GHOST 脆弱性は如何様に使うのか | Webシステム開発/教育ソリューションのタイムインターメディア
先日 GHOST と呼ばれる glibc の脆弱性が発表された。なんでも、「リモートから任意のコードを実行できる可能性がある」らしいではないか。しかも様々なプログラムで利用されているライブラリ部分の問題とあって、影響範囲がとても広い。なかなか厄介なことである。 はて、しかし一体全体どうやってリモートから任意のコードを実行しようというのだろう? 話を聞くに、たかが数バイトの情報を範囲外のメモリに書き込める可能性があるだけだという。実際それだけのことでサーバーの乗っ取りなどできるものなのだろうか。そんなわけで、その疑問に答えるべく、本記事では以下の URL で解説されている実際の攻撃方法を若干端折って紹介してみようと思う。 http://www.openwall.com/lists/oss-security/2015/01/27/9 なお、本記事はこの脆弱性そのものに対する緊急度などについて言
twitterに学ぶなりすまし投稿対策
先日もtwitter上の犯行予告により20歳の青年が逮捕されたようですが、なりすましによる誤認逮捕ではなかったのか気になるところです。そこで、twitterが、なりすまし投稿をどの程度対策しているかを調べてみることにしました。twitterの安全性を確認することが目的というよりも、twitterが実施している対策を知ることにより、皆様のWebサイトを安全にする参考にしていただければと思います。 今回調べた「なりすまし投稿」の手法は下記の通りです。 クロスサイト・リクエスト・フォージェリ(CSRF) クロスサイトスクリプティング(XSS) HTTPヘッダーインジェクション クリックジャッキング DNSリバインディング クッキーモンスターバグ このうち、上の5つの解説は拙稿「“誤認逮捕”を防ぐWebセキュリティ強化術」、最後のクッキーモンスターバグについては、過去のエントリ「クッキーモンスター
Security at Twitter
Security at Twitter At Twitter, we value your online security as much as you do. Our team works constantly to protect the security of your account, and takes steps every day to provide a secure Twitter experience for our users. Maintaining top notch security online is always a community effort, and we're lucky to have a vibrant group of independent security researchers who volunteer their time to
アップル、「Apple ID」に2段階認証オプションを追加
Appleは米国時間3月21日、「Apple ID」システムにさらなるセキュリティ階層を加えた。これによって、ユーザーがAppleのさまざまなサービスにログインする際のパスワードが強化される可能性がある。 Apple IDを持つユーザーは、パスワードに2段階認証を適用するように登録することができる。2段階認証とは、通常のパスワードに加えて使用することのできる4桁のパスコードを、テキストメッセージでユーザーの携帯端末に送信するシステムである。実際にこれによって、その携帯端末にアクセスできる人物でない限り、アカウントに攻撃を加えられないようにすることができる。 Appleの広報担当者は米CNETに対し、「Appleは顧客のプライバシーを非常に重要視しており、2段階認証は、当社のユーザーのデータが保護されることを保証するさらに堅牢なプロセスである」と述べた。「われわれは現在、ユーザーに対し、この
TweetDeck をハックしたら予想以上に酷かった件 - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト - uinyan. com Twitter で TweetDeck Tweetbot for iOS HootSuite iOSのデフォルトアプリ ShootingStar/Pro 等のコンシューマキーが流出して、それを利用したウィルスが猛威を振るってたようです ためしに、 Tweet Deck でコンシューマキーとコンシューマシークレットキーが抜き出せるか試してみました まず、アプリケーションを起動し
Dropboxのセキュリティが向上する「2ステップ認証」の設定方法。 | AppBank
AppBank の主任です。昨年、Dropbox でも「2ステップ認証」が利用可能になり、セキュリティを向上させる手段が増えました。 「2ステップ認証」とは、ユーザー名とパスワードという通常の認証に加え、一定間隔で生成されるコードを入力する認証も行うもの。 ユーザー名・パスワードは固定ですがコードはランダムなので、乗っ取り・不正アクセスをより困難にします。Google でも採用されています。 という訳で今回は Dropbox で 2ステップ認証を設定する方法をご紹介します。 ※Google/Gmail で2ステップ認証を行う方法は以下の記事でご紹介しています。→Gmailの乗っ取りを防ぐ「2段階認証」を設定する方法 iPhoneアプリをインストールする あらかじめ2ステップ認証に必要なアプリをダウンロードしましょう。必要なのは Google Authenticator。無料です。 Drop
「UPnP」に脆弱性見つかる、ルータなど数千万台に影響
脆弱性に対処した更新版の「libupnp 1.6.18」が公開されたが、パッチが行き渡るまでには時間がかかる見通し。US-CERTでは、可能であればUPnPを無効にするなどの対策を促している。 ルータなどのネットワーク機器に広く使われている「Universal Plug and Play」(UPnP)に複数の脆弱性が確認された。大手メーカー各社の製品を含む数千万台が影響を受けるとされ、米セキュリティ機関のUS-CERTはメーカーやデベロッパーに対し、アップデートを適用して脆弱性を修正するよう呼び掛けている。 US-CERTが1月29日に公開したセキュリティ情報によれば、UPnPデバイス用のオープンソースポータブルSDKである「libupnp」にバッファオーバーフローの脆弱性が複数存在する。さらに、libupnpを使っているデバイスはWANインタフェース経由でUPnPクエリーを受け入れてしま
アドレスバーの時代は終わった! 最新版「Sleipnir 4 for Mac」リリース | ライフハッカー・ジャパン
フェンリルは本日1月24日より、ウェブブラウザ「Sleipnir」の最新版となる「Sleipnir 4 for Mac (4.0)」をリリースしました。本バージョンはSlepnir for Macにおいて初のメジャーバージョンアップとなります。 今回、Sleipnirが目指したものは「究極の先端的ウェブブラウザ」。デザイナーは「人々にとってのウェブを、もっと人間的でストレスのないものにするため」に、まったくの白紙からウェブブラウザを作り上げたといいます。早速触ってみると、たしかにMacに似合いそうな洗練された印象を受けます。MacBookをはじめ、画面が小型の人には特にオススメできる機能もありました。 以下、3つの機能にしぼって紹介します。■アドレスバーがない! 「検索フィールド」からスムーズにアクセス 「現代において、アドレス(URL)を直接入力する機会は減り、ユーザーは検索やブックマー
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
DNSSECを破る ("Breaking DNSSEC" 日本語訳)
("Breaking DNSSEC" 日本語訳) D. J. Bernstein University of Illinois at Chicago 1993年11月 Galvin: 「ある朝、DNSワーキンググループにおけるDNSセキュリティチームの メンバーがヒューストンのIETFで会った」 1994年2月 Eastlake-Kaufman、 dns-security メーリングリストでの数ヶ月の議論のあと 「DNSSEC」プロトコル仕様が作られる。 DNSSECの調査研究に、百万ドル単位の政府予算が使われる: たとえば DISA から BIND company へ、 NSF から UCLA へ、 DHS から Secure64 Software Corporation へ。 現在のインターネットには、 およそ 80000000個の *.com ドメインがある。 2008年8月20日:
RFCとなった「OAuth 2.0」――その要点は?
RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O
無料で東京・大阪のテレビなど25チャンネルが見られるという謎のソフト「NIJI」
読者からのタレコミによると、日本の地上波デジタル放送を復号化したものを映像として配信し、TBS・日本テレビ・テレビ東京・テレビ大阪・WOWOW・NHK BSなど25チャンネルが見られるという謎のフリーソフト「NIJI」を実際に使って放送を見ることができるのか、そしてどういったものなのか調べてみました。 日本語無料ネットテレビの生放送 http://www.myniji.tv/ 「NIJI」で視聴できるチャンネルは以下の通り。 実際に「NIJI」を起動するとどのように動作するのかをまずは確認してみました。(※一部ぼかしています) 実際に「NIJI」が利用できるのか確認してみました - YouTube 上記ムービーを見れば分かるように、ダブルクリックするだけで各チャンネルを次々と切り替えて視聴できることが分かりました。 ◆ダウンロード、インストール、操作方法について (※以下の手順などはすべて
「秘密の質問」に備えて、高セキュリティなペットの名前をつける方法
セキュアなサービスを使っていると、本人確認として「秘密の質問」を尋ねられることがあります。でも「母の旧姓」とか「出身小学校」って過去の事実として変えられないし、親しい友だちなら知っていたりもするし...あれってホントにセキュリティ的に大丈夫なんですかねー。 そんな素朴な疑問をもとに、米ジョークサイト「NewsBiscuit」が妄想全開で立ち上がりました。「そうだ、ペットの名前なら、インターネット・セキュリティのルールにのっとって変えられる。いや、変えるべきだ」と。 ペットによくある名前...たとえば「ローバー」「シェリル」「ケイト」なんてのは、もう時代遅れ。今どきの銀行は親世代に対して、子供が初めてペットを飼うときは慎重に名前をつけるようアドバイスしています。セキュリティ上の観点からいえば、名前は最低8文字以上、大文字や数字を組合わせるべきですね。また過去のペットにつけた名前は避け、つけた
「a:visited」のプロパティが配色系のものだけに限定された件について
Webデザインに携わっている方はすでにご存知と思われますが、「a:visited」に設定可能なプロパティが配色系のものだけに限定された件について情報展開します。 認識誤り等ありましたらご指摘ください。 1.事象 CSSの擬似クラス「:visited」に設定したスタイルが適用されないケースがあります。 そのページをIEの開発者ツール(F12を押下)のコンソールで見ると、 :visited と :link スタイルは、色のみを変更できます。 一部のスタイルは :visited に適用されませんでした。 という警告が出ていると思います(下)。 スタイルが適用されないのはIE以外のブラウザでも同じです。ただし古いバージョンでは挙動が異なるかもしれません。 2.原因 この警告は、スタイルシートの「a:visited」に色属性以外のプロパティ(赤色部分)を設定している場合に発生します。 <style>
コレはヤバイ!Wi-Fiのページ読み込みを爆速にする「魔法の数字」は本物だったぞ!設定はコピペでOK | カミアプ
ども!てみたーずのともぞう(@tomozo_1975)です。 皆さん、スマホのWi-Fi接続を爆速にすると言われる「魔法の数字」をご存知ですか? 今回はその魔法を実際に試してみたので詳細をレポートしたいと思います。 その結果…驚くほどステキな結果が出ちゃいましたよ! 参照:スマホのWi-Fi接続を爆速にする魔法の数字 129.250.35.250 – NAVER まとめ 早速、「魔法の数字」でWi-Fiがどれだけ早くなるか、実験をしてみました。 iPhone4を2台用意して、片方に「魔法の数字」を設定します。 ホーム画面にアップスへのブックマークを作成して同時に接続。 おぉ~!「魔法の数字」を設定したiPhoneはサクサク読み込んでいきますよ! 同じWi-Fiを使っているのにここまで差が出るとは驚きです。まさに魔法! ということで、次は魔法の数字の設定です。 そんなWi-Fiをサックサクに
これはすごい! フォーム最適化に役立つグーグル提案のautocomplete新仕様 | 初代編集長ブログ―安田英久
※2012-04-07 セキュリティ面の問題に関して追記しました。 今日は、ウェブページの入力フォームでユーザーが楽にしかも正確に入力できるようにできる(可能性を秘めた)、新しいHTMLの仕様についての情報を。autocomplete属性に関する新しい仕様です。 グーグルは、入力フォームに自動入力する仕組みに関して、新しい仕様を提案しました。HTMLの仕様を拡張することで、ブラウザでフォームに自動入力する仕組みを使いやすくするものです。 これがうまく動作すると、フォーム入力が非常に楽になり、ミスもほぼなくなります。 どれぐらいすごいかというと、ちゃんと設定したブラウザを使うと、フォームで3クリックするだけで、一般的な項目が一気に入力されるのです。 たとえば、この状態から、 名前や住所などの標準的な項目が、一気に自動入力されます。 どうでしょう。こうした機能をサイトに設けられたら、フォームの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TBS NEWS DIG | TBS/JNNのニュースサイト
徳丸本に載っていないWebアプリケーションセキュリティ
IPsecについて
紛失したスマホが何されるか? Symantecが50台を置き忘れてみた実験 -INTERNET Watch