http://bookmark.fc2.com/search/tag/security summarySite FC2ブックマーク-security summarySiteでの検索結果です ja http://it.nikkei.co.jp/business/news/index.aspx?n=MMITaa000003102008 http://it.nikkei.co.jp/business/news/index.aspx?n=MMITaa000003102008 サーバーの一部が第三者により不正改ざんされ障害が発生 / GDOから配信されたメールの一部に不正アクセス先を示すURLが記載されており、そのURLに接続した場合ウイルスに感染する可能性がある → SQL injection? http://japan.internet.com/webtech/20081003/9.html http://japan.internet.com/webtech/20081003/9.html 「DEC%LARE 」や「e%xec」はそれぞれ「DECLARE 」や「exec」として Web アプリケーションに渡される。そのため構文エラーなどにならず、Web アプリケーションに脆弱性が存在した場合、攻撃 SQL 文が実行されてしまう http://itpro.nikkeibp.co.jp/article/NEWS/20081002/316031/ http://itpro.nikkeibp.co.jp/article/NEWS/20081002/316031/ 既知ウイルスのフィンガープリントを定義ファイルに含めているため、「このままでは、フィンガープリントだけでパソコンのメモリーが占領されて、通常のソフトウエアを動かせなくなってしまう」 http://japan.internet.com/webtech/20081003/6.html http://japan.internet.com/webtech/20081003/6.html 「IT セキュリティ予防接種」 → すごい表現!! 「予防接種」なんだ。要するに、実際に「標的」相手に攻撃を行なってみて、反応を調べる、という試験手法、なんですよね? http://japan.cnet.com/news/sec/story/0,2000056024,20381339,00.htm http://japan.cnet.com/news/sec/story/0,2000056024,20381339,00.htm オープンソースのECサイト構築システム「EC-CUBE」に複数の脆弱性が確認されたと発表 / 影響を受けるシステムは、Ver2 正式版 Version 2.1.2aおよびそれ以前、Ver2 RC版 Version 2.3.0-rc1およびそれ以前 http://neta.ywcafe.net/000910.html http://neta.ywcafe.net/000910.html 『「パスワードを平文のまま保存している」と「SQLインジェクション攻撃」等でそのまま流出 → パスワードは暗号化して保存すべき』 / そっか、メールでパスワード送ってくるところは暗号化してないってことか http://japan.zdnet.com/news/sec/story/0,2000056194,20381085,00.htm http://japan.zdnet.com/news/sec/story/0,2000056194,20381085,00.htm 日本では「スピア型攻撃メール」などとも呼ばれる / PDFや文書作成ソフトなど、添付ファイルを開くために必要なアプリケーションに存在する脆弱性を利用して、不正なプログラムをクライアントPCに送り込む手口で攻撃 http://pc.nikkeibp.co.jp/article/news/20080929/1008284/?f=security http://pc.nikkeibp.co.jp/article/news/20080929/1008284/?f=security 不特定多数に向けたウイルスメールや迷惑メール、フィッシング詐欺メールなどは対象外。標的型攻撃メールだけが対象 / 『標的型攻撃メール』では分かりにくいので、『不審メール』 → 不審メールでも誤解されるよ? http://internet.watch.impress.co.jp/cda/news/2008/09/29/20990.html http://internet.watch.impress.co.jp/cda/news/2008/09/29/20990.html 標的型攻撃メールとは、情報の搾取を目的として特定の企業や組織を狙って送信されるウイルス添付メールのことだが、一般の人にはわかりにくいため「不審メール」という名称を採用 http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381029,00.htm http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381029,00.htm これは本当に恐ろしい問題だ / これは本当に「非常に恐ろしく」、適切な修正は「ほとんど不可能」 / 恐ろしい / 恐ろしい / 恐ろしい / 修正は不可能 / 不可能 / 不可能 / 恐ろしい / 恐ろしい / 恐ろしい http://mootoko.blog.shinobi.jp/Entry/2187/ http://mootoko.blog.shinobi.jp/Entry/2187/ 「site:emagazine.rakuten.co.jp　楽天に登録してるアドレス」でググると、メルアドと本名丸見え / キャッシュで開いて登録情報の変更で本名が見える → これはやばいんじゃないの? http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381028,00.htm http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20381028,00.htm 当面の間は、唯一の対策はブラウザのスクリプト機能とプラグインを無効化することだ → 「JavaScript に無関係」なんだったら、全然対策になってないと思う。有効な対策は Lynx を使うか、Web を見ないこと http://blog.sakichan.org/ja/2008/09/26/hatena_is_now_evil http://blog.sakichan.org/ja/2008/09/26/hatena_is_now_evil はてなのケータイサイトであるポケットはてなは、一切の告知なく、常に契約者固有IDをケータイから送信させるようになった / ポケットはてなへのログインとは何の関係もなく行われているし、コメント投稿などにも限定されていないので、「発信者情報開示請求のため」に限定されるものでもない http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html http://www.ipa.go.jp/security/vuln/documents/2008/200809_DNS.html DNSキャッシュポイズニングの脆弱性の届出件数が突出して激増 / 社会的影響の大きいウェブサイトのDNSサーバについても多数の届出があり、各サイトの運営者は早急な調査と対策実施が必要 http://japan.cnet.com/news/sec/story/0,2000056024,20380070,00.htm http://japan.cnet.com/news/sec/story/0,2000056024,20380070,00.htm アドレスバーに「about:%」と入力するとコンピュータがクラッシュする問題 → そんな脆弱性があったのか!! http://www.itmedia.co.jp/enterprise/articles/0809/09/news029.html http://www.itmedia.co.jp/enterprise/articles/0809/09/news029.html 「名前を付けてページを保存」機能にバッファオーバーフローの脆弱性 / Google Chrome 0.2.149.29で修正 / 「どんな脆弱性を修正したのか明記してほしい」といったコメント / 現時点でGoogle側の返答はない http://security.bkis.vn/?p=119 http://security.bkis.vn/?p=119 Google has just released the patch for this vulnerability in Google Chrome 0.2.149.29. → すでにパッチが出ている模様 http://japan.cnet.com/news/sec/story/0,2000056024,20379977,00.htm http://japan.cnet.com/news/sec/story/0,2000056024,20379977,00.htm 「非常に長いタイトル」でバッファオーバーフローを発生させ、エクスプロイトを送り込む手法? Googe Chrome は、サンドボックスがあるので、マルウェアは何もできないはずじゃなかったの? みたいなww http://japan.cnet.com/special/story/0,2000056049,20379912,00.htm http://japan.cnet.com/special/story/0,2000056049,20379912,00.htm Chromeを使えば、ウイルス、スパイウェア、マルウェア、キーロガー、フィッシングがサンドボックスで捕らえられるようになる → Chromeそのものがスパイウェア、マルウェア、キーロガーとして作られている可能性は? http://takagi-hiromitsu.jp/diary/20080905.html#p01 http://takagi-hiromitsu.jp/diary/20080905.html#p01 Googleマップの「ストリートビュー」について「無断撮影公表に波紋」と題する記事が、朝日新聞2008年9月2日朝刊社会面に掲載された http://www.gizmodo.jp/2008/09/chrome_1.html http://www.gizmodo.jp/2008/09/chrome_1.html 「みなさんが合意した条項には、Chrome使用中に作成・発行したものは全部グーグルが使っていいことにしようね、という規約があるのです」 http://japan.cnet.com/news/media/story/0,2000056023,20379814,00.htm http://japan.cnet.com/news/media/story/0,2000056023,20379814,00.htm そもそもGoogleは、こうした全情報を総合することによって、実のところ何が行えるのだろうか / すでにGoogleによって、どれほどのウェブ検索履歴がデータ収集されているのかを考えると、さらなる懸念が生じる http://www.itmedia.co.jp/anchordesk/articles/0809/04/news071.html http://www.itmedia.co.jp/anchordesk/articles/0809/04/news071.html 「アプリケーション番号だって? やれやれ、Chromeでは本当に閲覧の匿名性は高まっているのだろうか?」 → これは気づいてなかった http://bakera.jp/ebi/topic/3235 http://bakera.jp/ebi/topic/3235 フォームのsubmitボタンがテキストリンクに見える例 http://www.0x000000.com/?i=635 http://www.0x000000.com/?i=635 LABEL要素のFOR属性の話 http://blog.ohgaki.net/javascript http://blog.ohgaki.net/javascript LABELタグ / JavaScript無しもでページを表示するだけでCSRFを行う事が出来る http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20379592,00.htm http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20379592,00.htm フィッシングサイトにあざけりのメッセージを検知する余分のロジックを組み込んでおり、それらのユーザーをマルウェアの自動ダウンロード攻撃の対象にする / 偽セキュリティソフトウェア(スケアウェア)攻撃 http://blog.livedoor.jp/ld_directors/archives/51085702.html http://blog.livedoor.jp/ld_directors/archives/51085702.html 「SSL サーバ証明書の種類によって異なりますが、大抵の場合は会社の登記簿と印鑑証明が必要になりますので、その準備期間も含めて2週間ほど見積もっておくのがベターです」 http://gihyo.jp/dev/serial/01/hamachiya2/0001 http://gihyo.jp/dev/serial/01/hamachiya2/0001 次回，『覚えのない日記』の真相に迫る → こんにちはこんにちは！！ http://internet.watch.impress.co.jp/cda/news/2008/08/20/20607.html http://internet.watch.impress.co.jp/cda/news/2008/08/20/20607.html us.army.mil って「オレオレ証明書」を使ってるのか!! http://www.atmarkit.co.jp/fdotnet/special/vs2008sp1/vs2008sp1_01.html http://www.atmarkit.co.jp/fdotnet/special/vs2008sp1/vs2008sp1_01.html セキュリティ仕様が.NET Framework 3.5 SP1で変更 → 別のマシンの共有フォルダに置いた実行形式を実行しようとしても、セキュリティの警告が出なくなった / 「問題のある仕様変更ではないか」と物議を醸している http://japan.cnet.com/news/media/story/0,2000056023,20379053,00.htm http://japan.cnet.com/news/media/story/0,2000056023,20379053,00.htm ここで言うプライバシーとは「ブラウザがどの情報を各ウェブサイトに提供するかを、ユーザーが制御できる状態にあること」 / どのサイトに自らの情報が開示されているかをユーザーにはっきりと通知し、ユーザーが希望する場合には開示の度合いを制御できるようにする http://japan.cnet.com/news/sec/story/0,2000056024,20379042,00.htm http://japan.cnet.com/news/sec/story/0,2000056024,20379042,00.htm ネットワークを常時監視して疑わしい挙動をとらえ、その中から潜在的な脅威を可視化 / プログラムの動作を追跡調査 / 監視状況や処理結果は、リージョナルトレンドラボのエンジニアがレポートで報告 http://www.atmarkit.co.jp/news/200808/20/trendmicro.html http://www.atmarkit.co.jp/news/200808/20/trendmicro.html ネットワークを流れるパケットを監視、分析し、ボットをはじめとするマルウェアの挙動と思われるものを検出 / その情報に基づいて感染したと思われるクライアントを追跡調査し、復旧処理を行う http://it.nikkei.co.jp/security/news/index.aspx?n=MMIT2g000021082008 http://it.nikkei.co.jp/security/news/index.aspx?n=MMIT2g000021082008 予告.in の XSS の件と、はまちちゃんの「こんにちはこんにちは！！」の件について http://google-mania.net/archives/1043 http://google-mania.net/archives/1043 いつの間にこんな設定が。早速、設定した / ただ、これを設定しちゃうと、Gmail Notifer が動かなくなっちゃんだよなぁ。https 対応版の Gmail Notifer、出ないのかな? http://www.itmedia.co.jp/news/articles/0808/18/news014.html http://www.itmedia.co.jp/news/articles/0808/18/news014.html 根幹となるDNSインフラがキャッシュポイズニング攻撃を受けると、OpenIDの発行や認証を担う「OpenIDプロバイダー」と、OpenID対応サイトの「Relying Parties」の間で正規サイトと偽サイトの区別ができなくなる http://movatwitter.jugem.jp/?eid=73 http://movatwitter.jugem.jp/?eid=73 流出したURLを誰かがクリックすると、ご自身のtwitter上のログやDMにアクセスされたり、なりすましで発言をされる可能性があります / 該当する恐れのある人は、モバツイッターのトップから「退会」処理後、再取得 http://www.atmarkit.co.jp/news/200808/13/tomcat.html http://www.atmarkit.co.jp/news/200808/13/tomcat.html この脆弱性はTomcat 6.0.18では修正されているが、Tomcat 5.0系および4.1系については次期リリースで対応 / Tomcatの実行権限でファイルへのアクセスが可能 / もし管理者権限でTomcatが動いている場合、…… http://twitter.com/maybowjing/statuses/887104565 http://twitter.com/maybowjing/statuses/887104565 ついったー部日記のリンク元URIにモバツイのログインURIがそのまんま出てきたので急いで削除 → これはやばい http://d.hatena.ne.jp/famnet/20080812/1218502884 http://d.hatena.ne.jp/famnet/20080812/1218502884 うわー。これは危険 → チェックしてみたら POOR が出る例 / 対策としてDNS管理者がすべきこと: たぶんDNSサーバ（BINDとか）を更新するとか、TTLを長くとるとかしか http://d.hatena.ne.jp/m-bird/20080811/1218450245 http://d.hatena.ne.jp/m-bird/20080811/1218450245 POORって出たら、残念なDNSを使っているプロバイダ / Q: 何で対応しないプロバイダが多いの? A: 面倒。パフォーマンス(性能)が落ちる。よく分からないから、デフォルトの設定(53番決め打ち)で使っている http://d.hatena.ne.jp/Hamachiya2/20080804/security http://d.hatena.ne.jp/Hamachiya2/20080804/security どんな仕組みかまだ見てないんだけど2chのCSRFの方がやばくない？ → そうそう、これ、すごいやばいと思う http://yokoku.in/column/release/080803.php http://yokoku.in/column/release/080803.php 犯行予告の投稿欄にXSS脆弱性を突いた不正なコード / 予告inへのアクセスと同時に、犯行予告文を、強制的に２ちゃんねるに投稿されてしまう / 警視庁ではすべての事実を把握しており、調査を行っている最中 http://ksklog.blog108.fc2.com/blog-entry-767.html http://ksklog.blog108.fc2.com/blog-entry-767.html 予告inにクロスサイトスクリプティング攻撃 / 「つまり予告in見に行った通報厨が立てさせられてんのか」「全員逮捕されたら悲惨だなｗｗｗ」 → うっはぁ http://www.atmarkit.co.jp/news/200807/30/ibm_iss.html http://www.atmarkit.co.jp/news/200807/30/ibm_iss.html エクスプロイト・コードが現れるまでの時間が短くなっている理由は、自動的に攻撃手法を見つけ出し、プログラムを作成するツールが使われていることが理由の1つ http://japan.internet.com/webtech/20080731/12.html http://japan.internet.com/webtech/20080731/12.html 彼らは面白半分で攻撃をしかけているのではない。Web サイトのハッキングは彼らの商売であり、儲かるかどうかだけが問題なのだ。利益が得られなくなったら撤退、という点では、まともなビジネスの世界と変わらない http://japan.cnet.com/news/sec/story/0,2000056024,20377887,00.htm http://japan.cnet.com/news/sec/story/0,2000056024,20377887,00.htm Kaminsky氏が発見した脆弱性には3つの脆弱性が含まれており、2つはすでに知られているが、1つは未知のもの / 攻撃者は6万5000分の1の確率で暗証番号を持つことができる / 応答を得るのにかかる時間は約10秒 http://takagi-hiromitsu.jp/diary/20080727.html#p01 http://takagi-hiromitsu.jp/diary/20080727.html#p01 日本のグーグルはそういうことをやっていない。しょぼい / そもそもIPアドレスで何かを制御しようとするのが誤りなんだが、ここまで常態化してしまった / NAVITIMEの動向 / 契約者固有ID送信用プロキシサーバ http://jp.techcrunch.com/archives/20080727who-is-johng77536-and-how-did-he-game-twitter/ http://jp.techcrunch.com/archives/20080727who-is-johng77536-and-how-did-he-game-twitter/ 『私を含めて7千以上のユーザーが「Follow」ボタンを押した覚えがないのに、johng77536をフォローしている。このアカウントは生成以来わずか2時間で、Twitterのトップ100アカウントにランクインした』