9割以上がID・パスワードを複数サイトで併用、野村総研調べWindows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
Address Space Layout Randomization - NyaRuRuが地球にいたころ
--なぜSafariだったのですか。IEやFirefoxでなかったのは? 簡単なことです。Mac上のSafariの方が攻撃が簡単だからです。Windows上のいくつかの技術は攻撃を成功させるのを難しくしていますが、Macではそういうことはしていません。Macをハッキングする方がずっと簡単です。曲芸をして、Windows上で見られる耐攻撃措置を相手にする必要がないからです。 これは、対象となるプログラムではなくオペレーティングシステムの問題です。Mac上のFirefoxも比較的簡単です。その下にあるOSに、攻撃に対抗する仕組みが組み込まれていないからです。 (参照:10 questions for MacBook hacker Dino Dai Zovi) 私が使ったSafariに対する攻撃では、コードをプロセスに埋め込むと、そのコードの場所を正確に知ることができます。ランダム化されたりはし
「偽指紋」韓国で発覚 国内銀行の「指認証ATM」大丈夫か
入国審査などをすり抜ける「偽指紋」が韓国で広く出回っていたらしい。しかも、簡単に製造できるという。銀行のATMから現金を引き出す際の本人確認にも「指認証」が使われているが、日本のセキュリティは大丈夫なのだろうか。 「偽指紋」で入国管理のバイオ審査をすり抜ける 日本から強制退去させられた韓国人の女性が、指紋の照合で身元をチェックするバイオ審査をすり抜けて再び不法入国していた事件。この女性に指には、シリコーン樹脂でできた特殊なテープの「偽指紋」が付いていた。 2009年2月19日付の読売新聞によると、韓国警察はこのテープが韓国の闇社会に広く出回っているとみているという。「偽指紋」テープは、厚さ1ミリで製造も簡単。1枚つくるのに、たったの68円(1000ウォン)程度というから、広く流通してもおかしくない。 一方、03年ごろから、カードの盗難や偽造、4ケタの暗証番号の解読によって本人に成りすまし、
KasperskyのサイトにSQLインジェクション攻撃仕掛けられる | スラド セキュリティ
Kaspersky LabのUSサイトにSQLインジェクション攻撃が仕掛けられ、データ一部漏洩しているようだ(本家/.より)。公開されたスクリーンショットやテーブル名から推測すると、ユーザーやバグ、またリセラーアカウントに関するデータが漏洩している模様。ハッカーは「機密情報はネット上に公開しない」としているが、使われたURLの大部分はスクリーンショットから読み取ることができ、修正されなければ同様の手口で攻撃を仕掛けられるのは時間の問題ではないかとのこと。 なお、現時点ではカスペルスキーからこの件に関する発表はなされていない模様。 このタレコミのあった後、Kaspersky Lab側もプレスリリースを公表しました。ただし同社は、usa.kaspersky.comの脆弱性を突いた攻撃があったことは認めたものの、それは失敗に終わり、機密情報へのアクセスはできなかったし、本社サイト(www.kas
書籍『Ajaxセキュリティ』に関する残念なお知らせ - ockeghem's blog
昨年の10月に刊行された書籍Ajaxセキュリティは,発刊直後に購入したが,しばらく積ん読になっていた。最近になって読み始めたのだが,いささかあきれる結果となった。HPの現役エンジニア2名の著作,一人は元SPI Dynamics社(WebInspectの開発元,HPが買収)出身,GIJOE氏の監訳ということで期待していたのだが,残念である。 残念だと思う主要な理由は,脆弱性への対策が十分に示されていないことだ。Ajaxであってもインジェクション系脆弱性が発生する可能性があること,むしろ従来型のWebアプリケーションよりもその可能性が広がることは説明されているが,肝心の対策が不十分だ。 本書第四章の後半には,対策として入力検査(バリデーション)が示されている。 4.6 適切な入力検査 4.7 リッチなユーザ入力のバリデーション しかし,入力検証だけでは,任意の文字入力を許す場合の対策はできない
高木浩光@自宅の日記 - 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
locationでページ遷移を指示しておきながら直後にtime系でナニカするアレ 2008-06-29 - hoshikuzu | star_dust の書斎
…いろんなブラウザで変な現象が起きるので前から注目していたのですが、まさかIEで外部ドメインのcookieが取れてしまうとは…調査の深さが足りなかったなぁ>俺 locationでページ遷移したらバシっと処理をぶった切ってほしいかも>諸ブラウザ ええと、なんでもいいけど、なにかしらポップアップする系と併せてぐしゃぐしゃすると変な競合が起こりやすい模様。というのが今までの私の見解。 一番笑ったのが、AページでBページへのリンクを踏んだ後Bページを表示後、Aページへ戻りますか?という選択肢(Aページ内のスクリプト)を出させることが可能とか。名づけて、ちょっと見たらスグに戻ってきてねリンク。でもcookieは取ってこれなかったんだよねぇ。コレ。 ドブロイ波の公式を実験的事実とみなし、古典的な実波動関数をあきらめて、複素波動であると決め付けて、満たすべき波動方程式を求めるとシュレーディンガー方程式が
「もはやネットに『安全地帯』はなくなった」、専門家が警鐘
「2007年のインターネットセキュリティを振り返ると、その特徴の一つは、正規のWebサイトに攻撃キットが仕掛けられるケースが増えたこと。怪しいサイトにアクセスしなくても被害に遭う可能性がある。今や、インターネットに『安全地帯』は存在しない」――。米シマンテック セキュリティレスポンス ディレクターのケビン・ホーガン氏は2007年11月30日、報道陣向けの説明会において、2007年のセキュリティ動向などを解説した。 ホーガン氏は2007年の特徴として、プロ用の攻撃キット(攻撃ツール)が広く使われるようになったことや、信頼されているブランドが悪用されるようになったことを挙げる。 代表的な例が、「MPack(エムパック)」や「IcePack(アイスパック)」といった攻撃キットが、有名な企業/組織のWebサイトに仕掛けられるケース。脆弱(ぜいじゃく)性があるソフトウエアを使っている環境では、そうい
新生銀行の件のフォローアップ:江島健太郎 / Kenn's Clairvoyance - CNET Japan
前回の新生銀行のサイトの使い勝手についてのポストに思いのほか反応がありました。 はてなブックマークでも「新生の使いづらさは尋常じゃない」とか「こに書いてあること全部の10倍くらいダメ」とか「書いてもらえてスッキリした」みたいな反応が多くて、そういう声を引き出せたのは書いた甲斐があるなぁ。 それで、セキュリティに関する話だから噛みついてくる人もいるだろうと思っていたらやっぱりいて、カレーなる辛口Javaな転職日記で「全般として,いかにも素人っぽい批判に終始しているように思う」と書かれていたのを見つけたので読んでみたのだけど、そこに書かれていた反論は「もっとセキュリティを下げろなんて論外」という、予想通りのいわゆる一段階論理だったのですが、よく考えてみればそういう思考回路の髪のとんがった上司をどう説得するかというシチュエーションは現実問題としてあるわけで、そのためもう少しだけ深追いしてみること
Ywcafe.net
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: Accident Lawyers Credit Card Application High Speed Internet Top 10 Luxury Cars Top Smart Phones Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy
ITmedia エンタープライズ:ソニーのUSBメモリに「rootkit的」技術
これらUSBメモリに付属するソニーの指紋認識ソフト「MicroVault USM-F」のドライバは、「c:\windows\」のディレクトリの下に隠れる形でインストールされるという。Windowsディレクトリ内のファイルとサブディレクトリを一覧表示しても、Windows APIではこのディレクトリとファイルが表示されない。 しかし、ディレクトリ名を知っていれば、コマンドプロンプトを使ってこの隠しディレクトリに入り込み、新しい隠しファイルを作ることも可能だ。しかも一部のウイルス対策ソフトでは、このディレクトリ内のファイルは検出されない。つまり、理論的にはマルウェアがこの隠しディレクトリを利用することが可能になるとF-Secureは分析する。 MicroVaultソフトは指紋認証を守る目的でこのフォルダを隠しているのだろうが、rootkit的な隠し技術を使うのは適切ではないとF-Secureは
ウノウラボ Unoh Labs: 5分でできるウェブサーバのセキュリティ向上施策
こんにちは、naoya です。 先日、ウノウが公開しているサービスの中にいくつかの脆弱性が見つかったため、社内で「脆弱性発見大会」を開催しました。この大会は、二人一チームに分かれてウノウが公開している各サービスの脆弱性を見つけることを目的とした大会です。結果は、いくつか各サービスに脆弱性が見つかり、すぐに修正することができました。 僕のチームは、ウノウのホームページやラボブログなど細かいサービスを担当しました。その中で、いくつかのウェブサーバにセキュリティ上あまい設定がありました。 今日は、ウェブサーバのセキュリティ向上のための設定方法についてエントリします。なお、ウェブサーバはApache 2.2系を前提としています。 サーバ情報の表示しない ウェブサーバ(Apache)で、404などのエラーページを表示したとき、ヘッダやページの下にApacheやOSのバージョンが表示されます。こういっ
無線LAN禁止、VPN禁止、FTP禁止……は管理者の怠慢か
無線LAN禁止、VPN禁止、FTP禁止……は管理者の怠慢か:システム管理の“ここがヘンだよ”(1/3 ページ) 社内ネットワークは危険がいっぱい。しかし、実は禁止事項が多いオフィスほど、しっかりとセキュリティ対策を講じていない証拠だと言われる。あなたの会社は大丈夫ですか? 社内ITの保全は、情報システム部門に課せられた最大のミッションである。しかも、その要求水準は年々高まるばかりだ。情報漏えいや持ち込みPCからのウイルス/ワーム感染、共用サーバへの不正アクセスといった数々のリスクは、どのような企業にも存在している。 だが現実は厳しい。予算が足りない、人手も足りない。しかも、管理部門のスキルも十分ではない――など、企業によってさまざまな事情がある。そこで陥りがちなのが、「とりあえず危なそうなものはすべて禁止する」という安直な禁止政策だ。だが、本当にそのような政策を進めていいのだろうか? 今後
表紙
ここをクリックして開始します 目次表紙 インタネット崩壊(1) インターネット崩壊(2) インターネットは瀕死か ITバブル崩壊 破綻の構造 インターネット ただ乗り論争 インターネット地勢学 信頼の崩壊 信頼の崩壊2 信頼の崩壊3 Phishing3 あまりに脆弱なインターネット あまりに脆弱なインターネット(続) spamの語源 何を持ってspamと判断するか? spamの罪 根本的問題 (ルーティング編) 根本的問題 (ルーティング編)2 紛らわしいドメイン名 マイク口ソフト.JP IDNの導入で起こりえる問題 脆弱なDNS BIND関連脆弱性 脆弱なDNS2 VISA事件 E-ONTAP消滅 あるドメイン E-ONTAP.COM どうしよう、、、 買っちゃいました こんな会社 こんな会社2 こんな会社3 visa.co.jp e-ontap.comのおまけ VISA.CO.JP ど
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
組織の幹部は公にしない方針 | 水無月ばけらのえび日記
http://japan.internet.com/busnews/20071214/2.html
ログイン - niconico
http://youmos.com/news/packer
IDEA * IDEA
情報セキュリティを学ぶかるた 日立システム
