JINS はマジでやばい
https://twitter.com/piyokango/status/844361226767380481 という話があり、その現物なのだが、 http://www.freezepage.com/1490165400GAZZVSXBDT である。キャッシュの freezepage ですまんが、まあいいだろ。 これ自体はハセカラ界隈のスクリプトキディが show tables かなんかを実行する jsp 一枚仕込んだというだけの話なのだと思うが、問題は JINS の対応だ。 t_jins_gmo_brandtoken_cancel_if_rireki t_jins_gmo_brandtoken_change_if_rireki t_jins_gmo_brandtoken_entry_if_rireki t_jins_gmo_brandtoken_exec_if_rireki などといった
朝日新聞デジタル:プリウスがハッキングされ急加速 米ハッカー祭典で実演 - テック&サイエンス
【ラスベガス=藤えりか】車載システムがハッキングされ、運転中にハンドルやブレーキが利かなくなる――。こんな事態が現実味を帯びてきた。米ラスベガスで開催中のハッカーの祭典「デフコン」で、トヨタ自動車のプリウスなどを例に専門家が手法を披露。IT化が進む車のセキュリティー強化に向け、注意を呼びかけた。 米国防高等研究計画局(DARPA)の助成を受けた米ツイッター社の研究者チャーリー・ミラー氏らが、プリウスと米フォードのエスケープを例に発表した。 ミラー氏らは車載ソフトの解析で接続に成功。運転手の意思に反して急加速やブレーキを利かせたり、ハンドルを動かしたりした。またエンジンを切り、残り少なかった燃料計を満タンとして表示させる様子などを映像とともに披露した。 続きを読む関連記事ハッカー祭典、米政府にNO NSA問題で不信感8/3〈@ラスベガス〉ハッカーの祭典で見たアナログな神業8/24レコメン
ハードウェアの信用
The Invisible Things Lab's blog: Trusting Hardware 少々古いが、面白かったので紹介する。 なるほど、君はパラノイアにとりつかれているんだね。自分のマシンでは、LinuxとかGNUとかのオープンソースなソフトウェアしか走らせたくないってわけね。やろうと思えば、全ソースコードを自分の目で検証可能だって安心してるわけか(実際やらないんだろうけどさ)。パラノイア病がもっと進行してきて、オープンソースなBIOSとかにまで手を出し始めちゃった。バカな奴らがWindowsみたいなクローズドソースのシステム使ってるなんて訳がわからないよ。とまあ、こう満足してるわけだよね。 でーも、所詮そこまでなんだよね、君は。だってまだハードウェアを信用しなきゃならないでしょ。ハードウェアベンダーが、ネットワークカードのマイクロコントローラーにバックドアを仕込んでないこと
<script>alert("xss");</script>これであなたもおしまいです。 - http://detail.chiebuku... - Yahoo!知恵袋
古いブラウザ、Javaのバージョンとはまったく関係ありません。 とりあえず、今日あったことを書いておきます。 今日の午前の段階では、右サイドバーに「あなたが最近見たQ&A」が表示されていました。 現在は表示するためのコードが削除されており、表示されておりません。 この「最近見た〜」に表示される内容は、サーバー側で書いているのではなく、クライアント側、つまり、InternetExplorerやChrome、Firefox、Safariのローカルストレージという所に閲覧履歴が貯められており、それを表示するようになってました。 これをサーバー側でやりたくない理由があるのか、面倒くさかったのか、この方法でもちゃんとやれば問題ないと言えば問題ないので、その判断は各自に委ねますが、致命的に駄目だったのは、質問のタイトルの中にHTMLのタグが混じっていても対処していなかったため、質問のタイトルに悪意ある
何が起きたのか「韓国大規模サイバー攻撃」
2013年3月20日に韓国で発生した大規模サイバー攻撃、通称「320サイバーテロ」。金融機関や放送局のコンピュータの一斉ダウンを引き起こした320サイバーテロは、どういった経緯で発生したのか。企業が学び取れる教訓と対策とは。韓国政府のタスクフォースメンバーとして320サイバーテロを解析した、セキュアソフト CERT所長のソン・ドンシク氏の話から明らかにする。本稿は、2013年5月にセキュアソフトとラックが共催した「SecureSoft SECURITY FAIR 2013」でドンシク氏が講演した内容をまとめた。 関連記事 米国政府も「Stuxnet」で参戦、サイバー戦争で生き残る策とは? イランの核施設を狙い撃ちにした「Stuxnet」とは何者か 米国防総省委員会、「サイバー攻撃への軍事作戦力を高めよ」 Officeのパスワードを数秒で解析――専門家が語るサイバー攻撃の現状 攻撃の被害:金
【続報あり】NTTドコモがハッキングされ契約者のクレジットカードの情報が漏えい中
とりあえず緊急性が高そうなので、速報です。もし、該当のリストに名前があるようでしたらご注意を。 【15:37追加】 寄せられた情報から、漏えいした情報は実在する顧客に関する情報だと思われます。末尾に情報を追加しているのでご確認ください。 【21:50】 ついにNTTドコモが認めました。 「CYBER WAR NEWS」が日本のNTTドコモがハッキングされ、クレジットカードを含む個人情報が漏洩していることを報じています。 Japanese Mobile Operator NTT DoCoMo Hacked, Credit Card Information Leaked for #StopCISPA 同記事内には、ハッキングを行ったとみられるLulzSecによるツイートが示されており、そのリンク先にはハッキングされたサーバの管理者アカウント、パスワードとともに、名前、クレジットカード等を含む4
韓国への大規模サイバーテロ事件について | snowwalker's blog
まだ状況がはっきりしていない部分も多いのですが、韓国で大規模なサイバーテロが発生した模様ですね。現在明らかになっている情報を総合すると、犯人は不明ですがきわめて意図的な大規模攻撃のように見えます。Mandiant報告にあるような産業スパイ大作戦とはまた異なる様相のストレートなサイバー戦争が発生しているように思えるので、こちらで少し状況をまとめておきます。 1.被害状況 複数の放送局・金融機関で社内コンピュータネットワークが一時マヒ状態になる 新韓銀行ではATMやオンラインバンキングサービスまで一時的に利用不能 2.攻撃手法 良くありがちなDDOSなんぞではなく、malware配布によるもの。 感染経路としては韓国内で60%程度のシェアを誇るアンラボ社製品の各社に設置された資産管理サーバを乗っ取り、そこにmalwareを仕込んだと思われる。 アンラボ社の見解(韓国語) 資産管理サーバーを乗っ
セブン銀行公式が掲載したスキミング機材(実物)にぶったまげた【更新】 - 週刊アスキー
初めて行った怪しげなお店で…あるいは海外旅行中に…など、身に覚えのない請求が来るなどであらゆる金融機関が注意喚起しているカードのスキミング被害。 何が起こるかは知識として知っていても、どういう機材が使われてるのかは知らなかったんじゃないでしょうか。 このほど、セブン銀行が公式ページ上に掲載した“スキミング被害防止のためにATM利用時にはご注意ください”という注意文には、なんと実際にセブン銀行のATMに設置され悪用されたとおぼしき、スキミングデバイスが具体例として掲載されてます。 驚くのはその完成度。カードスキャナーは、ATMから型どりしたとしか思えない、純正のようなフィット感。さらに手元で入力した暗証番号を読み取るようなカメラも、それとわかりにくい黒い箱として設置されています。 こちらはカメラ側。装着場所から推察して、暗証番号を撮影するために使うのでしょうか。こっちはまだ「ちょっと怪しいか
「Facebookで自分の名前と写真を広告に使えないようにする方法」について - 最速転職研究会
表題の件について、ソース不明の噂話や、意味を理解しないままリスクを誇張して拡散される様子を数日前から見ることができる。放っといて収まるかと思っていたらnanapiが大拡散していた。記事を書いているのはnanapiの社長であるkensuuである。時給800円のバイトかと思ったらkensuuである。 http://nanapi.jp/37983/ この件についての見解をいくつかTwitterに書いた。 まあ、全くのノーリスクというわけでも無いだろう。 正確に言えば「この設定が意味を持つような不適切な実装をしてはならない」 「表示」するだけならば、広告主や、他の広告ネットワークに対して、あなたのプロフィール画像や表示名に対してアクセスを許可する必要がない。facebook.comのiframeを使って直接Facebookから表示するだけだ。この意味がわからなかったらウェブ系の仕事に関わっているプ
au by KDDI はアホなのか(mediba) - いいえファジイです。
あの悪しきミログと提携し、悪い意味で有名なAirPushのノボットを買収した KDDI子会社のmedibaさん このmedibaという会社、広告業をする前に会社として個人のプライバシーへの考え方がおかしいのか 度々問題を起こしますが(auマーケットでのAirPush等) 信じられない事にこんな会社がauポータルの運営もしているという恐ろしい状況 AirPushの時は、前から海外ではAirPushが問題になっていたにも関わらず 「KDDI 通知バー広告表示」問題!知らなかった人に教えたい様々な指摘まとめ (NAVERまとめ) auマーケットにAirPush導入してKDDIというキャリアはバカじゃないのと 海外から失笑されKDDIという知名度を上げた訳ですが そんなmedibaさん、またやらかしたというか 今まで問題になった事を一つも学習していないようでびっくりです。(わざとだと思うけど) 個
高木浩光@自宅の日記 - スパイウェア「app.tv」に係るミログ社の大嘘
■ スパイウェア「app.tv」に係るミログ社の大嘘 株式会社ミログが9月27日に提供開始した「AppLog」がスパイウェアまがいであるとして、朝日新聞10月5日朝刊に以下の記事が掲載された。 アプリ利用時間や回数丸わかり「アップログ」に批判, 朝日新聞2011年10月5日朝刊 AppLog: insidious spyware rolled out in Japan by Milog, Inc. *1, The Asahi Shimbun, 2011年10月5日 スマートフォンの利用者がどんなアプリ(ソフト)をいつ、何回使ったかを記録して好みを分析し、興味を引きそうな広告を配信する。そんなプログラムが現れ、インターネット上で批判を集めている。プログラムは電話帳など無関係に見えるアプリに組み込まれ、アプリ利用者への説明が十分ではないからだ。(略) 問題視されているのは、利用者に存在が見えに
「カレログ」、川端総務相が問題点検討を表明
カレログについて川端総務相が言及。個人情報保護の観点から「しっかり研究したい」と述べ、総務省が問題点を検討する方針を明らかにした。 Androidアプリ「カレログ」について、川端達夫総務相は9月13日の閣議後の記者会見で、「同じようなことが当然起こりうるので、一度しっかり研究したい」と述べ、総務省が個人情報保護の観点から問題点を検討する方針を明らかにした。 カレログは、インストールしたスマートフォンの持ち主の位置情報や通話履歴、バッテリー情報をPCで確認できるようにするアプリ。犯罪に悪用される危険性やプライバシー保護上の問題点が指摘され、セキュリティ対策ソフト会社のMcAfeeが「スパイウェア」と認定していた(改善されたバージョンについては認定を留保)。 川端総務相は「本人の同意が明確にあるということをどう担保できるのかということが一番の要点だ。サービス改善の中で検討しているようなので、様
高木浩光@自宅の日記 - 話題の「カレログ」、しかしてその実態は。
■ 話題の「カレログ」、しかしてその実態は。 ここ数日、テレビのワイドショーで連日取り上げられている「カレログ」だが、以下の話はまだマスメディアでは取り上げられていないようだ。 カレログのサービスが開始されたのは8月29日だったが、9月1日にリイド社から「GALAXY S2 裏活用バイブル」というエロ本*1が出版されていた。この本の企画・編集を担当したのは、有限会社マニュスクリプトであり、カレログのサービス提供者と同一であることが判明している。 この本の表紙には以下のように、「スクープ!! (秘)アプリで彼女の動きをGPSでリアルにチェック!」と書かれている。 何のことかというと、まさに「カレログ」の紹介記事である。 「禁断! ギリギリ裏アプリ徹底研究」という最終章に掲載されており、以下のように、「大事な彼女の行動を追跡チェック!」、「悪用厳禁! 究極のストーキングアプリ!」、「パートナー
昨今の学校のセキュリティ事情【第一章 学校のPC(生徒使用PC)について】 - toriimiyukkiの日記
昨今における学校のセキュリティ事情についてこの回を含めて全4話構成で話そうと思います。 0話から4話含めて、学校のPCにおける話から学校のWebサイトにおけるセキュリティまでをお話しします。 次のような話構成で進めていきたいと思います。 第一章 学校のPC(生徒使用PC)について 第二章 学校のWebサイトについて-SQLインジェクション 第三章 学校のWebサイトについて-コマンドインジェクション/その他 第四章 昨今の学校のセキュリティ事情のまとめ ここでやっていることはかなり危険な部類も入っています。 真似しないようにお願いします。また、この記事によっていかなる損害が発生してもその責任を負いません。 この記事によって自分のサービスのセキュリティを再認識してもらえばと思います。 第一章 学校のPC(生徒使用PC)について 学校のPCについては誰もが一回はいたずらをしたくなるだろう。 も
まんべくんTwitterアカウント停止事件の考察 - Will, Vision, Innovation
まんべくんTwitterアカウント炎上、そして停止事件。長万部町という知名度が決して高くなく、観光資源も豊富とは言えず、広告予算も限られている町の認知拡大に多大なる貢献を行ってきたことを考えると残念な思いを感じますし、そうした挑戦を行ってきた方を称えたい気持ちもあります。 しかしながら、 私の分野である企業のソーシャルメディアマーケティングとして見ると課題は多く決してほめられたものではありません。そうした中、何名かの方から意見を求められたので、ここで考察を書いておきたいと思います。 まずは事件をご存じない方のために、経緯をご説明します。 北海道長万部町のゆるキャラ「まんべくん」がTwitterで激辛なコメントをすることで人気を博す 激辛コメントに非難も声も上がったようだが、「面白い」と受け止める人が多かったようでその人気は加速 ついにはTwitterのフォロワーが5万を超えるほどになった
“日本は特殊な国”か、通信を可視化してみたら意外な事実が分かった
例えばFacebookやTwitterなどのソーシャルサービスは、実際にどれくらい国内企業ネットで使われているのか---。大手ファイアウォールベンダーの米パロアルトネットワークスは、半年に一度、世界中のユーザー企業を対象に大規模なトラフィック調査を実施し、様々なデータを収集および分析している。来日した調査担当者に、日本の国内企業におけるトラフィック傾向などについて話を聞いた。 まずは調査の概要について教えてほしい。 2008年から約半年に1回の割合で、世界中のユーザー企業を対象にトラフィック調査を実施している。最新のデータは2011年5月に実施した調査で得たもので、調査対象となった企業の数は全世界で合計1253社、そのうち日本の企業は87社入っている。調査対象企業の数は回を重ねるごとに大きく増えており、前回(2010年10月)は723社、前々回(2010年3月)は347社だった。具体的な企
BBC News - England riots: Who are the rioters?
There has been much speculation about who the rioters are. This is a snapshot of the suspected rioters who were due to appear at one London magistrates' court in the course of one day. As of 11 August, there have been more than 1,500 arrests across England and those who have been charged are being fast-tracked through the criminal justice system. They are appearing at magistrates' court within hou
共通番号制度への違和感 - 雑種路線でいこう
共通番号制度について大綱ほか関連資料を読んだが、全体として詰まってない。税と社会保障の一体改革は必要だし残された時間は少ないが、ICカードや情報連携基盤の進め方は仕切り直した方がいい。使途の例示として住民の利便性改善ばかり先にきているが、もともとの発端は消えた年金や年金不正受給など行政情報の不正確さに対する問題意識だったはずである。医療サービス利用の追跡を通じた住民の生存確認、現在は目視で行われている戸籍の附票と住民票の紐付けなど、名寄せの議論から逃げずに行政情報の正確性を高め国民からの信頼回復を最優先すべきではないか。 その次に具体的な行政ニーズとして、行政であれば児童手当など現金給付の世帯合算や、エコポイントなど政策的なポイント還元、事前記入型税申告や被災者向け行政サービスの提供、民間であれば保険金支払に必要な居所確認など、新規IT投資を要する具体的な使途を念頭に詰めてはどうか。 また
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
アドビで現代のビジネスにおける悲しい現実の1つが起きてしまったようです(山本一郎) - 個人 - Yahoo!ニュース
ひろみちゅ先生による「カレログ」の違法性検証
