zaproxy - Project Hosting on Google CodeCode Archive Skip to content Google About Google Privacy Terms
高木浩光さんへ、しっかりしてください - 最速転職研究会
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
Facebookのメッセージは送信者を自由に偽装して送れることが判明
これちょっとマズいんじゃないかなあ。 Kampa! の人である佐田さんが見つけて教えてくれたんだけど、 Facebook のメッセージは割と簡単に他人になりすまして送れるみたい。 以下、すべて送信者と受信者の自発的な協力を得て試してみた結果です。 起きること Facebook ではユーザーに @facebook.com のメールアドレスが与えられています。 個人ページが www.facebook.com/namaewo の人なら namaewo@facebook.com という具合に。 そのアドレス宛にメールを送ると、 アドレスの所有者に Facebook 上のメッセージとして届きますね。 この時、そのメールの送信元メールアドレスが 別の Facebook ユーザーによって登録されているアドレスであった場合 Facebook では、そのユーザーから送られたメッセージとして扱われます。 電子
UbisoftのDRMにバックドアがある件
Full Disclosure: Re: AxMan ActiveX fuzzing <== Memory Corruption PoC どうも実証されたようなので書くことにする。 UbisoftのゲームとともにインストールされるDRMは、ブラウザのプラグインをインストールする。そのプラグインには、バックドアか、あるいは想像を絶する阿呆の手によるセキュリティーホールが仕掛けられている。 OBJECT要素のtypeプロパティを"application/x-uplaypc"とすると、その要素のopenというプロパティを関数呼び出しして、BASE64でエンコードしたパスを与えることによって、パスで指定された任意のファイルを実行できる。 もちろん、著作権に関する世界知的所有権機関条約と国内法の整備により、DRMを回避するのは違法である。ゆえに、Ubisoftのゲームを遊ぶ人間は、いかにバックドアが
「秘密の質問」に備えて、高セキュリティなペットの名前をつける方法
セキュアなサービスを使っていると、本人確認として「秘密の質問」を尋ねられることがあります。でも「母の旧姓」とか「出身小学校」って過去の事実として変えられないし、親しい友だちなら知っていたりもするし...あれってホントにセキュリティ的に大丈夫なんですかねー。 そんな素朴な疑問をもとに、米ジョークサイト「NewsBiscuit」が妄想全開で立ち上がりました。「そうだ、ペットの名前なら、インターネット・セキュリティのルールにのっとって変えられる。いや、変えるべきだ」と。 ペットによくある名前...たとえば「ローバー」「シェリル」「ケイト」なんてのは、もう時代遅れ。今どきの銀行は親世代に対して、子供が初めてペットを飼うときは慎重に名前をつけるようアドバイスしています。セキュリティ上の観点からいえば、名前は最低8文字以上、大文字や数字を組合わせるべきですね。また過去のペットにつけた名前は避け、つけた
Twitterで自分のデビットカードの写真を公開する人々--危険過ぎる珍現象が話題に
人と人との信頼関係は消滅したと信じている全ての人のためにこの記事を書く。 また、人類は恐ろしく利口な生き物であり、ただ技術的制約によって能力を発揮しきれていないと考えている人のためでもある。 「NeedADebitCard」というTwitterフィードを見て欲しい。これは壮大な社会的目的を果たしている。 そう、このフィードでは、個人が入手した新しいデビットカードの写真を共有している。カード番号も氏名も、全てだ。 誰がこれを作ったのかは今のところ不明だ。だが、「Instagram」を活用してカードの画像を掲載しているこのクリエイティブな人々の名前は、実在のもののようだ。 「今日、デビットカードが届いたよ!」などのメッセージとともにカードの写真を添付したツイートが多数、投稿されている。「NeedADebitCard」フィードをのぞけば、これらのツイートに愕然とし、歓喜し、気分が悪くなり、面白が
和訳: 君はウィルスの中でハッカーと会話したことがあるか? - APM in the hole
(アンチウィルスソフトで有名なAVGのblogより) Have you ever chatted with a Hacker within a virus? http://blogs.avg.com/news-threats/chatted-hacker-virus/ — 君はウィルスの中でハッカーと会話したことがあるか? それは印象的で、私のアンチウィルスに携わった経歴の中でも初めての経験だった。ウィルスの分析中、ハッカーとチャットをしたのである。そう、本当だ。それはThreatチームがDiablo III向けのkey loggerを研究している時に起こった(多くのプレイヤーがアカウント盗難の被害にあっているのだ)。研究用のサンプルは台湾のbattle.netで発見された。 そのハッカーは「InfernoのIzualでファームする方法」というタイトルのトピックを投稿し(IzualはD
Stuxnetはやはりオバマ起源だった! NYタイムズが赤裸々に報じたサイバー戦争の内幕
Stuxnetはやはりオバマ起源だった! NYタイムズが赤裸々に報じたサイバー戦争の内幕2012.06.02 15:00 satomi な~にが五輪作戦だ! オバマはサイバー戦争の怖さがわかってないんだよ! ...と、さっそくセキュリティの専門家からは非難轟々です。 オバマが大統領就任1ヶ月目からイラン核濃縮施設のシステムにサイバー攻撃を仕掛けるよう極秘に命じていたことがニューヨークタイムズの調べで分かりました。 2010年6月にベラルーシのセキュリティ会社「ウィルスブロッカーダ(VirusBlokAda)」が初報告し、あまりの高度さに宇宙起源とまで囁かれたStuxnetウイルスもやはりUS(+イスラエル)起源。政府高官が認めたので、これで確定です。 ということは2011年9月に発見されたStuxnetの進化形のトロイの木馬「Duqu」も、2012年4月に原油輸出機能をマヒさせたウイルスも
原発や軍事用に使われている中国製シリコンチップにサイバー攻撃可能な未知のバックドアが発見される
By jurvetson イギリスの研究者が、中国がその気になれば商業施設や軍事施設へサイバー攻撃を行い、重要拠点をダウンさせることができるのではないかということに気付いたそうです。これは調査で中国製シリコンチップに未知のバックドアがあったことで発覚したもので、このチップは公共交通機関や原子力発電所、さらに兵器関係のシステムなどで広く用いられているとのこと。 Hardware Assurance and its importance to National Security - Latest news on my hardware security research ケンブリッジ大学TAMPER研究所のSergei Skorobogatov上級研究教授はMI5(イギリス情報局保安部)やNSA(アメリカ国家安全保障局)、IARPA(諜報先端研究プロジェクト活動)などからシリコンチップの危険性
コメント欄 - 「頂いた意見に関しては、ゴミ以下のご意見のほか、真っ当なご意見も少なからずあります」 - 武雄市長物語 : 高木浩光先生、間違ってます。
今日は「個人情報」について書きます。関心の無い方は長いのでパスしてくださって結構です。 前にも書きましたが、個人情報とは、個人情報の保護に関する法律(平成15年5月30日法律第57号)の第1条にその目的があり、「この法律は、高度情報通信社会の進展に伴い個人情報の利用が著しく拡大していることにかんがみ、個人情報の適正な取扱いに関し、基本理念及び政府による基本方針の作成その他の個人情報の保護に関する施策の基本となる事項を定め、国及び地方公共団体の責務等を明らかにするとともに、個人情報を取り扱う事業者の遵守すべき義務等を定めることにより、個人情報の有用性に配慮しつつ、個人の権利利益を保護することを目的とする。」となっています。 その中で個人情報とはというと、その定義は、「この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の
PC横に置いたiPhoneをキーロガーに、ジョージア工科大学の研究成果が話題に | 携帯 | マイコミジャーナル
ジョージア工科大学(Georgia Tech)助教授のPatrick Traynor氏と、スパイ行為が可能なキーロガー装置になった「(sp)iPhone」 米ジョージア工科大学(Georgia Institute of Technology: Georgia Tech)の研究チームらが、PCのそばにあるデスク上に置いたiPhoneの加速度センサーを使って、そのPCのキーボードで入力された文字を8割以上の高精度で判別する技術を開発したと、同大学が10月18日(現地時間)に発表した。スパイ道具に変身したiPhoneということで「(sp)iPhone」の名称を冠されたこの装置を使うことで、ウイルスを使ってキーロガーを仕込まずとも、ソーシャルエンジニアリング的な手法でより用意にスパイ活動が可能になるわけだ。 同件についての公式リリースはGeorgia Techのページで確認できる。同大学助教授のP
「カレログ」をMcAfeeがスパイウェア認定 「信頼できない人とデバイスを共有しないで」
スマートフォンにインストールすることで「カレシの行動まるわかり」をうたったAndroidアプリ「カレログ」について、McAfeeがスパイウェアと認定し、同社のウイルス対策ソフトに対応させた。 McAfeeは同アプリを「Android/Logkare.A」という名前で識別。「ターゲットのデバイスの通話記録、インストールされているアプリケーションのリスト、GPS位置情報、バッテリー残量を監視するスパイウェア」と認定し、「Android/Logkare.Aは正規のソフトウェアですが、ユーザーが知らぬ間に、明確な合意を得ないまま、個人情報を第三者に転送できる機能が組み込まれています」と説明している。 「故意に携帯電話にインストールしない限り、Android/Logkare.Aに感染することはない」ため、「いつも言われていることですが、絶対に見知らぬ/信頼できない人とデバイスを共有しないでください」
やはり将来的にアドレスバーは無くなる運命なのか ? | スラド
Mozilla でも今後ブラウザのアドレスバーを再定義しようと検討が行われているそうだ (本家 /. 記事より) 。 あくまで検討段階であるようだが、公式ブログ Mozilla Labs の記事では開発コミュニティの David Regev 氏が新たな表示方法を模索している。Regev 氏によると現在のアドレスバーの問題はページ自体の表示領域を狭めることだけではないとのこと。URL の意味を分からない多くの人にとっては「読む」ことが難しい文字の羅列が並んでいるだけである上、「今現在の場所」と「これから表示する場所」という異なる内容を入力・表示する欄であるという複雑さを含んでいるという。 Mozilla Labs のブログでは「ブラウズ」コマンドとして URL を表示するようにし、現在表示されているページの URL などはページ内に表示させ、スクロールすることで非表示にできるという一つの案を
高木浩光@自宅の日記 - ウイルス罪法案、バグ放置が提供罪に該当する事態は「ある」と法務省見解
■ ウイルス罪法案、バグ放置が提供罪に該当する事態は「ある」と法務省見解 いわゆる「ウイルス作成罪」の新設を含む刑法等改正法案の審議が、一昨日から始まっており、今日の午前中には、野党議員からのつっこんだ質疑があり、意外な答弁が出てきた。 第177回国会 衆議院法務委員会 平成23年5月25日 衆議院TV, 会議録 第177回国会 衆議院法務委員会 平成23年5月27日 衆議院TV, (会議録未公表) 特に注目に値するのは、今日の午前中の以下の部分。*1 大口善徳議員:(略)解釈上の疑義等問題点について明らかにしていきたいと思う。コンピュータウイルスについて、刑法168条の2に、1項1号でこのコンピュータウイルスの定義が書いてあるわけですが、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」と、こういう定義であ
モテるセキュ女子力を磨くための4つの心得「SQLインジェクションができない女をアピールせよ」等 - ockeghem's blog
こんにちは、セキュリティ勉強会などで講師を担当しているockeghem夫です。私は学歴も知識もありませんが、セキュリティに関してはプロフェッショナル。今回は、モテるセキュ女子力を磨くための4つの心得を皆さんにお教えしたいと思います。 1. あえて2〜3世代前の書籍の知識で対策する あえて2〜3世代前の書籍の知識で脆弱性対策するようにしましょう。そして勉強会の打ち上げで好みの男がいたら話しかけみましょう。「あ〜ん! addslashes本当にマジでチョームカつくんですけどぉぉお〜!」と言って、男に「どうしたの?」と言わせましょう。言わせたらもう大成功。「SQLインジェクションとか詳しくなくてぇ〜! サテ技本に載ってたからずっとaddslashes使ってるんですけどぉ〜! 日本語が化けるんですぅ〜! ぷんぷくり〜ん(怒)」と言いましょう。だいたいの男は新しい書籍を持ちたがる習性があるので、古か
「Dropboxの暗号化は嘘」:FTCへの告発 | WIRED VISION
前の記事 タリバンも英語でTwitter 「Dropboxの暗号化は嘘」:FTCへの告発 2011年5月16日 IT コメント: トラックバック (0) フィードIT Ryan Singel サイトトップ画像は別の英文記事より 2500万人のユーザーを擁するオンライン・ストレージ人気サービス『Dropbox』を、有名なセキュリティー研究者が米連邦取引委員会(FTC)に告発した。セキュリティーと暗号化についてユーザーをだましたという内容だ。 5月19日(米国時間)にFTCに提出された告発状(PDFファイル)では、Dropbox社はユーザーに対し、保存されるファイルは完全に暗号化されており、同社の従業員はファイルの内容を見ることはできないと説明していたが、それは事実と異なるとして非難されている。 告発状を提出したのは、現在は博士課程に在学中で、FTCで1年勤務したこともあるChristophe
Togetter - 「巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終」
コミュニケーションが生まれるツイートまとめツール
僕が「ホワイトリスト」を採用しなかった訳 - ockeghem's blog
ホワイトリストという用語はセキュリティの分野では非常に基本的な用語ですが、セキュアプログラミングという文脈では意外に曖昧な使われ方がされているように見受けます。本エントリでは、ホワイトリストという用語の意味を三種類に分類し、この用語の実態に迫ります。拙著体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)では、ホワイトリストという用語を一度も使っていませんが、その理由に対する説明でもあります。 ホワイトリストの分類 私の調査によると、ホワイトリストは以下の3種類に分類されます。 許可されたものの一覧表(第一種ホワイトリスト) セキュリティ上安全と考えられる書式(第二種ホワイトリスト) アプリケーション仕様として許可された書式(第三種ホワイトリスト) 以下順に説明します。 許可されたものの一覧表(第一種ホワイトリスト) ホワイトリストというくらいですから、本来のホワイトリストは
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews
ソニー・ピクチャーズにも不正アクセス、顧客情報がウェブに公開
