ストリーミング・ジャパンが以下のURLで提供しているFlash動画プレイヤーの「ふらだんす」に存在し修正された、僕が報告した3件のXSSについて書きます。 http://www.streaming.jp/fladance/ 更新しましょう 2013年4月12日に提供されたバージョン 2.1.5以降 を使っていなければXSSの穴をサイトに作っていることになります。一応「ふらだんす」の上で右クリックすると使っているバージョンがわかるので脆弱かどうか確認できますが、こういったFlashの動画プレイヤーの更新情報をちゃんとチェックしている人はほとんどいないと思うので、最近導入した人でなければまず脆弱なものを使っていると思います。心当たりがある人は「2.1.5」に更新しましょう。あるいは使っているサイトをみかけたら教えてあげましょう。 これ以降は技術的な話です。 技術的な話 あらかじめことわっておく
ある日突然、PayPalからこんな購入した覚えの無いメールが届いたらどうしますか? 先日僕の所にやってきたPayPalの支払い確認メール。一瞬誰かが僕に募金をしてくれたのかと勘違いしましたがPayPalで確認した所Delphine DIETZというマーチャントへ支払いが”完了”している。 まずはDelphine DIETZをググるもそれらしい情報も出てこないのでフィッシングされたなと思いました。結果的には返金されたのでその流れを書きたいと思います! まずはPayPal問題解決センター PayPalにアクセスし、[マイアカウント]の中にある[問題解決センター]を押すと、取引に異議を提出するというボタンが出て来ます。ここから単純な入力フォームを数回記入するとPayPalから確認メールが届きます。 先日、お客様にお心当たりがないか、同意なしに取引が行われたという報告をいただきました。当社では、現
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
Live Nation says its Ticketmaster subsidiary was hacked. A hacker claims to be selling 560 million customer records. An autonomous pod. A solid-state battery-powered sports car. An electric pickup truck. A convertible grand tourer EV with up to 600 miles of range. A “fully connected mobility device” for young urban innovators to be built by Foxconn and priced under $30,000. The next Popemobile. Ov
あまり気分の良くない事実を発見し、それに基づいて推測と簡単な検証をしたので書き記しておきたいと思う。 ある晴れた日の午後のことです。あるところに Twitter をはじめたいという人がいました。そこで、僕はその人の手伝いをしました。まずは彼の iPhone に公式の Twitter アプリをインストールし、Twitter ID を作成し、「フォローする人を見つけよう」というボタンをタップしました。 まず、最初に現れたのが「友達をフォローしよう」というボタン。アドレスブックのメールアドレスから検索してくれるそうなのですが、残念ながらボタンを押しても誰も現れませんでした。「次へ」を押すと現れたのが、「おすすめ」という画面。おすすめユーザーに僕の Twitter ID が入っていました。ここで、何かがおかしいと気が付きました。彼に Twitter に登録したメールアドレスを教えた覚えはありません
■ Wi-FiのMACアドレスはもはや住所と考えるしかない 目次 まえがき これまでの経緯 2つのMACアドレスで自宅の場所を特定される場合 SSIDに「_nomap」でオプトアウト? PlaceEngineはどうなった? まえがき 先週、以下の件が話題になった。 Greater choice for wireless access point owners, Official Google Blog, 2011年11月14日 Removing your Wi-Fi network from Google's map, CNET News, 2011年11月14日 グーグル、Wi-Fiネットワークの位置情報収集で対応策を公開, CNET Japan, 2011年11月16日 Google's WiFi Opt-Out Process Makes Users Navigate Technic
公開: 2011年11月15日2時20分頃 ※この日記にはトルネ (www.amazon.co.jp)の隠しトロフィーに関するネタバレが含まれています。隠しトロフィーの情報を知りたくない方はご注意ください。 「PS3のトロフィー情報からユーザーをプロファイリングする」の続きです。既に高木さんが「テレビ録画機「トルネ」の視聴ジャンルが無断公開されている (takagi-hiromitsu.jp)」という記事を書かれていますので、興味のある方はそちらも参照してみると良いでしょう。 さて、私のトロフィー情報は「プロフィール - MinazukiBakera (playstationhome.jp)」で公開されていますが、ここにはトルネのトロフィーもあります。 トルネのトロフィーは全てが隠しトロフィーのようで、端から見ても名前が分かりません。そのため、どのトロフィーを取得しているのかは分からない…
■ なぜソニーが駄目でアップルやマイクロソフトは良いのか 8月14日の日記を書いた翌週のこと、なんとなく「hiromichu」でググってみたところ、以下のページが見つかり、魂消た。 hiromichu - PlayStation®Home オフィシャルサイト, http://playstationhome.jp/community/mypage.php?OnlineID=hiromichu このページで「トロフィー」のところをクリックすると、なんと、私がどんなゲームで遊んでいたかまで表示されてしまう。URLの「OnlineID=」のところに任意のIDを指定することで、全ての人のゲームプレイ状況を閲覧できてしまう。(このサイトにログインしていなくても。) プレステ3を買ってPlayStation Networkを使い始めてかれこれ何年にもなるが、これまで、全くこのことに気付かないまま、いくつ
スマートフォンアプリは果たしてどこまで、端末に関する情報を取得してもいいのだろうか。 位置情報と連動してお勧め店舗情報を表示したり、過去の検索履歴を基に商品を提案したりと、端末の情報やユーザーの行動履歴を活用するスマートフォンアプリが登場している。中には便利なものも多いが、一歩間違えれば、ユーザーのプライベートな情報が筒抜けになりかねない。結果として、スマートフォンを活用したビジネスやそれを支える広告市場までもが、否定的な目で見られ、発展を阻害される恐れもある。 この議論が起こったきっかけの1つは、ミログが公開していた「AppLog」と「app.tv」というアプリだ。AppLogはSDKの形で提供され、これを自前のアプリに組み込むと、Android端末にインストールされているアプリの情報やその起動回数を収集し、同社のアプリケーション分析サービスに送信するようになっていた。開発者にはインスト
何気なくBlackHatのスライドを見ていた。 すると、とんでもないことが書いてあった。 Popping Shell on A(ndroid)RM Devicesより、 webkitの未公開の脆弱性を発見すれば、$35k~$95k、1$80円換算で280~760万円の相場らしい。 凄いな、年に1,2個脆弱性を見つければ、食っていけるじゃん。 そりゃハッカー頑張っちゃうよ。 このスライド、後半に書いてあることも凄い。Android2.1だと特定のJavaScriptを踏むだけで、webkitの脆弱性から任意のコードを実行、つまりremote shellを起動、さらにlinuxの脆弱性も突いていてroot権限で動くという最悪コンボが実現可能。 それはつまり、悪意のあるページを踏むだけで、例えば個人情報を丸ごと抜かれたり、勝手にメールを送信したり、勝手に何かをインストールして実行されたり、更なる
Facebookのアカウントは本名が基本ですので、フレンド申請される人の名前をみていて「以前このハンドル名で会った人かな?」と、確信がないまま承認してしまうことがたまにあります。 しかしそうしたことを繰り返していると、アカウントをのっとられてしまう可能性があることが The Blog Herald の記事で紹介されていました。その方法とは以下の通りです。決して悪用してほしくないですが、簡単にできてしまいますね…。 アカウントをのっとりたい相手にむかって3名分のダミーアカウントでフレンド申請を行う 相手がそれを承認したら、相手のアカウントに対してでたらめなパスワードでログインを数回試みる メールと携帯電話番号、そして秘密の質問による認証にもでたらめに答えて すると「3人の友人にあなたが本人であることを認証してもらってください」という表示があらわれ、3人を選択できます。乗っ取りを目的としている
毎年ハッキングチームが各種発表を行うChaos Communication Congressで、WiiのTwilight HackやHomebrew Channel、BootMiiといったWiiのハックシーンの中心となるハッキングを発表してきたTeam Twiizersのメンバー(marcan氏、bushing氏)とsven氏(Team Twiizersのメンバーには名を連ねていない)が長年鉄壁のセキュリティと言われてきたPlayStation3の壁を完全に打ち破るfail0verflowを発表しました。fail0verflowと聞いてもピンと来ないので、いろんな海外サイトから情報を集めてみました。Geohot氏のexploit、PS Jailbreakに続く第三の波fail0verflowは今までで一番大波かもしれません。 【情報源:PSGroove Sony’s PS3 Securit
GAME | “PlayStation Network”/“Qriocity”をご利用の皆様へのお詫びとお願 http://cdn.jp.playstation.com/msg/state.html 現在ハッキングを食らってえれーことになっているPSN。こちらには曖昧に濁してある情報だが、海外の方にはもうちょっと正確な情報が書いてある。 http://www.phileweb.com/news/d-av/201104/28/28370.html ここ曰く。・アカウントとパスワードとメルアドは抜かれました。・でもクレカ情報のDBは暗号化されています。 と言う話になっている。 実は、去年の11月頃俺はPSNのハッキング被害に遭っている。 だが、その事をここでは記載しなかった。理由は当時「クラックした奴がハッキング被害に遭っている」という論調が某ゲハブログに酔って醸成されていたことが大きい。
こんばんは、ritouです。 情報流出に伴う ID とパスワードの不正使用に関する注意喚起 https://www.jpcert.or.jp/at/2011/at110011.txt さっそく、Yahoo! JAPANのユーザーが自分のアカウントが無事かどうかを確認する方法を残しておきましょう。 その前に:たくさんのサイトでいつも同じPW使ってる人は変更したほうがいいと思う あまり細かいことは言いませんが、一般的な話ですね。 "単語とかそのまま使わないでそこそこ記号使ったりして予想しにくくて長いけど紙やWebに保存しないで済むような素晴らしい文字列"を設定しましょう。 ログイン履歴で不正なログイン施行が見当たらないか確認 知らない人も多いかもしれませんが、ヤフーだってメールアドレスでログインできるんです。 知らない人はこちら ということで、ID+パスワードだけではなく、メールアドレス+パス
前の記事 「自由なネット」で親米政権が弱体化:米国の矛盾 Amazon:「類似パスワードでもログイン可能」問題 2011年1月31日 IT コメント: トラックバック (0) フィードIT Dylan Tweney ネバダ州のAmazon倉庫で撮影。Scott Sady/AP. Amazon.comのパスワード・システムに問題があり、実際のパスワードに近い「類似のパスワード」でもログインできることがわかった。 この問題は、パスワードの大文字と小文字の違いを見ず、また、8番目の文字の後に別の文字を付け足してもログインできるというものだ。たとえば、パスワードが「Password」だったとしたら、"PASSWORD" "password" "passwordpassword" "password12345"等でもログインできる。 この問題は、最初Reddit上で報告された。 Reddit上では、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
