2005/04/20(水)水曜日ー。(さぼりぐせ。)
[雑談] * [openmya:022073] mixiでクロスサイト リクエストフォージェリー祭り?
あー、これ、昨日の夜にはせがわさんに教えてもらいました。「ぼくはまちちゃん!」が、「ぼく_はまちちゃん」なのか「ぼく_は_まちちゃん」なのか気になって仕方がないので、* MeCabさん
に聞いてみました!(笑)
のところに仕組みの解説があるようです。(ネタ元:* はせがわさん
)[IT] * 特定のサイトにだけアクセスできない (@IT)
のところにありました。
[雑談] * マピオン、公開実験サイト「マピオンラボ」をリニューアル (INTERNET Watch)
[セキュリティ] * CVSに複数のセキュリティホールが発見される (MYCOM PC WEB)
[雑談] 今日のりふぁら```textile
×1```ほ、ほんとに欲しいのか?(汗) もう一度よぉーく考え直してみましょう。w[セキュリティ] * Microsoft Windows Explorer Web View Script Insertion Vulnerability (Secunia)
◆* File Selection May Lead to Command Execution (GreyMagic)
Windows 2000 の Windows Explorer のプレビュー機能(Webビュー)にスクリプトインジェクションの脆弱性。 一例として、下記のようなサンプルが公開されてました:```textile
: As shown in the exploit section, displays a simple message box when selected.
: Automatically copies itself to the same folder when selected.
: Constantly renames itself when selected. ```例えば、Wordファイルの作成者フィールドに、「a@b' style='background-image:url(javascript:alert("Successful injection!"))'」が入っている場合に、Windows Explorer でそれを選択しただけで alertボックスが表示される、と言った具合ですね。Windows 2000 SP4 でも発現とのこと。Webビューを無効にすることでとりあえずは回避可能。[雑談] * メールで時間を無駄にした。 (はせがわさん)
から、懐かしの* これ系
の圧縮ファイルをメールで受け取った。 常駐のウィルススキャンが動き出したとたんマシンが固まったー。w
あー、これ、昨日の夜にはせがわさんに教えてもらいました。「ぼくはまちちゃん!」が、「ぼく_はまちちゃん」なのか「ぼく_は_まちちゃん」なのか気になって仕方がないので、* MeCabさん
に聞いてみました!(笑)
textileぼくはまちちゃん!ぼく 名詞,代名詞,一般,*,*,*,ぼく,ボク,ボクは 助詞,係助詞,*,*,*,*,は,ハ,ワまち 名詞,一般,*,*,*,*,まち,マチ,マチちゃん 名詞,接尾,人名,*,*,*,ちゃん,チャン,チャン! 記号,一般,*,*,*,*,!,!,!EOSと言うことで、「まちちゃん」に決定しました♪(ぇ**[追記]** * 不通列車さん
のところに仕組みの解説があるようです。(ネタ元:* はせがわさん
)[IT] * 特定のサイトにだけアクセスできない (@IT)
- ずきんさん
のところにありました。
textile律子 : 「これからは接続できないときはnslookupを使ってIPアドレスに変換してからアクセスしてちょうだい」おあ、強気な管理者さんですねー。 利用者さんにこんなこと言えるくらいなら、某酒好テム管理者さんもストレスたまらずに済むんでしょうけどね。w そうすればドアノブも壊れずに済んだのに!(違[雑談] * AREA51周辺に不可解な地上絵を発見 (X51.ORG)
textile先頃発表されたGoogleの人工衛星写真地図検索サービスにて、エリア51周辺が撮影されているとして話題を呼んでいる模様。基地周辺の人工衛星写真はこれまでに発表されているものと比べ、特に目新しい発見はないものの、グルームレイクの基地周辺地域に六芒星(hexagram)など、いくつかの不可解な人工的地上絵らしきものが散見されます。おぉ! なんじゃこれ。 すごーい。>地上絵[セキュリティ] * SSIインジェクションやCSRFなどの新たな問題も〜IPAの脆弱性届出状況 (INTERNET Watch)
textileWebアプリケーションに関しては「SSI(Server Side Include)インジェクション」や「クロスサイト・リクエスト・フォージェリ(Cross-Site Request Forgeries:CSRF)」と呼ばれる問題を指摘する声もあったという。…CSRFは、アクセスすると自動的にログインするサイトの仕組みを悪用して、正規利用者にとって意図しない登録内容変更や商品購入をさせてしまう。指摘する声もあったそうです。w >誰となく関連: * ソフトウエア等の脆弱性関連情報に関する届出状況 [2005年第1四半期(1月〜3月)] (IPA)
[雑談] * マピオン、公開実験サイト「マピオンラボ」をリニューアル (INTERNET Watch)
textileサイバーマップ・ジャパンが運営する地図情報サービス「マピオン」は、次世代地図情報システムの公開実験サービス「マピオンラボ」のリニューアルを実施した。マピオンラボは、無料の会員登録を行なうことで利用できる。かなり良い感じです! これに比べたらgooラボのは明らかに負けてますかね。(^-^;関連: * マピオンラボ
[セキュリティ] * CVSに複数のセキュリティホールが発見される (MYCOM PC WEB)
textileUNIX系OSに収録されているバージョン管理システム「Concurrent Versions System(CVS)」に…今回発見されたセキュリティホールは、一定の条件下で使用するとバッファオーバーフローを引き起こす脆弱性のほか、DoS攻撃を受ける原因となりうるメモリリークなど4種類。1.11.20もしくは1.12.13へアップデートすれば解消だそうです。関連: * CVS Feature Version 1.12.12 Released! * Security Update *
[雑談] 今日のりふぁら```textile
- 騒音おばさん 待ち受け画像
×1```ほ、ほんとに欲しいのか?(汗) もう一度よぉーく考え直してみましょう。w[セキュリティ] * Microsoft Windows Explorer Web View Script Insertion Vulnerability (Secunia)
◆* File Selection May Lead to Command Execution (GreyMagic)
Windows 2000 の Windows Explorer のプレビュー機能(Webビュー)にスクリプトインジェクションの脆弱性。 一例として、下記のようなサンプルが公開されてました:```textile
- Simple
: As shown in the exploit section, displays a simple message box when selected.
- Copy me
: Automatically copies itself to the same folder when selected.
- Bo Selecta
: Constantly renames itself when selected. ```例えば、Wordファイルの作成者フィールドに、「a@b' style='background-image:url(javascript:alert("Successful injection!"))'」が入っている場合に、Windows Explorer でそれを選択しただけで alertボックスが表示される、と言った具合ですね。Windows 2000 SP4 でも発現とのこと。Webビューを無効にすることでとりあえずは回避可能。[雑談] * メールで時間を無駄にした。 (はせがわさん)
- 某黒猫さん
から、懐かしの* これ系
の圧縮ファイルをメールで受け取った。 常駐のウィルススキャンが動き出したとたんマシンが固まったー。w