ハードウェアの信用
The Invisible Things Lab's blog: Trusting Hardware 少々古いが、面白かったので紹介する。 なるほど、君はパラノイアにとりつかれているんだね。自分のマシンでは、LinuxとかGNUとかのオープンソースなソフトウェアしか走らせたくないってわけね。やろうと思えば、全ソースコードを自分の目で検証可能だって安心してるわけか(実際やらないんだろうけどさ)。パラノイア病がもっと進行してきて、オープンソースなBIOSとかにまで手を出し始めちゃった。バカな奴らがWindowsみたいなクローズドソースのシステム使ってるなんて訳がわからないよ。とまあ、こう満足してるわけだよね。 でーも、所詮そこまでなんだよね、君は。だってまだハードウェアを信用しなきゃならないでしょ。ハードウェアベンダーが、ネットワークカードのマイクロコントローラーにバックドアを仕込んでないこと
「乗車履歴」というプライバシーとオプトアウト:IT's my business:オルタナティブ・ブログ
「パスモ サービスの一部を停止」(NHK)で報道されているとおり、PASMO のカード番号などが知られることで他人に使用履歴が見られるおそれがあるとして「PASMO履歴照会サービス」が停止されています。このきっかけが高木浩光氏の活動によるものであることは間違いありません(「ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか」「パスモは乗車履歴を第三者提供? 他社のビッグデータに取り込まれる可能性」)。 私は日頃 Suica を使っていますが、そもそもカード番号をネットで公開しようとする人の気持ちはよくわかりません。一方、使用履歴が第三者に知られると、どんな風に悪用されるのかもあまり想像がつきません。この手の FeliCa カードは落として誰かに拾われてしまうと、カードリーダーで簡単に直近の履歴を確認されてしまうので、悪用を防ぐためには厳重な保管が必要なようです。 ■ブック検索の版権レ
auスマートパスの個人情報利用範囲がとんでもない件 - shao's diary
えらべる自由な au が今日 3 月 1 日から "au スマートパス" というサービスを開始しています。 auスマートパス サービスの内容は、月額390円のサブスクリプションでAndroidアプリケーションの利用や写真クラウドの保存ができるサービスなんですが、その中に「スタンプカード」なるサービスがあります。 対象のアプリなどを使い回ることで au のポイントと引き替えられるみたいなサービスですが、その規約をみて仰天しました。 大切なことなので二度いいます 1.取得する情報 スタンプカードのご利用にあたっては、以下の情報をお客様からご提供頂きます。なお、当社は、通話内容・通信内容を取得することはありません。 (1)Web利用履歴(IS-NET等接続先) ご利用のau端末から行ったデータ通信(Webブラウザ、アプリケーションからの通信など、auスマートパス以外の通信も含むIS-NET、au
IISの自己署名入りサーバー証明書をうるう年の2月29日に作成するとパラメーターエラーが起きる。 - KatsuYuzuのブログ
昨日2月29日、俺俺証明書を作ろうとIISで自己署名入りサーバー証明書の作成を実行したところエラーが発生した。 パラメーターエラー 何度やってもダメで、その日は諦め、翌日の3月1日。 あっさり成功。 (゚Д゚)ハッ! と、して時計を戻し実行。 パラメーターエラー ……と、言うことで「うるう年」の2月29日にIISで自己署名入りサーバー証明書を作成するとエラーが起きます。 もーー!
IE6/7のでは「;」で区切ってURLが複数指定できる問題 - 葉っぱ日記
Masato Kinugawaさんのブログ「Masato Kinugawa Security Blog: Googleのmetaリダイレクトに存在した問題」を読んで、 <meta http-equiv="refresh" content="0;url=http://good/;url=http://evil/"> みたいな書き方をするとIE6、IE7ではevilなほうにリダイレクトされるということを初めて知ったわけですけど、それをTwitter上で言ったら みたいに言われてしまって軽くショック受けたんで追試してみたけど、「;」をエスケープしようと <meta http-equiv="refresh" content="0;url=http://good/;url=http://evil/"> みたいに書いても、「;url=」みたいな文字列が出現してしまって、やっぱりevilにリダ
Masato Kinugawa Security Blog: Googleのmetaリダイレクトに存在した問題
Googleに存在したメールアドレスを窃取できた問題について書きます。これは2011年1月30日に報告し、報告後数日以内に修正された問題です。 こんなページがありました。 http://example.google.com/redirect?continue=http://example.google.com/xyz <meta http-equiv="refresh" content="0;url='http://example.google.com/xyz'"> <script> location.replace("http://example.google.com/xyz") </script> continueというパラメータに指定されたURLをmetaタグとlocation.replace()にそれぞれ入れて、JavaScriptの有効/無効の設定に関わらずリダイ
ウォール・ストリート・ジャーナルの過去のトラッキングに関する記事特集 - 最速転職研究会
自分が把握していた範囲(と短期間で追加で調べた範囲)なので、他にもあるのかも知れないし、英語圏での反応をちゃんと追えていたわけではない。 リファラについて 2010年5月 Facebook内の広告でユーザーidが外部に漏れていた問題 http://online.wsj.com/article/SB10001424052748704513104575256701215465596.html それに対する対策 http://www.facebook.com/notes/facebook-engineering/protecting-privacy-with-referrers/392382738919 サードパーティのFacebookアプリがリファラで外部にユーザーidを漏らしていた問題 2010年10月、WSJ発端 http://online.wsj.com/article/SB100014
なぜ Gumroad や PayPal が日本から現れないのか
Gumroad 回りが面白くなってます。足りない機能を補う Gumroad Search が出てきたり、リンクを隠す GumSafe が出てきたり、さらに GumSafe がコンテンツ URL を自分の方に抱えることで事実上 Gumroad の決済機能だけを利用できるようにしたり↓、面白くてたまりません。 gumsafe 開発ブログ:gumroadの決済URLが割れてもコンテンツURLの隠匿性を維持できる機能を追加しました というわけで関連する情報を目にすれば興味を持って読んでるうちに、 はっきり言ってこんなサービス、やろうと思えばどこの会社もすぐできたはずなんです(実際そのように言っていた方も見かけました)。それをなぜやらなかったか?(物語を語ろう。物語を創ろう。|Gumroad の問題点についてもう少し掘り下げてみました。) という疑問を見かけました。 実は私も類似のサービスを数年前に
『事業責任者が知っておくべき、セキュリティの話』
椿ブログDreaming to impact the world with the Internet! Wife of Brazilian:) Based in Tokyo. Live socially Make people more Happy! 初夏頃から始めたセキュリティ本勉強会、「 #wasbook 体系的に学ぶ 安全なWebアプリケーションの作り方」、通称「徳丸本」を毎週金曜日朝8時~で続けていた会が、めでたく先日読了したので、「徳丸本LT会」を実施しました。 なんと、著者である徳丸氏にも特別ゲストで参加頂きました! 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践/徳丸 浩 ¥3,360Amazon.co.jp セキュリティの話となると、非技術者の事業責任者は「難しくてよくわからない・・・」という事が多いと思います。 しかし、ユーザーが安心
SELinux無効化でカーネルパニック - CentOS6の備忘録
SElinux無効化設定 CentOSでSELinuxを無効化します。 # vi /etc/sysconfig/selinux # cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take
ネットを利用するときに気をつけたいこと - ぼくはまちちゃん!
こんにちはこんにちは!! 昨日、こんな記事を見かけたよ。 » コドモのソーシャルネットワーク事情〜親ならこれだけはやっておけ なるほど、いいこと書いてあるし、わかりやすい。 そんなわけでぼくも、 「ネットを利用するときに気をつけたいこと」について、自分なりに思うことを書いてみるよ。 情報は紐付く ちょっとした情報を元に、 ネットAとネットBが紐付くのはもちろんだし、 リアルの情報まで紐付くこともよくあること。 ひとつひとつは大したことない情報でも、 情報が紐付くと、さらに色々なことが芋づる式に誰かにわかるよ。 過去と現在が紐付く 今は、君のことを気にかけているのは まわりの友達だけかもしれない。 けれど情報は残る。 将来、5年後、10年後…、 君がうっかり書いた言葉が、たまたま炎上した時、 犯罪者のようなレッテルとともに、過去の全てと、紐付いたリアルの情報を、大勢の人に晒されることになる。
Google がまだ Flash を使っているサービスでみる脱 Flash の難しさ - てっく煮ブログ
Flash, HTML5スマートフォンの普及が進む中、iPhone には Flash が搭載されず、Android 版 Flash は開発停止になるなど、遅かれ早かれ Web 上から Flash が消えていき、リッチな表現は HTML5 に置き換わっていくことは確実となりました。「これからは HTML5 だ」という印象を世間に強く与えたのが、2009 年の Google I/O でした。Google I/O 2009 レポート グーグルが賭けるHTML 5の未来 − @ITGoogle はそれ以降、多くのサービスに HTML5 を取り入れてきました。しかし、いまだに Flash を利用しているサービスがいくつかあります。この記事では HTML5 化していない、または、できていない 5 つの Google のサービスを通してどのこで Flash が使われているのかなぜ Flash が使われて
アプリ使用を見直した方が良い!? 個人情報が漏れまくっているかもしれないぞッ! | ロケットニュース24
Googleが2012年3月より、新たなプライバシー・ポリシーの発行を予定しています。それに先立って、海外の専門家は情報管理に注意を呼びかけているのですが、また新たにウェブ利用に関する危険が指摘されているようです。それはアプリに関するもの。 スマートフォン端末にインストールしているアプリが、勝手に位置情報やウェブ閲覧履歴を送信、ものによってはカメラを操作したり、盗聴している可能があるというのです。専門家はこれを「プライバシーの危機」と見なし、警戒感を示しています。 英ニュースサイト「MailOnline」によると、次の個人情報がアプリによって不正に使用されているかもしれないそうです。「位置情報」、「ウェブ閲覧履歴」、「テキストメッセージ」、「電話帳」、「オンラインアカウント」、「通話履歴」。さらに通話を傍受したり、カメラにアクセスして勝手に撮影することもあるとしています。 プライバシー・イ
iPhone をウイルスから守る為に心掛けたい8つのこと | AppBank
先日、Mac に感染する Flashback.G というトロイの木馬型ウイルスが発見されました。こういったウイルスは「Mac はウイルスに感染しない」という噂があったにも関わらず、年々増え続けています。 気になることに iPhone にも「ウイルスには無縁・感染しない」という、Mac と同様の噂があるようです。しかし、実際には iPhone もウイルスとは無縁ではありません。 どんな電子機器にもウイルスが感染する恐れは常に存在します。iPhone の場合、その可能性がゼロなのではなく、現在はきわめてその可能性が少ないだけなのです。 いわゆる「安全な環境」を手に入れるためには、メーカーによる頻繁なアップデートの公開といった対応も必要ですが、最終的には利用者自身が注意するしかありません。 そこで今回は iPhone をウイルスから守るために心掛けたいことをご紹介します。 はじめに iPhone
不適切な脆弱性情報ハンドリングが生んだ WordPress プラグイン cforms II のゼロデイ脆弱性 - co3k.org
2012/02/15、 JVN から JVN#35256978: cforms II におけるクロスサイトスクリプティングの脆弱性 が公開されました。これはクレジットされているとおり、海老原と、同僚の渡辺優也君が勤務中に発見した脆弱性です。 脆弱性自体はどこにでもあるような普通の XSS ですが、実はこの脆弱性、 2010 年 10 月に exploit コードが公開され、それから 1 年 4 ヶ月後の 2012 年 2 月まで修正版が提供されていなかったものです。 このような危険な状態が長期間続いていたのには、様々な理由があります。ここでは、その説明と、どうすれば事態が防げたかということについて検討したいと思います。 脆弱性の概要 本題に入る前に、主に cforms II のユーザ向けに脆弱性自体の概要についてざっくり説明します。前述のとおり、未修正の状態で exploit コードが公開
無料で使える1億5000万人が使用中のアンチウイルスソフト「Avast!」
無料で使用できて、ウイルスやスパイウェアをブロックしてPCをリアルタイム保護、定義ファイルは研究所のクラウドサーバーからリアルタイムで受信してくれるアンチウイルスソフトが「Avast!」です。全世界でのアクティブユーザー数は記事を執筆した2月27日21時現在、1億5010万7324人だとのこと。 今回リリースされたバージョン7では、動作が前に比べてより高速になり、Windows 8に対応。さらに新機能を搭載しています。 アバスト! | 無料アンチウイルス または インターネットセキュリティ のダウンロード http://www.avast.co.jp/ 「ダウンロード」をクリック 赤枠で示した「ダウンロード」をクリック。なお、Adblockなどを使っていると無料版だけダウンロードボタンが表示されないことがあるので注意。 ダウンロードしたインストーラーを起動 「高速インストール」をクリック
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
大人と違う?子供のソーシャル事情〜親ならこれだけはやっておこう の資料を公開しました - 家庭内インフラ管理者の独り言(はなずきんの日記っぽいの)
本日の大プ会廿@寝屋川(プ会37とコードシェア)でお話しさせていただいた大人と違う?コドモのソーシャル事情〜親ならこれだけはやっておけ(PDF版)をスライドシェアに公開しています。動きのあるpptx版はGoogleドキュメントからダウンロード可能です。 2012/02/27追記:大プ会廿@寝屋川(プ会37とコードシェア)垂れ流し - Togetterをまとめました。 コドモのソーシャルネットワーク事情?親ならこれだけはやっておけ 45分の発表後に頂いたお話としては以下のような内容がありました 都道府県別フィルタリング利用率に関してはあえて都道府県差異がある結果を公表することで「うちの県が遅れている」という意識が芽生えるようにしているデータかもしれない アメーバピグの昼間の小学生イン率の高さは異常 学校裏サイトとかは過去の話だよね 実際に、この資料を作成するに当たり、いろいろな親御さんや実際
高木浩光@自宅の日記 - ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか
■ ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか SuicaやEdyの登場によって、カードに記載の番号が新たな問題をもたらすであろうことは、8年前に関心を持ち、何度か書いた。 Edyナンバーは易々と他人に知らせてよい番号なのか, 2004年2月29日の日記 Edyナンバーはどのように使われるものか, 2004年7月11日の日記 許諾なしに公表されるEdyナンバーとSuica番号, 2004年7月11日の日記 その後、EdyナンバーやSuicaのIDiは無闇に掲示されることはなくなり、問題は起きなかった。コンビニのam/pmがEdyを用いて独自に展開していた「club ap」でも、利用者登録にはam/pm店舗のレジで印刷してもらう「仮パスワード」を必要とするようになっており、まあ一応ちゃんと設計されていた。*1 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Nothing ventured, nothing gained.