[B! セキュリティ] PoohKidのブックマーク

高木浩光＠自宅の日記 - 緑シグナルが点灯しないのに誰も気にしていない？という不思議, 追記

■ 緑シグナルが点灯しないのに誰も気にしていない？という不思議フィッシング対策ソフトの導入動向最近、金融機関が「PhishWall」や「PhishCut」を導入したというニュースをよく見かけるなあと思っていたら、どうやら、金融庁の監督指針の今年の改定でフィッシング対策について明記されたことが関係しているらしい。主要行等向けの総合的な監督指針（平成19年6月版）, 中小・地域金融機関向けの総合的な監督指針（平成19年8月版）, 金融庁 III-3-7 インターネットバンキング III-3-7-2 主な着眼点 (2) セキュリティの確保ホームページのリンクに関し、利用者が取引相手を誤認するような構成になっていないか。また、フィッシング詐欺対策については、利用者がアクセスしているサイトが真正なサイトであることの証明を確認できるような措置を講じる等、業務に応じた適切な不正防止策を講じている

PoohKid 2016/11/20

ソフトの用途を見た第一印象「それSSLじゃダメなの？」10年ほど前の記事なのか...

セキュリティ

リンク

ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策

既に報道されているように、ロリポップ！レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)﹁WordPressのプラグインやテーマの脆弱性を利用﹂し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。29日夜の時点では、攻撃者の改ざん手法について﹁WordPressのプラグインやテーマの脆弱性を利用﹂し、不正なファイルがアップロードされて﹁wp-config.phpの﹂の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。﹁ロリポップ﹂のWordPressサイト改ざん被害、原因はパーミッション設定不備

PoohKid 2013/09/02

レンタルサーバー+シンボリックリンク→apacheの権限、だだし対策可能。あとAndroidで類似案件

セキュリティ

リンク

驚きの顛末、グーグルの脆弱性が採用メールから悪戯されるまで

PoohKid 2012/10/27

エクストリーム採用試験：相手を雇用することなく脆弱性を解消する！

セキュリティ

リンク

2012-03-13

はてなブックマークボタンから収集した行動情報の第三者提供をやめます皆さま、大変申し訳ありません。はてなブックマークボタンで収集される行動情報の外部企業への提供をやめます。先週から、この情報提供について、多くの皆さまから反対のご意見をいただきました。はてなブックマークは、あらゆるページから簡単にブックマークでき、たくさんのブックマーク情報から人気の記事が得られる最高のサービスを目指しています。その一環として、はてなブックマークボタンの普及に努めてきました。2011年9月に、新しい収入源の開発と、ウェブサイトを訪れた際に最適な広告が表示されることでより価値の高い情報が手に入ることを目的に、はてなブックマークボタンで収集した行動情報の第三者への販売を開始しました。ブックマークボタン本来の目的は、﹁ブックマーク数が分かる﹂ことと、﹁簡単にブックマークできる﹂ことです。このボタンの表示から得た

PoohKid 2012/03/13

こういう情報収集ものは必ず露呈するのでヤリ逃げサービスでもなければ始めからバレる前提で考えないとダメね

リンク

ネットを利用するときに気をつけたいこと - ぼくはまちちゃん！

こんにちはこんにちは！！昨日、こんな記事を見かけたよ。 » コドモのソーシャルネットワーク事情〜親ならこれだけはやっておけなるほど、いいこと書いてあるし、わかりやすい。そんなわけでぼくも、﹁ネットを利用するときに気をつけたいこと﹂について、自分なりに思うことを書いてみるよ。情報は紐付くちょっとした情報を元に、ネットAとネットBが紐付くのはもちろんだし、リアルの情報まで紐付くこともよくあること。ひとつひとつは大したことない情報でも、情報が紐付くと、さらに色々なことが芋づる式に誰かにわかるよ。過去と現在が紐付く今は、君のことを気にかけているのはまわりの友達だけかもしれない。けれど情報は残る。将来、5年後、10年後…、君がうっかり書いた言葉が、たまたま炎上した時、犯罪者のようなレッテルとともに、過去の全てと、紐付いたリアルの情報を、大勢の人に晒されることになる。

PoohKid 2012/02/29

実名は極めてセンシティブな個人情報というのに気軽に公開する風潮はなんとかして欲しい／実名を勧める人は他人の実名が見えた方が便利だからだよ(>_<)

セキュリティ

リンク

高木浩光＠自宅の日記 - ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか

■ ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか SuicaやEdyの登場によって、カードに記載の番号が新たな問題をもたらすであろうことは、8年前に関心を持ち、何度か書いた。 Edyナンバーは易々と他人に知らせてよい番号なのか, 2004年2月29日の日記 Edyナンバーはどのように使われるものか, 2004年7月11日の日記許諾なしに公表されるEdyナンバーとSuica番号, 2004年7月11日の日記その後、EdyナンバーやSuicaのIDiは無闇に掲示されることはなくなり、問題は起きなかった。コンビニのam/pmがEdyを用いて独自に展開していた﹁club ap﹂でも、利用者登録にはam/pm店舗のレジで印刷してもらう﹁仮パスワード﹂を必要とするようになっており、まあ一応ちゃんと設計されていた。*1 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。

PoohKid 2012/02/27

固有ID+個人を知ってれば分かる情報で紐付け情報を閲覧できるサービス

セキュリティ

リンク

GoogleがSafariの設定を迂回してトラッキングしていたとされる件について - 最速転職研究会

※この記事の完成度は85%ぐらいなので後で追記します。 http://webpolicy.org/2012/02/17/safari-trackers/ http://online.wsj.com/article/SB10001424052970204880404577225380456599176.html http://blogs.wsj.com/digits/2012/02/16/how-google-tracked-safari-users/ 合わせて読みたい。 http://trac.webkit.org/changeset/92142 https://bugs.webkit.org/show_bug.cgi?id=35824 一番上のJonathan Mayer氏の記事については純粋に技術的なレポートなので、特におかしなことは書かれていない。元はといえばSafariのCooki

PoohKid 2012/02/21

リンク

「パスワードはメールで別途送ります」の存在意義とは - カイ士伝

お仕事のやり取りでたまに遭遇しつつ気になっていたのが、メールでファイルをやり取りする際にパスワードを設定し、そのパスワードを﹁メールで別途送ります﹂というやりとり。ファイル開くのに手間がかかるばかりで、セキュリティ的にもさほど高いとはとても思えず、でもこのやり方がビジネス上時折発生するのを不思議に思っておりました。そんなことをわーわー騒いでいたら周囲の人がいろいろ意見をいただいたのでこのエントリーで簡単にまとめ。とはいえ、今のところ﹁パスワードはメールで別途送ります﹂のメリットが全然見えてなかったりもするのですが……。 1.誤送信防止のため﹁パスワードは別途送ります﹂の理由として最初に教えられたのがこれ。1通だと間違えて送ってしまった場合にやり直しが効かないけれど、2通に分けて送ることで誤送信を対処できるとの理由だったんですがこれがどうにも腑に落ちない。そもそも﹁宛先を間違う﹂ことを

PoohKid 2012/01/07

セキュリティ的には鯖にデータを残さないP2Pが適任だと思うけどなー。この記事のお陰でPGPの存在を知った。

セキュリティ

リンク

遂にｷﾀ - .∵･(ﾟ∀ﾟ)･∵. - ｯ!!大事なGoogleアカウントを堅牢に守りきる2段階認証プロセス日本語版がとうとう有効になりました！ - 適宜覚書-Fragments

遂にキタ - .∵・(ﾟ∀ﾟ)・∵. - ッ!!大事なGoogleアカウントを堅牢に守りきる2段階認証プロセス日本語版がとうとう有効になりました！ Googleアカウントは、Googleのサービスを使う上でとても重要です。各種のサービスの利用設定はもとより、そこで蓄積したデータの管理はアカウントに紐づけられています。これは裏を返せば、アカウントの認証情報を取られてしまうと被害が甚大となります。Google側としてもこれを認識してユーザに認証情報を保護するよう啓蒙してきました。でも、それには限界があって詐取に対する有効な手段として、今年2月に2段階認証プロセスが採用されました。日本語版も7月末に公開されたものの携帯電話でのコード受信が利用出来ず形だけのものとなっていました。恐らくは12月上旬ひっそりですが、とうとうこの機能が利用可能になりましたので導入プロセスを以下に紹介します。︻重要︼

PoohKid 2011/12/14

たしかにGmailパスワードは家の鍵並みの重要機密だけど…難しすぎじゃなイカ？

セキュリティ

リンク

紙だけでサイトごとに異なるパスワードを生成する暗号、米研究者が考案　

PoohKid 2011/08/29

そして「パスワードには数字を含めてください」と弾かれる、というオチを予想（内容はよく理解してない）

セキュリティ

リンク

iPhoneアプリ「バーコードカノジョ」が個人情報を盗んでる？

バーコードを読み込んで彼女を生成できるiPhoneアプリ「バーコードカノジョ」。しかし、このアプリ、実はiPhoneの中にあるIDやパスワードを無断で収集する危険性があるのではないか？　と小池陸氏（@ssig33）が指摘 http://cache.gyazo.com/23fcb40f8020d9996be59fa9afc08eb7.png （上記の画像はバーコートカノジョの開発者と小池氏の会話）続きを読む

PoohKid 2010/10/28

人狼ゲームが行われてると聞いて、さてログ読んできますか

セキュリティ

リンク

高木浩光＠自宅の日記 - かんたんログイン方式で漏洩事故が発生

■ かんたんログイン方式で漏洩事故が発生ガラケーからiPhoneに乗り換えた人々が「ガラケーサイトが見れない!!」とご不満らしいという話は、聞いたことがあったし、そういう方々向けに「ガラケーサイトを閲覧できる」と謳うスマホ用の専用ソフトが提供されたというのも、どこかで見た記憶があった。そんな10月9日の夜遅く、ある方から、「iPhone用のSBrowserというアプリで、クロネコヤマトのサイトを使ったら、知らない人の個人情報が出てきてびっくりした。どうしたらいいか」という相談が舞い込んできた。早速、iTunes Appストアで「SBrowser」の商品説明ページを見に行ったところ、数々の雑言レビューが付いており（図1）、この種のアプリの需要とユーザ層が見えた。

PoohKid 2010/10/26

そもそもスマートフォンからガラケーに偽装する需要がある現状がおかしい

リンク

はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知

はてなグループの終了日を2020年1月31日(金)に決定しました以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記はてなグループ日記のエクスポートデータは2020年2月28

PoohKid 2010/10/22

クロスドメイン、AutoPagerize関連

セキュリティ

リンク

ブログ

Twitterのサービスをご利用になると、Cookieの使用に同意したものとみなされます。Cookieはアナリティクス、カスタマイズ、広告などに使われます。

PoohKid 2010/09/22

公式が病気シリーズ（障害と日本語の両方の意味で）

リンク

【2ch】ニュー速VIPブログ(`･ω･´)

PoohKid 2010/08/06

キャラクターが無駄に可愛いのでどっかが採用してくれないかな

リンク

プレスリリース - UNIQLO ユニクロ - UNIQLO LUCKY LINEに関するお知らせ

平素はユニクロをご愛顧いただき誠にありがとうございます。5月24日よりご提供させていただいているUNIQLO LUCKY LINEに関しまして、当コンテンツが皆さまのTwitterパスワードを保存している、また、そのパスワードが漏洩している、という情報がインターネット上に流れておりますが、そのような事実はございません。当コンテンツでは、皆さまのTwitterアカウントと通信・連携するためにパスワードを入力していただきますが、このパスワードはTwitterと通信される際のみ利用され、当コンテンツ上のデータベースに保存を一切行っておりません。また、パスワードが載っているテキストファイルが公開されているとの情報がインターネット上に流れておりますが、UNIQLO LUCKY LINE上の行列を表示するための公開情報︵コンテンツ上に表示されるTwitterID・名前・アイコン画像パス・ツイー

PoohKid 2010/05/26

DBもだけどログも不安なのよね／1getが高木浩光先生でわらたw

セキュリティ

リンク

『【緊急】アメーバなう利用中の皆さんへ【ご注意！】』

お友達の書き込みに「こんにちはこんにちは！！」というものがあったら絶対にクリックしないでください！！！！アメーバスタッフさんの記事によると、その書き込みをクリックすると自分の日記にも自動的に同じ内容の記事が投稿されるそうです！その結果、それを見た他のアメンバーさんにも、どんどん感染していきます！これはワームというウイルスで、まるでチェーンメールのように悪質です！！その上、プロフィールなどの個人情報が漏洩する場合があるかもしれません！詳細は不明ですが、とても不気味です…！「こんにちはこんにちは！！」というタイトルの日記がいつのまにか投稿されていないか、自分の「ブログ」と「アメーバなう」で、どうかご確認を！あったら即刻削除してください！！！！！！ (１日のタイムラグの後にウイルス発動するという説もあります！) 現在、ameba管理者の方でも対応できないほどのスピードで

PoohKid 2009/12/14

恒例のアレ／はまちちゃんの半分はやさしさで出来ています

リンク

ちょっとセキュアな「いつもの」パスワード - ぼくはまちちゃん！

こんにちはこんにちは！！最近はメールでもなんでもWEB上の便利なサービスが増えてきましたね…！でも、いろいろ登録しすぎて、いよいよぼくもパスワードが管理できなくなってきました…！えっ！もしかして面倒だから、ぜんぶ同じパスワード使ってたりするるんでしょうか…！だめです！だめだめ！それはだめ。全部のサイトで同じパスワードにするのってものすごく危険ですよ！！！これはほんと！だって、もしなにかあって、どれかひとつのパスワードがばれちゃったら全部芋づるだから…！登録したWEBサイトの管理者の中に悪い人がいる可能性もあるし。 (個人運営のサイトはもちろん、たとえ大きな企業のサイトでもバイトちゃんが見れたりとか…) でもだからといって全部別のものにすると覚えられないんだよね。たとえば自分宛にメールしておくとか… Dropboxのような共有フォルダにパスワードのメモいれとくとか… パス

PoohKid 2009/11/20

具体的でいいなあ／DB上にパスを平文で置くのもどうかと思うけどどのみちWebサーバのログには残るのよね

セキュリティ

リンク

【レビュー】JavaScriptをブロック!Firefox 3のアドオン「NoScript」で安心ブラウズ (1) 「NoScript」の概要とインストール | パソコン | マイコミジャーナル

Firefox 3のセキュリティの基本は、サイト単位である。Cookie、ポップアップ、拡張機能のインストールなどは、サイトごとにその許可と禁止が定められている。しかし、JavaScriptだけは、ポリシー単位で設定を行うようになっている(しかし、その設定のためのGUIなどは用意されていない)。本稿で紹介するのは、サイト単位で設定をすることができるアドオンである。注意:本稿では、Firefoxのアドオンのインストールを行っておりますが、ソフトウェアの利用はすべて使用者の責任においてご利用ください。 NoScriptを使ってみるまずはインストールである。アドオンのWebサイトから、[Firefoxへインストール]ボタンをクリックしよう(図1)。図1 NoScriptのインストール途中、インストールの許可の確認がでるが、[今すぐインストール]を選択する。ダウンロードが終わり、インスト

PoohKid 2009/03/09

クリックジャッキングの話題経由でNoScriptを入れてみる

リンク

クリックジャッキングってこうですか？わかりません

↑ この透過されているiframeは、ブラウザの最前面に配置されています ※はてなにログインしていると、どのようにボタンが被っているのかわかりやすくなります

PoohKid 2009/03/09

サードパーティのクッキーを許可してないので「いつも通り」の「ログインが必要です」メッセージでたｗ

リンク

はてなブックマーク

タグ

関連タグで絞り込む (32)

セキュリティに関するPoohKidのブックマーク (139)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第1週）

月間はてなブックマーク数ランキング（2024年6月）

今週のはてなブックマーク数ランキング（2024年6月第5週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス