■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
Web サイトの改ざん事件を追っていると、「どのサイトが改ざんされた」や「どこどこのサイトに誘導される」、「どういったマルウェアに感染する」といった解説記事をよく見ます。しかし、「どうやって Exploit コードが実行される」とか、「どのブラウザだと Exploit コードが実行される」のかといった解説記事をあまり読んだことがありません(単に僕が読んだことがないだけかも)。Exploit コードの起動処理を調べるたびに、Wepawet (alpha)からサンプルを探すのも面倒なので、Wepawet からサンプルをピックアップして、それらをまとめてみます。 いつも以上にニッチなテーマなので(汗)、長々としたまとめを読みたくない場合、結論だけどうそ。 注意事項 この日記を読む際には、以下の点をご理解ください。 Adobe Reader の脆弱性を悪用する攻撃コードのみまとめています Wepa
OAuth とかについて なんかいろいろ理解してない人がいるように見えるので。 あるサービスでのリソースに対するアクセス権をデスクトップアプリケーションなり Web アプリケーションなりに移譲する時に、一番簡単な方法は ID と PW をそのまま渡してしまう方法。 twitter では従来これが用いられてきた。 twitter の情報なんて大したことないから、 ID/PW 流出しても問題ないよね、というような論調比較的よく見ます。こういうこと言うのは迷惑。死んでください。 twitter と他のサービスで ID/PW を分けている人がいったいどれくらいいるのか。多数派ということは無いと思います(根拠無い推測だけど間違ってないと思う)。 twitter で使っている ID/PW が流出すれば様々な悲劇が起きます。 一次流出もとは他のサービスですが、これによって悲劇が起きた事例と
■ ケータイ脳が大手SI屋にまで侵蝕、SI屋のセキュリティ部隊は自社の統率を 昨年示していた、 やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合, 2009年8月2日の日記 日本の携帯電話事業者の一部は、「フルブラウザ」にさえ契約者固有ID送信機能を持たせて、蛸壺の維持を謀ろうとしているが、iPhoneのような国際的デファクト標準には通用しないのであって、今後も、他のスマートフォンの普及とともに、蛸壺的手法は通用しなくなっていくであろう。 そのときに、蛸壺の中の開発者らが、このニコニコ動画の事例と同様のミスをする可能性が高い。「IPアドレス帯域」による制限が通用しない機器では、アプリケーションの内容によっては特に危険な脆弱性となるので、関係者はこのことに注意が必要である。 の懸念が、今や、さらに拡大し、ケータイ業者のみならず、一般のシステムインテグレータの思考
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
VirusTotal は無料の ウイルス/マルウェア オンライン スキャン サービスですファイル送信中 アップロード完了までウィンドウを閉じないで下さい 要する時間はファイルサイズ、ネットの混み具合およびあなたの通信速度に依存します。
第10-15-182号 掲載日:2010年 4月 5日 独立行政法人情報処理推進機構 セキュリティセンター(IPA/ISEC) IPA (独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2010年3月および2010年第1四半期のコンピュータウイルス・不正アクセスの届出状況をまとめました。 (届出状況の詳細PDF資料はこちら) 「ガンブラー」の手口によるウェブサイトの改ざんは依然として続いており、いまだに「某ウェブサイトを閲覧したらウイルス検知の警告が表示された」、「顧客からの通報で自社ウェブサイトの改ざんが発覚した」などの相談や届出が IPA へ寄せられています。また、攻撃者による改ざんの手法も様々に変化し、改ざんチェックを正確に実施することが困難になってきており、改ざん対策がますます重要になってきています。 ウェブサイト管理者は自身のウェブサイトの管理方法を再確認し、改ざん被害に遭
ウイルスチェックを行うにはではSophos Anti-Virusを紹介した。今回は、個人で非商用に限って無料で使用できるアンチウイルスソフト「AntiVir Linux Workstation」を紹介する。 AntiVir Linux Workstation(以下、AntiVir)は、ドイツのH+BEDV(http://www.hbedv.com/)の製品だ。Linuxだけでなく、DOSやWindows、FreeBSD、Solarisなど多数のOSに対応しており、上記のWebサイトからオンラインで購入することもできる(価格は8446円)。 AntiVirをインストオールするには、同社のページ(http://www.hbedv.com/en/products/antivir_workstation/)からAntiVir Linux Workstationのファイル(avlxwks.tgz)を
これは小さいながらも結構影響あるんじゃないかな。脆弱性検査のサービスで Nessusを使っているところは多いはず。その Nessusのライセンス体系が 2008年7月31日から変更される。 Tenable Network Securityのレターから • First, we will continue to enable all users to download Nessus for free. • Second, due to computers and personal networks having become ubiquitous in homes around the world, Tenable will launch a “HomeFeed” with all Nessus vulnerability plugin updates for home users at no
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
