ChangeLog 最新ページ / カテゴリ最新ページ / 1 2 次ページ / page 1 (2)

セキュリティ - /home/pochi/ChangeLog

最終更新時間: 2021-03-02 14:20

2018-08-15 Wed

ノートPCにステッカーを貼るのは危険?人物像を示すリスクが存在 [セキュリティ]

http://news.livedoor.com/article/detail/15161799/

一方で興味深いのが、「ステッカーが貼られているデバイスは盗まれにくい」という事実があることです。


今のPCにはまだ何も貼ってない。
最初に何を貼ろう。

2014-03-08 Sat

TwitterのOAuth脆弱性 [セキュリティ]

http://www.slideshare.net/nekoruri/20130301-twitter-oauthvulnerability

TwitterのOAuth脆弱性 from Masahiro Nakayama


今回の名言

(malaさんのgist:5062931より)
ユーザーの自衛策として「怪しいリンクをクリックするな」というのは無茶なので、
そういった対策が必要なものはバグです、セキュリティホールです。
怪しいリンクをクリックできない世界のほうが間違っている。


たしかに。

2014-02-18 Tue

ほぼ毎日が緊急訓練:野村総合研究所 [セキュリティ]

http://itpro.nikkeibp.co.jp/article/Watcher/20140214/536882/?P=5

(4)運用チームを中心に年間350回の障害対応訓練を実施し、
さらに全社で年2回(2014年1月までは1年で5回)の全体訓練を実施する


すげーな。
実際の現場では、ほぼ毎日なんかしらの障害は発生してるんだけど、
おかしくなる場所ってのは大体決まってきちゃうので、
意図的に発生させるのもアリなのかもなあ。

2013-08-05 Mon

Mozilla、セキュリティテスト自動化フレームワーク「Minion」を発表 [セキュリティ]

http://sourceforge.jp/magazine/13/07/31/145000

勉強しといたほうが良いんだろうなあ。

2013-01-17 Thu

出張Shibuya.XSS「HTML5×セキュリティ」 [イベント][セキュリティ]

http://developer.cybozu.co.jp/takesako/2013/01/cross2013xss.html

息抜きも兼ねて、すごく行きたいけど行きたいけど、
いろいろ余裕がない。無念。

2012-08-31 Fri

dnsをあえてdisってみる [DNS][セキュリティ]

http://www.slideshare.net/OrangeMorishita/20111029-part1dnsdis

DNS Summer Days 2012
http://dnsops.jp/event20120831.html

ここでのオレンジさんの発表発表資料。
息抜きに行きたかったけど断念。

20111029 part1-dnsをあえてdisってみる-事後資料 from Yasuhiro Morishita


DNSの問題と弱点が良くわかる。
DNSはとっても重要な技術なのでインターネットエンジニアは一読すべし。
オレンジさんの名前の由来もわかった。

2012-08-30 Thu

高木浩光さんへ、しっかりしてください [セキュリティ]

http://d.hatena.ne.jp/mala/20120830/1346309790

技術者としての良心に従ってこの記事を書きます。


単に誤解でした、勘違いでした、知識不足による間違いでした、
で済む問題であれば、ちゃんと訂正すればいいのではないですか。
妄想憶測で語られていたことや「可能性がある」といって語られていたことが、
やがて既成事実化して語られてしまう。それはRTするより前に、
まずは正しい事実を周知させることを優先すべきなのではないですか。


たぶんこの部分が良心のコアのなんだろう。

もうずっと心のなかで引っかかっている。
公開の場で主張すべきことを今まで主張してこなかったことを悔いている。
目の前でいじめが行われているのを近くで見ているのにそれを制止できない、
してこなかったような、本当にそういう心境になっている。


発言にもコストがかかる。

恐れ多くて誰も口に出せない、絡んでも得をしない。目立ちたくない。
いわゆる高木信者と呼ばれるような人たちから、
こいつはプライバシーを軽視する人間に違いないとレッテルを貼られ、
集中砲火を浴び、そうやって当事者や中の人が情報発信できなくなってしまう。
情報発信がされないことで、より一層、技術を理解する人と理解しない人の
間での認識にズレが生じて、悪循環になってしまっている。


とくにこういう状況だと発言したくても、すぐには発言できなくなる。
こういう状況を作るのは周囲も悪いんだと思う。
そういう意味では私も技術者の端くれとして、
検証も充分せずにずいぶん勝手なことを書いている。
反省しなきゃいかんのだろうな。

ただ、発言するにあたって、発言コストは意図的に下げ続ける努力だけは、
し続けなきゃいけないんじゃないかという気はする。
真面目なことを、神妙に語るのも良いけど、もうちょっとおちゃらけても
良いんじゃないかな、とも思う。
ふざけてる、と取られても、その感情の動きによって、より良い方向に
進めるのであれば、そのほうが良いのではないかと。
mala さんは大好きなんだけど、昔のほうが軽くて好きだった。
でもまあ、軽く生きる、ってのは相当つらいのよね。
間違いの拡散の怖さってのはたしかにあるし。
デマは人を殺すこともあるし。
なんつうか、まあ、時々飲んで騒ぐのは大事じゃないかと思うよ。


関連)
「いじめっ子」を探しても見つからない理由。 --> [2012-08-19-3]
高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに
--> [2012-08-24-2]
ライブドア社員malaが高木浩光の定置網に引っかかりtwitter民にフルボッコにされるの図
--> [2012-06-24-3]

2012-08-24 Fri

高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに [セキュリティ]

http://gigazine.net/news/20120823-game-industry-privacy-cedec2012/

怒涛の講演。

そういう意味ではLINEをやっていらっしゃる会社、NHNさんは、
大変まじめに取り組んでらっしゃるようですので。


おそらく皮肉じゃなくて評価してるんだと思う。
なんか安心した。

関連)
ライブドア社員malaが高木浩光の定置網に引っかかりtwitter民にフルボッコにされるの図
--> [2012-06-24-3]

Referrer (Inside): [2012-08-30-2]

2012-08-17 Fri

GoogleがSafariの設定を迂回してトラッキングしていたとされる件について [ウェブ][セキュリティ]

http://d.hatena.ne.jp/mala/20120220/1329751480
http://d.hatena.ne.jp/mala/20120815/1344999915

mala さんによる解説。

- ユーザーを欺く説明をしてきたのはむしろAppleの方であり、
  Google側の責任を追求するのは、極めて不公平なことである
- FTCは役割を果たさなかったし、技術音痴のマヌケである
- 技術系のライター、編集者はこの程度のことは調べて書け
- この決定を受けてFTCを支持している人間は、全員例外なく阿呆である


なるほどねえ。

と言いつつ、あんまり自分で調べずに書いてます。
ごめんなさい。

2012-07-14 Sat

アノニマスはいったい何を攻撃しているのか? ネット空間における「フリー」をめぐる問い [セキュリティ]

http://wired.jp/2012/06/29/opjapan/

ネット文化、フリーカルチャー、を守りたい、ということなのかしらね。

誰を誰から、と考えると具体的にどうすれば良いかが見えてくるかなあ。

パワーがあるものを、社会的にうまく運用するには、なんらかの枠組みは必要だよなあ。
原子力三原則かロボット三原則とかそういうわかりやすいのはないのかしら?

いちおうOECS8原則、ってのはあるんだけど、直感的にわかりやすくないのよね。

OECD8原則
http://privacymark.co.jp/privacymark_system/index.html

もうちょっとわかりやすいキャッチフレーズはないものかしら。
革命において、キャッチフレーズはとても重要だと思うんだ。

Google の Don't be evil はちょっと短すぎるしなあ。

Wikipedia - Don't_be_evil

2012-06-24 Sun

ライブドア社員malaが高木浩光の定置網に引っかかりtwitter民にフルボッコにされるの図 [セキュリティ]

http://togetter.com/li/326127

個人的には mala さんは、まりぽ皇帝と同じぐらいリスペクトしている。
ひろみちゅ先生もリスペクトしているけど、mala さんほどではない。
それだけで mala さんを擁護したくなる。
非論理的ではあるけど、好き嫌いってのは仕方ないと思う。

でも、なんつうか、不毛なので、うまく落とせないものかなあ。
プロレスみたいに、リングを離れれば握手してお酒を飲める、
みたいな感じにうまくいかんものか。


以下を読むと mala さんの今のスタンスがわかる。

malaさんの最近の考えがわかるインタビュー記事 --> [2012-05-08-2]

調べてみると、最初に mala さん大好き宣言をしたのは、7年前か。

mala さんを擁護する --> [2005-11-29-5]

人の気持ちは変わっていくもんだけど、まだ mala さんは好きだなあ。
でもコーヒーミーティングとかでサシは緊張しそうだ。

2012-06-18 Mon

NTPサーバを乗っ取ってしまいました [セキュリティ]

http://www.e-ontap.com/blog/20120618.html

追記:
思うに、中古ドメイン名の取引は禁止されてしかるべきだと思う。
危険過ぎるし、いらなくなったドメイン名を保持し続けて原野商法業界に
大金を巻き上げられるのは辛くないですか? 皆さん。


本当にそう思う。

その原野はもはや無法地帯になりかけてるしなあ。。。。
DNSの未来像がまったく想像できないんだけど。。。。

2012-06-18 Mon

次世代暗号の解読で世界記録を達成 [セキュリティ]

http://www.nict.go.jp/press/2012/06/18-2.html

従来、この桁長の暗号は解読に数十万年かかることから解読不可能とされ、
開発段階で利用・普及への取組が数々見られましたが、今般、新しい攻撃法の適用により
148.2日間で解読できる脆弱な暗号であることが実証されました。


10万年 ÷ 148日 〜 25万

25万倍の短縮ってのは普通にすごいな。
ムーアの法則は、10年で100倍。
20年で1万倍。
なので、25年分短縮されちゃったってことか。

2012-06-07 Thu

LinkedInのパスワード650万人分が漏洩のもよう〔アップデート:被害アカウントのパスワードは強制変更へ〕 [セキュリティ]

http://jp.techcrunch.com/archives/201206066-5-million-linkedin-passwords-reportedly-leaked-linkedin-is-looking-into-it/

ソルトなしのSHA-1ハッシュが漏洩したとのこと。

LinkedInはユーザー数を1億5000万人と発表しているので、
今回の漏洩は比較的小範囲といえる(650万人はユーザーベースの5%以下)。


認証用データが分散配置されてて、一部のサーバに脆弱性があった、
ということかしら。

2012-06-05 Tue

長さ0のrdataによってnamedが異常停止する [DNS][セキュリティ][bind]

https://www.isc.org/advisories/cve-2012-1667-jp

影響を受けるバージョン: すべてのバージョンの BIND 9
深刻度: 重大 (Critical)
攻撃方法: 遠隔から可能


bind ったら、おちゃめなんだから、もう。

2012-05-30 Wed

単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる [セキュリティ]

http://www.sakimura.org/2012/02/1487/

Site_A が実は悪いサイトだったとしましょう。
すると、Site_A は、このユーザになり変わる access_token を
まんまと入手してしまったことになります。

Site_A は、以後、このユーザになりすまして、
任意の「OAuth 認証?」をやっているサイトにログインすることができます。


単なる OAuth 2.0 を認証に使っちゃ駄目。

OAuth は Authorization Delegation Protocol = 認可を
デリゲーションするためのプロトコルであって、
ユーザ認証のためのプロトコルではない。

Facebook でログインするなら signed_request というAPIを使う。
これは、OpenID Connect とほぼ同じもの。
OpenID Connect 対応にするように、と。

2012-05-23 Wed

sudoにセキュリティホール、IPv6対応のコードが原因でIPv4の制限が外れてしまうことがある [セキュリティ]

Anatomy of a security hole - the break that broke sudo
http://nakedsecurity.sophos.com/2012/05/21/anatomy-of-a-security-hole-the-break-that-broke-sudo/

ほとんど影響はないけど。
こういうバグは他にもあるんだろうなあ。
ソフトウェアのテストってほんとに難しい。

2012-05-22 Tue

ロリポップのWordPressサイトの.htaccessが改ざんされている件 [ウェブ][セキュリティ]

http://www.seotemplate.biz/blog/9948/

あやしいファイルを置かれてしまう事例があるらしい。

ウェブのセキュリティは結構面倒なのよね。

あー、
定期的に外部からセキュリティチェックする、
っていうサービスの裏側の人もやってるんだけど、
あんまり売れてないのよね。
誰か買ってくんない?

SaaS型セキュリティサービス WSPサービス
http://www.sri.jp/websecurity/

2012-05-11 Fri

高木浩光先生、間違ってます。 [ネタ][セキュリティ]

http://hiwa1118.exblog.jp/15848122/

武雄市長の反論。

コメント欄が勉強になる。
みんなで高木先生を援護してる。
すばらしいんだけど高木先生っていうのは妙に違和感がある。
「ひろみちゅ」「ひろみちゅせんせい」のという呼び名のほうが、
個人的には可愛いと思うんだけど、本人はどう思ってるんだろうなあ。

関連:
高木浩光博士の嘆き --> [2012-05-10-5]
ガジェット通信の記事 --> [2012-05-11-3]

2012-05-11 Fri

【TSUTAYA図書館問題】Facebook市長がセキュリティ研究者に「公開討論を」「お背中流しまーす」と誘うも断られ「卑怯だ」と怒り圧力 [ネタ][セキュリティ]

http://getnews.jp/archives/208412

コメント欄の、

「facebook市長」「高木先生」という記載がちょっと気になる。特に高木氏はリテラシーの高い人はみんな知っているかもだけど、「誰?」という方も多いだろうから「セキュリティ研究者の高木浩光博士」としたほうがよいように思いました。


「Facebook 市長」という表現は、他の市長職の Facebook ユーザの皆さんに失礼ですね。


ってのは私も思った。
炎上要素をわざと残しておく炎上マーケティングか?
炎上させて拡散させて、高木先生を援護するってことか?
のっておこう。

関連:
高木浩光博士の嘆き --> [2012-05-10-5]

Referrer (Inside): [2012-05-11-5]