Secure coding は Microsoft からイノベーションを奪っているか? - NyaRuRuが地球にいたころ
Re: WPFでHLSLが使えることの持つ意味 id:tetsutalow せんせーのところより. CPUの性能が伸びなくなってしまった今、GPUは当面の伸びしろとして期待されているわけですから、この動き自体は自然でしょう。ですが、一般的に言って、ネット越しに落ちてくるコードが高い計算能力を持つことは、それだけで凶器になり得ます。SilverlightのSandboxの細かい仕様をまだちゃんと調べていないので詳しいことは言えませんが、私の頭の中にはいくつかの、この技術を凶器として使うシナリオがあるので、その実現可能性をちゃんと調べないといけないなぁと思っています。そのことを忘れないうちにここに書いておきます・・・・他の専門家の方も、もしよろしければご検討願えませんか。 あー Silverlight だとまだ当面 Shader は使えないんじゃないでしょうかね.というか Silverligh
SQLインジェクション攻撃に関する注意喚起:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:西垣 浩司)は、近年、SQLインジェクション攻撃が急増していることから、ウェブサイト管理者等への注意を喚起するとともに、ウェブサーバのアクセスログ調査およびウェブサイトの脆弱性検査等の対策実施を推奨します。 近年、ウェブサイトを狙ったSQLインジェクション攻撃が急増しています。特に2008年3月頃より、有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)(*1)や内外の情報セキュリティ対策企業が、SQLインジェクション攻撃によるウェブサイトの改ざんや不正コードを仕掛けられたページ数が数十万に達している旨の注意喚起を相次いで発表しています。また、5月6日には、SQLインジェクション攻撃を行う悪質プログラム(ワーム)が確認された旨の注意喚起を米国SANS Institute(*2)が実施しています。IPAに届出ら
JavaScriptを使ってイントラネット内を外から攻撃する方法:Geekなぺーじ
「Hacking Intranet Websites from the Outside」という講演が2006年にありました。 Black Hatでの講演です。 以下に説明する手法は既に公開されてある程度時間が経過している情報なので、ご存知の方にとっては既に古いとは思います。 詳細はプレゼン資料をご覧下さい。 概要 ファイアウォールなどに守られたイントラネットやホームネットワークの内部を攻撃する手法が解説してありました。 JavaScriptの基本仕様を組み合わせて情報を収集するというものでした。 最終的には、プリンタから印刷を行ったり、ルータの設定を変更するなどの攻撃が可能になるようです。 それ以外にも、Web経由で設定変更が出来るものは状況によっては影響されるかも知れません。 プレゼン後半ではCSRF(XSRF, cross-site request forgery)も解説されていました
サイボウズ・メディアアンドテクノロジー サイボウズMT、「個人情報漏えい年鑑2008ダイジェスト版」を無償公開
報道関係者各位 平成20年4月30日 サイボウズ・メディアアンドテクノロジー株式会社 http://www.cybozu-mt.jp/ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ サイボウズMT、「個人情報漏えい年鑑2008ダイジェスト版」を無償公開 〜 内部関係者による原因や攻撃が7割、内部統制の必要性を裏付け 〜 個人情報保護法施行以降の3箇年間の大規模漏えい企業10社リスト https://shop.ns-research.jp/form/fm/lk08 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■■ 要約 ■■ インターネットビジネスの総合シンクタンクであるサイボウズ・メディアアンドテクノロジー株式会社(代表取締役 土屋 継 東京都港区)は、2008年3月21日、個人情報保護法施行以降
高木浩光@自宅の日記 - PayPalフィッシングにひっかかりそうになった
■ PayPalフィッシングにひっかかりそうになった 木曜の夕方から風邪をひいて療養中。昼間寝すぎて寝付けないので日記でも書く。 フィッシングといえばPayPalが発祥の地。実際にどんな状況なのか知るために使ってみるべきだったが、実はこれまで一度もPayPalを使ったことがなかった。2月からWindowsマシンを捨ててMacに乗り換えて以来、シェアウェア料金を支払う場面に出くわすようになった。十年ぶりにKagi.comのシェアウェア支払いサービスを利用したとき、PayPalによる支払いの選択肢があったので、試しに使ってみることにした。 PatPalにアカウントを作成すると何通かのメールがやってくるのだが、これがHTMLメールになっている。このとき、「こんなことやってるからフィッシングにひっかかりやすくするんだよ」と思った。
I, newbie » サウンドハウスの情報漏洩
「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ」(詳細 PDF)が出てた。カカクコムに代表されるような「ごめんなさい、これからは気をつけます、詳しくは言えません」というお詫びではなくて、時系列付きの経過報告が半分近くを占めるという異例の(その点で画期的な)報告でした。しかし、文章がテキストとして処理できない。SEOですかね。 前半の時系列はインシデント対応の実例としてとても貴重。やや曖昧な時刻になっているのは、メールなどで正確な記録を確認できなかったからだと推測。それでも時系列を記録できているのは、記録の重要性に気づいていたからだと思う。 3/21(金) 11:50 三菱UFJニコス株式会社(以下三菱UFJニコス)より「サウンドハウス(以下SH)のサーバーがハッキングされている可能性がある」と電話にて連絡あり。 これが第1報。金曜の昼なので、対応は週末をはさむ+もろもろの対応が
SQLインジェクション検出ツール「iLogScanner」を機能強化:IPA 独立行政法人 情報処理推進機構
なお、iLogScannerでSQLインジェクション攻撃が検出された場合や、特に攻撃が成功した可能性が検出された場合は、ウェブサイトの開発者やセキュリティベンダーに相談されることを推奨します。 iLogScannerは簡易ツールであり、ウェブサイトの脆弱性を狙った攻撃のアクセスログが無ければ脆弱性を検出しません。また、実際の攻撃による脆弱性検査は行っていません。攻撃が検出されない場合でも安心せずに、ウェブサイトの脆弱性検査を行うことを推奨します。 IPAとしては、ウェブサイト運営者が、この脆弱性検出ツールを利用することにより、自組織のウェブサイトに潜む脆弱性を確認するとともに、ウェブサイト管理者や経営者に対して警告を発し、セキュリティ監査サービスを受けるなど、脆弱性対策を講じるきっかけとなることを期待しています。 また、ウェブサイトの開発者やセキュリティベンダーが、本ツールを取引先等に紹介
「日本を狙ったWebページ改ざんが継続中」、セキュリティ企業が警告
セキュリティ企業のラックは2008年3月12日、2008年3月11日の夜以降、日本のWebサイトを狙ったWebページの改ざんが相次いでいるとして注意を呼びかけた。改ざんされたWebページにアクセスすると、ウイルス(悪質なプログラム)に感染する恐れがあるという。 ラックでは、同社の監視センターにおいて、顧客のネットワークに対する攻撃などを検知および防御している。同社によれば、そのセンターでは、3月11日の夜から現在(3月12日夕)まで、日本のWebサイトをターゲットとした攻撃を継続的に検知しているという。 攻撃の内容は、「SQLインジェクション」によるWebページの改ざん。改ざんによって、別のWebサイトに置かれたウイルスをダウンロードおよび感染させるような文字列(HTMLタグやリンクなど)を埋め込む。 このため、改ざんされたWebページにアクセスするだけで、ウイルスに感染する恐れがある。同
高木浩光@自宅の日記 - 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと
■ 公開鍵暗号方式の誤り解説の氾濫をそろそろどげんかせんと 「コンピュータセキュリティを基礎から」というと、暗号の解説、特に共通鍵暗号と公開鍵暗号の違いからなどといった解説をよく目にする。昔は専門の方によって注意深く書かれていたのに対し、ここ何年かはひどい状況になっている。先月、宮崎で開かれたSCIS 2008の席でも暗号研究者の方々との雑談でそういう話になった。私は暗号は専門でないのでその話題は迂闊に書けないできたが、このところの巷の誤り解説の氾濫ぶりは目に余るものがある。 最もひどく蔓延っていてしばらく消えそうにない間違い解説の典型例は次だ。 「公開鍵で暗号化したものを秘密鍵で復号するのと同様に、秘密鍵で暗号化したものを公開鍵で復号できるようになっている。」 事例1: 日本ベリサイン株式会社による公開鍵暗号方式の解説 このような共通鍵暗号方式の問題点を解決する暗号方式が、公開鍵暗号方式
もっとも影響力を持つセキュリティ専門家は誰か:セキュリティ - ZDNet Japan - ripjyr's blog
セキュリティ専門家と言えば、という海外の記事です。 1. Tavis Ormandy氏、Googleセキュリティチーム 2. Ivan Krstic氏、One Laptop Per Child 3. Chris Paget氏、IOActive(実際には同氏は今Googleにいる) 4. Bunnie Huang氏、Bunnie Studios 5. Michal Zalewski氏、Google 6. Window Snyder氏、Mozilla 7. MOABのハッカーたち 8. Dino Dai Zovi氏 9. Michael Howard氏、Microsoft 10. HD Moore氏、Metasploit 11. Dave Aitel氏、Immunity 12. Bronwen Matthews氏、Microsoft 13. John Pescatore氏、Gartner 14
2008-02-08
文字化けに関する原因一覧表があったのでメモ。ただし、ここにのっていないのもある。 文字化け::BugbearR's Wiki 激しく力作也。 いえ、実践的なXSS防御の話ではないのです。どうみても役に立たないことを少しばかり。昨晩ごにょっていて個人的に面白かったので。 <script> for(J in{to:0})for(K in{String:0})for(L in{char:0})for(M in{At:0}){{a=(198)[J+K](16)}{alert(a[L+M](0))}} </script>ええと、手書きで上に書いたコードが正しければ、きっと、"c"がalertされると思います。このコードを読んだだけでわかった人はエライです。 基本的にOperaとFirefoxとIEとで動作させたいのと… 使っていいメタキャラは最小限にしたかったので、「:」「(」「)」「{」「}」「[
printenv at xss-quiz.int21h.jp
printenv at xss-quiz.int21h.jp Your IP address: 133.242.243.6 () NameValue HTTP_ACCEPT*/* HTTP_CACHE_CONTROLno-cache HTTP_CONNECTIONclose HTTP_HOSTxss-quiz.int21h.jp HTTP_USER_AGENTHatenaBookmark/4.0 (Hatena::Bookmark; Analyzer) QUERY_STRING REMOTE_ADDR133.242.243.6 REQUEST_METHODGET REQUEST_SCHEMEhttp REQUEST_URI/
UTF-7 XSS Cheat Sheet
Countermeasures against XSS with UTF-7 are: Specify charset clearly (HTTP header is recommended) Don't place the text attacker can control before <meta> Specify recognizable charset name by browser. For more information about UTF-7 trick, see "Cross-site scripthing with UTF-7". These XSS patterns are tested on IE6 and IE7. Yosuke HASEGAWA <hasegawa@openmya.hacker.jp> Last modified: 2008-01
試訳 - コードをセキュアにする10の作法 : 404 Blog Not Found
2008年01月05日02:45 カテゴリ翻訳/紹介Code 試訳 - コードをセキュアにする10の作法 全コーダー必読。プログラマーだけではなく法を作る人も全員。 Top 10 Secure Coding Practices - CERT Secure Coding Standards 突っ込み希望なので、いつもの「惰訳」ではなく「試訳」としました。 Enjoy -- with Care! Dan the Coder to Err -- and Fix コードをセキュアにする10の作法 (Top 10 Secure Coding Practices) 入力を検証せよ(Validate input) - 信頼なきデータソースからの入力は、全て検証するようにしましょう。適切な入力検証は、大部分のソフトウェア脆弱性を取り除きます。外部データは疑って掛かりましょう。これらにはコマンドライン引数、
【楽天】 楽天ブックス、値段を間違った商品の差額を振り込み請求 : 痛いニュース(ノ∀`)
【楽天】 楽天ブックス、値段を間違った商品の差額を振り込み請求 【楽天】 楽天ブックスは商売上手 値段が間違ってたから差額振り込んでね 1 名前: 林業(愛知県) 投稿日:2007/12/29(土) 00:55:18.12 ID:IH90IYky0 ?PLT 540 おかいものさん 2007/12/28(金) 18:45:44 商品名 : Bamboo blade 1〜6 セット 上記ご注文の件について、ご連絡申し上げます。 当ご注文につきましては、弊社にて商品情報の扱いに手違いがあったため、 以下の通り、誤った販売価格でのご注文承りとなりました。 この度は大変なご迷惑をおかけすることとなり、深くお詫び申し上げます。 ---------------------- 誤 : 2,651 円(税込) 正 : 3,181 円(税込) 差額: 530 円 ----------------------
高木浩光@自宅の日記 - こんな銀行は嫌だ
■ こんな銀行は嫌だ 「こんな銀行は嫌だ――オレオレ証明書で問題ありませんと言う銀行」……そんな冗談のような話がとうとう現実になってしまった。しかも、Microsoftが対抗策を施した IE 7 に対してさえ言ってのけるという。 この原因は、地方銀行のベンダー丸投げ体質と、劣悪ベンダーが排除されないという組織の構造的欠陥にあると推察する。 【ぶぎんビジネス情報サイト】アクセス時に表示される警告メッセージについて ぶぎんビジネス情報サイトでは、サイトURL(https://www.bugin.cns-jp.com/)ではなく、ベースドメイン(https://www.cns-jp.com/)でSSLサーバ証明書を取得しております。このため、本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心してぶぎんビジネス情報サイトを
高木浩光@自宅の日記 - ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する
■ ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する 昨日の日記を書いて重大なことに気づいたので、今日は仕事を休んでこれを書いている。昨日「最終回」としたのはキャンセルだ。まだまだ続く。 目次 Windowsの無線LANはプローブ要求信号として自動接続設定のSSIDを常時放送している Windowsの新たな設定項目「このネットワークがブロードキャストしていない場合でも接続する」をオフに Windowsの無線LANが放送するSSIDからPlaceEngineで自宅の場所を特定される恐れ 電波法59条について再び Windowsの無線LANはプローブ要求信号として自動接続設定のSSIDを常時放送している 昨日の日記の図3で、probe request信号の例としてSSIDが「GoogleWiFi」になっているものを使った。これは昨日キャプチャし
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
asahi.com:カード番号だけでネット決済「不正防げぬ」 地裁判決 - 社会
Microsoft Corporation
ニュースリリース | セキュリティ対策のラック
