TechCrunch | Startup and Technology NewsThe start of a new season is always a good time to revisit past predictions and look for new topics to track. Today, dry powder and university spinouts.
CSRF対策は基本? | 水無月ばけらのえび日記
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
アメーバでセキュリティ欠陥 スパム攻撃、プロフ消去相次ぐ
サイバーエージェント運営のブログサービスで、セキュリティの欠陥による被害が相次いでいる。新しいミニブログ「アメーバなう」にスパム感染が広がったほか、「アメーバブログ」でもプロフィールが消える被害が次々見つかった。なぜこんな初歩的な対策漏れがあったのか。 ツイッターのモノマネとして話題の「アメーバなう」が、最初からつまずいた。携帯電話版が始まった翌日の2009年12月9日、古典的なスパム感染が起きたのだ。 2005年4月のミクシィ被害と酷似 それは、「こんにちはこんにちは!!」という投稿を見て、記載のURLをクリックすると起きる現象だ。勝手に同じ投稿をさせられたうえ、「はまちや2」というユーザーを自動的にフォローしてしまうのだ。 ネットユーザーには見覚えのあるスパム投稿に違いない。それは、ミクシィで05年4月に広がった被害と似ているからだ。そのときは、「ぼくはまちちゃん!」という投稿だった。
おごちゃんの雑文 » Blog Archive » これは「エンジニアの反乱」ではないか?
ヨーカドーのネット通販が酷いことになっている。 セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される セブンアンドワイ、XSS脆弱性が見つかる。また社員が2chを覗いていたことが判明 セブンアンドワイ、Google検索で個人情報が丸見えだった模様。また今回の件でアフィリエイトにまで影響が とうとう「オープンソース化」までされる始末。 セブンアンドワイ、今度はソースコードを流出させる。 svnで公開なんてやってくれるぜ。私は初期版をcvsの類で出すのは消極的なんだけど(これはいずれ連載の方で)。 ただ、この前の「はまちちゃん」もそうなんだが、これは実は「エンジニアの反乱」ではないか? もちろん、一連の事件はエンジニアが結託してサボタージュをやったとか、そーゆー類では断じてないだろう。みんなそれぞれのエンジニアは、自分の能力の範囲、自分の仕事の範囲では
RockYou hacked, 32 million account passwords potentially exposed | VentureBeat
RockYou has suffered a serious hacker attack that has exposed 32 million of its customer usernames and passwords, leading to possible identity theft. The security firm Imperva informed RockYou over the weekend that its site had a serious SQL injection flaw, according to reports. Imperva said that some users’ passwords had already been compromised as a result of the vulnerability by the time it not
エフセキュアブログ : 「あなたは馴染みのないロケーションからログインしています」
「あなたは馴染みのないロケーションからログインしています」 2009年12月08日00:00 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 私は最近、ノルウェーに突然の予期せぬ旅行に出かけることになった。現地で過ごす間、私は家族や友達に自分の状況を知らせる必要があった。しかし、家族や友達が世界中に散らばっている場合、どうしたら良いだろうか? 私はFacebookを利用している。 もちろん、ほとんどの肉親に連絡するのに、電話を使うことは可能だ。しかし、時差を考えるとそう簡単なことではない。 何か急ぎの用事に追われ、2日間徹夜している時、一体誰が、ヨーロッパ、アメリカ、オーストラリアなどでは何時かということを気にかけていられるだろうか? Facebookをミニブログとして使用すると非常に上手く行く(私はサードパーティーのアプリケーションを使用していないし、プロ
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
「おれがやる」――必然だったサンドボックスの搭載 - @IT
第2回 「おれがやる」――必然だったサンドボックスの搭載 株式会社フォティーンフォティ技術研究所 取締役 最高技術責任者 金居良治 2009/11/26 閉鎖空間でウイルスの挙動を見る「サンドボックス」。純日本製ウイルス対策ソフト「FFR yarai 2009」のサンドボックス開発でエンジニアは何を目指したのか?(編集部) yaraiが持つ複数のエンジン、その成り立ち 第1回「限界を迎えつつある『パターンマッチング』という手法」で、“パターンマッチングに依存しない”ウイルス対策ソフト、FFR yarai 2009(以下:yarai)の誕生にまつわるエピソードをお話したが、今回はこのソフト開発の技術面についてお話したい。 【関連記事】 シグネチャに頼らず未知の攻撃を検出、FFRが国産対策ソフト http://www.atmarkit.co.jp/news/200904/30/ffr.html
FacebookやTwitterの台頭が個人情報保護のあり方を変える(前編)|個人情報はだれのもの? ソーシャル・メディアの普及が進む今、プライバシー保護に関してCIOが知っておくべき懸念事項 - CIO
Home News Case File 国内事例 海外事例 Industry Review CIO Interview Strategy View CIOの役割 経営革新 業務改革 IT投資/ROI コスト削減 ITガバナンス ベンダー・マネジメント IT組織改革 人材育成 内部統制 コンプライアンス プロジェクト・マネジメント アウトソーシング Technology View IT基盤 仮想化 システム統合 クラウド/SaaS セキュリティ管理 データ/ストレージ管理 クライアント管理 IT運用管理 BCM/リスク・マネジメント ERP SCM/設計製造 CRM システム開発 SOA/Webサービス オープンソース/Linux BI 情報共有/コラボレーション ナレッジ・マネジメント B2B eコマース サーバ/データセンター ネットワーク基盤 モバイル&ワイヤレス ガバメントIT I
iモードブラウザ2.0の「かんたん認証」を利用した不正アクセス手法が発見される:ニュース - CNET Japan
HASHコンサルティングは11月24日、NTTドコモのiモードIDを利用した認証機能(かんたんログイン)について、不正アクセスが可能となる場合があると発表した。iモードブラウザ2.0のJavaScriptとDNSリバインディング問題の組み合わせにより実現する。同社ではモバイルサイト運営者に対して至急対策を取るよう呼びかけている。 かんたんログインとは、契約者の固有IDを利用した簡易認証機能。ユーザーがIDやパスワードを入力しなくても認証ができることから、モバイルサイトでは広く採用されている。NTTドコモの場合はiモードIDと呼ばれる端末固有の7ケタの番号を使っている。 NTTドコモでは2009年5月以降に発売した端末において、JavaScriptなどに対応した「iモードブラウザ2.0」と呼ばれる新ブラウザを採用。10月末からJavaScriptが利用可能となっている。また、DNSリバインデ
サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
iモード専用サイトのhtmlソースの閲覧方法 « mpw.jp管理人のBlog
iモードブラウザ2.0のJavaScriptを調査・研究する過程で、iモード専用サイトのhtmlソースを閲覧する方法を発見しました。 今回発見した方法を用いれば、「ドコモ・ゲートウェイ以外からのアクセスを禁止している」、「サーチエンジンのクロールを禁止している」、「XSS脆弱性が存在しない」の三つの条件を満たしているiモード専用サイトでも、htmlソースを閲覧することができます。 しかし、htmlソースを閲覧するためには、そのiモード専用サイトが別の二つの条件を満たしている必要があります。 htmlソースが閲覧可能なiモード専用サイトの条件 デフォルトホストで運用されている。(ヴァーチャルホストではない) iモードブラウザ2.0のJavaScriptからのアクセスを禁止していない。 iモード専用サイトのhtmlソースの閲覧方法 iモードブラウザ2.0のJavaScriptで、htmlソース
アリコ:情報流出元は中国企業、被害最大23万件に - 毎日jp(毎日新聞)
外資系生命保険大手、アリコジャパンの契約者のクレジットカード情報が大量流出した問題で、アリコは11日、新たに1万4175件の個人情報が流出し、カードの不正利用も469件あったと発表した。従来の公表分を加えると、流出は3万2359件、不正利用は5122件に上る。流出は最大23万件に増える可能性もあるという。アリコは、流出元をシステム開発を委託した中国の企業の社員と特定、年内にも告訴する方針だ。【宇都宮裕一】 アリコによると、問題の社員は昨年3月、顧客情報を記録したシステムに自分のIDで侵入。カードの情報を記録した46万人のうち、最大で約23万人分の情報を入手した可能性がある。入手した情報でカードの不正利用を試みたケースがあったが、カード会社が不正に気付き、顧客には被害は出ていない。 情報流出は、カード会社からの通報で7月に発覚。アリコは9月に1万8184件分の情報漏れが分かった時点で「これ以
第3回 ルールを守りたくなる環境を創り出す
組織を維持する場合,そこには必ず一定のルールがあります。情報セキュリティに関するルールもその一つです。ただ,セキュリティに限らずルールを構成員全員にきちんと守らせることは容易ではありません。 その対策としてよく挙げられるのが罰則規定や教育の徹底です。それでも,故意もうっかりも併せ,ルール違反はなかなか減らないケースが少なくありません。そこでお勧めしたいのが少し視点を変えて,「ルールを守りたくなる/自然に守る環境」を作ることです。 罰則の限界 ルールを構成員全員に守らせるために最も多く行われるのが,「ルールを破った際の罰則を設ける」ことです。これは,「ルールを破ると割に合わない」状況を作り出すことでルールをないがしろにさせないための方策です。ただ,情報セキュリティを順守するための組織ルールが定着するかどうかは,構成員個人に依存しますから,罰則を設けるだけでは「自己管理としてルールを徹底させる
サンシャイン牧場 アイテム課金 | 水無月ばけらのえび日記
更新: 2009年11月23日20時0分頃 サンシャイン牧場ですが、アイテム課金が始まったようですね。いろいろ騒がれてもいますが、個人的には、当初からこうなるだろうとは思っていたので、課金が始まったこと自体には驚いていません。 しかし、実は大変なことになっています。詳しくは書けませんが、現時点では、サンシャイン牧場でカード情報を登録することは避けるべきです。おそらく近いうちに動きがあると思いますので、もう少し待ちましょう。 ※追記: とりあえず、カード番号は漏れていないようです。 ※2009-10-23追記: 諸々お察しください。とりあえず購入の機能は停止したようで、「メンテナンス中です」と表示されるようになりましたが……。 ※2009-10-23さらに追記: 問題の部分も停止したようです。ひとまず危険はなくなりました。ただ、この停止が一時的な物なのかどうか、修正されるのかどうかといった情
ハルファ紀行 gumblar・martuz
有害なスクリプトがいくつかのサイトに注入されています。 単純な1行のscriptタグであること(URIの末尾はphp)、 誘導先は(有害な物が設置されてはいるものの) いわゆる有害ドメインではないことから発覚しにくくなっています。 スクリプトの書き方からzlkon・gumblar・martuzの系統と思われます。 gumblar・martuz 今回 gumblarやmartuzはドメインで容易に蹴られてしまうという欠点がありましたが、 今回はそれがありません(C&Cの存在も確認できません)。 やられちゃったサイト群1のスクリプトは以下のようになっています。 IE用 非IE(Fx、Safari、Opera等)用 デコードするとそれぞれ以下のようになっています。 IE用 非IE用 「s=」でセッション管理をしています(検体を拾えませんでした)。 「id=2」でpdf(Acrobat)が、「id
บาคาร่า เกมคาสิโนออนไลน์ ทางเข้าเดิมพัน bkkgaming
bkkgaming เว็บไซต์เดิมพันคาสิโนออนไลน์ เกมบาคาร่า เว็บใหม่ล่าสุด มีเกมคาสิโนครบวงจร โดยเฉพาะเกมบาคาร่าออนไลน์ที่มีให้เลือกเล่นหลายโต๊ะ หลายราคา เลือกเดิมพันกันได้ตามความต้องการ ถ่ายทอดสดโต๊ะเดิมพันจากคาสิโนชั้นนำระดับโลก ไม่ต้องเดินทางไปถึงคาสิโน ก็สามารถสนุกกับการเดิมพันได้ภายในบ้านของคุณ หรือระหว่างการเดินทางไปยังที่ต่าง ๆ ได้เลย ไม่ว่าคุณจะเป็นนักเดิมพันมือใหม่ หรือนักเดิมพันระดับเซียน ก็สามารถ
新種ウイルスを捕獲する“人柱型”ハニーポット,フォティーンフォティが発売
フォティーンフォティ技術研究所は2009年10月9日,ウイルスを収集する「Origma+(オリグマプラス)」を発売した。Webサイトを巡回し,ウイルスにわざと感染する“人柱”方式で新種ウイルスを捕獲する。 ウイルスやワームをわざと侵入させて捕獲するツールは「ハニーポット」と呼ばれる。Origma+もハニーポットの一種だが「従来の被害発生を待ち受けるタイプの「ハニーポット」とは異なり,自ら能動的にWebサイトにアクセスしてウイルスを収集する」(フォティーンフォティ技術研究所)。マシン1台あたり,1日最大1万URLを巡回可能という。 Origma+では,ウイルスが感染に悪用するセキュリティ・ホールを,修正せずに仮想マシン環境で動作させ,わざと感染させる。感染活動を独自開発の振る舞い検知エンジンで感知することにより,未知のウイルスも発見できるという。ウイルスを発見すると,管理者に即時に通知する。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IT news, careers, business technology, reviews
[FFR]株式会社フォティーンフォティ技術研究所