docomo ID認証が怪しげすぎる件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 NTTドコモがOpenIDを採用、PCサイトも“iモード認証”が可能に 「docomoがOpenIDに対応した」と話題になっているが、よくよく仕様書を見ると怪しげな点が多い。 ポイントはこの3つ。 ・RPに規制は無い(当たり前だけど)。つまり勝手サイト(勝手RP?)でも利用可能。これはケータイでも同じだけど ・iモードIDとUser-Agentを取得できる ・iモードID 取得はAXでもSREGでも無い独自仕様 つまり簡単に言うと、勝手サイトを立ててdocomo IDでログインできるようにして
pixiv開発者ブログ:[不具合報告]意図しない作品へのコメントについて
2010年02月15日お知らせ pixiv事務局です。 このたび、一部ユーザー様の作品へのコメントが改ざんされたとの報告があり、弊社にて調査をいたしましたところ、「作品のコメント欄」の脆弱性を利用した不正が行われていた事実が判明いたしました。 本件の詳しい状況につきまして、下記の通りです。 ・経緯 2010年2月5日より2月14日までの間、一部ユーザー様の作品において、ユーザー様の意図によらないコメントが書き込まれた旨のお問い合わせを頂きました。 お問い合わせをいただいた後、該当する全てのサーバのログ・関連データベースを調査しましたところ、問題となったコメントの書き込みの前に、あるURLへアクセスし、外部サイトを経由をした後にコメントを投稿した形跡を発見しました。 また、本不具合を利用したアクセスを調査しましたところ、影響があったのは作品へのコメントの書き込みのみで、他の機能へ
業務妨害容疑で中国人社長を逮捕 ゲームへのアクセスを不正中継 - MSN産経ニュース
コンピューターサーバーを無断で設置、中国からのオンラインゲームへのアクセスを不正に中継したとして、山口県警周南署は19日、電気通信事業法(電気通信事業の届け出)違反と業務妨害の疑いで、埼玉県戸田市の情報技術(IT)関連会社社長の中国人、杜爽容疑者(34)を逮捕した。 逮捕容疑は昨年7〜10月、国に届けず自宅や会社にサーバーを設置。中国などから3万3千回以上、都内のゲーム会社が運営するオンラインゲーム「タワーオブアイオン」へのアクセスを可能にし、同社の業務を妨害した疑い。 山口県警によると、このゲーム会社は国外からのアクセスを禁止している。杜容疑者が人気のあるオンラインゲームへのアクセスを手助けすることで不正な利益を得たとみて調べている。
最新29機種ドコモ携帯、個人情報流出の恐れ : 社会 : YOMIURI ONLINE(読売新聞)
NTTドコモの携帯電話のうち、インターネット閲覧ソフト「iモードブラウザ2・0」を搭載した最新29機種を通じて、利用者の個人情報を不正取得される恐れのあることが、専門家の指摘で明らかになった。 同社は携帯サイトの運営者にパスワード認証などの安全対策を呼びかけている。携帯電話の機能が高機能化するにつれ、こうした危険は増しており、利用者も注意が必要になってきた。 該当機種は、昨年5月以降に発表されたプロシリーズやスタイルシリーズなど。iモードブラウザ2・0は、ジャバスクリプトと呼ばれる機能が組み込まれており、携帯用のインターネットサイトと自動で情報をやりとりできる。 悪意ある携帯用サイトは、接続してきた利用者の携帯のジャバスクリプトを使って、利用者が会員になっている別のサイトに一瞬だけ接続させることができる。その時、この会員サイトに利用者の住所など個人データが登録されていると、盗み出されてしま
Twitterクラック事件の原因?:Geekなぺーじ
昨日のTwitterクラック事件はDNSに不正な値を設定されたことが原因でした。 Twitter公式ブログでも以下のようにDNSが原因であり、本体が乗っ取られたわけではないと記述されています。 「Twitterブログ: 昨日のDNS障害についての追加情報」 この攻撃の間、われわれはDNSプロバイダのDynectと直接連絡を取り続けました。そしてDNSをできるだけ素早くリセットするよう緊密に作業しました。 これを見たときに「ああ、やっぱりDynectが原因だったか」と思いました。 恐らくTwitterは自分でネットワークやサーバをほとんど運営しておらず、DNS部分はCDN事業者のDynIncのサービスを購入していると推測されます(参考:Twitterのネットワーク構成を調べてみた)。 さらに、「CDN事業者のDynectにとってTwitterでの事件は経営に凄く大きな打撃を与えるのでは?」と
情報セキュリティ|株式会社セブンネットショッピング
情報セキュリティ宣言 株式会社セブンネットショッピング(以下「当社」という)が取り扱うお客様情報をはじめとする様々な情報は、お客様、お取引先様、パートナー企業にとっても極めて重要となっています。 そこで、当社が取り扱う情報及びコンピューターやネットワークといった情報システムを情報資産と位置付け、これら情報資産を保護・管理するために情報セキュリティ規程類を策定し、情報資産の保護・管理策を情報セキュリティマニュアルの形で提供するものとしました。 当社の従業員、および当社親会社の従業員等、当社の情報資産に接する、または利用する者は、当社の資産、お客様およびお取引先様からの信頼、当社のブランドを守るために、情報セキュリティが重要であることを充分に認知し、情報セキュリティ規程・情報セキュリティマニュアルを遵守し、情報資産を安全に取り扱うものとします。 2015年9月1日制定 2015年12月22日改
セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」
セブン&アイグループが12月8日にオープンしたECサイト「セブンネットショッピング」のソースコードが流出したとネットで騒ぎになっている。同サイトの広報担当者によると、流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。個人情報流出の可能性もないとしている。 デモ用のソースコードが公開サーバに置いてあり、誰でもアクセスできる状態になっていた。同社は12月17日午前、ソースコードに外部からアクセスがあったことに気付き、すぐに公開サーバから削除。「データベース等非公開サーバに侵入されたわけではなく、個人情報流出の危険はない」としている。 同サイトについては14日ごろから、XSS(クロスサイトスクリプティング)脆弱性も指摘されていた。「個人情報を扱うページではXSS脆弱性はなく、個人情報の流出はないが、そうでないページに脆弱性があった」とし、15日までに対策を取ったという。 届け
IIS 7.5 详细错误 - 404.0 - Not Found
错误摘要 HTTP 错误 404.0 - Not Found 您要找的资源已被删除、已更名或暂时不可用。
アメーバでセキュリティ欠陥 スパム攻撃、プロフ消去相次ぐ
サイバーエージェント運営のブログサービスで、セキュリティの欠陥による被害が相次いでいる。新しいミニブログ「アメーバなう」にスパム感染が広がったほか、「アメーバブログ」でもプロフィールが消える被害が次々見つかった。なぜこんな初歩的な対策漏れがあったのか。 ツイッターのモノマネとして話題の「アメーバなう」が、最初からつまずいた。携帯電話版が始まった翌日の2009年12月9日、古典的なスパム感染が起きたのだ。 2005年4月のミクシィ被害と酷似 それは、「こんにちはこんにちは!!」という投稿を見て、記載のURLをクリックすると起きる現象だ。勝手に同じ投稿をさせられたうえ、「はまちや2」というユーザーを自動的にフォローしてしまうのだ。 ネットユーザーには見覚えのあるスパム投稿に違いない。それは、ミクシィで05年4月に広がった被害と似ているからだ。そのときは、「ぼくはまちちゃん!」という投稿だった。
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
高木浩光@自宅の日記 - ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ
■ ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ (建設予定地) (27日追記)建設計画廃止。XMLHttpRequestだけ止めても効果がないことを理解したため。 (29日追記)何が言いたかったか、後日書く。
サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
iモード専用サイトのhtmlソースの閲覧方法 « mpw.jp管理人のBlog
iモードブラウザ2.0のJavaScriptを調査・研究する過程で、iモード専用サイトのhtmlソースを閲覧する方法を発見しました。 今回発見した方法を用いれば、「ドコモ・ゲートウェイ以外からのアクセスを禁止している」、「サーチエンジンのクロールを禁止している」、「XSS脆弱性が存在しない」の三つの条件を満たしているiモード専用サイトでも、htmlソースを閲覧することができます。 しかし、htmlソースを閲覧するためには、そのiモード専用サイトが別の二つの条件を満たしている必要があります。 htmlソースが閲覧可能なiモード専用サイトの条件 デフォルトホストで運用されている。(ヴァーチャルホストではない) iモードブラウザ2.0のJavaScriptからのアクセスを禁止していない。 iモード専用サイトのhtmlソースの閲覧方法 iモードブラウザ2.0のJavaScriptで、htmlソース
「PCでは見えないはず」に頼ることの危険性
“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 無視できない“ケータイWeb”セキュリティ はじめまして。今回からこの連載を担当することになりました徳丸浩といいます。この連載では、携帯電話向けWebアプリケーション(以後「ケータイWeb」と表記します)のセキュリティについて解説します。ここでいう携帯電話とは、iモードやEZweb、Yahoo!ケータイなど、日本で従来、広く利用されているサービスを指します。一方、いわゆるフルブラウザやiPhone、Android端末などは含みません。 ケータイWebは、一般のPCなどから利用されるWebと比較して、使用技術の90%くらいは共通
中古ドメインでGoogleAppsを使ったら - y-kawazの日記
最近あるドメインを取得したんだが、実はこのドメインは僕が最初に取得したものではなく、前のドメイン所有者が管理放棄したか期限切れになったモノを僕が取得したもののようだ。普通は中古のドメインだからといっても困ることはそうは無いもんだが、今回は珍しいケースに当たったのでネタにしてみる。 中古ドメインだったんだなーと気付いたのはGoogleAppsにドメインを登録しようと、ドメイン名を入力したときだ。 ↓こんなメッセージが出て登録できなかった。 このドメインは既に Google Apps に登録されています。 このドメインで Google Apps を使用する手順については、ドメイン管理者にお問い合わせください。 なんと既に登録されてるとな?すぐに前のドメイン所有者がAppsを使ってたんだなと思い至ったんだがさてどうしたらいいんだろう? GoogleAppsの管理アカウントを取り戻す手順 既に存在
高木浩光@自宅の日記 - 日記予定、Nyzillaの進捗
■ 日記予定、Nyzillaの進捗 「Winny作者事件二審無罪判決で今後どうなるか」といったエントリを書かなくてはと思っていたが、まだ書いていない。書きたいのは次の点など。 判決を伝える新聞各紙の論調がもたらしかねない今後への悪影響。 朝日新聞10月8日夕刊大阪3版掲載の安田直氏の有識者コメントに見る典型的な害。 私の新聞コメントについて。 金子氏の発言内容が以前から変わってきている件。 (金子氏発言に依拠すると)私たち(利用者、開発者)はどうするべきなのか。 金子氏に望むこと。 高裁の判決理由についての考察(判決要旨を基にして)。 ところで、開発中の「Nyzilla」は、かなり開発が進み、残すところあと1つを実装すれば、機能的には完成といったところとなった。 最初の接続時には注意書きが出る。*1 このプログラムは、いわゆる「クローラ」ではなく、アドレスバーの「接続先」に入力されたホスト
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
まとめよう、あつまろう - Togetter
はてなブログ | 無料ブログを作成しよう
Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した
はてなブログ | 無料ブログを作成しよう