GitHubユーザーのSSH鍵6万個を調べてみた - hnwの日記
(2015/1/30 追記)時期は不明ですが、現時点のgithub.comはEd25519鍵にも対応しています。 (2016/5/31 追記)「GitHubにバグ報告して賞金$500を頂いた話」で紹介した通り、既に弱い鍵はGitHubから削除され、新規登録もできなくなっています。 GitHub APIを利用して、GitHubの31661アカウントに登録されているSSH公開鍵64404個を取得してみました。抽出方法*1が適当すぎて偏りがあるような気もしますが、面白い結果が得られたと思うのでまとめてみます。 SSH鍵の種類 鍵の種類 個数 割合 RSA鍵 61749 (95.88%) DSA鍵 2647 (4.11%) ECDSA鍵 8 (0.01%) 約6万個の鍵のうち、8個だけECDSA(楕円DSA)鍵が見つかりました!常用しているのか試しに登録してみただけなのかはわかりませんが、何にせよ
Yahoo!のパスワード流出、実は「他サイトが危険」? : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)
Yahoo! JAPANで大規模な情報流出が発生した。パスワード(ハッシュ値:後述)と秘密の質問が、流出した可能性がある。Yahoo! JAPANと専門家に話を聞いた。 「パスワード」と「秘密の質問と答」が流出 Yahoo! JAPANでの情報流出の可能性があるユーザーに表示された警告画面。5月17日に表示されたもので、パスワードの変更を求めている(24日のパスワードリセットより前のもの) ユーザーに大きな影響を与える大規模な情報流出が発生した。Yahoo! JAPANへの不正アクセスによる流出だ。16日夜に起きた外部からの不正アクセスによって、Yahoo! JAPANの以下の情報が流出した可能性がある(24日11時時点)。 ・パスワード(約148万6000件):すぐには解読できないハッシュ化されたデータでの流出。ただし、後述するように解読される可能性がある ・秘密の質問と答(約148万
Capy CAPTCHAは一瞬で突破できる - 素人がプログラミングを勉強していたブログ
Capy CAPTCHA 早速、実証コードが(CAPY IS A VERY READABLE CAPTCHA)出たようだ。このように一瞬で突破されてしまい意味がない。 さきほどインターネットを見ていたらスパム防止用の「読みづらい画像認証」に、日本人が終止符を打った技術が斬新過ぎる!経由で、Capy - 低コストで導入も簡単な不正ログイン対策という、パズルを使った新しい新しくないCAPTCHAを知った。 コンテストに優勝するなど肯定的な反応が多いので、この記事では、このCAPTCHAのセキュリティ上の問題点について簡単に書いておこうと思う。 まず、Capy - デモにデモが乗っているので、タイプ別に問題点を示す。 パズルタイプの破り方 ジグソーパズルの空白を埋めるタイプのCAPTCHAである。話にならない。 まず、縦横が5pxごとに吸い付くようになっているので、縦横400px*300pxだと
【プレゼン】「こんなの読めるか!」難解過ぎる画像文字セキュリティを解決する「Capy CAPTCHA」【書き起こし】
Capyの岡田が発表させていただきます。 みなさん、このような歪んだ文字、今まで見られたことあると思うのですが。何回入力しても間違えてしまう。 そしてこんな感じで諦めてしまう。 最近アメリカではこういう現象が起きている。 入力者が人間か、ボットかを判別する技術です。歪んだ文字をタイプインさせることで。例えばどういうところに使われているかと言えば、ログインのページで1回2回3回やって、キャプチャがあればそこで止まるのですが、キャプチャがないと1秒間で30回、1時間で10万ちょいトライすることができるので、いつかは入られてしまう。 で、結果、こういうことになってしまう。これが我々のポテンシャルカスタマーです。歪んだ文字のキャプチャには2つ問題があって、ひとつはスマホで歪んだ文字をタイプインすると、非常にフラストレーションがたまる。もうひとつは、5年前はよかったんですけれども、だんだんボットも賢
初心者向け! ブログに載せるデジカメ写真のExif情報について - ハート♥剛毛系
ここ最近デジカメのExif(イグジフと読むらしい)情報について いくつか人とお話する機会がありました。 「ブログ書いてると、詳しい人が調べたら自宅とかわかっちゃうんですよね?」と言われましたが、それより前に一番気をつけたいのがデジカメの写真の取扱い方です。 友人と話してたらExif情報について知らない人もわりといたので、なるべくわかりやすくまとめます。初心者向けです。ネット猛者のみなさんにはあまりにも常識過ぎるのでスルーして下さい。 デジカメにはExif情報というデータが含まれています。 いつ・どんなカメラで・どんな設定で写真を撮ったか。の情報が入ってるものです。 一番問題なのはGPS情報です。 これがうっかりついたままアップしてしまうと、自宅の情報を公開したりしてしまいます。 デジカメにもGPSの機能がついているものもありますが、一番GPS情報がつきやすいのはスマホです。 ■カメラの設定
入力情報を送信するIME
2013/12/26 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 入力情報を送信するIME IMEの通信解析で利用されたSSLの解析技術に関して NHKなどで報道されている、パソコン用の日本語入力ソフトBaidu IME、 Android用の日本語入力ソフト Simejiの送信データを解析した件に関して詳細をご説明します。 検証解析環境 <SSLによる暗号化通信を解析できる環境> 解析の結果、日本語入力の文字列が、SSLで暗号化され送信されていることがわかりました。 Baidu IME , Simejiでは、全角入力の場合のみ情報が送信されています。 クラウド入力Offの場合でも入力文字列を送信していました。 パスワードなど半角入力のみ
備忘録 - 仏の秘密も百度まで : 404 Blog Not Found
2013年12月27日13:30 カテゴリTipsiTech 備忘録 - 仏の秘密も百度まで ちょw また百度(baidu)が日本語入力ソフトの件でやってくれたようです(山本 一郎) - 個人 - Yahoo!ニュース これには我らがダニーもお怒りです 私自身は、Baidu IME も Simeji も使っていないので怒る権利自体があるかどうかも疑問なのだけど、いい機会なのでちょっとまとめておきますか。 ネットエージェントはどうやってSSL通信を解析したか? もし何の設定もなされていない端末とサーバーの間のSSL通信が傍受できたのだとしたら、IMEがキーロガーになっていた以上の大ニュースで、日本どころか世界中が大騒ぎのはずですが、この件は安心してOK。 なぜなら、この解析はSSL通信の傍受をわざと解析可能に設定した端末を用いているからです。 詳細:Counter SSL Proxy|ネット
アダルトサイトのDMから分かった顧客情報の漏えい原因
「ヘンなアダルトサイトのDMが来る」とレンタルショップ会社にクレームが来た。顧客情報の漏えいが判明し、調査に乗り出してみると、意外な部分が原因だと分かった。それは……。 九州のX県にあるレンタルDVDショップ運営のA社は、Y市に大きな本社ビルを構えて営業していた。X県だけで20店舗以上あり、近隣の県を含めた九州全体を商圏として計35店舗を展開していた。インターネット上でも活発に営業し、現在ではその売上が全店舗の売上の4割以上に匹敵するほどの成長をみせている。 そのA社で突如、情報漏えいが発生した。それは、L興業が運営する某アダルトサイトのダイレクトメール(DM)から発覚したのである。L興行は電子メールでも盛んに営業していたが、売上を伸ばすために今では珍しくDMを利用した。そのDMのあて名ラベルの左下に、小さくA社の顧客管理番号が印刷されていたのである。さて、今回はどういう状況だったのだろう
eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策
eBook Japanに対する不正アクセスについて、詳細の発表があり、いわゆる「パスワードリスト攻撃」であることが発表されました。 前回のご報告までは「複数のIPアドレスからログインページに対して機械的に総当たり攻撃等を行う大量アクセス行為(ブルートフォースアタック)」とご説明しておりましたが、詳細調査の結果、「不正の疑われる複数のIPアドレスからログインページに対して、予め持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」であることが判明いたしました。 つまり、大量アクセス行為を仕掛けてきた者は、当社以外の他のサービスなどで他のサービスのログインIDとパスワードを不正に入手し、ユーザーがログインIDとパスワードを共通に設定している可能性を狙って当社サービスに不正にログインしようとし、上記件数についてはログインに成功してしまったということです。 そのように判断した根拠
ハリウッド映画に出てくるパスワードはそろそろランダム文字列になっていいと思う
ハリウッド映画が「推測可能なパスワード」を描き続けているのは、ストーリーの都合なのか、実態を反映しているのか。一方、「24」に出てくるパスワードは当たり前のようにランダム(と素人には思える)文字列で、「やっぱりこうでなくっちゃいけない」と私なんかは思う。 私の両親のような一般庶民だって、私には予想もつかないパスワードを使ってる。いざというときのために、とかいってパソコンにログインするためのパスワードを教えてくれたんだけど、「こりゃ、私を拷問してどんな情報を引き出したって、このパスワードにはたどりつかないな」という文字列だった。 そういえば母のキャッシュカード(の中の1枚)には、油性ペンで4桁の数字(私の誕生日)が書かれてる。「ええっ!」と驚く人がいそうだけど、もちろん数字がそのままパスワードになっているわけじゃない。その4桁から母だけが連想できる数字が、真のパスワード。 何だったかの理由が
10万円で使い勝手とセキュリティのアドバイスをしようと思います - ぼくはまちちゃん!
こんにちはこんにちは!! 今日、友達の HolyGrail くんとカレーを食べてる時に、こんなことを言われました。 「自分がもし、はまちちゃんに何か依頼するとしたら、 自社のサービスをがっつり使い込んでもらって、色々なアドバイスしてもらったりとかかなー。 それで10万円とか、どうだろう?」 …なるほど!いいですね! もしかしたら、そういう需要ってあるのかも? 何日か前に「ふつうのformをつかいたい」っていうスライドを発表したけれど、 なんでここに書かれてあるようなことが、よくあるんだろうって思っていたし。 うーん。 例えば、UIデザイン。 企業では、デザイナーにだいたい全部おまかせすることって多いですよね。 でも多くのデザイナーって元々は「見た目の美しさ」についての勉強や仕事を、主にしてきた人達だと思うので、 彼らに「使い勝手の良さ」まで期待しても、どうしても専門外なことが多いように思う
スマホアプリとプライバシーの「越えてはいけない一線」 - @IT
スマートフォンアプリは果たしてどこまで、端末に関する情報を取得してもいいのだろうか。 位置情報と連動してお勧め店舗情報を表示したり、過去の検索履歴を基に商品を提案したりと、端末の情報やユーザーの行動履歴を活用するスマートフォンアプリが登場している。中には便利なものも多いが、一歩間違えれば、ユーザーのプライベートな情報が筒抜けになりかねない。結果として、スマートフォンを活用したビジネスやそれを支える広告市場までもが、否定的な目で見られ、発展を阻害される恐れもある。 この議論が起こったきっかけの1つは、ミログが公開していた「AppLog」と「app.tv」というアプリだ。AppLogはSDKの形で提供され、これを自前のアプリに組み込むと、Android端末にインストールされているアプリの情報やその起動回数を収集し、同社のアプリケーション分析サービスに送信するようになっていた。開発者にはインスト
GumblarとかGENOウイルスとかの脅威。:今そこにあったりなかったりする危機:オルタナティブ・ブログ
「GumblarってGENOウイルスのこと?」的な質問を最近よくされる。 8080系マルウェアとかGENOウィルスとか呼ばれていた、最近またGumblarとか呼ばれ話題になっている類のマルウェア。その実態とか脅威とかについては既に色々なところで語られているし、今更ここで書くこともないと思う。もちろんGENOウィルスと呼ばれていたものと現在Gumblarと呼ばれているものとでは色々と(恐らくは仕掛けた相手も?)変わっているし、亜種もあるし、当時の対処法がそのまま全てあてはまるというわけでは決してない。 なぜ今これを書いているかというと、先日とある知人から個人的に「GENOウイルス」被害について相談されたのだが、その事例が個人的に興味深かったのだ。 本事例の概要 ・とある小規模ECサイトがGENOウイルスによって改ざんされた ・依頼主である会社は、とある小さなWeb制作会社に制作/管理/運営全
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【#モリトーク】第125話:誤検出問題の再来
[ケータイ用語の基礎知識]第693回:WebView とは
ページがみつかりません -404 Not Found - | OCN
ハッカーに奪われた、5万ドルのTwitterアカウント「@N」:オーナーに返還
さくらのVPSに来る悪い人を観察して通報してインターネットを少し良くする
日経BP
So-net セキュリティ通信