はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
IE8 XSS Filterの仕様が微妙に変更されていた。 - 葉っぱ日記
先日、Google 日本語入力のHTTPを見てた id:tokuhirom さんに、HTTPレスポンスヘッダに「X-XSS-Protection: 1; mode=block」というのが含まれるというのを教えてもらったけど、"mode=block" というのが何か分からなかったので調べてみた。 結論としては、今月3月のセキュリティ更新 マイクロソフト セキュリティ情報 MS10-018 - 緊急 : Internet Explorer 用の累積的なセキュリティ更新プログラム (980182) で追加された機能だった。 この累積的な更新プログラムには、そのほかのセキュリティ関連の変更が含まれますか? この更新プログラムには X-XSS-Protection HTTP ヘッダーへの多層防御の更新が含まれています。具体的には、新しい "mode=block" 構文により、非継続的な誘導によるクロ
Man-in-the-Middle Attacks Against SSL - Schneier on Security
Man-in-the-Middle Attacks Against SSL Says Matt Blaze: A decade ago, I observed that commercial certificate authorities protect you from anyone from whom they are unwilling to take money. That turns out to be wrong; they don’t even do that much. Scary research by Christopher Soghoian and Sid Stamm: Abstract: This paper introduces a new attack, the compelled certificate creation attack, in which go
RSA says it fathered orphan credential in Firefox, Mac OS
RSA says it fathered orphan credential in Firefox, Mac OS Updated Digital certificate authority RSA Security on Tuesday acknowledged it issued a root authentication credential shipped in in the Mac operating system and Mozilla web browsers and email programs, ending four days of confusion about who controlled the ultra-sensitive document. The "RSA Security 1024 V3" certificate is a master credenti
yebo blog: 中国にあるDNSルートサーバが不審な動きをして停止
2010/03/28 中国にあるDNSルートサーバが不審な動きをして停止 Network Worldによれば、24日南米チリNICのDNS管理者Mauricio Ereche氏が I ルートサーバの挙動が不審で、中国にある I ルートサーバにFacebook、YouTube、TwitterのIPアドレスを問い合わせると正しいIPアドレスが返ってこなかったとレポートした。 $ dig @i.root-servers.net www.facebook.com A ; <<>> DiG 9.6.1-P3 <<>> @i.root-servers.net www.facebook.com A ; (1 server found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR
高木浩光@自宅の日記 - 米空港でBluetoothによる乗客の行動追跡へという報道
■ 米空港でBluetoothによる乗客の行動追跡へという報道 「Mutual認証」のメンバーとIETFで米国に来ているのだが、ホテルの部屋に配達された昨日の新聞、USA TODAY紙の1面に、こんな記事が載っていた。 Airport device follows fliers' phones - TSA says one goal is to track wait times in security lines 内容を要約すると、米国TSA(国土安全保障省運輸保安局)が、空港の手荷物検査の行列の待ち時間を測定する目的で、人々の携帯電話などから発信されているBluetoothのMACアドレスを観測することを検討しているというもの。 BluetoothのMACアドレス観測で何ができるかは、1年前の日記「Bluetoothで山手線の乗降パターンを追跡してみた」に書いたとおりで、過去にも類似の目
RedHat の openssl がキモい - どさにっき
2010年3月4日(木) ■ $GENERATE _ BIND で使うゾーンファイルの書式は BIND が勝手に決めたわけではなく、実は RFCで規格化されている(なので、BIND だけじゃなくて NSD でも同じ書式。djbdns は独自形式だけど)。 _ とはいえ、BIND はそれを生のまま使ってるわけではなく、勝手な拡張もしている。 $GENERATEとか。これが何モノかというと、連番を自動生成するためのもの。 $GENERATE 1-10 host-$ IN A 192.0.2.$ ↑と↓は同義。 host-1 IN A 192.0.2.1 host-2 IN A 192.0.2.2 host-3 IN A 192.0.2.3 ... host-10 IN A 192.0.2.10 とっても楽ちん。ただし、$GENERATE はあくまでゾーンファイルの記述を簡略化するだけで、DNS
アカウントについて - ショッピングのサポート
日本における販売および返金条件 Apple Storeでお買い物いただき、ありがとうございます。Apple製品へのご愛顧に心より感謝いたします。お客様がApple製品について詳しく調べたり、検討したり、購入したりされる際に、オンラインのApple Store、直営店のApple Store、Appleのコンタクトセンター(0120-993-993)のいずれの方法をご利用いただいた場合でも、実りある体験をしていただきたいと願っております。(この文書では、これらの総称として「Apple Store」と呼びます。) いずれをご利用いただいた場合も、Apple Storeでのご購入には利用規約が適用されます。Apple Storeで注文したり購入したりすることで、Appleの「プライバシーポリシー」と「利用規約」とともに、以下に明記された条件に同意することになりますのでご留意ください。 一般的な返
ゴルフ場のなかみ (そのに) 08:03 2009-11-28 - 兼雑記
最近ゴルフ場を新しいマシンに引越したので、前回の記述より色々とよくなった部分もあるので、それについて書いてみます。といっても sandbox についてだけですが。 http://github.com/shinh/ags/blob/master/be/modules/sandbox.c 新しい sandbox は、 arcus-judge のシステムのやってることをまんまパクった部分が多いです。 kernel いじっちゃうとメンテ大変そうだなーと思ったので module でやってるのと、全体的に色々雑なのが大きな違いです。 http://code.google.com/p/arcus-judge/wiki/ArcusSandbox kernel module での system call のフックは、 /boot/System.map-2.6.26-2-xen-686 を見て sys_cal
セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
SSLの脆弱性でTwitterのパスワード入手に成功
研究者がSSLの中間者攻撃の脆弱性を悪用し、他人のTwitterパスワードを入手することに成功したと発表した。 SANS Internet Storm Centerや米IBM傘下のセキュリティ企業Internet Security Systems(ISS)のブログによると、TLS/SSLプロトコルに中間者攻撃の脆弱性が見つかった問題で、研究者がこの脆弱性を悪用してTwitterのログイン情報を盗み出すことに成功したと発表した。 脆弱性はTLS/SSLのリネゴシエーションの過程に存在し、理論的には中間者攻撃によってHTTPSセッションにデータを挿入することが可能になるとされていたが、当初の情報では実際に悪用するのは難しいと見られていた。 しかしISSなどによれば、研究者はこの脆弱性を突いて被害者がTwitterサーバに送ったHTTPパケットにアクセスし、パスワードなどのログイン情報を取得する
ゆーすけべー日記
サキとは彼女の自宅近く、湘南台駅前のスーパーマーケットで待ち合わせをした。彼女は自転車で後から追いつくと言い、僕は大きなコインパーキングへ車を停めた。煙草を一本吸ってからスーパーマーケットへ向かうと、ひっきりなしに主婦的な女性かおばあちゃんが入り口を出たり入ったりしていた。時刻は午後5時になる。時計から目を上げると、待たせちゃったわねと大して悪びれてない様子でサキが手ぶらでやってきた。 お礼に料理を作るとはいえ、サキの家には食材が十分足りていないらしく、こうしてスーパーマーケットに寄ることになった。サキは野菜コーナーから精肉コーナーまで、まるで優秀なカーナビに導かれるように無駄なく点検していった。欲しい食材があると、2秒間程度それらを凝視し、一度手に取ったじゃがいもやら豚肉やらを迷うことなく僕が持っているカゴに放り込んだ。最後にアルコール飲料が冷やされている棚の前へ行くと、私が飲むからとチ
PHP以外では: 既にあたり前になりつつある文字エンコーディングバリデーション - 徳丸浩の日記(2009-09-14)
_既にあたり前になりつつある文字エンコーディングバリデーション 大垣靖男さんの日記「何故かあたり前にならない文字エンコーディングバリデーション」に端を発して、入力データなどの文字エンコーディングの妥当性チェックをどう行うかが議論になっています。チェック自体が必要であることは皆さん同意のようですが、 チェック担当はアプリケーションか、基盤ソフト(言語、フレームワークなど)か 入力・処理・出力のどこでチェックするのか という点で、さまざまな意見が寄せられています。大垣さん自身は、アプリケーションが入力時点でチェックすべきと主張されています。これに対して、いや基盤ソフトでチェックすべきだとか、文字列を「使うとき」にチェックすべきだという意見が出ています。 たとえば、id:ikepyonの日記「[セキュリティ]何故かあたり前にならない文字エンコーディングバリデーション」では、このチェックは基盤ソフ
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
yebo blog: 強いWebパスワードはそれほど必要ではない?
2009/07/14 強いWebパスワードはそれほど必要ではない? シュナイアーがブログ Schneier on Security でHotSec '07での論文 "Do Strong Web Passwords Accomplish Anything?" を話題にしている。論文では、ユーザに与えられる伝統的なパスワード情報は時代遅れであることが分かったとのこと。強いパスワードはフィッシング詐欺やキーロギングなどを使ったパスワードを盗む攻撃からユーザを保護することはできない上に、ユーザにはかなりの負担が掛かってしまう。もちろん、弱過ぎるパスワードはブルートフォース攻撃で破られてしまう。しかしながら、比較的弱いパスワード(約20ビット)がスリーストライクのルール (例えば3回間違えるとアカウントがロックする)がある限り、一つのアカウントに対してブルートフォース攻撃で破るのは非現実であることが
asahi.com(朝日新聞社):「別人」給仕が首相にワイン 官邸、偽造身分証を見逃す - 社会
偽造された赤坂プリンスホテルの身分証(上)。別人の氏名や虚偽の生年月日が記入された台紙に、前年の自分の身分証(下)から切り取った顔写真をはり付けたイエメンのサレハ大統領(左)から短剣を贈られる小泉首相=05年11月7日、首相官邸 東京都千代田区の首相官邸で05年、小泉首相(当時)と外国首脳がテロ対策などを協議した後の夕食会に、給仕担当の赤坂プリンスホテル(東京、現グランドプリンスホテル赤坂)のスタッフが偽造身分証(入館証)を使って別人になりすまし入館、官邸側も気づかず通していたことがわかった。事前に官邸側に名前を届けてあったスタッフが欠勤し、ホテル側が欠勤者になりすますよう指示したという。 官邸事務所は「ホテルを信頼していた」と説明するが、危機管理問題の専門家は「防犯意識があまりに低く、他国では考えられない」と指摘している。 偽造身分証が使われたのは中東イエメンのサレハ大統領らが日本
Re:「Javaって遅いよね」 (#1589228) | 「ギークをピクっとさせる 10 の発言」、日本なら何 ? | スラド
>ほーら、、高木浩光氏の足音が・・ 「Javaは遅い」位でガタガタ言わないでしょ。 少なくとも急先鋒にならんでも他の人がディスってくれる。 入力時の検証・サニタイジングがXSS防止の対策です 警告は出ますがSSLです暗号です安全です問題ありません この地方自治体/官公庁サイトにリンクする場合は許可をとってください 無線LANはWEP256、MACで制限をかける位は当然ですね googleストリートビューはプライバシーに配慮してキチンと顔を消しています この位をブログで知ったかエントリしまくれば、余裕でブクマコメントしてもらえます。 例えば「XSS耐性を向上させる、たった一つの解決策」など煽ってみてください。 そうすれば「出鱈目、半可通、似非セキュリティ屋」などなど、暖かい言葉を頂けますよw
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://dl.acm.org/doi/10.1145/347059.347561
Camilla's genealogy
http://tokumaru.org/d/20080722.html