スマホアプリのSSLサーバ証明書の検証不備について
8. 8 SSLサーバ証明書の検証不備とは 不正な SSL サーバ証明書を使用 しているサーバであっても警告 を出さずに接続してしまう問題 中間者攻撃 による通信の盗聴や 改ざんなどが行なわれても、 ユーザが気づけない 出典:JVNDB-2012-000037 - JVN iPedia - 脆弱性対策情報データベー ス http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000037.html 9. 9 JVN公表されたアプリ 公開日 JVN番号 アプリ名 アプリ種類 2013/08/19 JVN#75084836 Yahoo!ショッピング Androidアプリ 2013/08/19 JVN#68156832 ヤフオク! iOS/Androidアプリ 2013/06/07 JVN#39218538 ピザハット公式アプリ Androidアプ
facebookアカウントを乗っ取る方法 | 技術は熱いうちに打て!
注:タイトルは引きを強くするためにこうしてますが、実際に乗っ取るのを勧めている訳ではありません。結構最近、身近で増えて来たと感じるので書いておきます。 最近、facebookでこんな事ありませんか? ※特に男性の皆様。 可愛い子から友達申請来た!\(^O^)/ どこの誰か分かんないけど、なんか共通の友人も何人かいる事だし、可愛いしとりあえず承認、承認っと♪(あわよくば、ふふふ・・・) なーんて、何も考えずに承認しているそこのあなた。 めっちゃ危険ですよー。 facebookのアカウントが乗っ取られる可能性があります。 乗っ取り方前提: 乗っ取りたいアカウントにダミーアカウント3人で友達申請をして承認してもらう。 そして、乗っ取りたいアカウントをA 乗っ取るためのダミーアカウントをB,C,Dとする。 facebookではパスワードの変更手続きがいくつかあるのですが、 パスワードを忘れた方はこ
Androidのプライバシーポリシーガイドラインを作ってみました。
2012年8月に、総務省のスマートフォンを経由した利用者情報の取り扱いに関するWGにおいて、最終とりまとめとして、「スマートフォン プライバシー イニシアティブ - 利用者情報の適正な取り扱いとリテラシー向上による新時代イノベーション」が公開されました。 ドキュメントが作成された背景としては、スマートフォンには行動履歴や通信履歴等の様々な利用者情報が蓄積されており、アプリケーションがそれらに対してアクセスを行い、外部へ送信している場合がある。 一方、利用者情報の利用目的が不明瞭で、十分な説明が無いまま取得・活用するアプリケーションも増加しており、利用者の不安が高まっているといった事があります。 このドキュメントは、アンドロイドの話だけではなく、スマートフォン全体の話になっています。またアプリ開発者だけではなく、キャリアや広告事業主、アプリケーション配布サイト、アプリケーション紹介サイト、と
猫科研究所 - Roaming, Local, LocalLow
Vista以降、Windowsはアプリケーションが設定等を保存する場所として、%USERPROFILE%\AppData以下にRoaming, Local, LocalLowという3つのフォルダを用意している。%APPDATA%はRoamingに割り当てられているのだが、では他の2つとの使い分けはどうなるのか。 これを満足なレベルで解説してるところがあまり見つからず、自分で簡単に調べてみたのでメモ。 Roamingの正体 恐らく第一の答えはkb955555(機械翻訳版)になるだろう。(後で気づいたがTechNetの方に同等内容の公式な日本語訳があった) 機械翻訳版はどうも気持ち悪いので頑張って原文を訳してみる。 Windows Vista uses the Local and LocalLow folders for application data that does not roam
UAC in MSI Notes: How to Build Packages that work for both Standard User and Per-Machine? - Setup Sense and Sensibility - Site Home - MSDN Blogs
In Visual Studio 2022 17.10 Preview 2, we’ve introduced some UX updates and usability improvements to the Connection Manager. With these updates we provide a more seamless experience when connecting to remote systems and/or debugging failed connections. Please install the latest Preview to try it out. Read on to learn what the Connection ...
ASP.Net 4: Change the Default Encoder
Free course demos allow you to see course content, watch world-class instructors in action, and evaluate course difficulty.
IntelのMcAfee買収、その意味は
半導体大手の米Intelによるセキュリティソフトメーカー米McAfeeの買収は、単に2つの会社を合わせて1つの大きな会社にするというだけではない。Intelが自社の製品ライン全体で、セキュリティのレベルを引き上げると決断したことの表れでもある。さらに、Intelが重要性の高い独自製品を提供することで、米Cisco Systemsなどのネットワーク・通信機器ベンダーに対抗する準備をひそかに進めていることも示している。 Intelの方向性がうかがえる手がかりの1つが、同社が先に米Texas Instruments(TI)のケーブルモデム事業を買収したことだ。これもまた、数年前にケーブルインタフェース技術大手の米Scientific Atlantaを買収したCiscoに対抗する動きだ。Ciscoの買収はほとんどが表に出るものではなく、Scientific Atlantaのケーブルモデムは5年前と
セキュリティホール memo - 2010.07
》 Googleのモバイル検索の市場シェアは驚異の98.29% (techcrunch, 7/30)。ギレン「圧倒的じゃないか我が軍は」。後ろから刺されないように注意しましょう。 》 Facebookのユーザー情報1億7千万件をアップロードした“ハッカー”、「公開データを収集しただけ」と語る (techcrunch, 7/30)。公開情報だけでウハウハ。 》 Jeff Bezos、Kindleの未来について大いに語る(ハイライトビデオあり) (techcrunch, 7/30) 》 VMware とセキュリティ VMware社がウイルス対策フレームワークをリリースし、TrendMicro社と提携へ(20100727-7) (virtualization.info, 7/28) どうやら、VMware社では当初、このプロジェクトでTrendMicro社とMcAfee社の両社と提携する予定だっ
「Google Trends」の急上昇ワードをマルウエア配布に悪用
McAfee Avert Labs Blog 「Google Trends Abused to Serve Malware」より February 25,2009 Posted by Craig Schmugar 先日,「Error Check System」と呼ばれるワームがソーシャル・ネットワーキング・サービス(SNS)「Facebook」で広がった。実際,このワームに関する情報を検索すると,細工された検索結果から悪質なサイトに誘導され,スパイウエア対策ソフトを装ったトロイの木馬がインストールされる。複数のブログ記事が,この検索結果は「あまりにも出来過ぎている」と指摘し,Facebookの脅威はあくまで「おとり」だと述べている。ただ筆者はこの見方には同意しかねる。以下にその理由を示そう。 2009年2月第3週,筆者は当ブログに投稿されたコメントの一つを調べた。コメント投稿者の提示したU
ワンクリック詐欺やウィルス感染を避けるステルス・ブラウジング(Torの導入まで) - digital 千里眼 @abp_jp
まだワンクリック詐欺? こんな記事が出てました テクノロジー : 日経電子版 http://www.yomiuri.co.jp/national/news/20080926-OYT1T00432.htm あまりに世の中詐欺が多いっ!! (無防備なまま使う人も多すぎる) で対策をまとめておきます IE(Internet Explorer) を使わない 悪意を持ったウィルス作者や詐欺サイト作者はターゲットを絞って攻撃してきます 使用ユーザーの多いブラウザ IE は言わばマトの大きなダーツ。「当たりやすい」のでまず最初に狙われる ⇒ ActiveX プラグインが必要なとき(=Microsoft Update)以外は使わない ⇓ ⇓ ⇓ ⇓ ブラウザをリスクレベルに応じて使い分ける IEを使う条件を絞る 安全確実で IE以外では動かないサイト ← リスク小
俺事件簿 シーズン3 −クレジットカードが不正使用されました - おれはおまえのパパじゃない
また事件起きた。もういいから事件とか。要らんから。 今朝普通に仕事してたらプライベートのケータイに着信あったんですよ。ケータイ持って早11年ですけど、着信とかマジないからね、普通。しかも真っ昼間に着信なんてあるわけない。もうこの時点で身構えますよ。 楽「もしもし、こちら、テラヤマアニ様のケータイでよろしかったでしょうか」 俺「(よろしかったでしょうかじゃねえよコノヤロウ) ……はい、テラヤマですけど」 楽「あ、私、楽天KCのナカムラと申します」 俺「はあ……」 楽「突然のお電話申し訳ございません。カードのご利用状況について二三、ご質問させていただきたいのですが、ええと、昨日ですね、12月7日に、ヴィーナスフォートにて楽天カードをご利用になりましたでしょうか」 俺「はあ? ヴィーナスフォート? ってお台場の? いやいやいや使ってないですよ。つか昨日家から一歩も出てませんもん。もう俺みたいな低
Appleがウイルス対策ソフトの利用を奨励
米Appleがこれまでの姿勢を転換し、Macユーザーにウイルス対策ソフトの利用を促す告知をサイトに掲載した。 12月2日に更新された告知(米国版)ではMac OSユーザーを対象に「Appleは複数のウイルス対策ユーティリティの利用をお勧めします」と明言。ウイルス対策ソフトウェアを複数利用すれば、ウイルスの作成がそれだけ難しくなると指摘している。 具体的な製品として、米国版では「Intego VirusBarrier X5」「Symantec Norton Anti-Virus 11 for Macintosh」「McAfee VirusScan for Mac」の3製品を紹介した。ウイルス対策ソフトウェアメーカーのIntego Softwareは、「Appleが初めて、Macにもウイルス対策ソフトが必要だと提言した」とブログで宣伝した。 Integoは、MacとWindowsを比較するAp
「ウイルスバスター2009」が掲げる“安心”と“軽快”の中身
トレンドマイクロのセキュリティ対策ソフト「ウイルスバスター2009」が9月に発売された。「さらに安心、しかも軽快。」というセールスポイントを掲げるウイルスバスター2009では、パスワードの盗難を防ぐ機能を追加したほか、メモリ使用量を45%削減するなど軽量化を図っている。 本稿では、その新機能を紹介するとともに、“軽快さ”についても検証した。 ● パスワードのキー入力を暗号化 まず、「さらに安心」という面では、パスワードの盗難を防ぐという「キー入力暗号化」機能を搭載した。この機能は、SSLによって暗号化されたページでパスワードを入力する際、キー入力を即座に暗号化し、OSを介さずにネットワークに送り出すというもの。Internet Explorer 7/6に対応している。 キーボードの入力情報を盗み取るスパイウェア、いわゆるキーロガーは通常、アプリケーション層やキーボードドライバなどのOS層に
ScanNetSecurity - SCAN DISPATCH : DNS脆弱性の仕組を発見者のダン・カミンスキー氏が公開
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。 ---- (「SCAN DISPATCH : ドメイン全般を10秒で乗っ取れるエクスプロイトが公開される」から続く) 2008年7月21日、ドイツのセキュリティ専門家でBlackHatの専属リバースエンジニアでもあるハルバー・フレイク氏(Halver Flake)が、自らのブログで「...ダン(カミンスキ氏)が、パッチ当て遂行の時間をかせぐために「推測も公表しちゃダメ」と言っているのは分かっている。これは賞賛に値する目標だけど、推測もしないことが、この目標の達成に貢献するとは思えない」と前置きした上で、「プロトコル関連の仕事はしたことがないので真実とは程遠いだろうが、僕なりの推測はこうだ」と、DNSポイズニングの仕組みを推測した。カミン
ScanNetSecurity - SCAN DISPATCH : ドメイン全般を10秒で乗っ取れるエクスプロイトが公開される
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。 ---- 今月初頭にパッチが発行されたDNSの脆弱性は、DNSポイズニング(DNS Poisoning, DNS Cache Poisoning)と呼ばれ、株式会社ラック サイバーリスク総合研究所が2008年7月23日配信の「Scan Tech Report」の記事でも取り上げている。米国時間の7月23日深夜、エクスプロイトをアーカイブするなどの活動でペンテストのリソースとなっているメタスプロイトが、DNSポイズニングのエクスプロイトを二つ発表した。代表のValsmithは、「(箝口令がしかれていたが)仔細を推測するブログエントリも現れ、実際の詳報も手違いにより流出し、また発見者自身がインタビューでその経緯を公にしている。既にエクスプロイト
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Loading...