[B! blog] security_checkのブックマーク

ハードウェアの信用

The Invisible Things Lab'sblog: Trusting Hardware 少々古いが、面白かったので紹介する。なるほど、君はパラノイアにとりつかれているんだね。自分のマシンでは、LinuxとかGNUとかのオープンソースなソフトウェアしか走らせたくないってわけね。やろうと思えば、全ソースコードを自分の目で検証可能だって安心してるわけか︵実際やらないんだろうけどさ︶。パラノイア病がもっと進行してきて、オープンソースなBIOSとかにまで手を出し始めちゃった。バカな奴らがWindowsみたいなクローズドソースのシステム使ってるなんて訳がわからないよ。とまあ、こう満足してるわけだよね。でーも、所詮そこまでなんだよね、君は。だってまだハードウェアを信用しなきゃならないでしょ。ハードウェアベンダーが、ネットワークカードのマイクロコントローラーにバックドアを仕込んでないこと

security_check 2012/03/06

本の虫: ハードウェアの信用

リンク

「乗車履歴」というプライバシーとオプトアウト：IT's my business：オルタナティブ・ブログ

「パスモサービスの一部を停止」（NHK）で報道されているとおり、PASMO のカード番号などが知られることで他人に使用履歴が見られるおそれがあるとして「PASMO履歴照会サービス」が停止されています。このきっかけが高木浩光氏の活動によるものであることは間違いありません（「ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか」「パスモは乗車履歴を第三者提供？他社のビッグデータに取り込まれる可能性」）。私は日頃 Suica を使っていますが、そもそもカード番号をネットで公開しようとする人の気持ちはよくわかりません。一方、使用履歴が第三者に知られると、どんな風に悪用されるのかもあまり想像がつきません。この手の FeliCa カードは落として誰かに拾われてしまうと、カードリーダーで簡単に直近の履歴を確認されてしまうので、悪用を防ぐためには厳重な保管が必要なようです。 ■ブック検索の版権レ

security_check 2012/03/06

「乗車履歴」というプライバシーとオプトアウト：IT's my business：ITmedia オルタナティブ・ブログ

blog
service

リンク

auスマートパスの個人情報利用範囲がとんでもない件 - shao's diary

えらべる自由なauが今日3月1日から "auスマートパス" というサービスを開始しています。auスマートパスサービスの内容は、月額390円のサブスクリプションでAndroidアプリケーションの利用や写真クラウドの保存ができるサービスなんですが、その中に﹁スタンプカード﹂なるサービスがあります。対象のアプリなどを使い回ることでauのポイントと引き替えられるみたいなサービスですが、その規約をみて仰天しました。大切なことなので二度いいます1．取得する情報スタンプカードのご利用にあたっては、以下の情報をお客様からご提供頂きます。なお、当社は、通話内容・通信内容を取得することはありません。︵1︶Web利用履歴︵IS-NET等接続先︶ご利用のau端末から行ったデータ通信︵Webブラウザ、アプリケーションからの通信など、auスマートパス以外の通信も含むIS-NET、au

security_check 2012/03/05

auスマートパスの個人情報利用範囲がとんでもない件 - しゃおの雑記帳はてな支店

リンク

IISの自己署名入りサーバー証明書をうるう年の2月29日に作成するとパラメーターエラーが起きる。 - KatsuYuzuのブログ

昨日2月29日、俺俺証明書を作ろうとIISで自己署名入りサーバー証明書の作成を実行したところエラーが発生した。パラメーターエラー何度やってもダメで、その日は諦め、翌日の3月1日。あっさり成功。 (ﾟДﾟ)ﾊｯ！と、して時計を戻し実行。パラメーターエラー ……と、言うことで「うるう年」の2月29日にIISで自己署名入りサーバー証明書を作成するとエラーが起きます。もーー！

security_check 2012/03/05

IISの自己署名入りサーバー証明書をうるう年の2月29日に作成するとパラメーターエラーが起きる。 - KatsuYuzuの日記

blog
ca

リンク

IE6/7のでは「;」で区切ってURLが複数指定できる問題 - 葉っぱ日記

Masato Kinugawaさんのブログ「Masato Kinugawa Security Blog: Googleのmetaリダイレクトに存在した問題」を読んで、 <meta http-equiv="refresh" content="0;url=http://good/;url=http://evil/"> みたいな書き方をするとIE6、IE7ではevilなほうにリダイレクトされるということを初めて知ったわけですけど、それをTwitter上で言ったらみたいに言われてしまって軽くショック受けたんで追試してみたけど、「;」をエスケープしようと <meta http-equiv="refresh" content="0;url=http://good/;url=http://evil/"> みたいに書いても、「;url=」みたいな文字列が出現してしまって、やっぱりevilにリダ

security_check 2012/03/05

IE6/7の<meta refresh>では「;」で区切ってURLが複数指定できる問題 - 葉っぱ日記

blog
browser

リンク

Masato Kinugawa Security Blog: Googleのmetaリダイレクトに存在した問題

Googleに存在したメールアドレスを窃取できた問題について書きます。これは2011年1月30日に報告し、報告後数日以内に修正された問題です。こんなページがありました。 http://example.google.com/redirect?continue=http://example.google.com/xyz <meta http-equiv="refresh" content="0;url='http://example.google.com/xyz'"> <script> location.replace("http://example.google.com/xyz") </script> continueというパラメータに指定されたURLをmetaタグとlocation.replace()にそれぞれ入れて、JavaScriptの有効/無効の設定に関わらずリダイ

security_check 2012/03/03

Masato Kinugawa Security Blog: Googleのmetaリダイレクトに存在した問題

リンク

ウォール・ストリート・ジャーナルの過去のトラッキングに関する記事特集 - 最速転職研究会

自分が把握していた範囲(と短期間で追加で調べた範囲)なので、他にもあるのかも知れないし、英語圏での反応をちゃんと追えていたわけではない。リファラについて 2010年5月 Facebook内の広告でユーザーidが外部に漏れていた問題 http://online.wsj.com/article/SB10001424052748704513104575256701215465596.html それに対する対策 http://www.facebook.com/notes/facebook-engineering/protecting-privacy-with-referrers/392382738919 サードパーティのFacebookアプリがリファラで外部にユーザーidを漏らしていた問題 2010年10月、WSJ発端 http://online.wsj.com/article/SB100014

security_check 2012/03/03

ウォール・ストリート・ジャーナルの過去のトラッキングに関する記事特集 - 最速転職研究会

リンク

なぜ Gumroad や PayPal が日本から現れないのか

Gumroad 回りが面白くなってます。足りない機能を補う Gumroad Search が出てきたり、リンクを隠す GumSafe が出てきたり、さらに GumSafe がコンテンツ URL を自分の方に抱えることで事実上 Gumroad の決済機能だけを利用できるようにしたり↓、面白くてたまりません。 gumsafe 開発ブログ‥gumroadの決済URLが割れてもコンテンツURLの隠匿性を維持できる機能を追加しましたというわけで関連する情報を目にすれば興味を持って読んでるうちに、はっきり言ってこんなサービス、やろうと思えばどこの会社もすぐできたはずなんです︵実際そのように言っていた方も見かけました︶。それをなぜやらなかったか？︵物語を語ろう。物語を創ろう。｜Gumroad の問題点についてもう少し掘り下げてみました。︶という疑問を見かけました。実は私も類似のサービスを数年前に

security_check 2012/03/02

考える日常: なぜ Gumroad や PayPal が日本から現れないのか

blog
law

リンク

『事業責任者が知っておくべき、セキュリティの話』

椿ブログDreaming to impact the world with the Internet! Wife of Brazilian:) Based in Tokyo. Live socially Make people more Happy! 初夏頃から始めたセキュリティ本勉強会、﹁ #wasbook 体系的に学ぶ安全なWebアプリケーションの作り方﹂、通称﹁徳丸本﹂を毎週金曜日朝8時～で続けていた会が、めでたく先日読了したので、﹁徳丸本LT会﹂を実施しました。なんと、著者である徳丸氏にも特別ゲストで参加頂きました！体系的に学ぶ安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践/徳丸浩￥3,360Amazon.co.jp セキュリティの話となると、非技術者の事業責任者は﹁難しくてよくわからない・・・﹂という事が多いと思います。しかし、ユーザーが安心

security_check 2012/03/02

事業責任者が知っておくべき、セキュリティの話｜椿ブログ｜Ameba (アメーバ)

blog
opinion

リンク

SELinux無効化でカーネルパニック - CentOS6の備忘録

SElinux無効化設定 CentOSでSELinuxを無効化します。 # vi /etc/sysconfig/selinux # cat /etc/sysconfig/selinux # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy is enforced. # permissive - SELinux prints warnings instead of enforcing. # disabled - No SELinux policy is loaded. SELINUX=enforcing # SELINUXTYPE= can take

security_check 2012/03/02

SELinux無効化でカーネルパニック - CentOS6の備忘録

tech
blog

リンク

ネットを利用するときに気をつけたいこと - ぼくはまちちゃん！

こんにちはこんにちは！！昨日、こんな記事を見かけたよ。 » コドモのソーシャルネットワーク事情〜親ならこれだけはやっておけなるほど、いいこと書いてあるし、わかりやすい。そんなわけでぼくも、﹁ネットを利用するときに気をつけたいこと﹂について、自分なりに思うことを書いてみるよ。情報は紐付くちょっとした情報を元に、ネットAとネットBが紐付くのはもちろんだし、リアルの情報まで紐付くこともよくあること。ひとつひとつは大したことない情報でも、情報が紐付くと、さらに色々なことが芋づる式に誰かにわかるよ。過去と現在が紐付く今は、君のことを気にかけているのはまわりの友達だけかもしれない。けれど情報は残る。将来、5年後、10年後…、君がうっかり書いた言葉が、たまたま炎上した時、犯罪者のようなレッテルとともに、過去の全てと、紐付いたリアルの情報を、大勢の人に晒されることになる。

security_check 2012/03/02

ネットを利用するときに気をつけたいこと - ぼくはまちちゃん！(Hatena)

リンク

Google がまだ Flash を使っているサービスでみる脱 Flash の難しさ - てっく煮ブログ

Flash, HTML5スマートフォンの普及が進む中、iPhone には Flash が搭載されず、Android 版 Flash は開発停止になるなど、遅かれ早かれ Web 上から Flash が消えていき、リッチな表現は HTML5に置き換わっていくことは確実となりました。﹁これからは HTML5だ﹂という印象を世間に強く与えたのが、2009 年の Google I/O でした。Google I/O 2009 レポートグーグルが賭けるHTML5の未来 − ＠IT Google はそれ以降、多くのサービスに HTML5を取り入れてきました。しかし、いまだに Flash を利用しているサービスがいくつかあります。この記事では HTML5化していない、または、できていない5つの Google のサービスを通してどのこで Flash が使われているのかなぜ Flash が使われて

security_check 2012/03/02

Google がまだ Flash を使っているサービスでみる脱 Flash の難しさ - てっく煮ブログ

リンク

アプリ使用を見直した方が良い!? 個人情報が漏れまくっているかもしれないぞッ！ | ロケットニュース24

Googleが2012年3月より、新たなプライバシー・ポリシーの発行を予定しています。それに先立って、海外の専門家は情報管理に注意を呼びかけているのですが、また新たにウェブ利用に関する危険が指摘されているようです。それはアプリに関するもの。スマートフォン端末にインストールしているアプリが、勝手に位置情報やウェブ閲覧履歴を送信、ものによってはカメラを操作したり、盗聴している可能があるというのです。専門家はこれを﹁プライバシーの危機﹂と見なし、警戒感を示しています。英ニュースサイト﹁MailOnline﹂によると、次の個人情報がアプリによって不正に使用されているかもしれないそうです。﹁位置情報﹂、﹁ウェブ閲覧履歴﹂、﹁テキストメッセージ﹂、﹁電話帳﹂、﹁オンラインアカウント﹂、﹁通話履歴﹂。さらに通話を傍受したり、カメラにアクセスして勝手に撮影することもあるとしています。プライバシー・イ

security_check 2012/03/02

アプリ使用を見直した方が良い!? 個人情報が漏れまくっているかもしれないぞッ！ – ロケットニュース24（β）

blog
privacy

リンク

iPhone をウイルスから守る為に心掛けたい8つのこと | AppBank

先日、Mac に感染する Flashback.G というトロイの木馬型ウイルスが発見されました。こういったウイルスは﹁Mac はウイルスに感染しない﹂という噂があったにも関わらず、年々増え続けています。気になることに iPhone にも﹁ウイルスには無縁・感染しない﹂という、Mac と同様の噂があるようです。しかし、実際には iPhone もウイルスとは無縁ではありません。どんな電子機器にもウイルスが感染する恐れは常に存在します。iPhone の場合、その可能性がゼロなのではなく、現在はきわめてその可能性が少ないだけなのです。いわゆる﹁安全な環境﹂を手に入れるためには、メーカーによる頻繁なアップデートの公開といった対応も必要ですが、最終的には利用者自身が注意するしかありません。そこで今回は iPhone をウイルスから守るために心掛けたいことをご紹介します。はじめに iPhone

security_check 2012/03/02

iPhone をウイルスから守る為に心掛けたい8つのこと - AppBank

blog
iphone

リンク

不適切な脆弱性情報ハンドリングが生んだ WordPress プラグイン cforms II のゼロデイ脆弱性 - co3k.org

2012/02/15、 JVN から JVN#35256978: cforms II におけるクロスサイトスクリプティングの脆弱性が公開されました。これはクレジットされているとおり、海老原と、同僚の渡辺優也君が勤務中に発見した脆弱性です。脆弱性自体はどこにでもあるような普通の XSS ですが、実はこの脆弱性、 2010 年10月に exploit コードが公開され、それから1年4ヶ月後の 2012 年2月まで修正版が提供されていなかったものです。このような危険な状態が長期間続いていたのには、様々な理由があります。ここでは、その説明と、どうすれば事態が防げたかということについて検討したいと思います。脆弱性の概要本題に入る前に、主にcforms II のユーザ向けに脆弱性自体の概要についてざっくり説明します。前述のとおり、未修正の状態で exploit コードが公開

security_check 2012/03/02

http://t.co/iUMqj2eG - Blog - 不適切な脆弱性情報ハンドリングが生んだ WordPress プラグイン cforms II のゼロデイ脆弱性

blog

リンク

無料で使える1億5000万人が使用中のアンチウイルスソフト「Avast！」

無料で使用できて、ウイルスやスパイウェアをブロックしてPCをリアルタイム保護、定義ファイルは研究所のクラウドサーバーからリアルタイムで受信してくれるアンチウイルスソフトが﹁Avast！﹂です。全世界でのアクティブユーザー数は記事を執筆した2月27日21時現在、1億5010万7324人だとのこと。今回リリースされたバージョン7では、動作が前に比べてより高速になり、Windows8に対応。さらに新機能を搭載しています。アバスト! | 無料アンチウイルスまたはインターネットセキュリティのダウンロード http://www.avast.co.jp/ ﹁ダウンロード﹂をクリック赤枠で示した﹁ダウンロード﹂をクリック。なお、Adblockなどを使っていると無料版だけダウンロードボタンが表示されないことがあるので注意。ダウンロードしたインストーラーを起動﹁高速インストール﹂をクリック

security_check 2012/03/02

無料で使える1億5000万人が使用中のアンチウイルスソフト「Avast！」 - GIGAZINE

リンク

はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知

はてなグループの終了日を2020年1月31日(金)に決定しました以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記はてなグループ日記のエクスポートデータは2020年2月28

security_check 2012/03/02

メールアドレスや電話番号から友人を検索する機能について知っているいくつかのこと - 金利0無利息キャッシング – キャッシングできます - subtech

blog
privacy

リンク

大人と違う？子供のソーシャル事情〜親ならこれだけはやっておこう　の資料を公開しました - 家庭内インフラ管理者の独り言（はなずきんの日記っぽいの）

本日の大プ会廿＠寝屋川（プ会37とコードシェア）でお話しさせていただいた大人と違う？コドモのソーシャル事情〜親ならこれだけはやっておけ(PDF版)をスライドシェアに公開しています。動きのあるpptx版はGoogleドキュメントからダウンロード可能です。 2012/02/27追記：大プ会廿＠寝屋川（プ会37とコードシェア）垂れ流し - Togetterをまとめました。コドモのソーシャルネットワーク事情?親ならこれだけはやっておけ 45分の発表後に頂いたお話としては以下のような内容がありました都道府県別フィルタリング利用率に関してはあえて都道府県差異がある結果を公表することで「うちの県が遅れている」という意識が芽生えるようにしているデータかもしれないアメーバピグの昼間の小学生イン率の高さは異常学校裏サイトとかは過去の話だよね実際に、この資料を作成するに当たり、いろいろな親御さんや実際

security_check 2012/03/02

大人と違う？子供のソーシャル事情～親ならこれだけはやっておこう　の資料を公開しました - インフラ管理者の独り言（はなずきん＠...

blog
sns

リンク

Nothing ventured, nothing gained.

security_check 2012/03/02

Facebookでスパムアプリだと騒ぐ前に - Nothing ventured, nothing gained.

リンク

高木浩光＠自宅の日記 - ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか

■ ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか SuicaやEdyの登場によって、カードに記載の番号が新たな問題をもたらすであろうことは、8年前に関心を持ち、何度か書いた。 Edyナンバーは易々と他人に知らせてよい番号なのか, 2004年2月29日の日記 Edyナンバーはどのように使われるものか, 2004年7月11日の日記許諾なしに公表されるEdyナンバーとSuica番号, 2004年7月11日の日記その後、EdyナンバーやSuicaのIDiは無闇に掲示されることはなくなり、問題は起きなかった。コンビニのam/pmがEdyを用いて独自に展開していた﹁club ap﹂でも、利用者登録にはam/pm店舗のレジで印刷してもらう﹁仮パスワード﹂を必要とするようになっており、まあ一応ちゃんと設計されていた。*1 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。

security_check 2012/03/02

高木浩光＠自宅の日記 - ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか

blog
pasmo

リンク

はてなブックマーク

タグ

関連タグで絞り込む (49)

blogに関するsecurity_checkのブックマーク (92)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第1週）

月間はてなブックマーク数ランキング（2024年6月）

今週のはてなブックマーク数ランキング（2024年6月第5週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス