マクロ情報セキュリティと猿のままでいることのコスト - アンカテ
人間の集団に起こることは、規模がある限度を超えると、制御することはもちろん、状態を把握することも難しくなるということは、たとえば経済に関しては一定のコンセンサスがあると思う。 だから、不況に対して政府が何をすべきかということは、台風や地震のような自然災害に似たものとして語られる。 台風や地震を無くすることはできないし、起きたからと言って、起きたこと自体が政府の責任にはならない。政府の責任は、過去に起きた災害をしっかり調査して、次に備え予防策を練ることだ。そして、万が一それがまた起きた時の被害を最小限に留めることである。 不況もバブル崩壊もそれに似ている。波を無くすことではなくて、波をなだらかにすることが政府や中央銀行の役割とされている。 経済は、制御できるとしても、猛獣に芸を仕込むようなもので、猛獣が本気で暴れだしたら、人間には手に負えるはずはない。 私は、情報セキュリティについても、経済
吉田町立図書館
2024年01月29日 行事案内 古本市のお知らせ 2024年01月15日 お知らせ 蔵書点検に伴う休館のお知らせ 2023年09月02日 お知らせ 開館日のお知らせ(2023年10月~2024年3月) 2023年08月06日 行事案内 映画会のご案内(2023年10月~2024年3月) 2023年06月05日 行事案内 おはなし会のお知らせ 2023年05月08日 お知らせ 新型コロナウイルス感染症対策における利用制限解除について 2023年10月15日 行事案内 読書週間企画を行います 2023年10月10日 行事案内 「図書館で割箸プロジェクト」がはじまります 2023年10月01日 行事案内 読書週間特別企画ブックトーク 2023年06月04日 行事案内 映画会のお知らせ(2023年4月~2023年9月) 2023年05月14日 お知らせ 教科書展示会の開催について
iPhoneで他人の情報…携帯ID認証に穴(変更前: 「iPhoneで人の情報丸見え…閲覧ソフト原因」) : 社会 : YOMIURI ONLINE(読売新聞)
高機能携帯電話・スマートフォン「iPhone(アイフォーン)」で携帯サイトにアクセスしたら、他人の会員ページに入り、個人情報を“盗み見”してしまった――。 アイフォーン利用者の間でそんなトラブルが起きている。本来、携帯サイトの閲覧はできないスマートフォンに、携帯電話の識別番号(携帯ID)を付与して一般の携帯電話に「なりすまし」て、サイト閲覧を可能にするソフトが原因だ。会員の情報が漏れていた宅配大手「ヤマト運輸」(東京都)では、サービスの一部を停止し、被害状況の調査を始めた。 トラブルが起きたのは、ヤマト運輸の「クロネコヤマトモバイルサイト」。サイト上で集荷や再配達の依頼をできるサービスで、9月末現在、パソコンでの利用者を含め約560万人が登録しているが、氏名、住所、電話番号、メールアドレスなどの登録情報を他人が閲覧できるケースが確認された。 少なくとも2人から閲覧されていたことが分かった首
問題点の概要 - 「PHPで作成する携帯会員サイトの基本」の諸問題(1) - 徳丸浩の日記
_問題点の概要 CodeZineから発表されている「PHPで作成する携帯会員サイトの基本」という記事はツッコミどころ満載で、既にいくつかの問題が修正されているのだが、まだ残っている問題があることや、修正内容にも疑問があるので、いくつか指摘してみたい。ざっと書いたところ、ものすごく長くなりそうだったので、小出しで「連載」の形で書く。忙しいので途中でやめるかもしれない。今回は、問題点の概要を報告する。 くだんの記事をざっと見たところ、以下の問題を見つけた。 IPアドレス制限のない「かんたんログイン」 Net_UserAgent_Mobileを用いて携帯電話の端末IDを取り出し、かんたんログインを実装しているが、ゲートウェイのIPアドレス経由であることを確認していない。以下のリストは、端末IDを取り出しているところ(4ページ目)。 $agent = Net_UserAgent_Mobile::s
Twitter の OAuth 許可ページがあまりにも酷い => 応急処置 - mooz deceives you
OAuth の Read と Write 先日, ツイート君に会話をまとめてもらい, 大変嫌な思いをした. Twitter の OAuth には Read 権限と Write 権限があって, Write 権限があると つぶやく 誰かをフォローする 誰かをリムーブする などのことが行えてしまう. つまり, Write 権限を要求するアプリケーションを許可することは, 「このアプリケーションが私のアカウントを使って勝手に変なことをつぶやいたり, 勝手に誰かをフォローしたり, 勝手に誰かをリムーブしても文句は言いませんよ」ということに等しい. さて, それでは OAuth の権限付与画面を見てみよう. ここでは冒頭に上げたツイート君が権限をこちらに要求してきている. では, いったい何の権限を要求してきているのだろうか. Read なのだろうか. それとも Write なのだろうか. 答えは R
高圧縮ファイル爆弾 - Wikipedia
この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。出典を追加して記事の信頼性向上にご協力ください。(このテンプレートの使い方) 出典検索?: "高圧縮ファイル爆弾" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL(2012年5月) 高圧縮ファイル爆弾(こうあっしゅくファイルばくだん)とは、それを読み込んだプログラムやシステムをクラッシュさせる、あるいは負荷により使用不能とするために作られた悪意のある圧縮ファイルである。なお、「高圧縮ファイル爆弾」という用語はウイルス対策ソフトの1つである avast! antivirus の日本語版で使われているもので、英語では "Zip Bomb" (ZIP爆弾) "Decompression bomb" (データ展開爆弾、データ解凍爆弾) "Z
安価で安全な新方法論 サイバーノーガード戦法!(2004.2.5)
ACCSのサーバから個人情報を抜き出し、公開したことで office 氏が逮捕された。 はっきりいって筆者は、ひとごとは思えないのであるが、それはそれとして・・・サーバ管理者や経営者に全くおとがめがないことを考えると、これは新しい形の防御方法ともいえるのではないかと思うわけである。 >> 目からうろこが落ちる発想の転換! 個人情報なんか漏れても問題ない!? このところの動きを見ていると、どうやら世間では ・脆弱であることを知っていながら、それを放置してサーバを運営することは問題ではない。 ・上記に関して刑事責任を問われることもない ・損害賠償(民事上の責任)はしなくてもいいし、してもいい。民事で告訴されることはめったにない。 ということになっているらしい。 今回の事件についてもACCSが脆弱性を放置し、個人情報を漏洩させてしまったことには刑事責任は問われないし
おごちゃんの雑文 » Blog Archive » 「はまちちゃん」をspamと断じる思考停止
「Amebaなう」なるtwitterの真似にインスパイアされたサービスが始まって、さっそくは「はまちちゃん」の餌食になっている。 ミニブログ「Amebaなう」モバイル好調でPC版を前倒し、スパム被害も広がる 自分達の気に入らないものを悪しざまに言うのは同情出来ないことではないのではあるが、これを「スパム」と言ってしまうのは思考停止ではないか? 例によってはまちちゃんは脆弱性を突いて「こんにちはこんにちは!!」を出しつつ自分をフォローさせるトラップを仕掛けたようだ。まぁ、彼を知っている人なら、「お手軽フォロークリック」で便利でいい。って、私はAmebaのアカウントを消したばかりなんで、祭に参加出来なかったんだけど(Amebaはアカウントを消すとしばらく同じアカウントは使えなくなる)。 で、まぁ、これは「いつもの」でしかない。彼を知る人からすれば「いつやるのか」だけが問題であって、やらかさなか
t_komuraの日記 - addslashes() による SQL 文字列のエスケープ回避問題
The addslashes() Versus mysql_real_escape_string() Debate (Chris Shiflett: The PHP Blog) で文字コードによっては addslashes() による SQL のエスケープ処理は問題があることが指摘されていました。 日本語でも、Shift_JIS を扱っている場合は同様の問題が起きる可能性があるように思われましたので、メモしておきます。何か間違い、勘違いなどがありましたら指摘してください。おそらく、PHP だけの問題ではないと思います。 日本語でも文字コードが Shift_JIS の場合、addslashes() によるエスケープ処理では SQL インジェクションが可能になってしまうケースがあります。 例えば、上記のページの例を少し変更すると以下のようになります。 <?php // 例: 文字コードが Sh
QRコード〜人間には読めないURLの罠/知って得するドメイン名のちょっといい話 #9 | 知って得するドメイン名のちょっといい話
読者の中には携帯電話向けのウェブコンテンツをターゲットにしている方も多いだろう。携帯からのアクセス手段のひとつに「QRコード」がある。今回はこのQRコードに目を向けてみたい。 最近のQRコード事情QRコードはもともと、自動車部品メーカーである株式会社デンソーが、1994年に生産管理のために開発した二次元コードですが、その仕様をオープンにして誰でも利用できるようにしたために、さまざまな用途に広がりました。特に、携帯電話からウェブサイトに接続する際、面倒な文字入力の代わりに携帯電話のカメラでQRコードを撮影してアクセスするという利便性が受け入れられて、広く普及しています。 カメラ付きの携帯電話があたりまえになり、昔の機種に比べて読み取りの精度も速度も格段に向上しました。昔、QRコードの読み取りに苦労した経験のある方、ぜひ最近の機種で試してみてください。 QRコードは自分でも作れる携帯電話からイ
セキュリティ過敏症 - ぼくはまちちゃん!(Hatena)
初心者はPHPで脆弱なウェブアプリをどんどん量産すべし ↑のブックマーク うん。増田くんはいつもいいこと書くね! ブックマークの方には 危険だとか迷惑だとか踏み台だとか色々かいてあるけれど(というか踏み台ってなんだろ?) そんなに大切な個人情報をたくさん扱ってるサイトなんてどれだけあるかな。 みんなそういうサービスつくってるの? なんかすごいね。 ぼくの使っている範囲だと、(提供側が気をつけていないと) 本当にまずいのは銀行と証券とカード会社のような、お金のからむサービスくらいだよ。 もちろん、他にメール内容だとか、購読しているフィードだとか、知られたくない個人情報なんてのは、人によってたくさんあるよね。 だけど、例えばぼくがメールサービス作りましたなんて言ったら誰か使う? それか無名の団体だったらどうかな。それで大切なメールやりとりしちゃうの? そう。そもそも、利用者もそれほどバカじゃな
printenv at xss-quiz.int21h.jp
printenv at xss-quiz.int21h.jp Your IP address: 133.242.243.6 () NameValue HTTP_ACCEPT*/* HTTP_CACHE_CONTROLno-cache HTTP_CONNECTIONclose HTTP_HOSTxss-quiz.int21h.jp HTTP_USER_AGENTHatenaBookmark/4.0 (Hatena::Bookmark; Analyzer) QUERY_STRING REMOTE_ADDR133.242.243.6 REQUEST_METHODGET REQUEST_SCHEMEhttp REQUEST_URI/
なぞなぞ認証 - jkondoの日記
昨日からはてなダイアリーの閲覧許可設定に「なぞなぞ認証」を使うことができるようになった。 http://d.hatena.ne.jp/hatenadiary/20080124/1201172733 たとえば「僕の実家の町の名前は?」といった質問を設定しておくと、はてなアカウントをもっていなくても自分の実家を知っている人だけが読むことのできる日記を開設できる。今はダイアリーの閲覧許可だけだけど、これから編集許可やそのほかのサービスでも使えるようになっていく予定だ。 たとえばフォトライフなんかで、フォルダごとにイベントの写真を入れて、「結婚式会場の名前は?」みたいな質問を設定しておくとかも便利かも知れない。また、単に誰でも分かるような写真(たとえば「この山はなんでしょう?」「富士山」みたいな)、ロボットによるコメントスパムを排除することにも使えるだろう。 このなぞなぞ認証、実はパロアルトで増井
HDDをフォーマットするブラクラ まとめwiki
パソコンに詳しくない方は、スレッドに書かれる対応策を鵜呑みにせず 冷静な行動を取りましょう。報告にも偽のものがあるようなので注意。 感染した恐れのある場合は再起動やシャットダウンをしてはいけません。 各スレで人柱による対策が検討されています。 とにかくPCをそのままの状態にしておきましょう。 普段からセキュリティに気を付けている方であればまず大丈夫です。 概要まとめ 2007/12/28(金)、gigigi(アップローダー)にてエロ画像がUPされる。 (初出は http://sakura01.bbspink.com/test/read.cgi/ascii/1198102303/701 の模様。) 2007/12/30(日)Download板にて報告、ニュース速報板にスレが立ち拡大中。AV監督(愛媛県) 画像は拡張子はjpgだが、中身はHTMLとJavaScriptであり、これをクリックする
Immortal Session の恐怖 : 404 Blog Not Found
2007年11月29日07:15 カテゴリ書評/画評/品評 Immortal Session の恐怖 さすがの私も、今夜半の祭りにはmaitter。 私のtwitterが荒らされていたのだ。 荒らし発言は消してしまったが、にぽたんがlogを残してくれている。 nipotumblr - Dan the cracked man 一部で言われているように、本当にパスワードが抜かれたかどうかまでは解らない。が、状況としてはnowaがベータテスト段階で持っていたCSRF脆弱性をついた荒らしにそっくりだった。 にぽたん無料案内所 - こんにちはこんにちは!! この時も、私のnowaのメッセージに荒らしが入った。パスワードを変更しても暫く荒らしが続いていた点も似ている。 ここでの問題は、 bulkneets@twitter曰く(直接リンクは避けます) 問題は本人が気付いてもパスワード変えてもセッション残
アスタリスクで隠されたパスワードを確認する方法 [K'conf]
ログインが必要なサイトの多くは、IDとパスワードを入力するフォームが設置されています。 通常、このようなフォーム内のパスワード部分に入力した文字は盗み見防止のため、「********」のようなアスタリスクになって文字が隠されるようになっていますが、しばしば、この入力したパスワードを確認したい状況になる場合も少なくありません。 このようなケースに役立つハックの紹介。 以下のJavaScriptをアドレスバーに入力すると、次のようなダイアログ内にパスワードが表示されます。 javascript:(function(){var s,F,j,f,i; s = ""; F = document.forms; for(j=0; j<F.length; ++j) { f = F[j]; for (i=0; i<f.length; ++i) { if (f[i].type.toLowerCase() ==
![アスタリスクで隠されたパスワードを確認する方法 [K'conf]](https://cdn-ak-scissors.b.st-hatena.com/image/square/1a87d5887c466cccb0b849babb90931bdfa1b8c8/height=288;version=1;width=512/http%3A%2F%2Fkenz0.s201.xrea.com%2Fimage%2Fweblog%2F071121%2F2.gif)
無線LANのWEP/WPAキーを表示するフリーソフト「WirelessKeyView」 - GIGAZINE
無線LANの設定も昔ほど複雑ではなく、全自動でかなりセキュリティの高い設定ができるようになっている機種も増えていますが、それに伴って「一体自分の無線LANのWEPキーは何なのか?」というのが万が一の際にまったくわからないという事態も増えています。そういう際に役立つのがこのフリーソフト「WirelessKeyView」です。 使い方は至って簡単、起動するだけ。それだけでWindowsのWireless Zero Configurationを使ったWEP/WPAキーが表示されます。ただ表示するだけでなく、テキストファイルにして保存したり、HTML形式のレポートにしたり、クリップボードに直接コピーすることもできます。 ダウンロードと使い方は以下から。 WirelessKeyView: Recover lost WEP/WPA key stored by Wireless Zero Configu
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.mdis.co.jp/news/topics/2011/0124.html
Yahoo! JAPAN、一部利用者にパスワード変更求める措置
Google検索でスパム送信、演算子と「I'm Feeling Lucky」を逆用
