Safariは危険なJavaScriptに対応しない - Qiita
Firefox / Safari 先日Appleが、Safariは幾つかのWebAPIに対応しないと公言しました。 日本語記事も幾つか出ています。 しかし、どのサイトも対応しないAPIの一覧を並べてはいるのですが、それぞれのAPIが具体的にどのようなものなのかを記載した記事が見当たらなかったので、以下はそれらについて調べてみたものです。 対応しない理由 a threat to user privacy、すなわち、あくまでブラウザフィンガープリントなどの手段によって個人を特定・追跡できてしまうからという理由です。 セキュリティ的にも問題なAPIが並んでいるのですが、そちらは理由ではありません。 対応しないWeb API Web Bluetooth caniuse RFC 非公式日本語訳 解説 ブラウザからBluetoothを通して接続先のデバイスにアクセスすることができます。 データ転送形式
エミレーツ航空の予約システムに存在する致命的なセキュリティ問題が発覚
ネットショッピングや飛行機の搭乗予約などの手続きの多くは、インターネット上で行われることが主流になってきています。その際には氏名や住所などの個人情報をオンラインシステムに入力することになるので、当然ながらシステム側は絶対に個人情報が漏れない仕組みを準備することが求められます。しかし、ソフトウェアエンジニアのコナーラク・モディ氏によると、エミレーツ航空のオンライン予約システムには欠陥があり、2018年3月3日(土)時点でも悪用可能な状態であることが確認されているとのことです。 How Airlines don’t care about your privacy: Case Study Emirates.com https://medium.com/@konarkmodi/how-airlines-dont-care-about-your-privacy-case-study-emirates
ぴあ運営のB.LEAGUEチケットサイトに不正アクセス--クレカ情報流出とされる被害も
ぴあは4月25日、運営を受託しているB.LEAGUE(ジャパン・プロフェッショナル・バスケットボールリーグ)のチケットサイトならびに、ファンクラブ受付サイトのサーバにおいて、不正アクセスがあったことを公表。最大で約15万5000件の個人情報、約3万2000件のクレジットカード情報が流出した可能性があるとし、流出したカード番号を不正使用したとされる被害も出ているとしている。 経緯として3月17日ごろから、利用者である会員がTwitter上で、クレジットカードの不正使用に関する複数の書き込みがあり、事実関係に関する確認を開始。その後、クレジットカード会社からの報告により、十数件の不正使用があった疑いが判明したことから、3月25日に同サイトにおけるすべてのクレジットカード決済機能を停止。詳細な調査を外部の専門調査会社に依頼したところ、3月7日から15日の間、ウェブサーバーならびにデータベースサー
手動診断による脆弱性診断スキルを獲得する、「Webアプリケーション脆弱性診断ガイドライン」公開!! #owaspjapan
JNSAのセキュリティオペレーションガイドラインWG(WG1)とOWASPJapan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」から「Webアプリケーション脆弱性診断ガイドライン」が4月24日に公開されました。 Webアプリケーションの脆弱性診断は、自動診断ツールを使った脆弱性診断だけでは十分な診断結果が得られず、手動診断を併用することが望ましいと考えられています。 とはいえ、手動診断は脆弱性診断士の経験やスキルによる診断能力の差違が生じてしまっているのが現状です。 そこで、脆弱性診断士スキルマッププロジェクトでは、最低限必要な診断項目や手順を定義することで、一定レベルの手動診断による脆弱性診断を行うことができるようになるための、「Webアプリケーション脆弱性診断ガイドライン」を公開しています。 脆弱性診断士スキルマッププロジェクトWebアプリケーション脆弱性
Web サイト改ざんに関する注意喚起 - JPCERT/CC
各位 JPCERT-AT-2016-0047 JPCERT/CC 2016-11-14 <<< JPCERT/CC Alert 2016-11-14 >>> Web サイト改ざんに関する注意喚起 https://www.jpcert.or.jp/at/2016/at160047.html I. 概要 JPCERT/CC では、Web サイト改ざんに関する情報提供を受けています。 報告された情報によると、攻撃者は Web サーバに不正なファイルを設置する ことで、アクセス回数や閲覧者など Web サイトの利用状況等についての調査 活動を行う目的で、国内の複数の Web サイトを改ざんしているとのことです。 - 攻撃者は、Web サーバに不正なファイル index_old.php を設置し、Web サイトのトップページに不正なファイルを読み込ませる処理 (以下) を追 加する <script
Bash 'shellshock' scan of the Internet
NOTE: malware is now using this as their User-agent. I haven't run a scan now for over two days. I'm running a scan right now of the Internet to test for the recent bash vulnerability, to see how widespread this is. My scan works by stuffing a bunch of "ping home" commands in various CGI variables. It's coming from IP address 209.126.230.72. The configuration file for masscan looks something like:
勝手に解説:大垣流バリデーション入門
大垣さんは、かねてより「バリデーションは重要なセキュリティ対策である」という持論を持っておられます。そして、それは「世界の常識」と指摘されています。 「入力バリデーションはセキュリティ対策である」は世界の常識です。少なくとも大多数の世界のセキュリティ専門家は「入力バリデーションはセキュリティ対策」は常識だと考えています。 第45回 入力バリデーションはセキュリティ対策 :なぜPHPアプリにセキュリティホールが多いのか?より引用 私は「バリデーションはセキュリティ対策とは言えない」と思っているのですが、実は「世界の常識」という点に異論があるわけではなくて、話は逆なのです。「従来からバリデーションはセキュリティ対策としてとらえられてきて『世界の常識』となっているが、実はそれはおかしいのではないか?」という問題提起をしているのです。なので、「世界の常識だろ」と言われても、それでは反論になっていま
確認番号表(乱数表)の数字すべてを入力させる偽画面にご注意ください(平成25年1月24日) | 三菱東京UFJ銀行
【インターネットバンキング】 ログイン直後に確認番号表(乱数表)を入力することはありませんので、絶対に入力しないでください(平成25年7月12日更新)。 インターネットバンキングのログイン直後等に、セキュリティ強化のためと称して、ご契約カード裏面の「確認番号表(乱数表)の数字」を入力させる偽画面を表示するウィルスが発生しております。 偽画面に確認番号表(乱数表)の数字を入力した場合、不正な振込出金の被害にあう危険性が非常に高くなります。 当行ではログイン直後に、「確認番号表(乱数表)の数字」を入力することはありません。 確認番号表(乱数表)の数字を詐取しようとする偽画面には、絶対に確認番号を入力しないでください。 なお、インターネットバンキングで確認番号表(乱数表)の入力が必要な取引は以下のとおりです。 振込などご本人口座以外への資金移動取引 定期預金の期限前の解約 auカブコム証券口座開
ホスト型の廉価版WAFであるSiteGuard Liteを評価した
SiteGuard Liteはシグネチャ検査に特化することで価格を下げた廉価版と言うことになります。 インストール SiteGuard Liteは商用製品ですのでバイナリでの提供となります。Red Hat Enterprise Linux 4/5/6あるいはCentOS 4/5/6が動作可能ディストリビューションとなっています。筆者としてはUbuntu上でも動作確認してもらえるとありがたいと思いましたので、JP-Secure社にはそう要望しています。 rpmによるインストールは基本的には以下の3コマンドです。 # rpm -Uvh siteguardlite-1.00-beta.i386.rpm # cd /opt/jp-secure/siteguardlite/ # ./setup.sh 最後のsetup.shはApacheの各種パスなどを指定するものです。その他、SE Linux用のポ
10月14日YAPC::ASIA Tokyo2011でトークしました
► 2020 (4) ► 9月 (1) ► 7月 (1) ► 6月 (1) ► 1月 (1) ► 2019 (3) ► 5月 (1) ► 3月 (1) ► 2月 (1) ► 2017 (4) ► 11月 (1) ► 9月 (1) ► 5月 (1) ► 4月 (1) ► 2016 (5) ► 11月 (1) ► 10月 (1) ► 9月 (1) ► 7月 (1) ► 3月 (1) ► 2015 (2) ► 10月 (1) ► 7月 (1) ► 2014 (1) ► 8月 (1) ► 2013 (2) ► 12月 (1) ► 8月 (1) ► 2012 (11) ► 12月 (2) ► 10月 (1) ► 6月 (2) ► 5月 (1) ► 4月 (3) ► 3月 (1) ► 1月 (1) ▼ 2011 (2) ▼ 10月 (1) 10月14日YAPC::ASIA Tokyo2011でトークし
高木浩光氏による行動トラッキングの歴史と境界線についての備忘録
Hiromitsu Takagi @HiromitsuTakagi AppLogの件、本人同意が不完全なままの場合の被害者は、その本人というだけでなく、履歴を取られる他のアプリ達の開発・提供元も被害者となるという視点が重要ではないか。これはアドネットワークがどこまで収集しているかの件と付合する。 2011-10-07 19:16:13 Hiromitsu Takagi @HiromitsuTakagi 広告によるトラッキングが嫌ならそのような広告の貼られたサイトに行かないという行動を生むわけで、広告を貼っているサイトはそれを覚悟でやっているわけだ。それが、アドネットワークに参加していなくても閲覧履歴を取られるようになれば、そういうサイトまで敬遠されてしまいかねない。 2011-10-07 19:20:06
僕が「ホワイトリスト」を採用しなかった訳 - ockeghem's blog
ホワイトリストという用語はセキュリティの分野では非常に基本的な用語ですが、セキュアプログラミングという文脈では意外に曖昧な使われ方がされているように見受けます。本エントリでは、ホワイトリストという用語の意味を三種類に分類し、この用語の実態に迫ります。拙著体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)では、ホワイトリストという用語を一度も使っていませんが、その理由に対する説明でもあります。 ホワイトリストの分類 私の調査によると、ホワイトリストは以下の3種類に分類されます。 許可されたものの一覧表(第一種ホワイトリスト) セキュリティ上安全と考えられる書式(第二種ホワイトリスト) アプリケーション仕様として許可された書式(第三種ホワイトリスト) 以下順に説明します。 許可されたものの一覧表(第一種ホワイトリスト) ホワイトリストというくらいですから、本来のホワイトリストは
最近のネットデマについて - 最速転職研究会
ソースをろくに確認せずに取り敢えず拡散する 自分の発言の責任が希薄になるように計算されたテンプレート 詳細はリンク先で 真偽不明ですが取り敢えず拡散 自己責任で 元情報が訂正されても、拡散した誤情報は消えない 「あなたのGmailをすべて盗まれる」問題 http://b.hatena.ne.jp/entry/jp.techcrunch.com/archives/20101120whoa-google-thats-a-pretty-big-security-hole/ http://topsy.com/jp.techcrunch.com/archives/20101120whoa-google-thats-a-pretty-big-security-hole/ http://disqus.com/guest/84d6bff45c2112e083c425e39f954f5e/ http://t
高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて
■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
| ^^ |秒刊SUNDAY|スクエニのCGIプログラムが丸見えで大変危険な状態な件
ファイナルファンタジーやドラゴンクエストなど数々のゲームをヒットさせ日本のゲーム業界をけん引してきた「スクウェアエニックス」(9684 )だが、そんな一流企業にも大きなミスが発覚してしまった。同サイトのコンテンツの一部に、一定のユーザのみ閲覧させるプログラム(CGI)を導入してあったようだが、現在そのプログラムが丸見えになってしまっている。この丸見え状態であるがゆえ、ハッカーの絶好の攻撃対象になってしまう。一刻も早く対応すべきではないか。 CGIプログラムには以下のコメントがされている # 会員限定のムービー画面の表示を行います。 # ログイン済みの場合は、ムービー画面を表示します。 # ログインしていない場合は、メンバーズサイトのログイン画面にリダイレクトします などと書かれ会員専用ページであることが分かる。 ソースは2006年のものでかなり古い、おそらく公開終了後そのまま放置し CG
管理プログラムがGoogleにインデックスされないようにする 2010年04月02日
WEBインベンターのご利用に心から感謝いたします。 さて、当社のカートを利用しているお店で個人情報流出の事故が発生しました。それは、管理プログラムがGoogleにインデックスされてしまったことによるものです。原因は調査中ですが、しかし、そのような場合でも検索エンジンに拾われないような対策を施してありますので、お知らせいたします。 対処方法: 1.パスワードの管理に気をつける 2.最新の管理プログラムを使う 3.検索エンジンにインデックスされてしまったときの対処 4.今後の対応 ━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1.パスワードの管理に気をつける ━━━━━━━━━━━━━━━━━━━━━━━━━━━ パスワード付きのURLが検索エンジンに拾われないようにするために気をつけてください。間違っても、パスワード付きのURLを一時的にもホームページで公開しないようにしてください
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://atnd.org/events/40249
http://atnd.org/events/37631
日本ベリサイン - Enterprise & Internet Security Solutions
gred|安全なサイトはgreen、危険なサイトはredでお知らせ。無料のWeb安全チェックサービスといえばグレッド!