Jeremiah Grossman氏のブログなどに書かれていますが、非公開としていたJiktoのソースコードが流出したそうです。あわせて、先月のShmooConでのプレゼン資料が公開されています（概要だけならば、この資料の方が理解しやすいです）。ソースコードとプレゼン…

まっちゃだいふくさんの日記経由で。 航空機内で乗客が使用した携帯電話などの電子機器の影響で、機体に異常が出た件数が０５年には４８件あり、９９年の１０件から激増したことが国土交通省の調べで分かった。 （略） 国交省によると、これまでに報告された…

日本ベリサイン、EV SSL対応サーバー証明書の発行を開始 - ITpro ベリサインも、EV SSLのサーバ証明書の発行を開始したそうです。 日本ベリサインは2007年3月28日、EV SSL対応のサーバー証明書の発行を開始した。価格は17万100円から。 （略） 従来のサーバ…

Jiktoの話です。Billy Hoffman氏本人のブログを見ると、以下のように書いています（下線は私が付けたものです）。 I'll discuss how JavaScript is capable of crawling and auditing 3rd party websites just like a traditional web scanner. As a proof o…

SessionSafeは、ハンブルグ大学のMartin Johnsさんが書いたWeb APの方式案です。もしWeb APにXSS脆弱性があって、これが攻撃されたとしても、 セッションIDが盗まれない 当該ページ以外の情報が窃取・改竄されない ことを目指しています。面白いなーと思った…

一部でAdSenserというサービスが話題（問題）になっているようです。 Google AdSense広告を掲載しているサイトを対象とした検索サイトだそうな。アドセンスは基本的に一人1つのIDしか発行しないので、全く内容の違う複数のサイトに広告を貼る場合でも、同じ…

容疑者は自動的にアクセスを試行するプログラムを作成し、2日間で17万回のアクセスを行い、26名分のIDとパスワードを入手、このうち5名分の取引履歴を閲覧していた。 https://www.netsecurity.ne.jp/1_8865.html 17万回のアクセスで26名分のIDとパスワードを…

まっちゃだいふくさんの日記経由です。KDDIが総務省から勧告を受けたようです。 総務省は9日、1月に発覚したau携帯電話の解約者（約22万4千件）の個人情報漏洩に関し、KDDIに対し個人の権利利益を保護するために必要な措置をとるよう、個人情報保護法第34条…

多くの携帯サイトでは、GETパラメータでセッションIDの引き回しをしているようです。そのようなサイトでは、ユーザが外部サイトへのリンクを踏んだ際に、リファラーからセッションIDが外部サイトに漏れてしまう問題が指摘されています。今日はこの問題につい…

タイトルが少し変になっていたので修正、あわせて本文にも追記しました（2007/03/22） 利用者は認証画面の中にマトリックス状に表示される複数の画像から、家族やペット、ふるさとの風景など自分にとって懐かしい写真や図柄に触れることで認証を行う。ダミー…

情報セキュリティ大学院大学の辻井学長によれば、「情報セキュリティとは、情報技術によって拡大した自由を損なうことなく、”技術、管理運営手法、法律・社会制度、情報モラルを相互に深く連携させ、協調させて、利便性、効率性と安全性の向上、プライバシー…

http://www.owasp.org/index.php/OWASP_Testing_Projectざっと中身を見てみました。270ページもあるので、読み終わる頃には目がしょぼしょぼになります。SDLC全体でセキュリティ対策をする・・・というように書かれていますが、内容的にはPenetration Testの…

KCCS（京セラコミュニケーションシステム）の2007年版 Webアプリケーション脆弱性動向という資料を読みました。資料のダウンロードは以下から（氏名住所等の入力が必要）。 https://www.kccs.co.jp/contact/paper_websecurity/index.html昨年KCCS社で実施し…

携帯電話のWebAPセキュリティについて、話題になっているようです。http://takagi-hiromitsu.jp/diary/20070223.html#p01 http://kaede.to/~canada/doc/sessionid-and-cellphone携帯ブラウザは、一切リファラーを送らないと信じていたんですが、ネットで調べ…

<p>ココ</p> 上記の ココ に任意の文字列を挿入できる場合、最短で何文字でJavaScriptを起動できるのか？ というような話題です（完全にお遊びです）。http://sla.ckers.org/forum/read.php?2,6964,7145forumの内容を参考に、手元の環境でやってみると、以下が最短…

Google がリダイレクタにフィッシング対策を施したとのニュースを、ha.ckers.orgで読みました。1月末のslashdot（日本版）の記事でも、これを取り上げていました（どうも見落としていたようです）。 google.comがクリック数を計測するために用意しているリダ…

ニュージーランド南方の南極海で見つかった世界最重量の巨大イカ。体長は約１０メートル、重さは約４５０キロにもなり、これまで発見されたイカの中では世界最重量になるという（同国漁業省提供） http://headlines.yahoo.co.jp/hl?a=20070222-05046137-jijp…

ロバート・アドラー氏（テレビのリモコンの共同開発者）ＡＰ通信によると、１５日、米アイダホ州の医療施設で心不全のため死去、９３歳。４１年、米家電メーカー、ゼニス・エレクトロニクスの研究部門に入り、５６年に開発された超音波を使うリモコン「ゼニ…

最近やっと、OpenIDというものの存在を知りました（遅い！）。自分のブログURLをIDで使える!―OpenID.ne.jp(オープンアイディー）ちょっと調べてみました。 概要 いわゆるSSO（シングルサインオン）サービスです。 単一のID/パスワードで、複数のWebサイト（C…

今日の日記では、以下のようなPHPコードへの攻撃について書きます。

Yahoo! Japanが、自身のログイン履歴を参照できる機能を導入したそうです。ITPro - ヤフー、第三者による不正ログインを早期発見する機能を提供コンシューマ向けのサイトで、この種の機能を持つものは少ないですね。私はオンラインバンキングくらいしか知り…

XSS（クロスサイトスクリプティング）に関する本が出版されるようです。XSS Attacks: Cross Site Scripting Exploits and Defense作者: Seth Fogie,Jeremiah Grossman,Robert Hansen,Anton Rager,Petko D. Petkov出版社/メーカー: Syngress発売日: 2007/05/2…

Stefan Esser氏*1へのインタビュー記事がSecurityFocus - PHP Security From The Insideに載っています。インタビュー記事の内容は PHP Security Response Team を辞任した経緯などなど、結構盛りだくさんですが、注目すべきは記事の3ページ目の『2007年3月…

もうそろそろ、3人目の甥っ子ができそうです。自分が叔父さんになるなんて・・・と思っていたら、あっという間に3人目になりました。国外での出産ということもあり、少々不安です。無事の出産を祈願！！！

「誰かに脅迫されて、自分の預金を引き出す時には、銀行のATMで暗証番号を逆順に入力すればよい。通常通りお金を引き出すことができるが、あなたが脅されていることが警察に通報される――真偽の程は不明だが、そんな噂を聞いた。」Reverse Pin Numbers Enable…

私も何度か利用したことがあります。数年前から取扱う商品のジャンルが広がっていったので、事業が順調に拡大しているのかなと思っていました。ニュースを見て驚きました。impressの記事の内容は生々しいです。ナニワ金融道の世界を彷彿とさせます。昔、私が…

SPIT（SPAM over IP Telephony）関連の話です。 IP電話はブロードバンド環境の整備に伴い、企業／家庭を問わず急速に普及しているが、その使いやすさからアナログ電話同様に自動広告通話やフィッシング詐欺（ビッシング：VoIP版フィッシング）といったSPITに…

SHA1でハッシュ化したパスワードは危険になった - yohgaki's blogを読みました。その記事に関連したことを書きます。 ハッシュアルゴリズムの切替え 記事を読んで思い出したのは、既にパスワードをハッシュ化して保存していて、そのアルゴリズムが脆弱になっ…

今更ながらですが、PHPのmagic_quotes_gpcをOnにすべきでない理由を整理してみます。世の中には、magic_quotes_gpcはOffにすべき、と書いた文章は多数あるのですが、その理由を（私が見る限りで）十分に説明しているものは無いからです。以下では、1. 対象外…

Jeremiah GrossmanのBlogに、Preventing CSRF when vulnerable to XSSという記事がありました。MySpaceワームなどを念頭に、XSS脆弱性がある状態でCSRFを防ぐアイディアを記述しています（現時点ではあくまでも実験的な内容だと、冒頭に注意書きされています…