高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに
「高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」」というエントリーによってTポイントツールバーは「騙す気満々の誘導」であると指摘、その2日後にTポイントツールバーのダウンロードが一旦停止されたり、ほかにも「ダウンロード刑罰化で夢の選り取り見取り検挙が可能に」「ローソンと付き合うには友達を捨てる覚悟が必要」「武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て」「やはり欠陥だった武雄市の個人情報保護条例」というように、次々とセキュリティに関して絶大な影響を与え続けてきた独立行政法人産業技術総合研究所の高木浩光(通称:ひろみちゅ)氏によるCEDEC2012の講演が、非常に秀逸な内容となっており、ゲームに限らず、スマートフォンまでも含めてそもそも「個人情報」とは一体何か?ということから、個人情報の現在の扱い、プライバシーに関して今後あるべき方向に至るまで、縦横
ソーシャルエンジニアリングは他人事じゃない | fladdict
昨日の「iCloudハック事件の手口がガード不能すぎてヤバイ」を読み直して、自分なりに色々シミュレートしてみた。結論として、わりと他人事じゃないかもしれない。 例えばドラクエXとかマリオの新作発売日にさ、電話がくるんすよ。 「すいません、佐川急便ですけども・・・ Amazonさんからお荷物なんですが、ちょっと宛先の欄が濡れてて住所が読めないんですよ・・・」 みたいな電話がかかってきたら、たぶん俺は住所教えちゃう。 こういう電話をTwitterで「ドラクエの到着を全裸で待機なう」とか呟いちゃってる人に絨毯爆撃したら、3人に1人ぐらいは引っ掛かるんじゃないかと。電話番号とTwitterアカウントの結びつけは、勉強会とかカンファレンスで名刺集めてやがるの。 で住所教えちゃうじゃない? そうすると偽配達員がいうわけよ「あー、その地域はもう通り過ぎちゃいましたねぇ。あとでまたお届けしますが15:00
コレもヒドいダダ漏れ。サイボウズで会社名と社員名がダダ漏れな件について - それマグで!
あるブログで見かけました。。サイボウズ利用者の皆さんは公開大好きです。 サイボウズの旧版を放置している会社の社員情報バレバレです。 検索してみよう。 次のリンクをクリック→サイボウズ ログイン 名前 パスワード filetype:cgi いっぱい出てきた。 (スクリーンショット 2012-03-07 21.17.53) (スクリーンショット 2012-03-07 21.19.03) (スクリーンショット 2012-03-07 21.19.48) 「◯◯部の◯◯さんお願いします」って言えば簡単にテレアポ営業出来るんじゃないですかね。ってかかれてたけど、全くそのとおりだと思いました。 テレアポさん頑張って。 情報って怖いです、Googleさん怖いです。 あわせてオススメ、Desknets (スクリーンショット 2012-03-07 21.18.17) desknets グループ 氏名 file
Google+は非公開設定でも直リンで誰でも写真が見れる上に、削除してもすぐに写真は消えないようです。 - in between days
【追記】Google+そのものが終わってしまったので画像を外すなど少し編集しました(2019年8月) AKB48で盛り上がるGoogle+ですが、Google+に上げた写真は、非公開でも直リンで誰でも見れますし、削除してもすぐには消えません。画像ファイルではログイン情報を見てない会社も多いみたいですが、これはこれでいいんじゃないかと思いました。 おわり。ということでアルファブロガー「村上福之の誠にデジタルな話」さんをパクってしまいました。元ネタはこちらです Facebookに上げた写真は、非公開でも直リンで誰でも見れますし、削除しても永遠に消えません。一昔前は画像ファイルもログイン情報を見ていたのですが、最近は見てない会社もあるみたいです。最初、驚いたのですが、個人的には、これはこれでいいんじゃないかと思いました。おわり。 Facebookは非公開設定でも直リンで誰でも写真が見れる上に、削
最近気になるスマートフォンのセキュリティについて色々調べてみました - もとまか日記Z
お盆ですね! お盆といえば、毎年恒例なのがセキュリティ情報。そしてIPAの今月の呼びかけは、以下だそうです。 情報処理推進機構:情報セキュリティ:ウイルス・不正アクセス届出状況について(2011年7月分) 1. 今月の呼びかけ 「 スマートフォンを安全に使おう! 」 いやー、時代を感じさせてくれますねぇ。 てことで、スマートフォンのセキュリティについてのメモです。 スマートフォンを安全に使用するための8カ条マトリックス 上で紹介した記事に「安全に使うための6ヶ条」がありますが、どれがiPhone、Androidに該当するのか分かりにくいと思ったので、ついでに2項目追加してみつつ、マトリックス化してみました。 項目iPhoneAndroid最新OSにアップデートする。○○改造行為を行わない。JBroot化スマホをPCと同様に意識し、管理する。○○パスワード設定、データ消去をオンにする○○リモ
IDやパスワードは使い回しをやめて、適切な管理を--IPA呼びかけ
情報処理推進機構セキュリティセンター(IPA/ISEC)は6月3日、5月の「コンピュータウイルス・不正アクセスの届出状況」を発表した。4~5月に1億件を超えるIDやパスワードを含むアカウント情報漏えい事件などが発生していることから、IDやパスワードをほかのサービスでも使い回ししていた利用者の情報が含まれている可能性も高く、その場合それらのサービスでも“なりすまし”をされ、被害が拡大する可能性があるとしている。 オンラインサービスでなりすましをされた場合、金銭的な被害も受ける危険があり、これを防ぐためにはパスワードの作成や管理に十分な注意が必要としている。そのためオンラインサービスで利用するIDやパスワードは、それを悪用しようとしている者に常に狙われていることを意識し、特に“使い回し”を避けるなど適切に管理するよう呼びかけている。 利用者が入力したIDやパスワードを盗み出すウイルス(キーロガ
Twitterに新機能 職場や家族で隠れてTwitterやってる人をIPから辿れるように:ハムスター速報
Twitterに新機能 職場や家族で隠れてTwitterやってる人をIPから辿れるように Tweet カテゴリ☆☆☆ 1 : (東京都):2011/05/18(水) 00:33:38.58 ID:IS5GcJmF0● ?2BP(2) ツイッターのおすすめユーザー欄に表示される垢が、同一のグローバルIPアドレスからチョイスされた件 skn_mkn おすすめユーザーに弟がいてお茶噴いた 2011-05-13 14:22:08 Michael_e29 おすすめユーザーの中に、私が在籍している研究系の主幹が居たw 早速フォロー 2011-05-13 16:02:43 araya51 なんか昨日くらいからおすすめユーザーやあなたと似ているユーザーに頻繁に職場の先輩出してきてるんだけどこの機能苦情くるんじゃね 2011-05-14 08:47:36 cmxi_ おいおい、おすす
PlayStation®Network/Qriocity™をご利用の皆様へのお詫びとお願い - プレイステーション® オフィシャルサイト
ホーム > ニュースルーム > プレスリリース > 過去のプレスリリース > 日本におけるPlayStation®Network・Qriocity™(キュリオシティ) のサービス全面再開のお知らせ ソニー株式会社および株式会社ソニー・コンピュータエンタテインメント(以下SCE)は、Sony Network Entertainment International(以下SNEI)が、7月6日に日本において、PlayStation®NetworkおよびQriocity™(キュリオシティ)の全てのサービスを再開することを発表いたします。 PlayStation®NetworkおよびQriocity™は4月におきた外部からの不正侵入により一旦全てのサービスを停止し、システムの徹底的な調査を実施するとともに、セキュリティ強化を目的とした様々な安全管理措置を実施してきました。これらに基づき、日本では5月
evernoteのテキストをevernote社の管理者にも見えないように暗号化する - ockeghem's blog
このエントリでは、evernoteクライアントを使って、evernote社にも復号できない状態でテキストを暗号化する方法について紹介します。 昨日、EvernoteのXSS問題に関連して、「Evernoteの開発者も徳丸本読んでいたらよかったのにね」などとつぶやいていたら、「EvernoteのCEOが徳丸さんに会いたがっている」という連絡をもらいました。こういうのは異例のことでちょっと悩みましたが、行くっきゃないだろうということで、Evernote社の日本法人でmalaさんと一緒にCEOにお会いしました。 XSSやポリシーについては非常に誠実な対応をお約束いただいたのでよいミーティングだったと思います。僕が指摘した脆弱性についても、当日の夜のうちに直っていたようです。米国時間では深夜から早朝という時間帯で、迅速な対応だったと思いますが、本題はこれからです。 その場で、malaさんが「Eve
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
『体系的に学ぶ 安全なWebアプリケーションの作り方』のススメ - hnwの日記
(2011/03/04 14:00 追記)id:shin1x1さんのはてブコメントに基づきheader関数の挙動について修正しました。ご指摘ありがとうございました。 徳丸浩さん(id:ockeghem)が書かれたセキュリティ本『体系的に学ぶ 安全なWebアプリケーションの作り方』が3/1に発売されました。この本はPHPのサンプルコードがふんだんに提示されているセキュリティの解説書で、セキュリティの理解を深めたいWeb技術者全員にお勧めしたい本です。 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 作者: 徳丸浩出版社/メーカー: SBクリエイティブ発売日: 2011/03/01メディア: 単行本購入: 119人 クリック: 4,283回この商品を含むブログ (146件) を見る 僕はこの本のレビュアーとして参加させて頂きましたが、他のレビュアーの方々が
「体系的に学ぶ 安全なWebアプリケーションの作り方」3月1日発売です - ockeghem's blog
去年の5月末に「本を書く」という宣言をしてから8ヶ月以上掛かってしまいましたが、ようやく体系的に学ぶ 安全なWebアプリケーションの作り方が脱稿し、3月1日に発売される運びとなりました。 現時点で一番詳しい本の目次は、出版元のオフィシャルページにありますが、このブログでもおいおい詳しい内容を紹介したいと思います。また別途サポートページを立ち上げる予定です。 本書の目次は以下の通りです。 1章 Webアプリケーションの脆弱性とは 2章 実習環境のセットアップ 3章 Webセキュリティの基礎 〜HTTP、セッション管理、同一生成元ポリシー 4章 Webアプリケーションの機能別に見るセキュリティバグ 5章 代表的なセキュリティ機能 6章 文字コードとセキュリティ 7章 携帯電話向けWebアプリケーションの脆弱性対策 8章 Webサイトの安全性を高めるために 9章 安全なWebアプリケーションのた
問題点の概要 - 「PHPで作成する携帯会員サイトの基本」の諸問題(1) - 徳丸浩の日記
_問題点の概要 CodeZineから発表されている「PHPで作成する携帯会員サイトの基本」という記事はツッコミどころ満載で、既にいくつかの問題が修正されているのだが、まだ残っている問題があることや、修正内容にも疑問があるので、いくつか指摘してみたい。ざっと書いたところ、ものすごく長くなりそうだったので、小出しで「連載」の形で書く。忙しいので途中でやめるかもしれない。今回は、問題点の概要を報告する。 くだんの記事をざっと見たところ、以下の問題を見つけた。 IPアドレス制限のない「かんたんログイン」 Net_UserAgent_Mobileを用いて携帯電話の端末IDを取り出し、かんたんログインを実装しているが、ゲートウェイのIPアドレス経由であることを確認していない。以下のリストは、端末IDを取り出しているところ(4ページ目)。 $agent = Net_UserAgent_Mobile::s
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
■ クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古く から存在したこの問題がなぜ今まであまり注目されてこなかったかについて考 えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策 方法について書いておくとする。 クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。 前提 ログインしていないWeb閲覧者に対するCSRF攻撃(掲示板荒らしや、ユーザ登 録を他人にさせる等、サイト運営者に対する業務妨害行為)はここでは対象と しない。 ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション 追
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Amazon.co.jp: 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践: 徳丸浩: 本