なぜb-casは失敗してインターネットはうまくいくのか? - アンカテ
前のエントリで書いたように、b-casは用途を広げた時に前提条件が変わってしまったために、小さな「あってはならないこと」が起きただけで、手当ての方法が無くなってしまいました。 では、これと同じような見方で、インターネットそのものに「あってはならないこと」が起きた時どうなるか、について書いてみたいと思います。「インターネットそのもの」と言っても、一般の人が目にする「インターネット」の中でセキュリティをしっかり守らなければいけないのは、オンラインショッピングの時に使われる「SSL」という通信方式です。 アドレスが「https://」で始まるサイトにアクセスすると、そのアドレスの横に鍵の形の「安心マーク」が表示されます。オンラインショッピングで決済の画面やクレジットカード番号を入れる画面では必ずそうなっていると思いますが、これが今「SSL」を使っているよ、「SSL」がうまく動いているよというお知
匿名FTPによる図書館内部データの開放について/カーリルセキュリティアラート
日本最大の図書館蔵書検索サイト「カーリル」では、岡崎市立中央図書館事件に関連して発生した図書館の情報流出事故を教訓として、「カーリルセキュリティアラートシステム」を運用し、定期的に図書館システムのセキュリティ問題について確認を行なっております。 今回、2つの図書館システムにおいて匿名FTP(パスワード不要の公開FTP)による内部データの開放を確認しましたので、該当の図書館・自治体及び開発元に対して通知を行いました。 その対応が完了しましたことから、概要を発表いたします。 1.広島県内の公共図書館 ・システムの実行ファイル ・データベースのダンプと思われるデータ ・データベースサーバーの内部パスワード ・最終システムリプレイスは2011年5月 2.山口県内の公共図書館 ・予約データ(2005年10月~2012年4月6日) (利用者番号・電話番号等を含む) ・最終システムリプレイスはカーリル運
ブログパーツやソーシャルボタンの類でアクセスログが残るのは当然だけどトラッキングされるのは当たり前にはなっていない - 最速転職研究会
わたくしは立場上、実装がダメなことにはとやかく言いますがポリシーについてはとやかく言わないことをポリシーとしており、また個人的にも所属組織的にも付き合いがある企業様を痛烈に批判するというのはブーメランとか槍とか鉄砲玉とかソーシャルメディアガイドラインとか飛んできたりしてリスキーではあるのですが、どう見てもアウトだろこれ、と考えるに至りまして筆を取らせていただく次第です。 これ http://d.hatena.ne.jp/kanose/20120306/hbmbutton http://blog.dtpwiki.jp/dtp/2011/09/post-9367.html どう見てもアウトだろ。理由は単純で、そういう目的で設置されたボタンではないし、はてなブックマークボタンが設置されているサイトは、はてなの管理してないサイトなのではてなの裁量でやってはいけないからです。いつから「はてな」は「は
郡山の驚くべき現状
考えるイヌ @sakunary 郡山在住の方から現地のあり得ない状況をまたいろいろと聞いたのだが、どうやって公開したものか迷っている。ブログに載せたらまた炎上するのは明らか。嘘をつくなって否定する人がまたいっぱい出るんだろうなー。でも残念ながら全て本当のはなし。(^_^;) 2012-02-16 22:44:40 考えるイヌ @sakunary 郡山に住んでいる人の話、連投します。まず、浪江町の汚染砕石が阿武隈川に捨てられたというのは、本当だとのこと。その方の知り合いが11月の時点で同じ砕石を砂利を家にひいたところ、ものすごく高い線量が出た。驚いて市役所(郡山市ではない近隣の市)に行ったところ、言われたのは…(続く 2012-02-16 23:47:50
はまちちゃんと脆弱性報告のあり方 - 世界線航跡蔵
はまちちゃん がいつものごとく、AmebaなうにCSRF脆弱性を発見して いたずらを仕掛けた 。そして、何故か今回だけ「それは迷惑行為だ」とかなんか騒がしい。 私はそもそも、はまちちゃんのいたずらを「隙があったからカンチョー」に喩えるのが程度がおかしいんじゃないかと思う。それで非技術者には話が通じていないのでは? CSRFやSQL Injectionを許していたら、何よりも守るべきユーザーの情報が危険だ。そしてAmebaがそういう脆弱性を持っていると言うことは、生越さんが指摘するように首相官邸からの公式情報を操作できるという意味だ。これは「隙があった」んじゃないだろう。「開腹したまま内臓が露出している」んだ。 ところが、どうも現実の医師とは違ってこの世界の、特にAmebaみたいな大きな会社の開発者はその辺の意識が甘い。「手術したけど、まー、内臓が見えててもすぐに死ぬ訳じゃないし、適当に皮被
高木浩光@自宅の日記 - 当事者になって認識する「ストリートビュー」問題
■ 当事者になって認識する「ストリートビュー」問題 9月9日から14日にかけて、はてなのアンケートシステムを使用して、ストリートビューに対する意識調査を行った。その結果を以下にまとめる。アンケートは2回に分けて行った。 「ストリートビュー」に否定的ですか、肯定的ですか 1回目のアンケートでは、ストリートビューに対して「否定的」か「肯定的」かと、抽象的に問いかけた。「否定的」「肯定的」の定義は人それぞれだと思われる。回答総数は1000件。 Googleマップの「ストリートビュー」についてお尋ねします。「ストリートビュー」に否定的ですか、肯定的ですか。, 人力検索はてな, 2008年9月9日〜11日 その回答を円グラフで示すと図1のようになる。「否定的」が 33% で「肯定的」が 47% となっているが、この値自体はあまり重要ではない。母集団が変わればこの値は変化すると考えられ、はてなアンケー
中国、訪中した米商務長官のパソコンを僅かな隙にハック、システム侵入図る - 天漢日乗
トイレに立つときは、マシンも持っていくか、セキュリティサービスがマシンを抱いてろ、ってことかね、中国。 読売より。 中国当局、米商務長官のPCデータ盗み→システム侵入図る 【ワシントン=黒瀬悦成】AP通信は29日、中国当局者が昨年12月に北京を訪問したグティエレス米商務長官のノートパソコンのデータをひそかにコピーし、同情報を基に商務省のコンピューターシステムへの侵入を図っていたことが分かった、と報じた。 複数の関係者が同通信に語ったところでは、中国当局による「データ盗み出し」は、商務長官が中国側との貿易協議に出席した際、パソコンの前を短時間離れたすきに行われたと見られ、商務省のシステムへの侵入は少なくとも3回試みられていたことが確認された。関係者によれば、具体的な被害は出ていないという。 商務省や国防総省、国務省などの米主要官庁は2006年以降、中国から頻繁にサイバー攻撃を受けているとされ
「Winnyは既に必要な技術ではなく、危険性を認識すべき」高木氏講演
大阪弁護士会館で17日、情報処理技術と刑事事件に関するシンポジウムが開催された。シンポジウムは、Winny事件の判決を契機にIT技術と刑事事件を考えるという内容で、大阪弁護士会刑事弁護委員会、情報処理学会、情報ネットワーク法学会が共同で主催した。 シンポジウムでは、Winnyの開発者である金子勇氏によるWinnyの概説や、ファイル共有ソフトに関する刑事法的な問題点など、技術と法律の両面からWinnyやファイル共有ソフトの問題点についての講演が行なわれた。午後の講演では、産業技術総合研究所の高木浩光氏が「ファイル共有の抱える技術的な問題点」と題して、セキュリティの観点から見たWinnyの問題点を語った。 ● Winnyは「人が望まない」ことを止められない点が問題 高木氏はまず前提として、「Winnyがどのような目的や意図で開発されたのかという話とは無関係に、結果としてのWinnyを基に議論を
なぞなぞ認証機能を追加し、認証の設定をMyはてなで一括して行うよう変更しました - はてなダイアリー日記
本日、任意の質問とその答えを登録しておき、正しい答えを入力した人だけに閲覧を許可する「なぞなぞ認証」機能を追加しました。はてなダイアリーの閲覧許可にお使いいただけます。 これまではてなダイアリーではユーザー名や自分が参加しているグループ名を直接指定することで、自分のダイアリーを特定のユーザーのみ閲覧を許可することができましたが、はてなのアカウントを持っている人しか許可することができませんでした。 なぞなぞ認証では「私の祖母の名前を漢字4文字で」など、その質問の答えを知っている人にならはてなのアカウントがなくても閲覧を許可することができるようになりました。これによって、ご家族やご親戚、会社の同僚などのプライベートな情報を知っている相手なら誰でも、自分のプライベートな日記を閲覧してもらうことができるようになっています。 また、なぞなぞ認証の追加に伴い、認証の設定をMyはてな以下のユーザー設定ペ
高木浩光@自宅の日記 - ユビキタス社会の歩き方(3) 無線LANのSSIDを不用意に明かさない
■ デイリーポータルZ 記者の家を探しに行く 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では次のように書いた。 つまり、家庭の無線LANアクセスポイントのMACアドレスを誰かに知られることは、住所を知られることに等しい。そのような事態をPlaceEngineサービス(および類似のサービス)が新たに作り出したことになる。 「MACアドレスは個人を特定するものではない」と言えるだろうか?もし、別のネットサービスで、何らかの目的で家庭の無線LANのMACアドレスを登録して使うサービスが始まったとする。そのサービスもまた、「MACアドレスから個人が特定されることはありません」と主張するだろう。このとき、PlaceEngineとこのサービスの両者が存在することによって、わからないはずの住所が特定されてしまう事態が起きてくる。 PlaceEngineなどのサービスが存在する現
無線LANを探しに行く :: デイリーポータルZ
無線LANのアクセスポイントを見つけるとアイテムがもらえる仕組みのゲームがPSPにあった。試しに外へ出てやってみたらごろごろアイテムがもらえる、つまり無線LANのアクセスポイントがそこら中にあるということだ。 正直こんなにたくさんの人が無線LANを使ってるとは思ってなかったので、アクセスポイントを探してみるだけでも楽しい。ためしに、いろんなところに行って無線LANのアクセスポイントを検索してみました。 (荒原べんぞう) PSPの無線LAN機能 携帯用ゲーム機であるPSPには無線LANに接続できる機能が備わっています。昨年発売された『メタルギアソリッドポータブルOPS』という戦争をテーマにしたゲームがありまして、このゲームを買ってやってみたところPSPの無線LAN機能を使って兵士を手に入れることができる仕組みがありました。
fladdict.net blog: MIXIを使った、トラフィックの個人追跡システム
というのが可能だと考え付いて、ちょっと愕然とした。 自分のサイトに、隠しiframeでMIXIの自ページを読み込ませておくの。 そうすると、自分のサイトを訪れたログイン中のMIXI会員は、足跡がついちゃうの。あとは定期的に足跡キャッシュする。誰がウチのサイトを見てるかバレバレ(注:実装してないよ)。 一見、アホネタだけど。これ凄いシリアスな問題だよな。だってさ、エロサイトとかにそういう仕組みがあったら、最悪の場合一瞬で個人情報特定されるぜ?サイトのクッキーと、MIXIのアカウントとかが結びつけられた日には、何がおこるかわかったもんじゃないですよ。 100万超過の巨大コミュニティとなった今、MIXIの持っていた知り合いとの人間関係を担保とした安全性ってのは、もうとっくに崩壊してる。さらにザバサーチのようにネット上に分散する情報をかき集めれば、かなりの精度で個人情報が筒抜けになる危険性も増して
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
