HTTP リクエストスマグリングは、フロントエンドとバックエンドのサーバーで HTTP リクエストに対し異なる解釈をしてしまうことで発生する脆弱性です。本記事では脆弱性の概要から対策方法について解説します。
Find out if your personal information has been compromisedStay safe with privacy tools from the makers of Firefox that protect you from hackers and companies that publish and sell your personal information. We’ll alert you of any known data breaches, find and remove your exposed info and continually watch for new exposures. Email addressCheck for breaches Why use Firefox Monitor?Identifying an
マルウェアを仕込んだウェブページによる被害は、近年ますます増えつつある。とくに最近は、短縮URLを用いてオリジナルのURLを偽装してくるケースも増えたため、URLに含まれるドメインだけで判断するのは事実上不可能になりつつある。 今回は、送られてきたURLの安全性を、身代わりでチェックしてくれるサービスのうち、実用性が高い5つのサービスを厳選して紹介する。短縮URLの対応の可否、サムネイルの表示の有無など、サービスによって少しずつ機能が異なるので、その時々で目的に合ったサービスを使ってほしい。 ◇時間はかかっても詳しい情報を知りたい場合に「Zulu URL Risk Analyzer」 「Zulu URL Risk Analyzer」は、ページ上のスクリプトのほか外部リンクに至るまで広い範囲の安全性をチェックしてくれる。User AgentおよびRefererも切り替えられるので、特定の条件
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 レンタカーの予約ならいつも笑顔の日産レンタカー 何の変哲もない日産のレンタカーのページ ところが、パスワードを忘れたときのページにアクセスすると…。 ログインID(メアド) と 氏名(カナ)と電話番号を聞いてくるのです これを入れると、メールアドレスにパスワード送ってくれるんだとふつう思うじゃないですか? パスワード生で表示!! なんと、メアドと電話番号と名前の読み方だけわかっていたらパスワードがゲットできてしまうのです。 そして、このパスワードでアクセスすると? ▂▅▇█▓▒
2016年7月19日 お客様各位 株式会社グラフィック 代表取締役 西野 能央 不正アクセスによる個人情報流出に関するお詫びとご報告 このたび、弊社で管理、運用しております顧客情報データベース(以下「顧客DBS」といいます)に外部からの不正アクセスがあり、調査の結果、一部の個人情報の流出が判明いたしました(以下「本件」といいます)。また、現時点において、個人情報を悪用されたことによる被害を受けたという報告はございません。 本件に関し現時点で判明している不正アクセスの概要と弊社の対応につきまして、下記のとおりご報告いたします。 お客様をはじめご関係者の皆様に、多大なるご迷惑とご心配をお掛けしておりますこと、心よりお詫び申し上げます。 記 1. 事案内容 (1)経緯 2016年7月1日、法人向け決済サービスの決済代行会社より、弊社サーバから情報流出の可能性があるとの指摘を受け、弊社で調査
結果から先に書くと、即答に近い形で個人情報が漏れた。購買情報に関しては聞いてもないのに勝手に教えてくれた。 予想より反響が大きかったので文末にgmailを使った対策を追記した。 なお、米Amazonと同様、数日遅れて問い合わせ内容についてのメールが来たので追記しました。 Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明 - GIGAZINE http://gigazine.net/news/20160125-amazon-customer-service-backdoor/ こーんな記事があったものだから、嘘くせえと思って実際に(英語めんどくさいので日本の)カスタマーサービスにチャットで問い合わせてみた。いうまでもなく、ソーシャル・エンジニアリングはクラックの基本である。セキュリティにうるさいAmazon社がこんなにザルなわけがないと思ったからだ。 なお、ニセの住所
米国家安全保障局(NSA)によるネット監視のリーク以来、色々な監視状況が明らかになっているが、電子フロンティア財団(EFF)のニュースによれば、米Yahooは2007年から行っていた政府からのユーザデータ提出要求に対し、秘密連邦裁判所で一貫して抵抗し続けてきたという。これをうけ、EFFは同社を特別に表彰(?)することとしたそうだ。 米Yahoo は、今の外国諜報活動調査法に繋がるProtect America Act of 2007の成立以来、6年間の間ずっとユーザデータの要求と戦っており、それを公開することは法的に禁じられていた。しかし、先日秘密連邦裁判所が経緯の公開に同意したため、これが明るみに出ることとなったようだ。
先日KULINEがアップデートされたというので使ってみようということで適当なキーワードで検索してみたのだけれど、 こんなページに飛ばされて、初日だからアクセス急増とかでぶっ壊れたのかと思って色々調べてみたらリファラを同一ドメインから送信しないと検索できないっぽくて、なんで検索でリファラ見てんだよと思って問い合わせてみた。 そうしたら「画面遷移してからAPIをPOSTで叩いて検索結果取得してるしCSRF対策でやってるから」という旨の回答が来て、検索するのにCSRF対策とかいらないだろうと、百歩譲っているとしても必須のヘッダじゃないリファラチェックするとか火星に探査機が行く時代にしていいことじゃないだろという旨折り返したら、「開発元(富士通らしい)に聞いたら内部のAPI的な物は全部POSTで、検索するのにCSRF対策必要ないっちゃないけど今後の実装漏れあると困るし一括でリファラもチェックするよ
池田信夫氏のGmailアカウントがハックされて、寸借詐欺メールが送信されたようです。 Gmailの振り込め詐欺にご注意池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す私の周囲でも、知人が同種の被害にあっていますので、他人事ではない気がします。池田氏が被害にあった原因は不明のようですが、このエントリではその原因を予想(妄想)し、対策について検討します。 池田氏の主張:twitter連携アプリからの漏洩池田氏は自らのブログエントリで以下のように主張しています。 Gmailのパスワードを知らせたことはないのですが、ツイッターと共通にしていたため、「連携アプリ」を認証するときパスワードを入力します。これはシステム側に通知されないことになっていますが、悪意をもって偽装することは容易です。かなりあやしげなアプリも含めて20ぐらい使っていたので、そこから推測してGmailにログインされ
Amazon ウィッシュリスト経由で砂 1 トンを送る方法 誕生日などで Amazon ウィッシュリストを公開する人がよくいます。そうした人達に日頃からの親愛の情を示す為に砂 1 トンを送ることが出来ます。 まずウィッシュリストを開き適当な商品を買い物カゴに追加します。 つぎにこちらの商品ページから砂 200kg を 5 個買い物カゴに追加します。これで砂 1 トンです。 レジへ行きます 発送先でギフト用に登録された住所を選択します そして発送すれば砂 1 トンが届きます ウィッシュリストから商品を買い物カゴにいれ、その後ウィッシュリストに無い商品を買い物カゴにいれると、ウィッシュリストに無かった商品もウィッシュリストの住所に送付出来て大変に便利です。
前回 http://d.hatena.ne.jp/mala/20111125/1322210819 の続きです。 前回のあらすじ ブラウザベンダーはサードパーティCookieをデフォルトでオフにしたかったんだけどお前らがサードパーティCookieに依存したサイト作るし使うからオフに出来なかったんだよ!!!!! といった事情を踏まえた上でWebアプリケーションにおけるサードパーティCookieの利用の歴史について書きます。前提知識の共有が済んだので、ここからはある程度個人的な意見も含まれます。実装面での技術的な内容も含みます。 サードパーティCookieが必要とされてきた歴史 広告のためのトラッキングCookie以外にも、サードパーティCookieに依存したサービスが数多く存在してきた。個人的に把握しているいくつかのサービスについて時系列で述べる。ついでに広告業界の流れについても重要なのを幾
Broadcom Software Academy We are pleased to announce the launch of the redesigned and upgraded Broadcom Software Academy. Enterprise Software Industry analysts agree: a scalable, open and flexible digital business technology platform is mandatory for digital business success. Explore our capabilities NetOps Virtual Summit Discover how leading organizations are using DX NetOps and AppNeta to assure
http://ma.la/fb/ というのを書いたので、経緯と補足を書きます。 読むのが面倒くさい人向けに、ものすごく簡単に要約しておきます。 Facebookにはリンクを他人と共有するいいねボタン(likeボタン)というのがある。 Facebookの「ファンページ」なるものをつくると、いいねボタンを押したのが誰だか分かる機能がある。 ユーザーに気付かれないように細工したiframe内のボタンをクリックさせたりするクリックジャッキングという攻撃手法があり、いいねボタンを強制的に押させることが出来る これによって悪意のあるサイトは、訪問者のFacebookアカウントを特定することが出来る この手の問題はFacebookに限った話ではない。CSRFやクリックジャッキングで行われたアクションの結果が第三者から観測可能な全てのサービスにある。 例えば強制的にはてなブックマークさせたりはてなスターを
日本レコード協会(RIAJ)が「Love Music 〜未来につなぐ音楽愛〜(http://www.riaj.or.jp/lovemusic_cpn/)」とかいうツイッターと連動した著作権啓発キャンペーンを開始した。 まぁいつもの"Love (our) Music (business)"だからどうでもいいやと思っていたら、「Twitterと連動」の部分がなかなかすごいことになってた。ハッシュタグ#lovemusic_cpnを設定して、ユーザのツイートをキャンペーンサイト上に表示するというのはいいとして。 キャンペーンサイト上のFlashコンテンツからツィートしようとすると・・・。 TwitterのIDとパスワードを要求される。さすがにそれはまずいんじゃないのかしら。 [Twitterの共同設立者であるBiz ]Stone氏はユーザーに対し、Twitterのアカウントに破られにくいパスワード
情報流出・蔵書検索が「サイバー攻撃」か? 三菱電機の子会社が全国の公立図書館に納入している図書館システムで、トラブルが相次いでいることが28日、分かった。 図書館利用者100人以上の個人情報が流出したほか、蔵書を検索しただけで「サイバー攻撃」と誤解された男性が偽計業務妨害容疑で逮捕され、その後、システムに原因があったことも分かった。同社は近く調査結果を公表し、関係者に謝罪する。 問題となっているのは、三菱電機インフォメーションシステムズ(MDIS、本社・東京)が開発したシステムで、全国の約70自治体に提供している。 このうち、個人情報が流出したのは愛知県岡崎市、東京都中野区、岐阜県飛騨市の公立図書館。最も多かった岡崎市の図書館の場合、2005年7月以降、計163人分の氏名や電話番号、本の貸し出し状況などが全国の37図書館のサイトに複写され、誰でも閲覧できる状態になっていた。 MDISによる
Tweet Shoppybag.comというサイトから、知り合いの名前で、下記メールが私のGmailに届きました。 (知り合いの名前の部分は、黒く塗りつぶしています) クリックすると、ユーザー登録を促す画面が出ました。 Shoppybag,comサイトへのユーザー登録用パスワードと、生年月日を入れるようになっています。 「怪しいなぁ」と思って、適当なパスワードと生年月日を入れました。 すると、次にこんな画面が出ました。 ううむ、そろそろ怪しい写真が出てきましたね。 ここでNextをクリックすると、Googleアカウントの認証画面が出てきました。 (私のメールアドレス部分は黒く塗りつぶしています) 字が小さいので補足しますと、 「GoogleとShoppybag.comは提携関係にありません。サイトが信用できる場合のみアクセスを許可してください。」 と書かれています。 ここで、さすがに止めま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く