徳丸本に載っていないWebアプリケーションセキュリティApplication Architecture for Enterprise Win Store Apps with DDD PatternAtsushi Kambara
cookie削除後も行動追跡を続ける「supercookie」に研究者が警鐘
スタンフォード大学の研究者は、Microsoftが運営する「live.com」サイトでsupercookieの手法を使って削除したはずのcookieが再生されているのが見つかったと報告した。 米MicrosoftなどのWebサイトがユーザーには管理できない「supercookie」を使ってユーザーのネット上の行動を追跡していたことが分かったとして、米スタンフォード大学の研究者がブログで調査内容を報告した。 研究者のジョナサン・メイヤー氏によれば、supercookieとは通常のcookieを使わずにユーザーの行動を追跡する技術のことで、中にはsupercookieを使ってcookieを「再生」し、「ゾンビcookie」を作り出しているWebサイトもあるという。 このやり方は、ユーザーが自分のプライバシーを守るためにcookieを削除した後も行動追跡を続けることになるため、「コンピュータセキ
無線LANのパスワード解析「Pyrit」その他
総当たりでパスワードを全種類試していくという手法を「ブルートフォースアタック」と言いますが、無線LANのWPA/WPA2-PSKをGPUで超高速解析してパスワードを見つけるフリーのオープンソースソフト「Pyrit」が採用している方法もまさにそのブルートフォース攻撃そのもの。そのため、無線LANの暗号化の仕組みのバグやセキュリティホールを突いているわけではなく、時間さえかければそのうち突破できるだろうというある意味「力業な攻撃」であるわけです。 では実際にどれぐらいの速度がかかるのか?という気になる点について、「Pyrit」の公式ブログにて言及したエントリーが2008年にありました。 The twilight of Wi-Fi Protected Access(無線LANセキュリティの黄昏のはじまり、とでもいうような意味) http://pyrit.wordpress.com/the-twi
グラボ(GPU)の力でMD5を解読 - うさぎ文学日記
CPUではなく、グラフィックボードに搭載されているGPUの力を使って、MD5やSHA-1などのハッシュ値を解読するというのを試してみました。 きっかけはPCの刷新。ゲームなどはしないので、DUAL DVI-Iが付いていれば何でもいいやと思って「VAPOR-X HD 5770 1G GDDR5 PCI-E DUAL DVI-I/HDMI/DP OC Version」というカードを13,980円で購入。 このATI HD5770が、GPUを使ってハッシュ値をブルートフォースで解読する「IGHASHGPU」に対応していたので、以前から試してみたかったので使ってみました。 IGHASHGPUのダウンロードはこの辺りから Ivan Golubev's blog - Cryptography, code optimizations, GPUs & CPUs and other http://www.g
徳丸本のあれこれを実践してみて気付いたこと | 水無月ばけらのえび日記
更新: 2011年7月9日23時0分頃 とあるシステムで徳丸本のストレッチングを採用することにしたという話がありましたが、その実装が佳境に入ってきました。私は指示だけ出して、実装はお任せ……と思っていたのですが、基本的な部分を作ってもらったところでバトンタッチされ、私が引き継ぐ形で実際にコードを書くことになりました。 基本的には徳丸本 (www.amazon.co.jp)のオススメどおりの実装にするという方針なのですが、実際にコードを書いてみると、いろいろと気になったり迷ったりした事も出てきました。そのあたりを簡単にメモしておきます。 ※ちなみに、このシステムはRuby1.9.2 + Ruby on Rails3での実装なので、PHPのコードサンプルをそのまま使っているわけではありません。 ストレッチ回数をどう決めるのか徳丸本327ページにあるコード例を参考にして実装。アプリケーションごと
「ソニーの情報漏洩は起こるべくして起こった」情報通信技術研究会で専門家が総括
写真2●セミナーの最後には、国内の暗号研究分野の第一人者である辻井重男・中央大学研究開発機構教授によるハッシュ関数に関する講義も行われていた 「ソニーの情報漏洩事件は、夜の新宿で大切なものが入っている屋台を放置していたようなもの。まともなセキュリティ対策は何も施されていなかったとしか思えない」。こうぶち上げたのは、情報セキュリティ大学院大学の名誉教授で、横浜市CIO補佐監を務めるセキュリティ専門家の内田勝也氏(写真1)である。2011年6月22日夜、中央大学の後楽園キャンパスで開催されたセミナー「6月度 情報通信技術研究会」(写真2)でのヒトコマだ。 講師として登壇した内田氏は、2011年4月末以降立て続けに発生した、ソニーおよび関連会社のネットワークサービスやWebサイトに対する不正アクセスと、それに伴う大規模な個人情報漏洩事件について、各種報道やセキュリティ関連サイトなどから集めた様々
Department of Computer Science at North Carolina State University
Department of Computer Science College of Engineering Campus Box 8206 890 Oval Drive Engineering Building II Raleigh, NC 27695
auのEZWebがそろそろ終了しそうな件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 先日auからEZWebに関わる以下のようなアナウンスがなされた。 KDDI au: EZfactory EZブラウザは、2011年秋冬モデルにて、EZサーバを含め、「機能」及び「ネットワーク環境」の見直しを行ないます。 これによる主な変更点は以下のとおりです。 <主な変更点> ・EZサーバの言語変換機能が削除され、HDMLが非サポートとなる。 ・EZブラウザ、PCサイトビューアーのIPアドレス帯域が統一される。 他にもCookie仕様の変更などがあるのだが注目すべきは、「EZブラウザとPCサイ
iPhoneのパスコードで最も多く使われているのは「1234」
iPhoneのパスコードに最も多く使われているのは「1234」、という興味深い調査結果が公開されていました。[source: Daniel Amitay ] iPhoneのパスコードは、所有者がプライバシー保護の目的で設定できる暗証番号・パスワードで、画面のロックを解除するために必要となるものです。 本来パスコードは他人には教えないため、調査を行うのが難しいはずですが、iPhoneアプリ開発者Daniel Amitay氏が、ユニークな方法で20万件超えるデータを集めることに成功しています。 iPhoneを勝手に操作しようとするとカメラでその人物を撮影するという『 Big Brother Camera Security 』というアプリを開発している彼は、そのアプリを保護するためのパスコードのデータを(デバイスを特定することなく)集計。 このアプリのパスコード入力画面は、iPhoneのものとソ
FAQ:「Google Wallet」のセキュリティ--グーグル幹部とセキュリティ専門家に聞く
Googleは米国時間5月27日、モバイル決済サービス「Google Wallet」に関する計画を発表した。まずサンフランシスコとニューヨークで非公開の実地試験を行った後、夏に「Nexus S」で一般向けにローンチする予定だ。Google Walletでは、近距離無線通信(NFC)チップを搭載したスマートフォンを使用して、小売店舗の特別なNFCリーダーに、無線技術によって至近距離から決済データを送信することができる。 つまり、いずれクレジットカードやデビットカードを機械に通したり現金で支払ったりする代わりに、「Android」搭載携帯電話をリーダーの上にかざすだけで済むようになるということだ。こうした「電子財布」があればお金やクレジットカードを持ち歩く必要がなくなるため、消費者の利便性は向上するだろう。しかし、この決済システムのセキュリティはどの程度確保されているのだろうか。 このFAQは
実は厄介、ケータイWebのセッション管理
実は厄介、ケータイWebのセッション管理:再考・ケータイWebのセキュリティ(3)(1/3 ページ) “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 「Cookieを使えない端末」でセッションを管理する方法は? 第2回「間違いだらけの『かんたんログイン』実装法」ですが、多くの方に読んでいただきありがとうございました。 今回は、前回に引き続き架空のSNSサイト「グダグダSNS」のケータイ対応を題材として、ケータイWebのセッション管理の問題点について説明します。携帯電話向けWebアプリケーション(ケータイWeb)のセッション管理は、かんたんログインよりも対策が難しく、厄介な問
So-net、不正アクセスによる「ソネットポイント」の不正利用が判明 (Impress Watch) - Yahoo!ニュース
ソネットエンタテインメント株式会社(So-net)は19日、第三者のなりすましによるID・パスワードを用いた不正なアクセス試行があり、So-net会員がサービスの利用料金に基づいて付与されている「ソネットポイント」の商品交換で不正利用があったことが判明したとして、事態を公表した。 So-netによると、5月16日から17日にかけて、特定IPアドレスから約1万回の不正アクセス試行があり、128件のIDがソネットポイントの不正な交換に使用されたという。不正な交換が行われたポイント数は10万5500ポイント(約10万円相当)。また、73件のIDがソネットポイントの不正な閲覧に使用され、90件のIDがウェブメールの不正な閲覧に使用された。 So-netでは、複数のユーザーからの問い合わせと内部で調査した結果により、18日午後5時に事態を把握。18日にソネットポイントの交換を停止し、19日には対
Webアプリケーション作った後のチェック表
愛宕山太郎坊 アニメーション制作進行支援ソフト 愛宕山太郎坊 ログイン 会社id ユーザー名 パスワード ユーザー名またはパスワードが正しくありません。 閉じる ログイン
YahooIDパスワードが大量流出して不正ログインが発生している件について :ハムスター速報
1 :名無しさん@涙目です。(福岡県):2011/05/19(木) 02:06:15.61 ID:Xfg6UwLd0 ?PLT(20721) ポイント特典 Yahooにログインしてここ見ろ!他のIPからアクセスされてたら https://lh.login.yahoo.co.jp/ すぐにパスワードを変更しろ。 http://help.yahoo.co.jp/help/jp/edit/edit-13.html 6 :名無しさん@涙目です。(東京都):2011/05/19(木) 02:08:48.71 ID:zXRqQb1T0 ___ ;;/ ノ( \; ;/ _ノ 三ヽ、_ \; ;/ノ(( 。 )三( ゚ )∪\; ;.| ⌒ (__人__) ノ( |.; ..;\ u. . |++++| ⌒ /; 76 :名無しさん@涙目です。(兵庫県)
WebGLの(実質的に)仕様上の脆弱性について(日本語訳) - ものがたり(旧)
WebGLの(実質的に)仕様上の脆弱性が見つかったとされて、話題になっています。元はContext Information Security社のブログの記事なのですが、 http://www.contextis.co.uk/resources/blog/webgl/ 日本語でもかいつまんで紹介されています。 http://japan.cnet.com/news/service/35002505/ とはいえ、これじゃ何だか意味が分かりませんし、原文はなかなか簡単には読めないと思うので、ちょっくら日本語訳してみました。全体的にやっつけながら、後半は特に寝ぼけながら訳しているので、何かおかしいところがありましたらコメント等で教えて下さいませ。翻訳許諾は明日辺りお願いしてみようと思います。(ダメって言われたら消す)→もらいました。調査の次のラウンドが終わったらまた結果を教えてくれるみたい。 追記:
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Androidに脆弱性:アプリ仲介でシステムレベルのアクセス
ウェブアプリのセキュリティをちゃんと知ろう
DigiNotar偽SSL証明書事件、「twitter.com」などにも拡大、全貌は未だ不明 
TechCrunch
MozillaバイスプレジデントがWebGL問題でMicrosoftに反論 