遠隔操作ウイルス事件、コードプロファイリングから浮かぶ「気持ち悪さ」
IT関係者の関心も集めた遠隔操作ウイルス事件の意外な幕切れについて、クレイジーワークス 代表取締役 総裁の村上福之氏が緊急寄稿した。 トロイの木馬「iesys.exe」に感染させた他人のPCを踏み台にしてインターネット掲示板に犯行予告などの書き込みを行い、4人が誤認逮捕された「PC遠隔操作ウイルス事件」。その真犯人として2013年2月、元IT会社員の片山祐輔被告が逮捕・起訴された。 その後片山被告は一貫して容疑を否認してきたが、2014年5月、事態が大きく動いた。弁護士やマスメディアに「真犯人」を名乗る人物からのメールが届いたのだ。捜査上の問題点なども指摘されていたことから、一時は別に真犯人がいるのではないかという意見も浮上したが、事件は意外な形で幕を閉じた。保釈中の片山被告が、メールを送信したスマートフォンを河川敷に埋める様子が捜査関係者に見つかり、これまで無罪を訴えてきた同被告は、「言
重大なバグを放置した者は刑罰に処されて当然と言い出す人たちとの対話
Hiromitsu Takagi @HiromitsuTakagi 重大なバグで損失を生じさせたとして、民事での損害賠償責任があるという話なら普通だが、それを犯罪として刑事罰に処すというのは、まったく次元の異なる話。混同しないように。 RT @sayori27 重大なバグによって損失が生じているかどうかが問題なのでは? 2011-05-27 15:09:04 Tetsuro KITAJIMA@クラシック音楽方面用 @hcro_classic HDDを吹っ飛ばしたり周囲に感染を引き起こして他マシンのOSを狂わせるようなバグが放置されていいかというと、それも怪しいわけで。法務省側が想定してるバグはこういうバグだろうな。 / 高木浩光@自宅の日記 - ウイルス罪法案、バグ放置が提… http://htn.to/j1MAQb 2011-05-28 12:43:39
WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
携帯電話向けWebアプリのセッション管理はどうなっているか - ockeghem's blog
最近購入したPHP×携帯サイト 実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引にも「セッション」や「session」という語は出てこない。サンプルプログラムのCD-ROM上で session を検索しても出てこないので、セッションはどこでも使っていないのだろう。 そうは言っても、本書にはブログやSNSなど認証が必要なアプリケーションも登場する。本書で採用している認証方式はこうだ。 携帯電話の個体識別番号を用いた、いわゆる「かんたんログイン」のみを使う 認証状態をセッション管理機構で維持しない。全てのページで毎回認証する そのため、「iモードID」など、ユーザに確認せずに自動的に送信されるIDを用いる つまり、全て
UTF-8の冗長なエンコードとは何で、なんでそれがセキュリティ的に危ないのか?を文字コード知識レヴェル3くらいの凡プログラマが考えてみる - tohokuaikiのチラシの裏
何故かあたり前にならない文字エンコーディングバリデーション | yohgaki's blog ってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。 SJISの問題は、(2/3)SQLインジェクションを根絶!セキュア開発の極意 - 第5回■注目される文字コードのセキュリティ問題:ITproの記事がわかりやすかった。 というか、やっぱりPHP使ってると誰でも一度は「なんじゃこの『¥』は?」って思うもんなんで。 なるほど、確かに↓の図のように「あるバイト」が2つの意味を持つっていう文字コード形態はやばいんだなと。 EUC-JPはそんなことはしないで、1つのバイトには1つの意味しか取らせない。 だけど、これでも文字化けが起こることがある。経験的には、「マルチバイトをXX文字で切り落としたい」とかやった場合。ちゃんと文字コードを判定してくれるPHPでいえばmb_subst
セキュリティ専門家,最も危険なプログラミング・エラーのトップ25を発表
米国および各国のサイバー・セキュリティ組織に所属する30名以上の専門家は米国時間2009年1月12日,Web上のセキュリティに影響を与えるプログラミング・エラーのリスト「 Top 25 Errors 」を発表した。リストでは,コンピュータ・ネットワークにおけるスパイ活動やサイバー犯罪に悪用されるセキュリティ・ホールの原因となる最も危険なプログラム・エラーとして25個をリストアップしている。 このリストは,リストアップした25個のエラーを,3つのカテゴリ「コンポーネント間の危険なインタラクション(Insecure Interaction Between Components)」「危険なリソース管理(Risky Resource Management)」「穴だらけの防御(Porous Defenses)」に分類し,それぞれのエラーの内容や修正方法を説明している。 同グループによれば,プログラマ
個人だから甘いのかな - ぼくはまちちゃん!
あらあら予告inがXSSやられちゃったらしいですね! 使い古された手法? いまどきエスケープ処理すらしてなくてダサい? 関連の記事に対して、はてなブックマークでも色々言われていたり、 http://b.hatena.ne.jp/t/%E4%BA%88%E5%91%8A.in?threshold=1 ニュースサイトでも、こんな煽り記事を書かれていたりするけれど… 今回の件についてIT企業に勤めるエンジニアに聞いてみると、 「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの?」 と語る。 予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」 http://news.livedoor.com/article/detail/3759632/ それってどうだろうね。 GoogleやAmazo
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
