「天才プログラマ」が登場するというTBSの正月特番ドラマ、設定や描写がガバガバすぎてIT業界人からツッコみ多数 | スラド セキュリティ
Anonymous Coward曰く、 1月3日に放送された正月特番ドラマ「半沢直樹Ⅱ エピソードゼロ 狙われた半沢直樹のパスワード」でのITやセキュリティ、プログラミング関連描写が現実離れしていると、IT業界人からのツッコミが多数出ている模様(市況かぶ全力2階建、Togetterまとめ)。 『検索エンジン開発・運用を手がける新興IT企業が突然証券会社のトレーディングシステム開発のためのコンペに参加することになり、突如発生したシステムダウンのピンチを「プログラミング能力」で乗り切った新人プログラマーがプロジェクトリーダーとなって奮闘する』というあらすじからまずツッコミどころがあるが、作中ではプロジェクトの参加者が5人だったり、プロジェクトの総費用が数億円だったり、システム稼働日の朝にフィッシングが仕掛けられたりと、なかなかに現実離れしたストーリーだったようだ。 なお、現代っぽくKubern
Microsoft.comは毎秒7000~9000回の攻撃を受けている | スラド セキュリティ
Microsoft.comは常に大量の攻撃にされされているそうだ(本家記事)。 (マルウェアなどの)スクリプト初心者はまず同社をターゲットにするとのことで、Microsoftのシニア・セキュリティ・アーキテクトRocky Heckman氏によるとMicrosoft.comは毎秒平均7000~9000回もの攻撃を受けているとのこと。また、マルウェア製作中にWindowsをクラッシュさせ、うっかりエラーの詳細とその原因となったコードをMicrosoftに送ってしまうハッカーもかなりの数いるそうだ。 この話はMicrosoft Tech.Ed 2010で明らかにされたとのこと。Heckman氏曰く、最も使われるハッキング手法はこの6年間変わらずにクロスサイトスクリプティングおよびSQLインジェクションであり、これは悪意ある者が馴れた手法を使うことを好むのと、開発者らが(これらの手法やその対処など
Office XPに含まれる脆弱性、「訂正不可能」なため放置 | スラド セキュリティ
MicrosoftはOffice XP/2003/2007で発見された、「重要」とされる脆弱性「MS10-036」について、Office XPに対しては修正パッチをリリースしないそうだ。理由は「Office XPの非常に多くの部分を再度設計し直す必要がある」ため、「修正プログラムを開発することは不可能」だからだそうだ(japan.internet.comの記事)。なお、Office XPはまだ延長サポート期間中であるため、これ以外の脆弱性に関する対策パッチについては基本的にはリリースされている。 脆弱性の修正を諦めるということが許されるのだろうか、また似たような例を知っていたら教えていただきたい。
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
ソフトバンク携帯電話に脆弱性、「かんたんログイン」でのなりすましが可能に | スラド セキュリティ
セキュリティコンサルティング会社のHASHコンサルティングが、ソフトバンク携帯電話のブラウザ機能の脆弱性について発表している(『Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題』)。 この脆弱性は「DNS Rebinding」と呼ばれる手法を用いるもので、認証に「かんたんログイン」を使用しているサイトがターゲットとなる。攻撃の仕組みは上記のサイトなどを参照していただきたいが、TTLを短く設定したDNSを用い、悪意のあるWebサイトのドメインに対応するIPアドレスを短期的に攻撃対象のWebサイトのものに書き換えることで、ドメインが異なるWebサイトの情報をAjaxで取得するというもの。これにより、ターゲットのサイト上で閲覧に認証が必要な情報を盗み取ることができる。 一般的なWebブラウザではセッション管理をCookieで行っているため、悪意のあるWebサイトのドメイン
メッセサンオーの顧客情報漏洩、原因は化石級の杜撰なCGI | スラド セキュリティ
INTERNET Watchの記事が伝えているように、4月2日、ゲームや同人誌などを販売するメッセサンオーの顧客情報がGoogleにキャッシュされ、誰でも閲覧できる状態になっていたことが発覚した。現在はキャッシュが見えないよう対策されているが、m-birdの日記などによると、使われていたショッピングカートの管理画面が、URLにパスワードを含む仕様になっていたのが原因らしい。INTERNET Watchの記事は「追記」として、これがWEBインベンターが提供するCGIスクリプトだとし、開発元が対策を呼びかけていると伝えている。 しかし、その対策元の呼びかけは、「管理プログラムがGoogleにインデックスされないようにする」というもので、 「パスワード付きのURLが検索エンジンに拾われないようにするために気をつけてください」という注意喚起metaタグ(noindex,nofollow,noarc
コーヒーメーカーの脆弱性が発覚 | スラド セキュリティ
ついにコーヒーメーカーの脆弱性が発覚した。 Jura-Capresso社から発売されているF90型コーヒーメーカーには別売りのインターネット接続キットがあり、インターネット経由でPCからお好みのコーヒー設定などが行える。しかし、この接続キットには脆弱性があり、外部からの不正アクセスによってコーヒーの濃さや水量設定を変更したり、互換性の無いパラメータを設定することで故障させることも出来るという。 ここまでならまだ笑い話で済むが、この脆弱性を利用してユーザのWindows XPシステムへアクセスすることも可能とのこと。現在のところパッチは無い(本家/.記事より)。 コーヒーメーカーの操作は、台所まで行って自分でやるのが安全のようです。 どうも、このコーヒーメーカーのインターネット接続キットは、PCと接続して使用するものだそうで、そのためにWindows XPシステムへのアクセスまで可能になって
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
