WinnyとかShareでごにょごにょしてComicView.exeを実行したひとへ。
最近PCの調子はどうですか? すこぶる元気ですか? ごにょごにょして手に入れたzipの中に入っているComicView.exeを実行してしまった人用に対応策を書かせてもらいます。たぶん優秀で善良なはてなの方たちには全く関係がないと思うけど、はてなに書けばGoogle先生も良く拾ってくれますからね。 まず最初に断っておくと、私はWindowsVistaを所持していないのでWindowsXP用の対応策になります。WindowsVistaでは同じように機能するのかも分かりません。 まず、実行した人には分かると思いますが何も起こりませんよね。 これで何も害がない実行ファイルだと思ってしまったらダメです。この時点であなたはウイルスの作者に利用されてしまっています。 ComicView.exeを実行すると「C:\Documents and Settings\All Users\スタート メニュー\プロ
他社製ウイルス対策ソフトをはるかに凌駕し、圧倒的に軽くて使いやすいウイルス対策ソフト「NOD32アンチウイルス」 - GIGAZINE
ウイルスを検知する各社のウイルス対策ソフトは常駐させるとウインドウズ全体がワンテンポ遅れるような重さを感じ、しかも年月が経過するにつれてなぜかどんどん重さが増していく凶悪なソフトが多いのですが、この「NOD32アンチウイルス」は圧倒的なまでの軽さがウリ。軽いからと言って機能が低いわけではなく、むしろ逆で、「Virus Bulletin」において権威ある「ウイルス検出率100%AWARD」(Virus Bulletin 100%アワード)を新記録となる業界最多の51回獲得(2008年8月時点)、価格コム事件においてもヒューリスティック機能で唯一検知できたソフトとしてその実力をネット中にとどろかせ、ベクターの第10回プロレジ大賞を受賞、売り上げランキングは常に上位で、No.1をマークしたこともあります。 機能が優秀だからといって複雑怪奇な設定が必要というわけではなく、インストール時の初期設定の
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
シングルクォートもきちんとエスケープする - 素人がプログラミングを勉強していたブログ
追記2:2007-10-11 - hoshikuzu | star_dust の書斎を見ると、下に書いてるような対策では不十分なようだ。 追記:エスケープすべき文字は、Re: JavaScript内(文字列)にデータを出力する場合の適切なエスケープ手順|freeml byGMOなどを参考に。 シングルクォート(')をエスケープせずXSSの原因になっているサイトをけっこう見かけたので、どういう時問題になるのか書いておく。 JavaScriptの文字列を動的に埋め込む場合。 <script> var q = 'hoge"fuga'; document.getElementById('word').appendChild(document.createTextNode(q + 'の検索結果')); </script> のように、変数に代入する文字列を動的に作っている場合、RubyのCG
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!:第1回 HTTPのしくみを復習しよう|gihyo.jp … 技術評論社
こんにちはこんにちは ! ! はまちや2です! 今日からぼくと一緒にWebプログラミングのセキュリティについて、ちょっぴり勉強してみませんか!今回はHTTPがどんなやりとりをしているのか、簡単におさらいしてみましょう!
![[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!:第1回 HTTPのしくみを復習しよう|gihyo.jp … 技術評論社](https://cdn-ak-scissors.b.st-hatena.com/image/square/29c83b78ddd1366ab14d60f762747032e7fc5f2e/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2008%2F202_hamachiya.png)
Firebugのconsoleを有効にしているとWebページ側からクリップボードを上書きされる危険性がある - 素人がプログラミングを勉強していたブログ
簡単に言うと、下のようなコードをWebページ側が仕込んでいると、ユーザーが気づかないうちにクリップボードを書き替えられてしまう。 <script> window.addEventListener("load",function(){ alert("クリップボード置き替えのテスト"); window._FirebugCommandLine.copy("クリップボードが置き替えられてしまう"); },false); </script> これは、FirebugがWebページ側に特権を昇格されてしまわないように、拡張機能と、コンソールのやり取りをイベントで間接的に行なうようにしたことに起因する問題。 以下、いろいろ調べて分かったことのメモ。 例えば、 console.log("foo"); というコードが実行されてから、実際にconsoleに表示されるまでを辿ってみる。 まず、 console.l
【2ch】ニュー速クオリティ:インターネット終了のお知らせ。DNSの脆弱性の実証コードがリリースされる。僅か数分で汚染可能
1 力保美達(福島県)2008/07/25(金) 11:29:15.07 ID:6KHoBSxHP ?PLT(12000) ポイント特典 Dan Kaminsky氏のDNSキャッシュポイズニング脆弱性に対してパッチを当てる緊急性が何段階か跳ね上がっている。 このセキュリティホールを利用する、対象の名前サーバのキャッシュに悪意のあるDNSレコードを埋め込むことを 可能にする脆弱性実証コードが、無料で配布されている攻撃・侵入テストツールであるMetasploitに追加された。 Metasploitを作ったHD Moore氏によれば、この脆弱性実証コードの作成には|)ruidの研究者と協力しており、 この脆弱性実証コードを支援するためにDNSサービスも作成されたという。 このコードはここで提供されており、深刻なキャッシュポイズニング攻撃を行うことを可能にするDNSプロトコルと 一般
警察から電話が…! - ぼくはまちちゃん!
大変です! たいへん! こんにちは!! さっきtwitterにも書いたんだけど、警察から電話がありました! どうしよう!!! とりあえず、せっかくなのでこっちの日記にも書いておきますね!! そう、ぼく予告.outを、自慢のD905iでも読み書きできるようにしよーって思って、久しぶりに携帯を見てみたんだよ! そしたら、いつもはモバゲーのマキとか、ジャンカラとか、逆援希望とかのメールばかりなのに、珍しいことに留守電が! はやる気持ちを抑えつつも、再生してみたら、宮城県警でした! びっくり! なんでぼくに警察から電話が! しかもミヤギの! あ! そうか! 予告.outがすてきだからってことで表彰してくれるのかもしれない! あるいは一日署長の依頼かも? そんな感じでわくわくしながら、電話してみたよ! 警察: はいこちら警察本部ですー はまち: あのうそちらのサイバー?なんとかさんから、ぼくあてにお
PHP/脆弱性リスト/メモ - yohgaki's wiki
なんだかやけに長い説明ばかり検索に引っかかったので書きました。 Linuxのローカル環境でDockerコンテナ内のXアプリ(GUIアプリ)を利用するには $ xhost localhost + を実行した後に $ docker run --rm --net host -e "DISPLAY" container_image_name x_app_binary_path とすれば良いです。 もっと読む SSHなどよく知られたサービスポートで何も対策せずにいると数えきらないくらいの攻撃リクエストが来ます。不必要なログを増やしてリソースを無駄にし、もし不用意なユーザーやシステムがあると攻撃に成功する場合もあります。 SshguardはC作られており、flex/bisonのパーサールールを足せば拡張できますがカスタム版をメンテナンスするのも面倒です。必要なルールを足してプルリクエストを送ってもマー
常駐させてもめちゃくちゃ軽快に動作する総合セキュリティソフト「イーセット スマート セキュリティ」 - GIGAZINE
軽快で高機能、なおかつ検出率も非常に高く、さまざまな賞も受賞して実績のある有名なアンチウイルスソフト「NOD32」の上位版、それが総合セキュリティソフト「ESET Smart Security」です。 基本的にはNOD32にパーソナルファイアウォールと迷惑メール対策機能が統合されているソフトとなっており、このソフト一本で、ウイルス対策・スパイウェア対策・不正侵入対策・迷惑メール対策・フィッシング対策などが可能。しかも、処理スピードが極めて高速で、常駐させていてもものすごく軽い。使うのも簡単で、基本的にはインストールするだけ。細かい設定はほとんど不要なので、初心者でも問題なく使用可能、全自動で防御してくれます。もちろん、細かく設定することも可能で、警察庁に4000ライセンス導入された実績もあるというスグレモノです。 というわけで、どれぐらい軽いのか、そしてどのようにして利用できるのか、実際に
本名バレてもへっちゃら? - ぼくはまちちゃん!(Hatena)
そうだね。 たいていの家には表札がかかっているし、 (今では減っただろうけど)電話帳なんかにも色々と載っていたりするよね。 外にでたら、普通に名前を名乗るし、とにかく本名で生活してる。 そういう感覚ならそう。 誰かに本名を知られても平気。 それは平気なことだった。 だけどネットが絡むとそうも言っていられないと、ぼくは思うよ。 なぜかって? ネットじゃなければ、沖縄にいる知らない人が、きみのちょっとした「つぶやき」を聞く機会はほとんどないよね。 北海道の知らない人に、興味を持たれる機会もほとんどない。 きみのポエムが2年後に、知らないひとの目にふれる機会なんてのも、たぶんない。 偶然、きみの一言が、誰かの目に留まり、 少し興味を持って調べてみると、 どんどん出てくる若かりし頃のポエム。写真…! 尽きない興味、高まる興奮…! そうして本人にはまったく心当たりのないまま 知らない人に、変質的に惚
magic_quotesを有害認定したのは間違いじゃなかろうか。
magic_quotesがダメなのは、セキュリティ対策として機能が足りないのであって、magic_qoutesを使うとセキュリティ意識が思考停止するからと完全否定した結果として、今の状況があるのかもしれない。 変なクオートがつくので、元に戻す処理をしなきゃいけないのはダサいし、ディレクトリトラバーサルとか、その他の問題には無力だからというのもわかるんだけど、少なくともSQLインジェクションなど限られてかつ重要な問題に対しては回避可能なのだから、その批判に対してやらなきゃいけないのは、機能を向上したり、機能を追加することで、なんとかフォローできないか?って話であって、 セキュリティは開発者の意識として全般的にカバーされるべしという理想論の元、magic_quotesを使うなってネガティブな方向に行くのは勿体ないなぁと単純に思った。 っていうか、他の人が嘆いていることがそのまま現状の答えで、免
opera
「脆弱性の件数はIEよりFirefoxの方が多い」としたMicrosoftセキュリティ責任者の報告書に、Mozilla側がかみついた。 IEとFirefox、どちらが安全? セキュリティ担当者がブログで火花 - ITmedia エンタープライズ secunia.comによる調査結果 じゃあ、ちょっとセキュリティ専門サイトでの調査結果を並べてみようか。 ブラウザ名 未修正 発見済 参照URL Internet Explorer 7.x 7 19 http://secunia.com/product/12366/ Internet Explorer 6.x 21 121 http://secunia.com/product/11/ Firefox 2.0.x 4 18 http://secunia.com/product/12434/ Firefox 1.x 4 45 http://secun
入力時に文字参照に変換するのがよろしくない理由 | 水無月ばけらのえび日記
「Twitterのクロスサイト・スクリプティング(XSS)対策は変だ (www.tokumaru.org)」。文字参照に変換した状態で DB に格納しているというのは、けっこう良くある話だろうと思います。この手のエスケープしすぎによる化けは、twitter に限らず、よく見かけますので……。 ※HTML のエスケープに限らず、入力欄に \ を入れて検索すると \\ に化けて、検索ボタンを押すたびに \ が増殖していくという面白いシステムも良くありますね。 一昔前のフリーの掲示板 CGI などでは、フォームの値を読み取るところで < → < " → " のように文字参照に変換してしまうのが一般的でした。この手のアプリケーションは、 絶対に HTML にしかデータを出力しないフォームからの入力以外のデータを処理しない作者が一人で開発しているので、出力時の処理も把握しているという
PHP の apache_setenv と virtual を利用して,ファイルへの直リンクを防止する
PHP の apache_setenv と virtual を利用して,ファイルへの直リンクを防止する 2007-05-30-1: [PHP] ファイルへの直リンクを防止する方法としては,例えば Referer ヘッダ参照する方法とかがあると思います. Apache クックブック のレシピ 6.5 に載っているのもその方法ですが,Referer ヘッダを送信しないクライアントはどうするかという問題があります. そこで,PHP の apache_setenv と virtual を利用する方法を紹介します. - apache_setenv Apache サブプロセスの環境変数を設定する http://php.net/apache-setenv - virtual Apache サブリクエストを実行する http://php.net/virtual ダウンロードするファイルがあるディレクトリを
HTML::StripScriptsでXSS対策をする - Kentaro Kuribayashi's blog
先日公開した「はて☆すたアンケート」にて、アンケートの説明文をはてな記法で書けるよう、機能追加を行った。その際、Template::Plugin::Hatenaを用いた。これは、はてな記法パーサであるText::Hatena(正確には、そのヴァージョン0.16以下)を、Template::Toolkitのプラグインとして使えるようにしたものである。 はてな記法は、それ自体で全ての文書構造を表現できる、あるいは、はてなダイアリのシステム自体は、はてな記法のみしか許容しないというものではなく、たとえば画像を貼る際には、普通にimg要素を書く必要があるし、また、その他の要素についても、記法が用意されていないものについては、「はてなダイアリーのヘルプ - はてなダイアリー利用可能タグ」に掲載されているものに限り、自分でタグを書くことができる。これは自由度を高める反面で、XSSを誘発し得る潜在的なリ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://e0166nt.com/blog-entry-514.html
http://www.machu.jp/posts/20071023/p01/
WTF is this Character? » Tip o’ the Day