佐川急便を装った偽佐川が猛威、そこに織田裕二がいても危険 : 市況かぶ全力2階建のぞみ全車指定のJR西日本、「お乗りになってから初めて自由席がないことにお気付きのお客様」とつい煽ってしまう
報告続々「m adsmatic com」とは? スマホでネット閲覧中に「ウイルスを検出」とのポップアップ - Togetterまとめ
koume @koume_nouka 今日は広告にうっかり触ったらadsmaticとかいうサイトに飛ばされ、過去に見たサイトでウイルスに感染した模様です!とか言われてウイルスチェックが始まり対策ソフトを勧められると言う流れで、本当にウイルスにやられてる可能性もあるけどたぶん9割はニセだと思うんだ 2016-02-16 11:45:43 koume @koume_nouka 先日これって詐欺サイトかも(80%くらい)と言ったadsmaticとやらは完全なる詐欺サイトと確定しましたのでウイルスチェックがどうたら出ても完全無視しましょう 2016-02-19 19:35:04
スマートフォンアプリケーションでSSLを使わないのは脆弱性か
このエントリでは、スマートフォンアプリケーションの通信暗号化の必要性について議論します。 はじめに 先日、スマートフォンアプリケーションのセキュリティに関するセミナーを聴講しました(2月8日追記。講演者からの依頼によりセミナーのサイトへのリンクをもうけました)。この際に、スマートフォンアプリケーションの脅威に対する共通認識がまだないという課題を改めて感じました。その課題を痛感できたという点で、セミナーは私にとっては有益でした。 このため、当ブログではスマートフォンアプリケーションの話題をあまり取り上げていませんでしたが、今後は、とりあげようと思います。まずは、スマートフォンアプリケーションでは暗号化を必須とするべきかという話題です。この話題は、前記セミナーでもとりあげられていました。 暗号化の目的は何か まず、暗号化の必要性を論じるためには、暗号化の目的を明確にする必要があります。前記セミ
高木浩光@自宅の日記 - spモードはなぜIPアドレスに頼らざるを得なかったか
■ spモードはなぜIPアドレスに頼らざるを得なかったか spモードの事故 NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に影響, NHKニュース, 2011年12月27日 ドコモの“メアド置き換え”不具合、影響数や新事象が明らかに, ケータイ Watch,
年末年始の旅行中、スマートフォンの盗難・情報漏洩を防ぐには? (マイナビニュース) - Yahoo!ニュース
カスペルスキーは12月15日、クリスマスや年末年始に旅行に出かける人が増えることを踏まえ、スマートフォンを防ぐ方法と盗まれた場合に撮るべき行動を発表した。 ○盗難回避とデータ漏洩のための対策 スマートフォンの盗難を回避する方法としては、「常に身に着けておく」「安全な場所に保管する」「暗証番号ロックを有効にしておく」「自分のSIMカードだけが有効な設定にしておく」「セキュリティソフトを導入する」が挙げられている。 上記の方法のうち、技術的なものについて簡単に説明しよう。「暗証番号のロック」だが、Android端末の場合はスクリーンロックを、iPhoneの場合はパスワードロックを設定して有効にしておこう。「SIMカード」は、ほとんどの端末は他のSIMカードで利用できないようになっているが、SIMロックは解除することも可能だ。SIMロックを行う際はパスワードが必要なのだがデフォルトのままに
ke-tai.org > Blog Archive > auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです(続きの続き)
auの2011年秋冬モデルである「F001」のHTTPヘッダが従来機と比べて大きく変更になっているようです(続きの続き) Tweet 2011/11/30 水曜日 matsui Posted in au, タレコミ, ニュース, 記事紹介・リンク | No Comments » 続報が来ましたので、記事にしたいと思います。 前回の記事はこちら、前々回の記事はこちらです。 前回までのおさらい。 KimuraMemoさんの記事からの情報によると、auの2011年秋冬モデルである「F001」のPCサイトビューアーからアクセスした場合、接続元IPアドレス帯域がEZfactoryのページにある情報と違い、何かおかしい気がする。 結論からいうと、KDDIの新GWで「かんたんログイン」のなりすましの問題が発覚し、その対処のためあえて異なるIPアドレス帯域を使っていたようです。 一時期は危険な状態にありま
KDDIの新GWで「かんたんログイン」なりすましの危険性あり直ちに対策された
au/KDDIの2011年秋冬モデル(現時点ではF001のみ)にてEZwebとPCサイトビューア(以下PCSV)のゲートウェイが統合されたことに伴い、かんたんログインを実装しているサイトに対して、F001のPCSVからJavaScriptを用いた「なりすまし」攻撃ができる状態でした。この問題をKDDIに通報したところ、直ちに対策が取られ、現在は安全な状態です。以下、詳しく報告します。 目次概要 経緯 何が問題か 経緯説明(1)基本的なチェックは対処済みだった 経緯説明(2)ハイフンをアンダースコアに変えるトリックは対策済み 経緯説明(3)海老原氏が発見したトリックとは 経緯説明(4)KDDIに連絡→翌日に対処 実証例 外部からJavaScriptを実行できる条件 影響を受けるサイトの条件 影響 対策 今回の問題は、端末あるいはau設備の脆弱性なのか まとめ 概要以前、「EZwebの2011
ringo-sanco Androidスマートフォン契約時にGoogleアカウントとパスワードを記入させて代理店側でアプリをインストールする例を確認
複数の報告によると、一部の携帯電話販売代理店において、Androidスマートフォンの契約時、ユーザーにGoogleアカウントのIDおよびパスワードの記入または新規作成のうえの記入を契約必須条件として、代理店側が開通作業の際にユーザーのIDとパスワードでAndroidマーケットにログインし、スマートフォンにアプリケーションをインストールして販売する例があることを確認しました。 取材したところ、契約ユーザーは契約時に別途代理店が用意した「GoogleアカウントのID」および「同アカウントのパスワード」の記入欄が設けられている用紙への記入を契約必須条件と案内され、アカウントを所持していない場合は新規アカウントを作成する必要があったとのことです。 代理店側は開通作業時に端末を操作するとき、ユーザーの記入したGoogleアカウントとパスワードを使用して、Androidマーケットにログインし、指定のア
高木浩光@自宅の日記 - 「プロバイダ責任制限法検証に関する提言(案)」に対する意見
■ 「プロバイダ責任制限法検証に関する提言(案)」に対する意見 総合通信基盤局電気通信事業部消費者行政課の「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」が、パブリックコメントを募集している(7月7日17時締切)ので、以下の意見を提出した。 「利用者視点を踏まえたICTサービスに係る諸問題に関する研究会」 提言(案)に対する意見募集, 総務省, 2011年6月7日 「プロバイダ責任制限法検証に関する提言(案)」に対する意見 東京都〓〓〓〓〓〓〓〓〓〓 高木 浩光 意見1:「個体識別番号」との語は日本語として不適切であり適切な用語を用いるべき 提言(案)のp.30からp.32にかけて「個体識別番号」なる言葉が用いられているが、元来、日本語における「個体」とは「個々の生物体をさす言葉」(Wikipediaエントリ「個体」より)、「独立した1個の生物体」等を指す言葉とされている(
私はいかにしてソフトバンク端末60機種のJavaScriptを検証したか - ockeghem's blog
昨日のソフトバンクの非公式JavaScript対応の調査結果 | 徳丸浩の日記で報告したように、昨年5月に、ソフトバンク60機種の検証を行い、JavaScript対応の状況などを調査しました。当時はまだ公式なJavaScript対応機種はない状態でしたが、既にほとんどの端末が *非公式に* JavaScriptに対応していました。 このエントリでは、検証の様子を報告します。 なぜJavaScript対応状況を調査したか http://www.hash-c.co.jp/info/20091124.htmlを公表した前後に、とある方(この方)から、ソフトバンクのケータイでもJavaScriptが動作すると伺いました(参考のやりとり)。XMLHttpRequestも含めてJavaScrptが動くと教えていただいた932SHを私も購入して調べたところ、以下が判明しました。 確かにJavaScrip
SoftBankガラケーの致命的な脆弱性がようやく解消 - 高木浩光@自宅の日記
■ SoftBankガラケーの致命的な脆弱性がようやく解消 ソフトバンクモバイルのガラケーWebブラウザで、https:接続する際の仕様に変更があった。昨年10月に予告が発表され、元々は2月に実施される予定だったのが、6月30日に延期されていたもの。これまで、https:サイトへのリンクのすべてが https://secure.softbank.ne.jp/ 経由に書き換えられる仕様だったが、この機能が廃止された。 ソフトバンクモバイル、携帯サイトの仕様変更で注意喚起, ITmedia, 2011年6月30日 Yahoo! ケータイ、2011年2月に仕様変更 ユーザーとサイト開発者に注意喚起, ITmedia, 2010年10月15日 MOBILE CREATION - WEB & NETWORK SSL/TLS, ソフトバンクモバイル これは、昨年6月に、ソフトバンクモバイル宮川CTOに
w3cもケータイ認証には困惑している件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 以前Twitterでもツイートしてたんだけど一部誤解があったのでこちらでまとめてみる。 Global Authoring Practices for the Mobile Web (Luca Passani) http://www.passani.it/gap/ 上記をもって「w3cが個体識別番号に駄目出し」としていたんだけど、多少事情が違った。 実は上記には元になる対象文書がある。それがw3cのベストプラクティスだ。 Mobile Web Best Practices 1.0 http://
セキュリティホール memo - 2010.10
》 Google, HP, eBay, Yahooが死刑制度賛成コマーシャルに(間接的に)出資 (techcrunch, 10/29) 》 Google、「場所検索」を開始 (WIRED VISION, 10/29) 》 軍事と治安に傾斜する韓国政権 (ル・モンド・ディプロマティーク日本語・電子版, 10/28) 》 レアアース、中国が輸出停止措置解除か (読売, 10/29) 》 不可解な反日デモ、若い世代のガス抜きが目的か (日経 BP, 10/27) [Full-disclosure] Secunia Research: Winamp VP6 Content Parsing Buffer Overflow Vulnerability (secunia, 2010.10.27)。攻略メディアファイルによって任意のコードを実行できる。Winamp 5.59 Beta Build 3033
ヤマト運輸、かんたんログインの脆弱性で個人情報が露出 | 水無月ばけらのえび日記
公開: 2010年10月26日14時0分頃 ヤバイヤバイと言われ続けてきたケータイサイトの「かんたんログイン」機能ですが、個人情報漏洩の実例が出てしまったようで。 iPhoneで他人の情報…携帯ID認証に穴 (www.yomiuri.co.jp)クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性 (www.itmedia.co.jp)ちなみに読売の記事は当初「iPhoneで人の情報丸見え…閲覧ソフト原因」という見出しで、あたかもブラウザ側の問題であるかのような書きぶりでしたが、当然ながらサイト側の問題です。 サイト側では対応が済んでいて、「クイックログイン機能」を停止してパスワードの入力を必須にするという対応が実施されています。 携帯版「クロネコメンバーズのWebサービス」クイックログイン機能の脆弱性への対応について (www.kuronekoyamato.co.jp)以前、「
高木浩光@自宅の日記 - かんたんログイン方式で漏洩事故が発生
■ かんたんログイン方式で漏洩事故が発生 ガラケーからiPhoneに乗り換えた人々が「ガラケーサイトが見れない!!」とご不満らしいという話は、聞いたことがあったし、そういう方々向けに「ガラケーサイトを閲覧できる」と謳うスマホ用の専用ソフトが提供されたというのも、どこかで見た記憶があった。 そんな10月9日の夜遅く、ある方から、「iPhone用のSBrowserというアプリで、クロネコヤマトのサイトを使ったら、知らない人の個人情報が出てきてびっくりした。どうしたらいいか」という相談が舞い込んできた。 早速、iTunes Appストアで「SBrowser」の商品説明ページを見に行ったところ、数々の雑言レビューが付いており(図1)、この種のアプリの需要とユーザ層が見えた。
ヤマト運輸の対応が素晴らしかった
クロネコヤマトモバイルサイトで情報流出があり読売新聞で取り上げたられた件に関し、早速ヤマト運輸で対応が取られ、発表がありました。 携帯版「クロネコメンバーズのWebサービス」クイックログイン機能の脆弱性への対応について|ヤマト運輸 この対応の素晴らしさは、タイトルでわかります。「脆弱性への対応」と書かれていて、ヤマト運輸のシステム側に不具合があったことを自ら認めて発表しています。 自らのミスを被害者に見せかける「プロの脆弱性対策」を使うのであれば、ここは「スマートフォンのアプリを利用したなりすましによる不正ログインについて」などと発表してもおかしくありません。 今回の件は読売新聞でも「iPhoneで人の情報丸見え…閲覧ソフト原因」と報道されているわけで、閲覧ソフトに責任転嫁するのは簡単な状況でした。それでもヤマト運輸は自らシステムの「脆弱性」だと認め、どういう状況で発生したのかまで発表しま
クイックログインに“穴”、ヤマト運輸の携帯Webサイトに脆弱性
ヤマト運輸のケータイサイトの「クイックログイン」に問題が。「PCでは見えないはず」に頼ったサイトの危険性があらわになった。 ヤマト運輸は10月25日、同社が提供している会員制サービス「クロネコメンバーズのWebサービス」の携帯電話版で、特定のスマートフォンから特定のアプリケーションを利用し、「クイックログイン機能」を使った場合に、本人と別のユーザーのページにログインができてしまう問題があったと発表した。現在は、クイックログイン機能を修正し、パスワードの入力が必須となっている。 同サービスは、荷物の集荷依頼や再配達依頼などがWeb経由で可能にするもの。同社が調査したところ、1人のユーザーのページに、別の2人がログインしており、メールアドレスや住所、電話番号などを閲覧できる状態になっていた。該当のユーザーには個別に対応しているという。 問題となったのは、ログインID/パスワードを入力せずに認証
Hideki SAKAMOTO の雑記 (2010-06-23)
◆ [Rails] 「Ruby on Rails 携帯サイト開発技法」第9章のサンプルコードに含まれる脆弱性について .tright small.(2010/6/25公開)^J2010/6/27: 「追記1」記載、微修正^J2010/6/28: 脚注*5 修正 まとめ ソフトバンククリエイティブ社から発行されている「Ruby on Rails 携帯サイト開発技法」の第9章に掲載されているサンプルコード(ファイル4/4)にはセッションIDの発行・管理に不備があるため、セッションハイジャックが可能です。 解説 この本の第9章には「携帯端末特化型セッション管理」と称していわゆる「かんたんログイン」の実装サンプルが掲載されています。第9章の冒頭部分から、その特長に関する記述を抜粋すると、 Cookieの代わりにリクエストヘッダからの情報を使ってセッション管理を行うという、携帯サイトならではのセッシ
携帯電話とSSLルート証明書
おことわり DoCoMo, SoftBank, auの3キャリアの携帯電話端末にインストールされているルート証明書について述べる。 言うまでもなくこの文書は無保証。猛犬注意。濡れていて滑ります。 SSL非対応端末は相手しません。 せっかちな人はまとめからどうぞ。 DoCoMo DoCoMo提供の資料を見ればわかる。端末には3種類ある。 SSL対応全PDC端末およびFOMA 2001/2002/2101V/2051/2102V/2701/900iシリーズにインストールされているのは以下の5つ。 VeriSign Class 3 Primary CA VeriSign Class 3 Primary CA G2 Verisign/RSA Secure Server CA GTE CyberTrust Root GTE CyberTrust Global Root FOMA901i/700i/8
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews