こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
短縮URLという“根本解決できない問題”に企業はどう立ち向かえばいいのか?
これは作成した2次元バーコードの元となったURLを、自社が管理していない外部の「短縮URL作成プログラム」が実行した結果、いったん全く別のページを間に挟んだり、そもそも全く別のURLへとジャンプさせたりといった、利用者が予想していなかった挙動をするようになったものだと推察されます。 全く別のページが間に挟まっていて、そこに広告が表示され、その広告が全く異なるWebサイトへの入会を誘導しているとしても、そもそもが「入会の案内」だった場合、気が付かずに入力してしまう可能性はあるでしょう。 本件は2次元バーコードを使うリスクや、見知らぬ短縮URL作成プログラムを利用することだけが問題ではないようにも思えます。特に企業においては、ITでも「生殺与奪の権を他人に握らせるな」というのが重要なのかもしれません。 短縮URLという“根本解決できない問題”にどう立ち向かうか? 「短縮URL」は、それなりに昔
“まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃 米Microsoftなどが指摘
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 セキュリティ研究者Avinash Sudhodananさんと米Microsoft Security Response Centerの研究者が発表した「Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web」は、まだ作成していないWebサービスのアカウントを乗っ取る攻撃をテストし脆弱性を示した論文だ。 具体的に5種類の攻撃を提案し75のWebサイトで試したところ、35のサイトで乗っ取りに成功したという。その中には、ZoomやInstagram、Drop
デジタル庁「noteはじめました」→ドメインが「.go.jp」であることの問題点を高木浩光先生が指摘
デジタル庁 @digital_jpn デジタル庁の公式アカウントです。デジタル庁の政策やサービス等の新着情報を発信しています。デジタル庁ウェブサイト: digital.go.jp ソーシャルメディア運用ポリシー: digital.go.jp/social-media-p… デジタル庁 @digital_jpn noteを始めました📝 「デジタル社会形成における10原則」のひとつ「オープン・透明」を遂行すべく、取り組むプロジェクトや法案の解説、想い、気付きなどを発信してまいります! まずは、デジタル庁創設に向けた民間人材として4月から働くメンバーによるご挨拶と宣言です note.digital.go.jp/n/n3690482b9676 2021-05-13 09:08:54 リンク デジタル庁(準備中) デジタル庁は「行政の透明化」を掲げ、noteでの発信を始めます。|デジタル庁(準備中
【感謝】Google 春のBAN祭り…凍結から5日、復活しました!15年以上の想い出が戻ってきた!顛末を詳しく書いてみる | ひとぅブログ
2021年5月10日午後2時33分。凍結から5日。無事Googleアカウント・YouTubeチャンネルが復活しました!まずは応援いただいたみなさまへ感謝の気持ちをお伝えしたいと思います。ご心配をおかけしました。みなさまのおかげでGoogleとの交渉を根気よく諦めずに続けることができました。本当にありがとうございました。 【Googleアカウント凍結問題解決報告】ご心配をおかけしております。無事アカウントが復元されました。 復元した事でメールを確認できたため見ると写真の5月5日4:43にメールが来てました。そしてアカウント凍結されたSMSが届いたのが5:12。わずか30分後。 (つづく)#Googleアカウント凍結 #経過報告 pic.twitter.com/IuwbgXJPTF ? ひとぅ (@hitoxu) May 10, 2021 前回の記事では何が起こったか分からず、凍結によるリスク
Trelloの設定ミス、「公開」の誤解が原因? 分かりやすい表現とローカライズを考える
4月5日深夜から6日にかけて、豪Atlassianが運営するプロジェクト管理ツール「Trello」で個人情報が閲覧できるなどといった情報がネット上で注目を集めた。一日のToDoリストなど作業管理のために作成するボード機能の閲覧範囲を「公開」と設定していたことが原因だった。 ボードの公開機能は、例えばオープンなプロジェクトの進捗を外部に公開するといった用途に使うもので、適切に利用すれば問題はない。しかし、Trelloで顧客や採用活動などの情報を管理していた一部の企業ユーザーが、住所氏名などの個人情報、運転免許証やパスポートの画像をそのままアップロードし、“公開”状態にしてしまっていた。 その結果、Googleの検索にヒットし、外部から誰でも閲覧できる状態になっていたことからネット上で騒動に発展した。中には企業の採用担当者が、面接の結果、不採用とした学生を「頭が悪い」などと中傷するコメントを残
Smoozのサービス終了のお知らせ – Smooz Blog
このたび、当社が運営するブラウザアプリである『Smooz(スムーズ)』において、ご利用者の情報の取扱い、データ収集、及びセキュリティについてご利用者をはじめとする皆様に、多大なご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。 状況の確認と対策、原因調査を進めてまいりましたが、Smoozの提供を継続することは困難との結論にいたり、2020年12月23日をもってサービスを終了させていただきますことをご報告申し上げます。 これまでに収集したご利用者様の情報につきましては、返金に必要な情報以外はすべて削除が完了しております。返金対応が完了次第、全ての情報を削除いたします。収集したデータに関して悪用、個人情報の社外への流出は、現在のところ確認されていません。 【返金などのご対応につきまして】 プレミアム会員様には、12月分からの利用料金の返金をさせていただきます。また、交換可能なS
「宅ふぁいる便Web特設サイト開設のご案内
「宅ふぁいる便」サービスは終了いたしました。 2020年3月31日をもちまして「宅ふぁいる便」サービスは終了いたしました。 これに伴い、退会申請やポイント交換等の機能をご提供しておりましたWEB特設サイトもサービスを終了いたしました。 大変長らくご愛顧いただき、誠にありがとうございました。
「宅ふぁいる便」約480万件の個人情報漏えい…パスワードを“暗号化”していなかった理由を聞いた|FNNプライムオンライン
メールとパスワードの組み合わせを、他にも流用している人は注意! 「宅ふぁいる便」のパスワードを暗号化していなかった 他のサービスの暗号化についても聞いてみた 1月25日、インターネットでファイルを転送する「宅ふぁいる便」のサーバーが不正アクセスの被害を受け、約480万件の個人情報が漏えいしたと、運営元のオージス総研が発表した。 公式サイトでは当初「メールアドレス、ログインパスワード、生年月日」の漏えいが確定したとしていたが、28日に他の情報漏えいも分かったと改めて発表した。 現時点で漏えいが確定した情報は以下の通りだという。 (1)2005年以降、全期間を通じてお客さまにご回答いただいている情報 氏名(ふりがな)、ログイン用メールアドレス、ログインパスワード、生年月日、性別、 職業・業種・職種※、居住地の都道府県名、メールアドレス2、メールアドレス3 (2)上記に加えて、2005年~201
脆弱性発覚の「Peing -質問箱-」、メンテ明けるも“メルアド公開状態” 再メンテへ
第三者にアカウントを悪用される脆弱(ぜいじゃく)性が見つかり、1月28日夜からメンテナンスを実施していた匿名質問サービス「Peing -質問箱-」が29日午後8時にサービスを再開したが、午後8時40分ごろ再びメンテナンスに入った。依然として脆弱性が残っていることが分かった。 Peing -質問箱-は、Twitterを通じて匿名で質問できるサービス。運営会社のジラフによれば、28日午後6時にユーザーから脆弱性について問い合わせがあり、社内調査を開始。第三者が任意のユーザーになりすましてツイートを投稿できるなどの問題があると分かり、同日午後9時35分にメンテナンスに入った。 当初は「明朝まで」としていたメンテナンス期間だったが、最終的には29日午後8時まで延長。午後6時には「改善の実装が完了し最終確認中のため20時まで延期する」と説明し、午後7時53分に「検知されていた問題は全て解決し皆さまに
「世のエンジニア卒倒レベル」宅ふぁいる便が480万件の情報漏洩、暗号化もされてませんでした→ユーザー宛のメールも無茶苦茶
宅ふぁいる便 @takufailebin ファイル転送サービス「宅ふぁいる便」におきまして、一部サーバーに対する不正アクセスにより、お客さま情報のデータが外部に漏洩したことを確認いたしました。詳しくはこちらをご参照ください。 filesend.to 2019-01-26 03:08:26
弊社サービスではパスワードを平文で保存していますが何か
こんなこと口が裂けても言えないし 転職しても言えないし 墓場まで持っていくしかない 自分が今の会社にいる間に爆発しないことを祈るだけ
秘密の質問「母親の旧姓」、読めないんですけど……
ask.fmで「初めて観た映画のタイトルは?」なんていう質問が投げかけられる話が盛り上がっています。これは……どうやら、特定のWebサービスの「秘密の質問」そのもののようです。 ask.fmという、個人に対してインタビューや質問を匿名で行い、その答えを公開するというWebサービスがあります。読者の疑問に気軽に答えることができるため、多くのネット有名人が利用しているようで、Twitterのタイムラインにもその内容が流れてくるのをよく見ます。 ところが、そこにちょっと気になる質問が投げかけられるという話が盛り上がっています。気になる質問とは「初めて観た映画のタイトルは?」「初めて飛行機で行った場所は?」「初めて遊びに行った海の名前は?」「十代の頃の親友の名前は?」……。どこかで見たような質問ですね。これはどうやら、特定のWebサービスの「秘密の質問」そのもののようです。
いやー、家計簿アプリ業界、そのうち絶対にヒドい事件がおきると予想します | ツイナビ
いやー、家計簿アプリ業界、そのうち絶対にヒドい事件がおきると予想します — Yusuke OSUMI (@ozuma5119) 2015, 6月 30 Zaimの件、そもそも家計簿アプリごとき(と敢えて言う)に、銀行やクレカのログインパスワードを入れちゃう人があんなにたくさんいることの方がよっぽど問題だと思う https://t.co/pidZhtUbej pic.twitter.com/jpNw41MqK0 — Yusuke OSUMI (@ozuma5119) 2015, 6月 28 Zaimの「金融機関の連携」機能、新生銀行にいたっては暗証番号までナチュラルに入れさせようとしてくるので、控えめに言ってこのアプリは頭がおかしいと思う https://t.co/50guysHXIV pic.twitter.com/BQnIaUnfGo — Yusuke OSUMI (@ozuma5119
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
本当にあった怖い脆弱性の話
GitHubでのソースコード流出を検知するサービス
投げ銭サービス「Osushi」、サービス開始するやいなやオモチャにされてしまう
「Amazon Alexa」対応のスマートスピーカーによる残高照会・入出金明細照会の提供開始について(1/2) : 三井住友銀行
Amazonから身に覚えのない「注文通知」→注文をキャンセルさせて偽サイトに誘い込む偽メールが出回る 
機械翻訳した内容がダダ漏れになるクラウドサービスが登場した件(山本一郎) - 個人 - Yahoo!ニュース