2008/05/28(水)水曜日ー。()
[便利] * 動画でいろんなソフトの操作を教えてくれるサイト、しかも無料 (Gizmodo)
さのさん経由。 「* 動画マニュアル.com
」の紹介記事。 そう言えば、昔、* ずきんさんのところ
で見たことあったや。 これに関連して、“* ClickAssist(クリックアシスト)
” や “* Flashムービー形式でデスクトップ録画「JING」
” というのも、ずきんさんのところで紹介されていました〜。[セキュリティ] * IPA、2007年の10大脅威と対策法を公開 (ITmedia)
あの高木先生が「エスケープ処理」ではなく「サニタイズ」と言った理由とは・・・?w[セキュリティ] * Adobe flash player vuln (SANS ISC)
経由。 Flash Player に、リモートから任意のコード実行が可能な脆弱性。 ゼロデイ。関連: * Adobe Flash Player SWF File Unspecified Remote Code Execution Vulnerability
[雑談] いろいろ。
[雑談] * 凶悪ウイルス撃退術 POINT2 発病の予防 (ITPro)
アプリケーションだと、「種類」ではなくて、「説明」が表示されるのね。>並べて表示[雑談] * 「PCI DSS対策にはWAFの導入が必須だ」-Web高速化装置大手のF5 (ITPro)
**W**vasion Attack というのは新手の攻撃だろうか?w それはともかく、WAF が Evasion Attack に有効であると言い切っていますが、どれくらい頑張っているのかな? 製品によっては、%XX, %uXXXX, ..., ..., \XXXX, \xXX, \uXXXX, ... といった各種エンコードや、NULL, TAB, %8e, /*...*/ などを間に挟んだり、Unicode の "似た文字変換" の解読まで頑張っていたりします(BIG-IP はどうか知らない)が、記事中にあるような、「分割」には弱い気がする。 (←例えば、「zip1」と「zip2」が Webアプリ側で「zip1-zip2」に合成されるようなケースで、「zip2=r''='&zip1='o」を送信したりするやつね。) ・・・ま、そういうのはホワイトリストの設定がしっかり出来ていれば、それなりに軽減されると思いますけどね。(^-^;[雑談] * 角川デジックス社長に聞く“MAD解禁”宣言の真意 (サイゾー)
さのさん経由。 「* 動画マニュアル.com
」の紹介記事。 そう言えば、昔、* ずきんさんのところ
で見たことあったや。 これに関連して、“* ClickAssist(クリックアシスト)
” や “* Flashムービー形式でデスクトップ録画「JING」
” というのも、ずきんさんのところで紹介されていました〜。[セキュリティ] * IPA、2007年の10大脅威と対策法を公開 (ITmedia)
textile情報処理推進機構(IPA)は5月27日、「10大脅威 ますます進む『見えない化』」の情報を同社のWebサイトで公開した。独立行政法人って・・・「社」なのかな?(ぇw >同社のWebサイト[雑談] * うんこがサニタイズされていなかった件について (あけろすにっき)
あの高木先生が「エスケープ処理」ではなく「サニタイズ」と言った理由とは・・・?w[セキュリティ] * Adobe flash player vuln (SANS ISC)
- まっちゃさん
経由。 Flash Player に、リモートから任意のコード実行が可能な脆弱性。 ゼロデイ。関連: * Adobe Flash Player SWF File Unspecified Remote Code Execution Vulnerability
[雑談] いろいろ。
- Windows XP SP3のレジストリ破損問題、マイクロソフト作成のexeファイルが原因 (CW)
- ぺしゃんこに潰して出前OKなCIAの飛行機 (Gizmodo)
- ケータイ禁止に備え─小中学生のあいだで「人間カプラ」普及のきざし (bogusnews)
- 「日本人多い国は異例」首相、夏時間以外にも是正前向き (bogusnews)
- カナダのハードコア・バンドCURSED、欧州ツアー中に強盗に遭ったことが原因で解散
- ギークなお姉さんは好きですか 日本一のgeekDBを作る!
[雑談] * 凶悪ウイルス撃退術 POINT2 発病の予防 (ITPro)
アプリケーションだと、「種類」ではなくて、「説明」が表示されるのね。>並べて表示[雑談] * 「PCI DSS対策にはWAFの導入が必須だ」-Web高速化装置大手のF5 (ITPro)
**W**vasion Attack というのは新手の攻撃だろうか?w それはともかく、WAF が Evasion Attack に有効であると言い切っていますが、どれくらい頑張っているのかな? 製品によっては、%XX, %uXXXX, ..., ..., \XXXX, \xXX, \uXXXX, ... といった各種エンコードや、NULL, TAB, %8e, /*...*/ などを間に挟んだり、Unicode の "似た文字変換" の解読まで頑張っていたりします(BIG-IP はどうか知らない)が、記事中にあるような、「分割」には弱い気がする。 (←例えば、「zip1」と「zip2」が Webアプリ側で「zip1-zip2」に合成されるようなケースで、「zip2=r''='&zip1='o」を送信したりするやつね。) ・・・ま、そういうのはホワイトリストの設定がしっかり出来ていれば、それなりに軽減されると思いますけどね。(^-^;[雑談] * 角川デジックス社長に聞く“MAD解禁”宣言の真意 (サイゾー)
textile今まで一概に削除対象としてきたMAD動画を個別に審査し、内容によっては「YouTube」への継続的な掲載を認めるどころか、広告を載せてMAD作者にも広告掲載料を還元すると発表したのだ。興味深いですね。 これでMAD作者も閲覧した人も味方に付けられれば良い効果もありそう。