アカウントを乗っ取るFirefoxの拡張機能が公開 大手サイトの実態に警鐘
TwitterやFacebookなどの人気サイトで他人のアカウントを乗っ取ることができてしまうという。 TwitterやFacebookなどの人気サイトで他人のアカウントを乗っ取ることができてしまうFirefoxの拡張機能「Firesheep」をセキュリティ研究者が公表した。大手のWebサイトがユーザー保護の責任を果たしていない実態に警鐘を鳴らすのが狙いだとしている。 Firesheepは米国のWebアプリケーション開発者、エリック・バトラー氏が先の週末にセキュリティカンファレンスのToorcon 12で披露した。同氏はその背景について「Webサイトは一般的に、ログインの際にはパスワードを暗号化してユーザーを保護しているが、それ以外のものは何も暗号化されていないのが普通だ。攻撃者がHTTPセッションの乗っ取りによってユーザーのcookieを入手してしまえば、特定のWebサイトでそのユーザー
Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について
昨日の Twitter の XSS 騒ぎは、まだ皆さんの記憶に新しいことと思います。いい機会なので、ツイートのような構造化テキストのエスケープ手法について触れておきたいと思います。 Twitter のメッセージは、単なる平文(プレインテキスト)ではなく、「@英数字」のような他のユーザーへの言及と「http://〜」のような URL を自動的にハイパーリンク化する構造化テキストです。 このような複数のルールをもつ構造化テキストを HTML 化する際には、どのようなコードを書けばいいのでしょう? まず「@〜」をリンク化してから、URL をリンク化すればいいのでしょうか? それだと、@〜 のをリンク化した A HREF タグの中の URL がさらにリンク化されていまいますね。 では、URL をリンク化してから @〜 をリンク化すればいいのでしょうか? それだと、@ を含む URL があった場合に
iPhoneユーザーは絶対逃げられない! つなぐと削除した全データ&利用履歴まで丸裸に一発流出させるUSBスティック発売中
iPhoneユーザーは絶対逃げられない! つなぐと削除した全データ&利用履歴まで丸裸に一発流出させるUSBスティック発売中2010.08.19 23:006,023 どこへ行ってたかまで丸わかりに... iPhoneに専用ケーブルで接続すると、遠い昔に削除したメールからマップで訪れた履歴の一覧に至るまで、ほぼあらゆるデータをPC上で一発表示可能にしてしまう恐るべき「iPhone Spy Stick」が発売中ですよ! メールやSMS、アドレス帳、予定表などの全テキスト情報、通話履歴、インターネットの閲覧履歴、写真、音声メモ、マップの検索およびGPS情報履歴、iPhoneの設定に至るまで、もう消し去ったと思っていたものも含めて、ありとあらゆる中身を丸裸に洗い出されちゃいます。恐ろしいですね。 BrickHouse Securityが、バックアップされていなかったiPhoneでも安心してデータ復
下村努 - Wikipedia
下村 努(しもむら つとむ、1964年10月23日[1] - )は、物理学者、コンピュータセキュリティの専門家。アメリカのカリフォルニア州在住[2]。ケビン・ミトニックの逮捕に協力した[3][4]。アメリカ国籍[5]。 略歴[編集] 愛知県名古屋市生まれ[1]。父は、2008年にノーベル化学賞を受賞した生物発光研究者の下村脩。1歳で両親と共に渡米[3]、プリンストン(ニュージャージー州)で育つ[6]。10歳頃から、平均15歳位の子供達から成るコンピュータ・クラブに参加し、プリンストン大学工学部にあるコンピュータの操作にのめり込む。飛び級を重ね、中学を卒業しないまま[7]12歳頃には高校に上がる。この頃は両親との関係が芳しくなく、家より大学にいる時間が長かったという[8]。さまざまな学問に触れ、物理学と生物学とに惹かれる[9]中、15歳の時に、下村はそのコンピュータに関する能力を買われてプリ
高木浩光@自宅の日記 - 岡崎図書館事件について その1, DoS等で業務妨害罪とされた過去の報道事例, 山形の事件は悪意ある攻撃であったことを確認(21日..
■ 岡崎図書館事件について その1 5月26日にこんな報道があった。 図書館HPにアクセス3万3000回 愛知県警 業務妨害容疑、38歳を逮捕, 朝日新聞2010年5月26日朝刊 県警生活経済課と岡崎署によると、容疑者は、4月2日から15日にかけて、岡崎市中央図書館のホームページに、計約33,000回のアクセスを繰り返し、ホームページを閲覧しにくい状態にしたという疑いがある。(略) 同課によると、容疑者は1回ボタンを押すだけで、1秒に1回程度の速度でアクセスを繰り返せるプログラムを作っていたという。容疑者は同図書館の利用者だったが、目立ったトラブルは確認されていないといい、動機を調べている。 図書館にサイバー攻撃, 読売新聞2010年5月26日朝刊 県警は25日、インターネット関連会社社長を偽計業務妨害容疑で逮捕した。(略) 調べに対し、アクセスしたことは認めているが、動機については話して
☆twitter性格診断☆
★誰かにフォローされたら、こちらからもフォローすることが多い? よくフォローする あまりフォローしない 相手を見てから決める
アップル最悪のセキュリティブリーチ。iPad所有者11万4000人分のデータ流出
アップル最悪のセキュリティブリーチ。iPad所有者11万4000人分のデータ流出2010.06.10 14:005,295 satomi アップルにまた災難です。 AT&TのサーバーのセキュリティホールからCEO、軍高官、政治家を含むiPad 3Gオーナーのデータが大量に流出しました。携帯ネットワーク対応のiPadを買った人全員にスパム商法や悪質なハックを受ける脆弱性があったのだとか...怖いですね。 社員がバーでiPhone試作機を紛失してまだ日も浅いのに、iPad 3Gのアーリーアダプターという、世界にも稀な著名人リストが外部に流れた格好です。リストにはニューヨーク・タイムズ・カンパニーCEOジャネット・ロビンソンからABCニュースアンカーのダイアン・ソーヤー、映画業界の実力者ハーヴェイ・ワインスタイン、マイケル・ブルームバーグNY市長まで軍・政・財・メディア界の重鎮が勢ぞろい。果ては
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
Google Sites: Sign-in
Not your computer? Use a private browsing window to sign in. Learn more about using Guest mode
グーグルが中国のハッカーを逆ハック
グーグルもやられっ放しじゃなかったようですね。 中国から半端ない規模のサイバー攻撃を受け、人権活動家のGmailアカウントに侵入された事態を重く見たグーグルが、「もう中国政府の検閲には協力しない。続けろと言うなら中国撤退だ」と発表した件で、グーグルが実は侵入された直後ハッカーのサーバーをハックし返していたことが、ニューヨーク・タイムズの調べで分かりました。 それによると先月、中国から何者かがGmailアカウントに侵入する気配を本社勤務のエンジニアたちが察知し始めた段階で、グーグルは直ちに「極秘の反撃」を開始したのだそうです。 ソースと思しき台湾のコンピュータへのアクセスを確保し、マシンの中を覗いてみると、グーグル以外にもアドビ、ノースロップ・グルマン、ジュニパー・ネットワークスなど少なくとも33社が同じ攻撃を受けた形跡が見つかりました(ポストはダウ・ケミカル含め34社と人権団体、シンクタン
中国からGoogleほか30社以上に攻撃:目的はソースコード | WIRED VISION
前の記事 「理想のAppleタブレット」が持つべき10の機能 「月との距離の3分の1」まで、小惑星が地球に接近 次の記事 中国からGoogleほか30社以上に攻撃:目的はソースコード 2010年1月14日 Kim Zetter 2006年4月、Google社のSchmidt CEOや、Google China社の社長らが、新しい中国語版Googleのブランド名「谷歌」(グゥガ)を発表した会場で撮影。「谷歌」の谷は簡体字で「穀」を意味し、谷歌には「種まき」=「期待」、「収穫」=「情報を得る喜び」という2つの意味が持たされているという。画像は別の英文記事より 米Google社は、中国からのハッカー攻撃を理由に同国でのビジネスを停止する可能性を発表したが、同社の他にも、金融機関や防衛関係の請負業者を含む米国の30社以上が攻撃され、ソースコードが狙われていたことがわかった。米iDefense社(米
「アメブロ」芸能人ブログで情報流出 運営「舞台裏」も明らかに
多くの芸能人が公式ブログを持つことで有名な「アメーバブログ」(アメブロ)が、年明け早々、前代未聞のトラブルに見舞われている。芸能人ユーザーのIDとパスワードが書かれたエクセルファイルが、何者かの手によってネット上に流出し、それが悪用される形で芸能人ブログが不正に書き換えられるという事態が発生したのだ。 また、ファイルには、事務所が公式ブログ開設を申し込む文面や、「アポとって話しをしてみるのだ!」「事務所ごと取りに行こう!」といった営業の進捗状況とみられる文章も散見される。思わぬ形で、人気ブログ運営の舞台裏が明らかになった形だ。 エクセルにはIDとパスワードが一覧に 事態が発覚したのは、年が明けて間もない2010年1月1日午前1時頃。「アメブロ」にブログを開設しているタレントの藤本美貴さんやジャガー横田さんのブログに、突然「お年玉」と書かれた「のし袋」の画像がアップロードされ、画像からはエク
アメブロお年玉パスワード事件について
新年早々、お年玉として芸能人のパスワード入りエクセルファイルがプレゼントされた「アメブロお年玉パスワード事件」。 アメブロお年玉パスワード事件とは 「アメブロお年玉パスワード事件」とは、一体どんな事件だったかというと、 1. 2010年になり、ミキティなどの芸能人ブログでお年玉画像入りの記事が投稿された。 2. お年玉画像をクリックすると、芸能人ブログのパスワード等が記載されたエクセルファイルがダウンロードできるようになっていた。 3. お年玉プレゼントだと思った一般ユーザーが芸能人ブログにログインし、不正アクセスしてしまった。 このような事件でした。 サイバーエージェントの対応 アメーバブログ運営元のサイバーエージェントは即日、「Ameba」オフィシャルブログ、不正アクセス被害についてというPDFで”不正アクセス被害”について報告しました。 株式会社サイバーエージェント(本社:東京都渋谷
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Malware - Threat Encyclopedia
簡単なために見失いがちなもの | day by day
テクノロジー : 日経電子版
IDEA * IDEA
iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ
Malware - Threat Encyclopedia
http://japan.internet.com/webtech/20100123/12.html