タグ

セキュリティに関するmi2_musicのブックマーク (22)

  • Evernote の XSS 脆弱性に関して mala 氏のつぶやき

    要するに、解決されるまではログアウトしとけということだそうデス。 【2011/04/20 12:20 追記】ひゃっはー的なおまけを追加しました。 【2011/04/20 00:30 追記】多分これで最後。以降は Evernote の正式発表を待った上で、それを信用して利用するかどうかは各個人の判断にお任せします。 【2011/04/19 17:05 追記】午後の部追記。なお、エントリを起こされている方がおりましたのでご紹介。>『bulkneets氏によって報告されたEvernoteのXSS脆弱性とは 危険と対策』( http://d.hatena.ne.jp/pichikupachiku/20110419/1303158373 ) 続きを読む

    Evernote の XSS 脆弱性に関して mala 氏のつぶやき
    mi2_music
    mi2_music 2011/04/19
    そこらのセキュリティの教科書に例として出てきそうなくらい単純なXSS脆弱性でビックリ。HTTPSでアラート動いちゃってるやん・・
  • フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです : ライフハッカー[日本版], 仕事も生活も上手くこなすライフハック情報満..

    <strike>フリーFTPソフト『FFFTP』に、</strike>8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです 日語対応フリーFTPソフトの草分けと言っていい、Windowsフリーソフト『FFFTP』に、マルウェア感染およびID・パスワード・ホスト先の情報を抜かれてしまう危険性がある(→追記:こちらは『FFFTP』に限定された危険ではなかったようです。改めてお詫びと訂正をいたします)と、bananaさんのブログ「smilebanana」で指摘されています。bananaさんのこの記事を紹介してくれている「UnderForge of Lack」の記事では、次のように書かれています。 FFFTPは非常に優れたフリーのFTPクライアントでした。当に感謝いたします。 しかし、 Version 1.96d [2008/9/23]を最後に更新停止されており

    フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです : ライフハッカー[日本版], 仕事も生活も上手くこなすライフハック情報満..
    mi2_music
    mi2_music 2010/01/30
    id:aont id:accent_32 id:dharry FilezillaもパスワードがXML平文で保存されるため、パスワードを保存する設定にしていると危険です / http://goo.gl/hdkF によると「FileZillaのconfig fileは既に窃取対象となっていると実証済み」らしいです
  • クリックジャッキングってこうですか? わかりません

    ↑ この透過されているiframeは、ブラウザの最前面に配置されています ※はてなにログインしていると、どのようにボタンが被っているのかわかりやすくなります

    mi2_music
    mi2_music 2009/12/29
    透過iframeって面白いなぁ
  • ブログ、ピグ、なう――Amebaが目指すもの

    サイバーエージェントが運営するブログを中核としたネットサービス「Ameba」(アメーバ)事業が拡大している。今年に入ってアバターコミュニティー「アメーバピグ」、ミニブログ「Amebaなう」を投入。Amebaシリーズの総登録者数は10月時点で676万人に上る。 急成長の背景には長期的な拡大戦略があったに違いない。そう考えて同社を取材すると肩すかしをらう。「中長期的なビジョンはなく、先のことは考えていない」――同社で藤田晋社長とともにAmebaサービスを統括してきた長瀬慶重 新規開発局局長はこう言い切る。 ただ「ネットを使う全員をターゲットにすえ、国内最大規模のネットメディアを目指す」という目標にはぶれがない。新サービス投入時も、「誰でも迷わず使えるUI」を重視するという。 流行のサービスも分かりやすくかみ砕き、ユーザーテストを繰り返した上で、誰でも使えると判断できれば公開。人気が出れば機能

    ブログ、ピグ、なう――Amebaが目指すもの
    mi2_music
    mi2_music 2009/12/22
    AmebaなうのCSRF脆弱性は、危険度レベルが最高より1段階下だったから後回しにされたみたいだが、オープン後に危険度レベル最高が残ってた状況って、大丈夫なのだろうか
  • 【セキュリティ】実は可能!アドオン不要なFlashのCookieの制御方法 - Windows 2000 Blog

    3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 \Documents and Settings\ユーザー名\Application Data\Macromedia\Flash Player\#SharedObjects\ハッシュ文字列\サイト名 という形式で保存されています。 (Vista は Users\ユーザー名\AppData\Roaming\Macromedia\Flash Player\#SharedObjects\ハッシュ文字列\サイト名 で、Windows 9x は \Windows\Profiles\ユーザー

    mi2_music
    mi2_music 2009/12/21
    アドオンで制御してる派だけど、こういう手軽な方法もあるんだなぁ・・とメモ〆
  • 『ほまちちゃんができたわけ』

    今回ほまちちゃんが実現できてしまったのは アメーバさんのサービスにいくつかの欠陥があったからです。 以下のようなものです。 ・ルームのフリースペースの内容を変えるよう仕向けられたこと。 ・ルームの機能を出し入れするよう仕向けられたこと。 ・来制御されるべきスクリプト(命令)がルームのフリースペース内に書けたこと。 また次々拡大させることができた要因として、 ・ペタを不意につけさせることができたこと。 があります。 ペタはこの記事を書いた現在もつけさせられる状態です。 (現在私はいっさい仕掛けていません) 【追記】―――――――――――――― ※仕様が変更されたようです。 ――――――――――――――――― 今回のルームのフリースペースの何がいけなかったかといえば、 データを送信するときは、 タイトル + 文 + その人の意思で送信したという証 を送り、証が確かに物であると確認された

    『ほまちちゃんができたわけ』
    mi2_music
    mi2_music 2009/12/18
    火消しって難しいよね(色んな意味で。
  • IIS 7.5 详细错误 - 404.0 - Not Found

    错误摘要 HTTP 错误 404.0 - Not Found 您要找的资源已被删除、已更名或暂时不可用。

    mi2_music
    mi2_music 2009/12/18
    これだけの事が起きても、ニュースリリースには何も書かれてないんだな。ニュースリリースの項目の真下に情報セキュリティ宣言ってのがあって笑ったw
  • 『まあぶっちゃけ』

    Amebaのセキュリティ対策について|スタッフブログアメブロまわりを数分程度ざざっと眺めただけでも、 いたるところでCSRFの対策が入ってないようなんだけど、 この規模のサービスなら、いちおうそれなりにやっておいた方が…。 たぶん現状だと脆弱性をひとつひとつどこかに報告するとかっていうレベルじゃないです…。 (これらをセキュリティホールと呼ぶのか仕様と呼ぶのかは知らないけど…) [» この日記のブックマークコメントを見る/書く ]

    『まあぶっちゃけ』
    mi2_music
    mi2_music 2009/12/17
    穴っていうより、入口に鍵がかかってないレベルなのかな
  • 『ぼくの名前をかたったウイルス?』

    前の日記にも書いたけれど、 ぼくの名前をかたったウイルスがアメブロに広まっていたみたいなので、 ちょっとだけ調べてみたよ。 (参考) [ほまち] gooブログ検索 ぼくのIDって「hamachiya2」なんだけど、それとすごくよく似たIDを誰かが取得して、そのIDのプロフィールページに変なコードが仕掛けられてあったみたい。 ざざっと調べた感じだと、下の4つのIDを確認したよ。 homatiya2 (ほまちや2) [プロフィールの魚拓] [画面キャプチャ] homachiya2 (ほまちや2) [プロフィールの魚拓] [画面キャプチャ] hamatiya2 (はまtiや2) [プロフィールの魚拓] [画面キャプチャ] hamachya2 (ぼくはまちちゃん!こんにちは…) ※綴りに「i」がない [プロフィールの魚拓] [画面キャプチャ] いずれもプロフィールページに「 http://bit.

    『ぼくの名前をかたったウイルス?』
    mi2_music
    mi2_music 2009/12/15
    こわいこわい
  • 『【緊急】アメーバなう利用中の皆さんへ【ご注意!】』

    友達の書き込みに「こんにちはこんにちは!!」というものがあったら 絶対にクリックしないでください!!!! アメーバスタッフさんの記事によると、 その書き込みをクリックすると自分の日記にも 自動的に同じ内容の記事が投稿されるそうです! その結果、それを見た他のアメンバーさんにも、どんどん感染していきます! これはワームというウイルスで、 まるでチェーンメールのように悪質です!! その上、プロフィールなどの個人情報が漏洩する場合があるかもしれません! 詳細は不明ですが、とても不気味です…! 「こんにちはこんにちは!!」というタイトルの日記が いつのまにか投稿されていないか、 自分の「ブログ」と「アメーバなう」で、どうかご確認を! あったら即刻削除してください!!!!!! (1日のタイムラグの後にウイルス発動するという説もあります!) 現在、ameba管理者の方でも対応できないほどのスピードで

    『【緊急】アメーバなう利用中の皆さんへ【ご注意!】』
    mi2_music
    mi2_music 2009/12/11
    これもまた はまちちゃん事件 の一部として語られていくのだろうかw
  • サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話

    「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し

    mi2_music
    mi2_music 2009/11/24
    うわーあっけない・・
  • はてなスターをもらう簡単な方法 - ぼくはまちちゃん!

    こんにちはこんにちは!! 今日は、きみの人生をちょっぴり豊かにするライフハックの紹介なんです! ★はてなスターをもらう簡単な方法★ 1. 巨大な透過gif画像を用意 → http://hamachiya.com/junk/bt3000.gif 大きすぎる画像はIEが表示できないかもしれないから3000x3000くらいがいいかも? 2. 用意した画像をAddボタンとして設定 設定→デザイン→詳細のスタイルシート .hatena-star-add-button-image { background-image: url(http://hamachiya.com/junk/bt3000.gif); } Addボタンが 3000x3000px(透明) になりました。 3. Addボタンを浮かせて前面に配置 .hatena-star-add-button { position: absolute;

    はてなスターをもらう簡単な方法 - ぼくはまちちゃん!
    mi2_music
    mi2_music 2009/08/06
    z-index: 99999に笑ったw
  • TwitterでスパムDM出回る フォロワーに自動でDM送りつけ

    Twitterで8月1日ごろから、スパムDM(ダイレクトメッセージ)が出回っている。DMに書かれたURLのページにアクセスし、ボタンをクリックすると、同じDMを自動でフォロワーに送り付けるという仕組み。ITmedia Newsのアカウントにも数通届いており、日のユーザーも被害にあっている。 DMとは、2人のユーザー間でやりとりできるメッセージ機能。通常の投稿「つぶやき」(Tweet)と異なり、内容は送ったユーザーと受け取ったユーザーしか見られず、相手が自分をフォローしていないと送れない。スパムDMも、見知らぬアカウントではなくフォローしているアカウントから送られてくるため、内容を信頼し、書かれたURLを思わずクリックしてしまう人が多いようだ。 スパムDMは英文で、「has sent you a FREE GIFT to join MobsterWorld. Accept you free

    TwitterでスパムDM出回る フォロワーに自動でDM送りつけ
    mi2_music
    mi2_music 2009/08/02
    Twitterの仕様を利用したDMってことかな?Twitterあんまり使ってないから分かんないけど
  • ワシントン大、P2Pを利用した時限付きデータ公開システムを開発 | スラド セキュリティ

    ITProの記事より。米ワシントン大が、P2Pファイル共有ネットワークを利用して、暗号化データを時限付きで共有するツール「Vanish」(Overviewのページ)を試験公開した(家記事)。コアの部分は「Academic License Agreement」という、私的・研究目的でのみフリーのライセンスでソースとFirefoxプラグイン等が公開されている。 Overviewによると、ネットワークに拡散した情報は二度と消せないという現状に対する対策、というのが研究のモチベーションのようだ。Vanishは送信したいテキストを、利用者(データ送信者)にも開示されない鍵でPGPやGPGなどで暗号化する。この鍵は断片化されてP2PネットワークであるVuze Bittrrentに放流され、世界規模で鍵の断片群が共有化される。 暗号化されたテキストを解読したい人はVanishを使ってP2Pネットワーク

    mi2_music
    mi2_music 2009/07/27
    http://www.itmedia.co.jp/news/articles/0907/23/news068.html / 暗号鍵が錆びて9時間後にはボロボロになって開けられなくなりますよってお話
  • asahi.com(朝日新聞社):文科省の再生医療サイトが改ざん 運営を一時停止  - 社会

    iPS細胞研究などを支援している文部科学省の事業を紹介するホームページの一部が改ざんされていることがわかり、同省は27日、このホームページの運営を一時的に停止した。  改ざんされたのは、財団法人先端医療振興財団に管理・運営を委託している「再生医療の実現化プロジェクト」のページ。トップページに戻るための「ホーム」をクリックすると、アドレスによると中国で運営されているとみられるホームページにつながる状態に書き換えられていた。  26日午後9時19分に内閣官房情報セキュリティセンターから同省に連絡が入り、同財団に指示して27日午前0時53分から運営を停止した。  同省によると、25日午後3時39分に運営するコンピューターに接続した記録が残っており、この時書き換えられた可能性が高いという。書き換えられたホームページに接続したことによるコンピューターウイルス感染などの被害は確認されていない。

    mi2_music
    mi2_music 2009/07/27
    目的は何なのかが気になるところ
  • 「このメッセージは自動的に消滅する」――米大学が自動消去ツールを開発

    電子メール、チャット、SNSの投稿などのオンラインデータが、時間がたつと自動的に消滅するようにできる技術を、米大学が開発した。 この技術「Vanish」はワシントン大学が開発したもの。WebメールやSNSの書き込みなど、Webブラウザを通じてWebサービスにアップロードされるテキストに時間制限を設定する。設定した時間が経過すると、テキストは自動的に消滅し、送信者でも回復できない。 Vanishの基盤となっているのは暗号化技術とP2Pネットワークだ。Vanishはアップロードされるテキストを暗号化する。解読のための暗号鍵は数十に分割されて、世界中のファイル交換ネットワークにランダムにばらまかれる。ファイル交換ネットワークは、絶えず参加するコンピュータが入れ替わるため、時間が経過すると暗号鍵にアクセスできなくなる。暗号鍵のある程度の部分が失われると、暗号化されたテキストを解読できなくなる。 ワ

    「このメッセージは自動的に消滅する」――米大学が自動消去ツールを開発
    mi2_music
    mi2_music 2009/07/23
    暗号鍵がだんだん減っていって最終的に複合化ができなくなる仕組み? P2Pネットワークを利用したツールらしい
  • “2ちゃんねるなども摘発対象に” URL書くだけで逮捕、「ttp:」などでもアウト…児童ポルノ法 : 痛いニュース(ノ∀`)

    “2ちゃんねるなども摘発対象に” URL書くだけで逮捕、「ttp:」などでもアウト…児童ポルノ法 1 名前:☆ばぐた☆ ◆JSGFLSFOXQ @☆ばぐ太☆φ ★ :2009/07/09(木) 19:24:29 ID:???0 児童ポルノ、リンクだけで摘発 警察の好きにできる懸念も 児童ポルノのサイトにリンクを張ったとして、神奈川県警がネット掲示板の書き込み者と開設者を摘発した。これまでもURLの書き込みだけでも摘発例があり、次第に厳しくなっているようだ。児童ポルノ以外でも摘発が広がる可能性もあり、「警察の好きに摘発できるようになるのでは」という懸念の声も出ている。 「クリックすれば児童ポルノにつながり、誰でも見られます。だから、公然陳列罪に当たると いうことです」神奈川県警の少年捜査課では、リンクだけでの摘発について、こう説明する。 新聞各紙によると、摘発されたのは、ネット掲示板「関西○

    “2ちゃんねるなども摘発対象に” URL書くだけで逮捕、「ttp:」などでもアウト…児童ポルノ法 : 痛いニュース(ノ∀`)
    mi2_music
    mi2_music 2009/07/10
    "2chにアレなサイトのURLを書き込むウィルス"が流行って逮捕者続出な予感
  • MS、Windows XP/Server 2003のIEに対するゼロデイ攻撃への対策ツールを公開

    mi2_music
    mi2_music 2009/07/09
    なんだかヤバそう
  • 一瞬にして無線LANのWEPを解読する方法がついに登場、まもなく解読プログラムを公開予定

    CSS2008(コンピュータセキュリティシンポジウム2008)において、無線LANの暗号化方式であるWEPを瞬時にして解読するアルゴリズムが神戸大学の森井昌克 教授から発表されたそうです。何よりすさまじいのが、既に知られているような特殊な環境が必要な方法ではなく、通常の環境で簡単に突破可能であるという点。しかも、諸般の事情によって解読プログラムの公開はひかえているものの、近々公開予定とのこと。 携帯ゲーム機であるニンテンドーDSは暗号化においてWEPしか現状ではサポートしていないため、今後、さまざまな問題が出る可能性があります。 一体どういう方法なのか、概要は以下から。 CSS2008において,WEPを一瞬にして解読する方法を提案しました. - 森井昌克 神戸大学教授のプロフィール WEPを一瞬で解読する方法...CSS2008で「WEPの現実的な解読法」を発表|神戸大学 教養原論「情報の

    一瞬にして無線LANのWEPを解読する方法がついに登場、まもなく解読プログラムを公開予定
    mi2_music
    mi2_music 2009/07/06
    WEP解読最速記録出せそうだな。金メダルものか?
  • JavaScriptを使わずにWebブラウザの閲覧履歴を盗む | スラド セキュリティ

    bugzilla.mozilla.org では JavaScript を使う exploit も使わない exploit も Bug 147777 [mozilla.org] として扱っています。この bug のコメント中、 JavaScript を使わない例は、はっきりしたものとしては 2006 年 12 月の Comment 71 [mozilla.org] が初出でしょうか。 2005 年 6 月の Comment 48 [mozilla.org] もそれっぽいですが。 まだ正式版どころか RC も出ていないので一般の人にはお勧めしませんが、人柱の人は Firefox 3.5 Preview を使って about:config から layout.css.visited_links_enabled を false にすると、リンクが visited かどうかによってスタイルを変えるの

    mi2_music
    mi2_music 2009/06/15
    IE8で開いたらヤバかった。対策アップデートこないかなぁ