験区分が新たに追加されたとのこと。 「情報処理技術者試験センター:問題冊子・配点割合・解答例 (www.jitec.jp)」として問題が公開されているので見てみましたが、ディレクトリトラバーサルやSQLインジェクションの攻撃手法を答えさせるものがあったりして、なかなか興味深いです。 個人的に印象深かったのは、拡張子指定を迂回する話ですね。Perl スクリプトで、外部から与えられた $fname という名前に対して '.cep' という文字列を連結してから open に渡しています。$fname は何もサニタイズされていませんが、プログラム内で '.cep' という固定の文字列が連結
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
日常的な誤動作 | 水無月ばけらのえび日記
直リンクとCGM | 水無月ばけらのえび日記