「君は新人だから知らないと思うけどセッション変数が改竄されることもある。その対策は安全ではない」
noon @n00nw0rks 日本人はリスク管理ができない、リスクはゼロにできないということを受容れられない、とよく言われるけど、日本人だからどうこうというより、リスクを管理できるだけの知識と論理的思考能力がない人は「怯える=意識高い」と考えているんだと思っていて、その話のたびに前の会社のことを思い出す 2014-11-13 11:12:30 noon @n00nw0rks 前の会社でCSRF発見して「hiddenなinputとセッション変数にランダムトークンを保存して照合し正当なページからのリクエストか判別する」のを提案したら「君は新人だから知らないと思うけどセッション変数が改竄されることもある。その対策は安全ではない」と呆れた顔で言われて、 2014-11-13 11:12:50 noon @n00nw0rks 確かにOSやミドルウェアに脆弱性があればそういうこともあるかもだけど、セ
最近Twitterで流行ってるスパム業者の手口 - 逸木裕のweblog
日常系のツイートばかりをしている複数の友人が、最近立て続けに怪しげなリツイートをしていた。こういうものだ。 これは業者によるスパムで、手法自体は古典的なのだが、最近また猛威を振るっている。以下、解説と注意喚起をする。 業者の手法 業者の手法を簡単に説明すると、下記の通り。 「Twitterアプリ」にユーザを登録させる ユーザのツイート権限を奪う*1 奪ったツイート権限で、スパムを拡散する 極めて簡単ですね。 この流れで一番難しいのは1の「Twitterアプリ」にユーザを登録させるという箇所だが、最近のバイラルメディア*2の勃興に伴い、この部分の心理的な障壁が下がっているのがスパム流行の原因になっていると思われる。 どういうことか。以下のツイートを見て欲しい(くれぐれも見るだけで、URLを踏んだり、アプリ登録してはいけません)。 【閲覧注意】動物園で檻に落ちた男性が虎に襲われて死亡した事件
高木浩光氏に朝日記者が聞く、ネット社会のプライバシーと利便性
古田大輔 / Daisuke Furuta @masurakusuo 本日午後3時から産業技術総合研究所セキュアシステム研究部門の高木浩光氏 @TakagiHiromitsu にツイッターで公開インタビューします。ネット社会でプライバシーと利便性をどう両立するか、うかがいます http://t.co/dWPiaqwkS6 #socialA_1 2013-12-26 14:21:45 TAKAGI, Hiromitsu @TakagiHiromitsu 「プライバシーか利便性か」ではなく、「プライバシーを維持しつつ利便性を獲得すにはどうするか」が我々の課題です。「プライバシーか利便性か」と言い続けていると、田原さんのコメントにように、諦めてしまう人が出てきます。 http://t.co/w5OdRA8xjx #socialA_1 2013-12-26 13:59:48
ひろみちゅ砲が俺たち本好きクラスタ方面の真上で炸裂
Hiromitsu Takagi @HiromitsuTakagi 北千住駅を通りがかったら、東武ブックスの書店にデカデカと「ポイント会員登録新規受付中」と貼り出されていたので、店員に質問をしてみたところ、驚くべき結果になったので、メモがてら書いておきたい。 2013-06-12 22:18:01 Hiromitsu Takagi @HiromitsuTakagi 私「ポイントカードについてお尋ねしたい。どんなメリットがありますか?」 店員(20代男性)「100円に1ポイントが付き、1ポイント1円として使えます。」 私「そちらにはどういうメリットがありますか?」 店「お客様がどの本を買われたかを記録します。店員にはわかりませんが、本部で… 2013-06-12 22:19:51
ほこたて 「どんなパソコンにも侵入する世界最強ハッカーVS絶対に情報を守るネットワークセキュリティー」防御側の裏話
よくわからない人のための事前知識 イメージ的にはこんなかんじです。 ・銀行(パソコン)にお金(画像)が保管してあります ・これを盗まれる(ハッキング)のを防ぐのが目的です ・ところが番組側が用意した銀行の建物はボロボロ(バージョンが古い)です ・そんな建物なので侵入経路(脆弱性・セキュリティホール)だらけです ・セキュリティ的には補修工事(パッチをあてる)をしたかったものの、番組が面白くなくなるので不可 ・そこで、銀行自体に侵入されるのは諦めて、お金を保存する金庫を頑丈にしました(TrueCryptで暗号化) ・そして勝負開始、思ったより銀行に侵入するだけでも結構時間がかかっていたようです ・とはいえ、そこは脆弱性を残したままのシステムであり、案の定銀行には侵入されてしまいました ・金庫も見つかってしまいました ・ところが金庫を破るのが非常に難しかったため、時間制限もありギブアップ …とい
Twitterブログ: より安全にご利用いただくために
すでにニュースでお読みになられた方も多いと思いますが、このところ、アメリカのテクノロジーとメディア企業を対象にした大規模なセキュリティ攻撃が行われています。この2週間にNew York Times、Wall Street Journalがシステムを、またAppleやMozillaはもともと設定されているJava(プログラムのひとつ)をオフにされました。 今週、Twitterは通常とは異なるアクセスパターンがあり、調べてみるとTwitterのユーザーデータへのアクセスのようでした。行われていた攻撃は止めたのですが、調査の結果、ユーザー名、メールアドレス、セッションIDや暗号化されたパスワードなど、約25万人のユーザー情報にアクセスされた可能性があります。 該当するアカウントにはTwitterからパスワードのリセットをかけ、セッションIDの破棄をしました。この該当アカウントに含まれているユーザ
時事通信の記事に関するラック西本逸郎氏のコメント
リンク www.jiji.com 時事ドットコム:プロの開発者が作成か=高価な専門ツール使用�証拠隠滅の痕跡も、PC遠隔操作 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件で、このウイルスは主にプログラム開発者らが使用する高価な専門ツールで作成された可能性があることが18日、専門家らへの取材で分かった。 遠隔操作ウイルスに感染したパソコンから犯行予告が書き込まれた事件で、このウイルスは主にプログラム開発者らが使用する高価な専門ツールで作成された可能性があることが18日、専門家らへの取材で分かった。 ウイルス作成者のパソコン本体に証拠が残らないようにした痕跡があったことも判明。警視庁捜査1課などは日常的にプログラムを開発する人物がウイルスを作った可能性が高いとみて、特定を急ぐ。 このウイルスを入手、解析した情報セキュリティー会社「ラック」(東京都千代田区)の西本逸郎専務理事
「殺人予告被告、ウイルス発覚で釈放」についてのモトケン氏と捜査関係の会話
モトケン @motoken_tw なんて間抜けな捜査なんだ!RT @yassi___: 8月26日逮捕、9月14日起訴、のち釈放。「自動的に脅迫文言をネット上に書き込むなど」のウイルス。 /時事ドットコム:大阪市に殺人予告、ウイルス感染で脅迫文言-演出家、無実か http://t.co/bUxcYblw 2012-10-07 08:25:28 モトケン @motoken_tw 逮捕前にすべき捜査を起訴後にする大馬鹿大阪府警と無知無能な大阪地検。>時事ドットコム:大阪市に殺人予告、第三者の疑い=ウイルス感染で脅迫文言-演出家、無実か http://t.co/bUxcYblw 2012-10-07 08:37:44
ツイッターなんてもう信用できない!
メディア王ルパート・マードックの妻ウェンディをかたる人物が作成したアカウントを、ツイッターが本人のものとして認証していた──ある意味では、どうでもいいニュースだ。わずか数日後には「成り済まし」であることが判明し、ツイッターは謝罪声明を発表した。 問題なのは、この件に関するツイッター側の姿勢だ。同社はミスの理由を説明せず、確たる再発防止策を保証することもできていない。となれば、ツイッターの信頼性や信用性には深刻な問題があると思えてくる。 今時のシリコンバレーの企業は開放性と透明性がモットーだが、ツイッターは情報を出そうとしない。月並みな謝罪文を発表しただけで、後は知らん顔を決め込んでいる。 謝罪文の内容はこうだ。「当社の認証プロセスについてコメントはしませんが、『ウェンディ・デン』のアカウントが短期間、誤って認証されていたのは事実です。ご迷惑をお掛けしたことをおわびします」 これが世界を変え
#ウイルス罪 高木浩光氏、成立後の報道を批評する & ウイルス罪クイズ
6月17日の刑法改正案の可決・成立を受けて、いくつかニュース記事が出てきました。 しかし、そこに含まれる不正指令電磁的記録罪(通称:ウイルス罪)について、なかなか正確かつ分かりやすい記事にはお目にかかれません。 ※ この他、ウイルス罪に関するまとめは、「ウイルス罪」タグを見てもらうと、たくさんあります。 ⇒ http://tinyurl.com/3pgdxra ※ 参議院法務委員会6月14日会議録: 高木氏が参考人として陳述・質疑応答しています。必見!! http://www.sangiin.go.jp/japanese/joho1/kaigirok/daily/select0103/177/17706140003016c.html 続きを読む
Facebookやtwitterのログイン情報は簡単に盗まれてしまうので要注意! – 現在できる限りの対策を | Token Spoken
Facebookやtwitterが普及する中、今そのログイン情報が常に漏洩の危険にさらされています。 以前、FiresheepというWi-Fiネットワークを飛び交うFacebookやTwitterのログイン情報(ユーザー名とパスワード)を抽出するアドオンが公開された際には、そのことが話題になりました。 ところが、今度はさらに強力なFaceniffというアプリケーションが公開されたのです。 このFaceniffは、Facebookとtwitterだけではなく、なんとAmazonやYouTubeのアカウントまでをも自動的に抽出します。 しかも、このアプリケーションはPC用ではなく、Androidスマートフォン用なのです。 前者は、PCを持ち歩かなければ飛び交うログイン情報を収集できなかったのですが、このFaceniffでは、普段持ち歩くAndroidスマートフォンにインストールして持ち歩くだけ
「Twitterウイルス」の作成ツール出現、ツイートで感染PCを操作
ロシアのセキュリティ企業カスペルスキーラブスなどは2010年5月17日、ボット(パソコンを乗っ取るウイルス)を作成するための新しいツールが出回っているとして注意を呼びかけた。「Twitter」のツイート(書き込み)で操作できるボットを、1分もかからずに作成できる。 作成ツールの名称は「TwitterNet Builder」。操作は極めて簡単。同ツールを起動して、ボットを操作するTwitterのアカウント名(ユーザー名)を入力し、「Build」ボタンを押すだけ(図1)。これで、実行形式(拡張子がEXE)のボットプログラムが作成される。 このツールが作成するボットには、自分で感染を広げる機能はない。ボットを有用なプログラムに見せかけて実行させたり、ソフトウエアの脆弱(ぜいじゃく)性を突いて感染させたりする必要がある。 実行されたボットは、そのパソコンを乗っ取る。そして、作成時に登録されたTwi
Twitterクラック事件の原因?:Geekなぺーじ
昨日のTwitterクラック事件はDNSに不正な値を設定されたことが原因でした。 Twitter公式ブログでも以下のようにDNSが原因であり、本体が乗っ取られたわけではないと記述されています。 「Twitterブログ: 昨日のDNS障害についての追加情報」 この攻撃の間、われわれはDNSプロバイダのDynectと直接連絡を取り続けました。そしてDNSをできるだけ素早くリセットするよう緊密に作業しました。 これを見たときに「ああ、やっぱりDynectが原因だったか」と思いました。 恐らくTwitterは自分でネットワークやサーバをほとんど運営しておらず、DNS部分はCDN事業者のDynIncのサービスを購入していると推測されます(参考:Twitterのネットワーク構成を調べてみた)。 さらに、「CDN事業者のDynectにとってTwitterでの事件は経営に凄く大きな打撃を与えるのでは?」と
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Tポイントツールバーの検証
Twitterアカウント乗っ取り問題を検証中