security
ここでも「便利機能は怖い」法則発動かな? 個人的にはUPnPなんてセットアップの最初に無効にするし、FlashもNoScriptでデフォルト無効なんでどうということはないけど、世の中にUPnP前提のIP電話やメッセンジャーサービスの類がごろごろしてるご時世だし、UP…
ブラウザに9100/tcpへデータを投げさせるってか。いろんなことを考えるもんだなぁ。それにしても理論的には、プリンタにファクスの送信やハード・ドライブのフォーマット、新しいファームウェアのダウンロードを指示するなど、より危険なコマンドも発行でき…
ユーザーが特定のWebサイトを閲覧すると2003年から2006年にかけてMicrosoftがパッチを公開済みの脆弱性を利用してコードが実行され、Windows 2000とXPでは未解決で、Vistaは2006年に部分的にセキュリティがかけられたプログラムがユーザーモードでMBRを含む…
お金目当ての動きは、防御する側にとってすべて悪いニュースというわけでもない。Flake氏は、得られる金額に比べたシステムの攻撃コストにハッカーたちが敏感になっていることを指摘する。つまり、技術的に高度なものよりも、たいていの場合は最も安上がりな…
いかにしてMicrosoftはダメダメから脱却せしか、ですな。
ビビるべきかどうか微妙やな。3ivx MP4コーデックに影響するmp4ファイルをWindows 2000環境で開くときにmplayer2.exeが呼び出されるんか否か、がポイントだと思うんだけど。もっともねた元によればWin2Kは無印〜SP2だけが対象らしいんで、あんまり心配する必…
購入画面のURLの一部を書き換えると、実際の購入ポイントよりも少ない支払金額で決済できてしまうシステムの欠陥 1万円分を申し込んでいるのに、振り込みは1000円ですむように、URL欄の文字列を操作するなどしていた hiddenフィールドにして隠し…
4%って、ちょっとにわかには信じがたい高率だな。ボロ儲けどころの騒ぎじゃない、惨憺たる実態。
Operation Bot Roastって名前が、なんか格好いい。 ウイルス対策ソフトを更新する、ファイアウォールをインストールする、破られにくいパスワードを使う、電子メールとウェブセキュリティに妥当な対策を適用するなど、強固なコンピュータセキュリティ習慣を…
これは洒落たデモンストレーションだし、第一級の脅威でもありますね。いよいよMD5の最後の日かな。ただ、すでにSHA1でも似たタイプの攻撃法が確立しつつあるってのがもっと怖い。代替ハッシュ手法の公募(米、日)結果って、どうなったのかしら。
一般向けにブラウザでJavaScriptおよびActiveXを実行しないよう設定すべきと言い切ったのは、ひょっとしてかなり新しいかも。
「これはひどい」以外になんと感想を書いたもんかね。最後のなんかはさすがに、行名と担当ベンダー名を公表して欲しいなぁ。 24%のサイトにおいてURLを表示するアドレス・バーが隠されてしまう URLが「bank.co.jp」のとき、「bank.com」を第三者が取得可能…
APではないアドホックネットワークに注意すること……どう注意したらよいのか書いてよ。 スクリーンショットに、APのMACアドレスにしか思えない文字列がモザイクもボカシもなしに載ってるんですが、良いんでしょうか。
メモメモ。俺的にはここで上がってるものに加えて、以下の3つを利用中。 //www.customizegoogle.com/" title="CustomizeGoogle: Improve Your Google Experience -- Firefox Extension">CustomizeGoogle:Google様がBig Brotherに豹変する悪夢の未来を未然に…
直接アクセス可能なSQL Serverが約36万8,000台でSQL Serverの4%は、2003年に広まったSQL Slammerワームの攻撃に対し、いまだに脆弱なままってことは、今すぐにでも14,720台の任意コード実行可能なホストがあるわけかいな。苦労してボットネットを構築する手…
グーグルボットから逃れるためには、明示的に巡回を拒否するという設定が必要だ。今回の流出事件は、ID・パスワードをかけていなかったのはもちろん、この設定を怠っていたことが原因だとも言えそうだ。 「そもそもThe Netに直接繋がったWebサーバーに置くな…
ところでただ乗りした人たちって、DNS詐称で偽サイトへ誘導されるとか上位回線との間でパケットキャプチャされるとかの危険への対策をとってたんだろうか。
ターゲットはネトゲか。軍事機密がどうこうってのは勘違いだったのか、はたまた台湾軍には勤務中にネトゲ三昧な連中がごろごろしてるのか、どっちかな?
Firefoxのアドオンで悪質なURIを開いた場合というのが、具体的にどういうシチュエーションなのかいまいっちょ不明だが、任意のコードを実行される恐れもあるそうなんで用心に越したことはない。プロキシサーバやアプリケーションファイアウォールを使ってjar…
「賛同するお友達と一緒にみんなで、このプログラムを走らせましょう」レベルか。田代砲とかF5アタックの水準やね。しかしまぁ逆に考えれば、ここからわずか数年で、複雑なコマンド&コントロールが可能な世界的規模のボットネットまで来ちゃったわけだ。こ…
経済産業省の「消費生活用製品のリコールハンドブック」が興味深い。↓のいつもの調子にも噴いた。 長文を読むのが苦手な一般の人たちが、上から順に目を通して、「ご安心ください」だの、「プログラムを入れ替えていただく必要はありません」という文字を見…
末端の消費者としては、これを使ってる各ベンダーが自社製品向けのパッチとして出してくるのを待つしかないのかな? 普通のエンドユーザーが InstallShieldを使ってインストールされたソフトはどれか そのうち問題のUpdate Service機能を使っているものはどれ…
自分でいくら警戒しても、近所で誰かが検索・登録しちゃえばそれまでってことだから、MACアドレスと自分自身をひも付けされた時点で負けってことか。なるほど、前回のデイリーポータルZの記者氏がどれほど迂闊だったのか、改めて分かったような気がする。
む、SSIDはなるべく無機的でどこにでもあるような文字列にすべし、組織名や部署名を入れたり利用者が特定できそうなものにするのはもってのほか、ってのはまだ常識になってなかったか。というかそもそもSSID秘匿をデフォルトにしとけばいいのに >各ベンダー…
最終的に情報が落ち着いてまとまったようなんでメモ。もっとも問題の回避方法はないようだそうなんで、当面は気をつける/各アプリ側でのワークアラウンドに期待するしか無いわけだが。
国家のセキュリティ情報機関がホスティングサービスを受けてたサービスプロバイダーのネットワークからARPポイズニング攻撃ですか。これは笑うところなのかな? しかも1週間の連休中で、エンジニアが休みを取っていたからって言い訳みたいに書いてあるけど、…
修正までにかなりかかったような、と思ったら現地時間9月28日には修正完了してたのね。当然ながら既に「俺が使ってるGmail」も安全になってるわけで、こういうときはWebサービスは便利だな。身に覚えのない怪しげなフィルタも出現してなかったし、本件はこれ…
高木浩光@自宅の日記 - 緑シグナルが点灯しないのに誰も気にしていない?という不思議より。これはよい。幸い俺のメインバンクは高木先生基準でオール○だし、この拡張があれば騙されないことになる。さっそく入れておこう。
はてブ注目エントリー経由仙石浩明の日記: chroot されたディレクトリから脱出してみるより。また出た「セキュリティ対策としてよく為されている○○は実は意味はない」。クラッカーやスクリプトキディに一手間増やしてあげることを無意味だと言い切れるっての…
やれやれ、また“彼ら”に知らせていい情報やヒントなどないということを理解できない人たちが、「こんなセキュリティ対策はダメダメだ」「隠すのは対策にならない」とはしゃぐんだろうな。