ファイル名は「左から右に読む」とは限らない?!
ファイル名は「左から右に読む」とは限らない?!:セキュリティTips for Today(8)(1/3 ページ) 私たちの常識が世界では通用しないことがあります。攻撃者はそんな心のすきを狙って、落とし穴を仕掛けます。今回はそれを再認識させるかのような手法と、その対策Tipsを解説します(編集部) 皆さんこんにちは、飯田です。先日、セキュリティ管理者の方々と「今後のウイルス対策のあり方」について意見交換をする機会がありました。参加者からは活発な意見や質問も飛び交い、盛り上がりを見せた意見交換会となりました。私自身も多くの気付きや学びを得ることができ、貴重な時間を過ごすことができました。 その意見交換会の中で、Unicodeの制御文字を利用したファイルの拡張子偽装の話題が出ました。この手法は目新しい手法ではなく、数年前からすでに指摘されていたものです。しかし、久しぶりに本手法について議論するこ
UTF-8の冗長なエンコードとは何で、なんでそれがセキュリティ的に危ないのか?を文字コード知識レヴェル3くらいの凡プログラマが考えてみる - tohokuaikiのチラシの裏
何故かあたり前にならない文字エンコーディングバリデーション | yohgaki's blog ってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。 SJISの問題は、(2/3)SQLインジェクションを根絶!セキュア開発の極意 - 第5回■注目される文字コードのセキュリティ問題:ITproの記事がわかりやすかった。 というか、やっぱりPHP使ってると誰でも一度は「なんじゃこの『¥』は?」って思うもんなんで。 なるほど、確かに↓の図のように「あるバイト」が2つの意味を持つっていう文字コード形態はやばいんだなと。 EUC-JPはそんなことはしないで、1つのバイトには1つの意味しか取らせない。 だけど、これでも文字化けが起こることがある。経験的には、「マルチバイトをXX文字で切り落としたい」とかやった場合。ちゃんと文字コードを判定してくれるPHPでいえばmb_subst
“ゼロインパクト”は本当か? 「ノートンインターネットセキュリティ2009」を検証する
“ゼロインパクト”は本当か? 「ノートンインターネットセキュリティ2009」を検証する:2009年版セキュリティ特集 第1回(1/3 ページ) セキュリティソフトベンダー御三家の1つであるシマンテックの最新セキュリティスイート「ノートンインターネットセキュリティ2009」(以下、NIS2009)が発売された。 ノートンと言えば重厚長大というイメージが強い。全世界にセキュリティセンターを置き、非常に安心感の高いサービスだと認識されてはいるものの、「メモリの消費量が多い」「重たい」という印象があるのもまた事実だ。 一方、数年前からセキュリティソフトウェア業界は、海外からの新規参入が相次ぎ、さまざまな特色を打ち出した百花繚乱(ひゃっかりょうらん)の時代に突入している。年会費無料をうたうものもあれば、複数のスキャンエンジンを使用して検出率の高さを誇るものもある。その中でも近年、重視される傾向にある
アンチウイルスソフトなんてフリーのソフト放り込んどけば十分だよな?:アルファルファモザイク
編集元:ニュース速報板より「アンチウイルスソフトなんてフリーのソフト放り込んどけば十分だよな?」 1 毎日新聞配達(東京都) :2008/10/10(金) 16:25:25.90 ID:s6TCpuoO ?2BP(3334) 株主優待 無料で使えるMac用アンチウイルスソフト「iAntiVirus 1.1」 PC Toolsは9日 (米国時間)、Mac OS X用アンチウイルスソフト「iAntiVirus 1.1」をリリースした。動作環境はMac OS X 10.5以降、17MB以上の空きディスク容量が必要。無償版のほか、電話サポートや商業利用許可が付帯する有償版 (4,490円) が用意されている。 iAntiVirusは、システム常駐型のアンチウイルスソフト。ウイルスに感染したファイルをダウンロードしたときなど、リアルタイムにウイルスの侵入を検知 / 隔離する機能のほか、週 /
ウイルスチェックサービス:セキュリティ@nifty
平素より@nifty(アット・ニフティ)をご利用いただき誠にありがとうございます。 多くのお客様にご利用いただいておりました「ウイルスチェックサービス」は、 2014年6月30日をもちまして終了いたししました。 当サービスをご愛顧いただきましたお客様には大変ご迷惑をおかけしますが、ご理解賜りますようお願いいたします。 弊社では、セキュリティ・ウイルス対策サービスとして「常時安全セキュリティ24」をご提供しています。 ご利用開始月は無料でご利用いただけます(※初めて「セキュリティ24」をご利用いただく方のみ)ので、ぜひこの機会にご検討ください。 今後とも@niftyを何卒よろしくお願い申し上げます。
XSSはそのサイトを信頼している人が多いほど脅威になりうる - ぼくはまちちゃん!(Hatena)
はい! こんにちは! 今日は珍しくセキュリティについて一言です! タイトルにある通り、 XSSはそのサイトを信頼している人が多いほど脅威になりうる ってことなんだけど…。これだけだと、あたりまえっぽいよね。 まずXSS脆弱性ってなに? って人のために簡単に説明しちゃうと、これ サイトを作った人以外の人でも、好きなスクリプトを実行できちゃう状態 ってことなんだよね。 でもよく考えてみてほしい。 スクリプトが実行できる。へんなスクリプトが実行されちゃうかもしれないページ。 これって別に、「ふつうにスクリプトを許可されている、そこらへんのブログやホームページと同じ」じゃない? いや、微妙に違うかな。 違う点はひとつ。 スクリプトを埋め込めるのが「サイトの管理者オンリー」なのか「誰でも」なのかの違いがあるんだよね。 … じゃあ、「名もなきサイトの管理者」と「誰でも」の違いってなんだろう? なんだろ
「Zipファイルのパスワードを短くするのは危険だよ!」を計算して確認してみた - 元RX-7乗りの適当な日々
仕事をしていると、何らかの形でパスワード付きのZIPファイルを受け取ることがあるのですが、そのパスワードを教えてもらったときに、思いのほかパスワードが短い(3文字とか4文字とか)ことが多くて驚きます。 何のためにパスワードをかけているのかを考えると、ちょっとした努力で紐解きにくくできるものなら、堅くしておきたいものですよね。 というわけで、短いパスワードのZipファイルがどれだけ危険かを計算してみようと思います。 パスワードに使える文字パターン もっとたくさんある気もしますが、とりあえず前提として、よく使う半角英数字/記号文字ってことで、パスワードに用いる文字列を以下の89種類とします。 abcdefghijklmnopqrstuvwxyz ABCDEFGHIJKLMNOPQRSTUVWXYZ 0123456789 ~@#$%^&*()_+-=[]{},.\"/?:;` パスワードの文字数
Avast!Home オンアクセス保護
| 新しいページ | 編集 | 差分 | 編集履歴 | ページ名変更 | アップロード | 検索 | ページ一覧 | タグ | RSS | ご利用ガイド | 管理者に問合せ | |ログイン|おすすめリンク | 転職ならen | 転職ならエン | 派遣ならen | アルバイトならen | 就職ならen | デジカメプリント | 年賀状 | ましかくプリント | 辞書 | | 2ch風無料掲示板 | 無料ブログ作成 | ソーシャルプロフィール | 無料掲示板 | 高機能無料掲示板 | 無料ホームページ | 無料SNS |php |ポイント | @wiki - 無料レンタルウィキサービス | プライバシーポリシー
【ハウツー】もう試しましたか? Googleの脆弱性発見ツール「ratproxy」 (1) XSS問題などを検出可能 | エンタープライズ | マイコミジャーナル
Webアプリケーション開発者にとって切っても切れない問題――それがセキュリティ対策だ。日増しに複雑になっていく要件・機能に対する脆弱性検査に悲鳴をあげているデベロッパ/テスターも多いことだろう。そのような中、あのGoogleが、社内でも活用している脆弱性発見ツールをオープンソース化して公開した。同ツールは脆弱性検査の新しい決め手となるか。以下、基本的な使い方や主要機能について紹介していこう。 Google社内で現役の脆弱性検知ツール - ratproxy Googleは1日(米国時間)、Webアプリケーションのセキュリティ監査を実施するツール「ratproxy」をリリースした。ratproxyはプロキシサーバとして動作するオープンソースソフトウェア。同ソフトウェアを経由してWebアプリケーションを操作することで、XSS(Cross Site Scripting)問題や不適切なXSRF(Cr
「SQLインジェクション攻撃をログから検出」、IPAが無償ツールを公開
情報処理推進機構(IPA)は2008年4月18日、Webサーバーのアクセスログから、Webサイトへの攻撃を検出するツールを公開した。IPAのWebサイトからダウンロードできる。現在のところ、検出できる攻撃は「SQLインジェクション」のみだが、今後は他の攻撃にも対応する予定。 最近、Webサイトを狙った攻撃(特に、SQLインジェクション攻撃)が相次いでいる。攻撃の結果、ウイルスを感染させるようなコードをWebページに仕込まれたり、Webサイトのデータベースから顧客情報を盗まれたりしている。 そこでIPAでは、Webサーバーのアクセスログを解析して、「SQLインジェクション攻撃をどの程度受けているのか」や「攻撃によって被害が発生していないか(攻撃が“成功”していないかどうか)」を調べるためのツール「iLogScanner」を公開した。 このツールは、Webブラウザー上で実行するJavaアプレッ
窓の杜 - 【NEWS】無償アンチウイルス“avast! Home”にスパイウェア・ルートキット対策が追加
最新版v4.8が公開、Windows Vista SP1およびWindows XP SP3での動作を確認済み ALWIL Softwareは29日、ウイルス対策ソフト「avast! 4 Home Edition」の最新版v4.8.1169を公開した。Windows 95/98/Me/NT 4.0/2000/XP/Vista/XP x64/Vista x64に対応しており、個人かつ非商用に限り無償で利用できる。 本バージョンでは従来のウイルス対策機能に加え、スパイウェアや、自身のファイルやプロセスなどを隠蔽しつつシステムに侵入する“ルートキット”への対策機能が追加された。また、悪質なプログラムが本ソフトを強制終了させたり、本ソフトのファイルなどを破壊することを防ぐ自己防衛機能も追加されている。 そのほか、本ソフトのカーネルモードドライバーの脆弱性を修正するなど、さまざまな改良が施されている。
ウイルスバスター2007で処理が重く(遅く)なる問題と対処法
※ 本ページでは現在,ウイルスバスター2008や2009の評価は取り扱っておりません.主に2007, 2006のことを書いております. 2008の情報を得るには, 2ch掲示板ネットワークセキュリティにいき,「【VB】ウイルスバスター2008 Part□□【TrendMicro】」というスレッド(話題)であって□□の最大の(すなわち最新の)スレッドを探して,そのボックスの最後の「全部読む」のリンクをクリックします.特に先頭1〜20発言位が参考になるかもしれません.LANが切れるなどの障害は一部あるようですが,2007よりはおおむね軽く,安定した感じでしょうか. ウイルスバスター2007を入れてからのシステムの重さ,遅さ,不安定さに困っている皆さん,ようこそ. 現在も未解決障害や構造的問題が残り,困っている人が多い状況です. 本記事は2007問題ではたぶん世界一詳しい対策サイトです(閲覧回数
CAPTCHAは愚策:江島健太郎 / Kenn's Clairvoyance - CNET Japan
最近ようやく初級プログラマーを卒業できた手応えのようなものを感じており、いよいよコードを読み書きするのが楽しくてしょうがない段階になってまいりました。 こういうとき、Rubyは初心者にもやさしいけど、上達すればどこまでも上のステージが用意されているような、まるで自然言語のようななめらかさ・しなやかさがあって、ほれぼれとします。デザインの美しいものに触れているときには人間はこんなにも幸せになれるのか、という感じですね。ときに、今回のブログネタは、デザインの悪いものに出会うとこんなにも気分が悪くなるのか、という話なのですが。 なお、新プロジェクトではデザイナーのクリスの勧めでHamlを使うことにしたり、アーキテクトのダニーの設計でJavascriptにPublish-Subscribe型の(つまり一対多の)コールバックのフレームワークを作ってみたり、ReallySimpleHistoryを使い
無料のセキュリティ統合ソフト「Kingsoft Internet Security free」を使ってみた - GIGAZINE
アンチウイルスソフト、ファイアウォール、アンチスパイウェアなどの各種セキュリティ機能を統合し、さらにそれらの機能がすべて無料で利用できるのがこの「Kingsoft Internet Security free」。通常の脆弱性対策やフィッシング対策、保護機能だけでなく、スパイウェアが銀行口座・クレジット番号などを勝手にメール送信しようとしてもそれを食い止めることも可能です。 ちなみに、無料版ですが有料版とまったく同じ品質であり、法人による利用も可能、有料ユーザーと同じサポートも受けることが可能だそうです。 というわけで、インストール手順から実際のウイルス駆除の様子までをレポートしてみました。 ■ダウンロードとインストール編 まず、ソフトのダウンロードは以下から行います。 無料の総合セキュリティソフト/キングソフトインターネットセキュリティフリー 「今すぐダウンロード」をクリックすればダウンロ
クロスサイトスクリプティング(XSS)とCSRFの違い早分かり - ockeghem(徳丸浩)の日記
昨日の日記で、DK祭りで使われている脆弱性がXSSかCSRFかという問題になった。どうも、XSSとCSRFがごっちゃになっている人もいるように見受けるので、簡単な整理を試みたい。 XSSとCSRFには似た点がある。 どちらも「クロスサイト」という言葉が先頭につく なりすましのようなことが結果としてできる どちらも受動型攻撃である それに対して、もちろん違う点もある。専門家から見れば「似てるも何も、そもそも全然違うものですよ」となるのだろうが、現に混同している人がいるのだから紛らわしい点もあるのだろう。 私思うに、XSSとCSRFの決定的な違いは、以下の点ではないだろうか。 XSSは攻撃スクリプトがブラウザ上で動くが、CSRFはサーバー上で動く このため、XSSでできる悪いことは、すなわちJavaScriptでできることであって、攻撃対象のCookieを盗み出すことが典型例となる。一方、CS
高木浩光@自宅の日記 - 無線LANのMACアドレス制限の無意味さがあまり理解されていない
■ 無線LANのMACアドレス制限の無意味さがあまり理解されていない 職業マスメディアに代わって、ブログスタイルのニュースサイトが人気を博す時代になってきた。海外の話題を写真の転載で紹介する安直なニュースも人気だ。 このことろなぜか、無線LANのセキュリティ設定について書かれた記事を何度か見た。おそらく、ニンテンドーDSがWEPしかサポートしていないことが不安をもたらしている(そして実際に危険をもたらしている)ためだろうと思われる。 セキュリティの解説が増えてきたのはよいことなのだが、内容に誤りのあるものが少なくない。 実は危険な無線LAN, らばQ, 2007年10月21日 この記事には次の記述があるが、「接続されなければMACアドレスは盗まれない」という誤解があるようだ。 MACアドレスというのは、機器固有のIDのようなものです。たいていの無線LANアクセスポイントにはMACアドレスフ
無料のアンチウイルスソフト「AVG Anti-Virus Free Edition」日本語版登場 - GIGAZINE
Windows 98/Me/NT/2000/XP/Vistaに対応したアンチウイルスソフト「AVG Anti-Virus Free Edition」の日本語版がついに先ほど、ようやく公開されました。家庭内で個人的に非商用で利用するのであれば無料です。 いろいろと機能的な制限はあるものの、常駐させることが可能で、なおかつ定期的にパソコンの中をフルスキャンさせたり、あるいは右クリックから任意のファイルをスキャンするといったことも可能ですし、メールの送受信時に自動的にスキャンしてチェックすることもできます。なので、とりあえずアンチウイルスソフトに払うお金がないという人には最適なのかも。 というわけで、実際にインストールして使ってみました。 ダウンロードは以下から可能です。 AVG - AVG Anti-Virus Free Edition ダウンロードしたらクリックして実行 「次へ」をクリック
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://twitter.com/HiromitsuTakagi/status/2003496892
IT news, careers, business technology, reviews
【ちゅうい】 MSNメッセンジャーの