プログラマー歴20年の艦これ提督が 作ったプログラムを入れると年収を査定してくれるからと 手持ちのプログラムを全て入れてしまい SMBCとNTTと警察庁、日銀、埼玉県庁で使っているソースコードGithubで世界中に公開してしまう
202012_smooz.md Smoozサービス終了に寄せて 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。 Smoozに報告した脆弱性2件 最近、Smoozというスマホ向けのブラウザアプリに2件脆弱性の報告をした。 この記事を書いている時点で、Smoozの配布が停止されていて、修正バージョンの入手が出来ない。 2件目についてはまだ返事が来ていない。 脆弱性情報の開示にあたって特段の許可は得ていないが、開発元からも利用停止す
この記事は過去2回にわたる検証記事の続きとなります。 国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している 続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している 前回の記事では、おすすめ記事機能を有効にしていると、Smoozがユーザーの閲覧しているURL情報を送信してしまうことについて解説しました。 ユーザーID、URLと共に送信されているbc、bt、bdという項目の内容がわからないままでしたが、これもユーザーの情報であるはずだと思い、調査を続けてきました。 ▼これがおすすめ記事のために送信される内容 (この内容は記事の最後にテキスト情報としても掲載しておきます) URL情報に関連するもので 『c、t、d』 と呼ばれそうなものは何か。 ・cのデータ量は飛び抜けて多い ・cとdは一致が見られることがある ・一部が一致しながらもcのほうが長かったりもする
―― 今回のプログラムでは、「スマホの乗っ取りが可能かどうか」「パーミッション(許可)を取得しているもの以外の情報取得が可能か」「『Moplus SDK』が使用されているか」という3つの項目をチェックしています。これがSimejiに対して持たれている懸念なのでしょうか。 高橋氏 SNSなどに投稿されている代表的な懸念や不安に向き合いたいと思いました。「乗っ取られる」という表現は技術的な概念として正確性を欠いていますが、ユーザーの漠然とした不安を解消できなければ意味がありませんので、あえてそのままの日常的な言葉で依頼をしました。 小西氏 「Simejiが悪さをするのではないか?」という懸念をなくしたい、という思いが強く出ていると感じました。そういえば先日もネット上で話題になっていましたが……。 ―― Baidu IMEとSimejiに関する「はてな」のブログ記事を削除するよう申立てた件ですね
お知らせ 【お知らせ】 2015年11月5日 関係各位 当協会加盟企業社員によるSNS不適切利用における報道につきまして 一般社団法人日本スマートフォンセキュリティ協会 会長 安田 浩 当協会加盟企業社員によるSNSの不適切利用について、一部で報道されている件につきまして、当協会としましては、当該加盟企業に事実関係を問い合わせております。また、事実関係が明確になるまでは、当該社員の当協会ワーキンググループリーダー職において、当該ワーキンググループを管轄している部会長が兼務することで当該加盟企業に合意いただき、昨日より実施いたしました。 なお、当協会に加盟するその他の企業の社員が当該SNSの不適切利用に関与していたという事実は、認められておりません。 当協会は、スマートフォンの安心安全のために活動を行っている団体であり、さまざまな社会貢献を行っております。 今回の件により、当協会名が報道され
色々ややこしい事態になっているようです。今回は個人情報が絡むだけに、直接的なリンクや名前の表記は避けたいと思います。 シリアの内戦と難民問題が世界的課題になっている中、日本の漫画家が難民の少女を中傷する絵をフェイスブック上にアップしました。これには非難が殺到し、国際的にも報じられています。 シリア難民の6歳少女を撮影した写真をもとに、日本人の右派漫画家がフェイスブックに掲載した上のイラストが、インターネットで強く批判され、議論になっている。 出典:【BBC】シリア難民の少女の写真を日本人が挑発的なイラストに……人種差別か この絵自体は批判を受けて作者が削除したものの、以降もSNS上でくすぶり続けていました。 そんな中、ある市民団体に所属するツイッターアカウントが、問題の漫画家の絵を評価するフェイスブックアカウント337人の名前、プロフィールURL、居住地、出身校、勤務先のリストを作成し、公
武雄市長の樋渡せんせのFACEBOOKが大炎上していたというので見物に逝ったわけですが、FACEBOOKのコメントとしては結構画期的な数の罵倒&応援コメントが交錯しており、興味深いのです。 樋渡 啓祐 https://www.facebook.com/keisuke.hiwatashi.9/posts/482159161803955 元はと言えば、樋渡せんせと高木せんせのネットセキュリティを巡る論争からスタートしていたはずが、途中で樋渡せんせが個人の住所録をヤフーブリーフケースで公開してたり、支援者の方々の顔写真を含む個人的な画像群を写真共有サービスでこれまた公開してたり、微笑ましい失敗をしていたことで延焼したあたりがネットユーザーの心を鷲掴みにしたんですよねえ。 あらすじを知りたい方は、こちらの戦場跡をご覧いただきたいところですが、関心深めるべきはこの抗争、まだ現在進行形で戦火が広がり続
Hiromitsu Takagi @HiromitsuTakagi WBSの放送 http://t.co/JSaAhR9g は、経済系番組なのに問題点を示しており良い番組だった。「元カレが出て嫌」「知らない人が出て怖い」件を声をとって伝えている。(おそらく本題は元々そっちを予定していたのではないか。) 2012-06-24 00:39:38 Hiromitsu Takagi @HiromitsuTakagi 生貝氏のコメントは「企業が自ら情報の扱い方を明らかにしたうえで「信頼して欲しい」というメッセージを積極的に発信することが必要」というもの。 しかし今の実態はというと、「情報の扱い方」が抽象的にしか示されず、「信頼して欲しい」というのが精神論になってしまっている。LINEはどうか。 2012-06-24 00:43:20
1 :以下、名無しにかわりましてVIPがお送りします:2012/01/26(木) 17:54:20.88 ID:6aw/irhv0 コンピューターウイルスを作成して知人に送りつけたとして、大阪府警サイバー犯罪対策室は26日、 不正指令電磁的記録供用の疑いで、同府松原市天美南の無職、小林浩忠容疑者(28)を逮捕したと発表した。 小林容疑者が「私がウイルスを作りました」と作成を認めたため、府警は同日、不正指令電磁的記録作成容疑を加えて、送検。 府警によると、ウイルス作成罪の適用は全国で初めてという。 府警によると、小林容疑者が昨年9月、「『ブログを閉鎖しなければ、両親を殺して家を燃やす』という書き込みが自分のサイトにあった」と府警に被害相談。 書き込みの発信元が神奈川県に住むサイトの共同運営者の男性(26)と判明したが、男性のパソコンには書き込みの履歴などが残っていなかった。 その後の捜査で、
すでにTwitterなどで詳しく解説している件ですが、読みやすい形で詳しい情報を残しておいた方が今後の対策などに有益かと思ったので、エントリを書く事にしました。 より簡素なまとめはid:hagexさんによる ツイートが捏造され2ちゃんねるで晒された - Hagex-day infoという記事があるので、そちらを参照してください。 (togetterまとめ: ツイートが捏造され2ちゃんねるにスレ立てされた - Togetter) ※Twitterの固有tweet_idの生成にはSnowFlakeというアルゴリズムが用いられているようですので、以下の説明には一部不適切な部分もあるようです。 (http://engineering.twitter.com/2010/06/announcing-snowflake.html) 今回の件についての法的な措置などを行うかについては、時間/金銭他のリスク
糞アフィブログのハム速ついにアグネスにLOされる @agneschan カテゴリニュース 1 : 殺し屋(dion軍):2010/09/06(月) 01:18:26.56 ID:V4mWRy5/P ?PLT(14031) ポイント特典 その記事の中身には全く問題ないですよ。成り済ましはハムスター速報です。アグネス http://twitter.com/agneschan/status/23068893922 @agneschan が @rakutenjp を嘘つき呼ばわりのまとめ http://togetter.com/li/47850 アグネス「霊芝が5種類集まると死なない」「腎臓に良い」懲りずに再び宣伝 http://hamusoku.com/archives/3556999.html 3 : 路面標示施工技能士(三重県):2010/09/06(月) 01:19:06.5
「htmlspecialcharsのパッチ私案」に書いた件、バグレポートを出してみましたが、「すでに同じバグレポートがあるだろ」という理由により、あえなく却下されました。 せめて先方が「同じ」とみなしているレポート番号ぐらいは示してほしくて、そのようにコメントしましたが、お相手のjaniという人は気難し屋のようで*1、教えてもらえる気がしません。 私なりに探した結果、下記のレポートがくさいように感じました。 PHP :: Bug #43896 :: htmlspecialchars() returns empty string on invalid unicode sequence 「不正なUTF-8シーケンスの場合に空文字列を返すのはおかしい」というレポートで、私のそれとは正反対どころか、Shift_JISにもEUC-JPにも触れられていない別個のものです。もちろん、私はレポート送信前に
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
_ 徳保さんのはてなXSS関連の認識の間違い あるいは「ブログサービスの XSS 脆弱性対策はいらない その3」。 徳保さんはセキュリティ関係の知識が足りていないんで、きちんと勉強するまではXSSなどのセキュリティ関係の用語を使わないで語った方がいい。というか誤解を広げめられると迷惑だ。 「d.hatena.ne.jp 以下のコンテンツでスクリプトの悪用はありません、なぜならはてなが特別に許可したスクリプト以外は使用が制限されているからです」という安心感を売り物にしようとしている はてなはCookieによるユーザー認証を利用しており、ユーザーに自由なJavaScriptを許すと、認証情報の盗難・悪用が可能になるから、ユーザーのJavaScript利用を禁止している。それは「安心感を売り物にしている」というレベルではなく、ユーザー認証を利用したサービスを提供しているサービス提供者の最低限の義
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く