PHPのセッションIDは暗号論的に弱い乱数生成器を使っており、セッションハイジャックの危険性がある : DSAS開発者の部屋
下記の文章は、PHPのセッションIDに対する攻撃についてFull Disclosure MLに2010年に投稿された文章を和訳したものです。訳者の意見としては、攻撃の成立条件は極めて厳しく、そこまで深刻度は高くないと考えています。 とはいえ、疑似乱数列への攻撃がどのように行われるのか、その可能性を示す文章は比較的珍しいもののように思います。暗号論的に安全な疑似乱数とは何か、なぜ必要なのかといった内容を間接的に教えてくれる面白い文章だと感じましたので、今回翻訳してみました。 (以下、原文の和訳です) 原文:http://seclists.org/fulldisclosure/2010/Mar/519 Advisory (c) 2010 Andreas Bogk <andreas () andreas org> Product:PHP Version:5.3.2 以降 脆弱性の種類:暗号論的な
Superfish/eDellRootが危険な理由 - めもおきば
Lenovo製のPCの一部にSuperfishというマルウェアが標準でインストールされていることが確認され、大きな問題となっています。 [2015-11-24追記] DELL製のPCにも、「eDellRoot」とされるSuperfishと同様の問題を持つルート証明書が導入されているようです。 DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か - ITmedia エンタープライズ Dude, You Got Dell’d: Publishing Your Privates - Blog - Duo Security Joe Nord personal blog: New Dell computer comes with a eDellRoot trusted root certificate https://t.co/chURwV7eNE eDellRootで
Linuxに深刻なセキュリティホール「GHOST」、今すぐパッチが必要
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2015-01-28 10:04 クラウドセキュリティ企業Qualysの研究者が、Linux GNU Cライブラリ(glibc)に深刻なセキュリティホールである「GHOST」(CVE-2015-0235)を発見した。この脆弱性を利用すると、ハッカーはIDやパスワードを知らなくてもシステムをリモートから乗っ取ることができる。 Qualysはただちにこのセキュリティホールについて主なLinuxの配布元に警告を送り、多くの配布元がすでにパッチを公開している。 このセキュリティホールは、glibc-2.2(2000年11月10日にリリース)を使用してビルドされたすべてのLinuxシステムに存在する。Qualysによれば、このバグは実際には、2013年5月21日にリリースされた、gl
Heartbleedバグのコードを解説 - Qiita
今回バグってたのはheartbeat extension という機能の実装。 RFCはこちら https://tools.ietf.org/html/rfc6520 Heartbleedバグに対する修正コミット http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3 バグ解説 4. Heartbeat Request and Response Messages The Heartbeat protocol messages consist of their type and an arbitrary payload and padding. struct { HeartbeatMessageType type; uint16 payload_length
Xboxの脆弱性発見の5歳児、Microsoftのセキュリティ研究者リストに
5歳のクリストファー・フォン・ハッセル君がXbox Liveの脆弱性を発見し、米Microsoftの「2014年3月のセキュリティ研究者リスト」に掲載された。クリストファー君の地元、米カリフォルニア州サンディエゴのローカル局KGTVが4月3日(現地時間)に報じた。 クリストファー君はクリスマスに買ってもらった「Xbox One」から、父親のXbox Liveアカウントをハッキングしてゲームをプレイする方法を発見した。でたらめなパスワードを入力した後でスペースキーを連続入力したらログインできたという。 セキュリティ企業に務めるクリストファー君の父親は息子の発見をMicrosoftに報告した。クリストファー君は「Xboxをとられちゃうかと思った」とインタビューに答えているが、Microsoftはクリストファー君をセキュリティ研究者と認めてリストに掲載し、50ドルの報奨金に加えて4本のゲームとX
艦隊これくしょんの通信がとてもじゃないけど見てられない
その文字列検索、std::string::findだけで大丈夫ですか?【Sapporo.cpp 第8回勉強会(2014.12.27)】Hiro H.
無料通話アプリcommを使うとプライバシーがダダ漏れ
にゃんまるを飼わせて頂いている者 @Atsuking DeNAから発表されたVoIPサービスのcommって、LINE丸パクりだけど…OEMじゃなくて、独自サービスなんだよね…?ここまで恥も外聞もなく、丸パクリできるって素直に尊敬するわ。ロゴまで似せるなんて… 2012-10-23 11:47:22 深津 貴之 / THE GUILD / note @fladdict モバゲーがLineをリリース。絵柄とかまでふくめてLineで吹いたww Reading... comm(コム)/もっとつながる、高音質な無料通話アプリ http://t.co/fIJ2dYxi 2012-10-23 12:15:12 KohMei @KohMei1012 DeNAのメッセンジャー、commってアプリ。これ利用規約の記述が恐ろしいな…。「全ての会員記述情報を無償で複製しその他あらゆる方法により利用し、また、第三者
池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す - やまもといちろうBLOG(ブログ)
我らが池田信夫せんせが、またやらかしました。 どうも池田信夫のgmailアカウントがパスワードハックされて乗っ取られたようで、恐らく愉快犯と思われるクラッカーさんが池田信夫を騙ってほうぼうに「金送ってくれ」のクソメールを配信している模様です。さすがは池田信夫、時代の最先端すぎます。もはやソーシャルオレオレ詐欺みたいな状態で、なぜこうも池田信夫はいちいち面白いのでしょう。 <起> googleからいきなりアカウントを停止され怒り狂う池田信夫 googleから信夫gmailアカウントを停止されたと勘違いした池田信夫、怒りの矛先を素直な心で真正面からgoogleに向けて怒りゲージMAX状態で真っ赤となっております。 「これじゃ危なくてgmailは使えない」とか言ってますけど、危ないのはお前のパスワードだ池田信夫。 <承> 池田信夫、対処方法が分からず途方に暮れる どうやらgmailを主力で使って
トレードのTips 直接取引について: 風が語りかけます
腹パン屋ゆえにマニーがない悲劇 事務所員にスカイプで説明するのにつかれたので記事に残すですよ。 事務所外の相手とフリートレードで直接取引する方法。 ▼自分のIDを覚えよう 何も全部覚えなくてもいい。 末尾の数字が奇数であるか偶数であるか、それだけは覚えておこう。 フリートレードにはふたつのサーバーが存在し、奇数IDと偶数IDで出品、閲覧できるサーバーが異なる仕様となっている。8月30日現在の状態は以下の通り。 奇数ID サーバーAに出品でき、サーバーBの出品を閲覧できる。 偶数ID サーバーBに出品でき、サーバーAの出品を閲覧できる。 わかりやすく言うと 奇数IDプロデューサーの出品を偶数IDプロデューサーが閲覧・落札でき、 偶数IDプロデューサーの出品を奇数IDプロデューサーが閲覧・落札できる。 ということになる。 ちなみに、これは8月19日から25日までの1週間は 奇
高木浩光さんへ、しっかりしてください - 最速転職研究会
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
高木浩光@自宅の日記 - 「個人情報」定義の弊害、とうとう地方公共団体にまで
■ 「個人情報」定義の弊害、とうとう地方公共団体にまで 現行個人情報保護法の「個人情報」の定義に不備があることを、これまでずっと書き続けてきた。「どの個人かが(住所氏名等により)特定されてさえいなければ個人情報ではない」(のだから何をやってもよい)とする考え方がまかり通ってしまいかねないという危機についてだ。 2003年からはRFIDタグ、2008年からはケータイIDによる名寄せの問題を中心に訴えてきたが、当時、新聞記者から説明を求められるたび、最後には「被害は出ているのでしょうか」と、問われたものだった。当時は悪用事例(不適切な事例)が見つかっておらず(表沙汰になるものがなく)、これが問題であるという認識は記者の胸中にまでしか届かなかった。 それが、昨年夏から急展開。スマホアプリの端末IDを用いた不適切事案が続々と出現し、それぞれそれがなぜ一線を越えているか説明に追われる日々になった。ス
高木浩光@自宅の日記 - 法務省担当官にウイルス罪について質問してきたパート2(昨年10月)
■ 法務省担当官にウイルス罪について質問してきたパート2(昨年10月) 以下は昨年10月5日時点での話で、当時は別件が続発して忙しく、後回しにするうちに半年経ってしまった。この話題は本業で扱うことになるとここには書きづらくなるので、今のうちに書き残しておく。 まず背景として、昨年9月は「カレログ」が世間を騒がせていた*1時期で、人のスマホにスパイ目的でアプリを勝手にインストールする行為が刑法第168条の2の不正指令電磁的記録供用罪に当たるかという論点があった。これについて私はTwitterで自分の考えを述べた。 当時述べた私の考えをまとめ直すと以下の通りである。 彼女が彼氏のスマホを手に取って操作して*2カレログアプリをインストールすると、(カレログはインストールした時点で起動するので)当該アプリを実行するのは誰かといえば、まずは彼女ということになり、この時点では「人(彼氏)の電子計算機に
- このブログは非公開に設定されています。
ブログ このブログは非公開に設定されています。 (Access forbidden) 他のブログを探す ブログランキング(共通のジャンル) 1 ちゃんねるZ 2 放送事故★お宝エロ画像村まとめ 3 マブい女画像集 女優・モデル・アイドル 4 AV女優2chまとめ 5 エロ画像すももちゃんねる ヘルプ インフォメーション リクエスト 利用規約 障害情報 FC2ブログについて FC2の豊富な機能 スマホからもブログ投稿 有料プラン アルバム機能 おすすめブログ テンプレート一覧 マガブロ マガブロとは? マガブロランキング マガブロの書き方 マガブロアフィリエイト サポート ヘルプ インフォメーション リクエスト 利用規約 障害情報 アプリでもブログ投稿 FC2トップ お問い合わせ 会社概要 プライバシーポリシー 著作権ガイドライン 広告掲載 Copyright(c)1999 FC2, Inc
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Lenovo製品にマルウェア搭載で同社が対策を開示
高木ひろみちゅ先生が活動一時停止を発表、音楽性の違い原因か
Androidアプリのセキュア設計・セキュアコーディングガイド
体系的に学ぶ安全な利用規約の作り方
「セキュリティ・キャンプ中央大会2012」 Web・セキュリティ・クラス 応募用紙