2007/11/01(木)木曜日ー。(え、もう11月なの? うそでしょう。。)
[セキュリティ] * サイト脆弱性をチェックしよう! 第5回:XSSの脆弱性を検査する方法 (ZDNET)
1ページ目の「図1:XSSを利用した攻撃例」が、攻撃例というより調査例になっている気もw もしや、自社の営業資料とかからパクって来た図なのかなw 4ページ目の「URLを絶対パスで記述する」は、例えば、「http://」「https://」「ftp://」のようにスキーム部分から入力させ、ホワイトリストでチェックすることを意味してるのだと思いますが、少し伝わりにくかったかも。[雑談] * MS、「海賊版の見分け方」をWebサイトで伝授 (ITmedia)
「* 偽造品ギャラリー
」とかあるのね。 ・・・ネーミングセンスが素敵かも♪w[出来事] * Macユーザー狙ったトロイの木馬が出現、初の本格攻撃か (ITmedia)
“Macでポルノビデオを無料で見るために必要なビデオコーデック” と称していたそうです。関連: * ポルノ視聴ユーザーを狙うMac OS向けマルウェアが出現 (CNET)
[雑談] * 1万人が選ぶ「最も怖い映画」とは - 英MSN Movies (MYCOM)
わたしは日本のホラーがニガテですw 洋画だと「スクリーム」とか、どうですかね?w[セキュリティ] * InstallShieldにバッファオーバーフローの脆弱性、早期のパッチ適用を
一瞬、「え、インストーラツールに脆弱性って、あやしいパッケージをインストールしようとさせることが出来る時点で、わざわざ脆弱性を突く必要がなくねぇ?」とか思いましたが、“(「Update Service」を)インストールしているユーザーが悪質サイトを閲覧すると、ログオンしているユーザーの権限で攻撃者が任意のコードを実行することが可能になる。” という内容らしいです。 あ、こりゃダメだわ。関連: * Macrovision InstallShield Update Service ActiveX Unsafe Method Vulnerability
[セキュリティ] いろいろ。
1ページ目の「図1:XSSを利用した攻撃例」が、攻撃例というより調査例になっている気もw もしや、自社の営業資料とかからパクって来た図なのかなw 4ページ目の「URLを絶対パスで記述する」は、例えば、「http://」「https://」「ftp://」のようにスキーム部分から入力させ、ホワイトリストでチェックすることを意味してるのだと思いますが、少し伝わりにくかったかも。[雑談] * MS、「海賊版の見分け方」をWebサイトで伝授 (ITmedia)
「* 偽造品ギャラリー
」とかあるのね。 ・・・ネーミングセンスが素敵かも♪w[出来事] * Macユーザー狙ったトロイの木馬が出現、初の本格攻撃か (ITmedia)
“Macでポルノビデオを無料で見るために必要なビデオコーデック” と称していたそうです。関連: * ポルノ視聴ユーザーを狙うMac OS向けマルウェアが出現 (CNET)
[雑談] * 1万人が選ぶ「最も怖い映画」とは - 英MSN Movies (MYCOM)
わたしは日本のホラーがニガテですw 洋画だと「スクリーム」とか、どうですかね?w[セキュリティ] * InstallShieldにバッファオーバーフローの脆弱性、早期のパッチ適用を
一瞬、「え、インストーラツールに脆弱性って、あやしいパッケージをインストールしようとさせることが出来る時点で、わざわざ脆弱性を突く必要がなくねぇ?」とか思いましたが、“(「Update Service」を)インストールしているユーザーが悪質サイトを閲覧すると、ログオンしているユーザーの権限で攻撃者が任意のコードを実行することが可能になる。” という内容らしいです。 あ、こりゃダメだわ。関連: * Macrovision InstallShield Update Service ActiveX Unsafe Method Vulnerability
[セキュリティ] いろいろ。
- 第4回 面倒でも地道なウイルス対策こそが重要,パッチなしではたった5時間で感染
- セキュリティ対策ソフト購入でトラブル - 国民生活センターが注意呼びかけ
- セキュリティの深刻な脆弱性につながるダングリングポインタ
2007/11/02(金)金曜日ー。(頭の中が見てみたい。)
[雑談] * わずか565バイトテトリスのプログラミング解説 ([Z]ZAPAブロ〜グ2.0)
テトリスにも驚きましたが、このサイズで ぷよぷよ が作れるなんて?!!(@_@)
」があります。 (カーソルキーで移動し、「x」キーで回転します。)[セキュリティ] * IPAの月例リポート、ワンクリック詐欺被害が「過去最悪」に (ITmedia)
ワンクリック詐欺の相談件数が 369件で過去最悪。 グラフ、見事に右肩上がりですねw関連: * コンピュータウイルス・不正アクセスの届出状況[10月分]について (IPA)
[雑談] * 公共機関で、子供を「小人」と書くのはなぜ? (ExciteBit)
最近は、「こども」も多いそうです。 (「大人・小人」=「たいじん・しょうじん」なのね?!)[セキュリティ] * “Mac安全神話”の終わり? (ITmedia)
こともしてるらしいですw さすが■いですw[雑談] * 「Vista」が最も速く動くノートPCは、Appleの「MacBook Pro」 (/.jp)
なにこの皮肉な結果はw 笑えるw (ま、色々と条件を限定した結果らしいですけど。)
テトリスにも驚きましたが、このサイズで ぷよぷよ が作れるなんて?!!(@_@)
textile<body onKeyDown=K=event.keyCode-38><script>function T(){h=100,B=Math.floor(Math..random(l=8,p=-1)*16+4)}function Y(){for(S="",i=104;i--;i%8||(S+="<br>"))n=N[i],S+=n?~n?"<a style=color:#"+(249*n)+">●</a>":"■":"_";document.body.innerHTML=S;N=[K-50?h-=M[h+l-K]|M[h-K]?0:K:M[h+p]?0:(x=p,p=-l,l=x)];for(K=0;++i<113;N[i]=M[i]);N[h]=B>>2;N[h+l]=B%4+1;if(!(++e%10))if(h-=8,M[h]+M[h+l])for(M=N,T(f=0);f=!f;){for(i=112;i--;g=C[i]=0);for(;g=!g;)for(i=0;i<103;i++)if(n=M[i+8],!M[i]&&n)M[i]=n,M[i+8]=g=0;for(;i--;){n=c=0;for(E=[i];M[i]>0&n>=c;c++)for(j=4;j--;t>102|C[t]|M[i]-M[t]||(C[t]=E[++n]=t))x=p,p=-l,l=x,t=E[c]+p;if(n>3)for(;n;)f=M[E[n--]]=0}}M[100]||setTimeout(Y,49)}for(M=N=[C=[i=113]];--i;M[i-1]=i%8>1&i>7?0:-1);Y(T(e=K=0));</script>⇒「* 動作サンプル
」があります。 (カーソルキーで移動し、「x」キーで回転します。)[セキュリティ] * IPAの月例リポート、ワンクリック詐欺被害が「過去最悪」に (ITmedia)
ワンクリック詐欺の相談件数が 369件で過去最悪。 グラフ、見事に右肩上がりですねw関連: * コンピュータウイルス・不正アクセスの届出状況[10月分]について (IPA)
[雑談] * 公共機関で、子供を「小人」と書くのはなぜ? (ExciteBit)
最近は、「こども」も多いそうです。 (「大人・小人」=「たいじん・しょうじん」なのね?!)[セキュリティ] * “Mac安全神話”の終わり? (ITmedia)
textileトロイの木馬がインストールしたDNSサーバは薄く表示され、手動で削除できないLuffyさんの注目ポイントは、ココ(↑)らしいw ちなみに、これに加えて、* cron を使って延々と書き換え続ける
こともしてるらしいですw さすが■いですw[雑談] * 「Vista」が最も速く動くノートPCは、Appleの「MacBook Pro」 (/.jp)
なにこの皮肉な結果はw 笑えるw (ま、色々と条件を限定した結果らしいですけど。)
2007/11/03(土)土曜日ー。(もう恋なんてしない、なんて。)
[セキュリティ] * 情報漏えいの傾向とリスクコントロール (根津さん)
**[pdf]**
の「セキュリティ・ソリューションフォーラム」での特別講演の資料が公開されています。 ファイル交換-漏えいの発生場所のグラフ、自宅 57%、社内 3% (不明が 40%)なんですね。 社内からファイル交換をする人がいるなんてオドロキです。 一体どんな社内環境なんだろう。 (こりゃあ、One Point Wall のような製品が必要とされるのも納得ですね。)[セキュリティ] * 「電子ジハード勃発」報道に疑問—セキュリティ専門家らが指摘 (IDG)
11月11日から、アルカイダが西欧諸国の組織にサイバー攻撃を仕掛けるという話もあるそうです。 DDoS攻撃などを行うソフトウェア・キット「Electronic Jihad Version 2.0」なんてのがあり、最近、改良が施されたそうです。 なに、この冗談みたいなネーミングは?!(^-^;
**[pdf]**
- nezさん
の「セキュリティ・ソリューションフォーラム」での特別講演の資料が公開されています。 ファイル交換-漏えいの発生場所のグラフ、自宅 57%、社内 3% (不明が 40%)なんですね。 社内からファイル交換をする人がいるなんてオドロキです。 一体どんな社内環境なんだろう。 (こりゃあ、One Point Wall のような製品が必要とされるのも納得ですね。)[セキュリティ] * 「電子ジハード勃発」報道に疑問—セキュリティ専門家らが指摘 (IDG)
11月11日から、アルカイダが西欧諸国の組織にサイバー攻撃を仕掛けるという話もあるそうです。 DDoS攻撃などを行うソフトウェア・キット「Electronic Jihad Version 2.0」なんてのがあり、最近、改良が施されたそうです。 なに、この冗談みたいなネーミングは?!(^-^;
2007/11/04(日)日曜日ー。(ポゥンニチワ?w)
[セキュリティ] * Black Hat Japan 2007 レポート (Wizard Bible vol.37)
経由。 当日の雰囲気がわかって面白いです♪ 業界内の裏話的に“イマイチ”と評されているウェブアプリスキャナって、どの製品のことだろう?!w[メモ] * 不正アクセス行為の禁止等に関する法律等の概要及び運用上の留意事項について
**[pdf]**
- まっちゃさん
経由。 当日の雰囲気がわかって面白いです♪ 業界内の裏話的に“イマイチ”と評されているウェブアプリスキャナって、どの製品のことだろう?!w[メモ] * 不正アクセス行為の禁止等に関する法律等の概要及び運用上の留意事項について
**[pdf]**
textileイ 特定電子計算機「電気通信回線」とは、電気通信を行うために設定される回線のことであり、有線に限定されるものではなく、無線も含まれる。「電気通信回線に接続している」とは、電気通信が可能な状態に構成されていることを指す。[雑談] いろいろ。
- あれってオリビアじゃないの!? そっくりさんの歌声、テレビCM席巻 (産経)
- そっくりさんをCMに起用して音楽利用料節約 (/.jp)
- エレベーターには裏技があるらしい (はてな匿名ダイアリー)
- カレー屋でカレーライスのカレー抜き頼んだらライスが来たからキレた (カオスちゃんねる)
- 「ディスプレイスピーカ」発売へ (/.jp)
2007/11/05(月)月曜日ー。(巻き込まれた。orz)
[雑談] * Leopardですべての操作が効かなくなるバグ (BONNOH FRACTION 13)
経由。 Mac OS X Leopard のことえりで、「はたけ」と入力して「その他の候補」を選択しようとするとすべての操作が効かなくなるそうですw Luffyさんにクイズ出さなきゃw[セキュリティ] * GOM Player 2.1.6.3499 GomWeb Control remote buffer overflow
日本人でも、FLV の再生用に入れている人も多いかもしれません。 わたしも。orz[雑談] 昨日の検索キーワード「園田道夫 自称 ×1」で検索して来た方がいましたw 何を探しているんだろう?!w[出来事] * サイバー護身術 - mixiの「足あと」で誘う怪しい業者 (読売新聞)
、 * あいのりウラ話(メンバーの日記)
- ずきんさん
経由。 Mac OS X Leopard のことえりで、「はたけ」と入力して「その他の候補」を選択しようとするとすべての操作が効かなくなるそうですw Luffyさんにクイズ出さなきゃw[セキュリティ] * GOM Player 2.1.6.3499 GomWeb Control remote buffer overflow
日本人でも、FLV の再生用に入れている人も多いかもしれません。 わたしも。orz[雑談] 昨日の検索キーワード「園田道夫 自称 ×1」で検索して来た方がいましたw 何を探しているんだろう?!w[出来事] * サイバー護身術 - mixiの「足あと」で誘う怪しい業者 (読売新聞)
textileしかし、残念ながら筆者が女性に人気だったことなど、生まれてこの方ない。ちょw 読売新聞の記者さんともあろうお方が、まるでわたしのようなセリフをw[TV][あいのり] #380 メリーに首ったけモンゴル。 矢印: ねこ→鉄平←茶葉。 カルボナーラ→Remi。 ダニー。ねこと茶葉のバトルが激化。(汗茶葉“ねこは鉄平の横を絶対に譲らない。 ラブワゴンの中でね。 だから そう・・・ラブワゴンの横(鉄平の横)がホントにとりたい” ねこの不用意なひとことで、ねこが仮病を使って鉄平にご飯を作ってたことがバレる。茶葉「心配してたのに何?っていう・・・。 ねこと行くなとは言わない。 ねこと行ったなら私も行きたい。 ねこと1回行ったなら私は2回行きたい」民族衣装デールがひとりではうまく着れない鉄平を手伝うねこ、幸せそうwねこの日記“デールってすごくいいネ。 帯が外れる度接近できる”ねこが(本当に)熱を出して寝込んでしまう。 ここぞとばかりに茶葉が鉄平を独り占めしようとするが、鉄平はねこに夕食を運びに行ってしまう。茶葉“なんで?って思った。 おかしいよ 絶対なんか あれ?(仮病?)って感じだもん。 何ほんと(鉄平は)何で騙されてるの?”そんな中、鉄平はねこに「あーん」とかしているw鉄平「食べさせてあげるよ」 ねこ「やぁ恥ずかしい ふふふ」 (あーん)鉄平がねこの部屋から戻ってくるとすかさず駆け寄る茶葉。茶葉「(デールの帯、)もう絶対外れないように巻いてあげる」茶葉の日記“鉄平ずっとずっと一緒にいたいよ。 私は引かない”メリーさん、可愛かった♪ 次週は、女の駆け引き&復讐だそうです。(怖w⇒* 今週のあいのり
、 * あいのりウラ話(メンバーの日記)
2007/11/06(火)火曜日ー。(猫好きはM、犬好きはS説?!)
[セキュリティ] * ウェブアプリを狙う攻撃が増加、巧妙化--ラックが脅威動向を発表 (ZDNet)
経由。 「ウェブサービス」って言われると別のものが思い浮かびますが。(^-^;関連: * 侵入傾向分析レポート Vol.9 (JSOC)
[雑談] * 「Visual Studio 2008」「.NET Framework 3.5」、11月中にリリース (ITmedia)
今回も Express Edition を提供してもらえるみたいでよかったです。 Express Edition では .NET Compact Framework とか ASP.NET AJAX とかは使えないのかな?[ツール] * 1秒で10万行を処理するフリーの超高速なログ解析ソフト「Visitors」 (GIGAZINE)
経由。 速いらしい。 そういえば、最近、なにかあった時以外はログ見てないなぁw[雑談] * 【セキュリティ調査】Web上で入力する際に不安な情報は? (MarketZine)
Webサイトでの生年月日の入力に抵抗があるのは3割くらいだそうです。 (わたしは占いサイトとかだったらバンバン入れちゃいますけどねw) 意外なのは、病歴の入力に抵抗があるのが 18.2%というところ。 実際に入力させているサイトが少ないから実感がないだけですかね? また、(会員登録などで)本当の情報を入力していますか?という質問に、いつも正しく入力していると答えた人は7割くらいらしい。 このアンケート、“調査方法:インターネットリサーチ”とのことですが、内容は正しいのかな?(ちがうw
- まっちゃさん
経由。 「ウェブサービス」って言われると別のものが思い浮かびますが。(^-^;関連: * 侵入傾向分析レポート Vol.9 (JSOC)
[雑談] * 「Visual Studio 2008」「.NET Framework 3.5」、11月中にリリース (ITmedia)
今回も Express Edition を提供してもらえるみたいでよかったです。 Express Edition では .NET Compact Framework とか ASP.NET AJAX とかは使えないのかな?[ツール] * 1秒で10万行を処理するフリーの超高速なログ解析ソフト「Visitors」 (GIGAZINE)
- Luffyさん
経由。 速いらしい。 そういえば、最近、なにかあった時以外はログ見てないなぁw[雑談] * 【セキュリティ調査】Web上で入力する際に不安な情報は? (MarketZine)
Webサイトでの生年月日の入力に抵抗があるのは3割くらいだそうです。 (わたしは占いサイトとかだったらバンバン入れちゃいますけどねw) 意外なのは、病歴の入力に抵抗があるのが 18.2%というところ。 実際に入力させているサイトが少ないから実感がないだけですかね? また、(会員登録などで)本当の情報を入力していますか?という質問に、いつも正しく入力していると答えた人は7割くらいらしい。 このアンケート、“調査方法:インターネットリサーチ”とのことですが、内容は正しいのかな?(ちがうw
2007/11/07(水)水曜日ー。(あんどろいど?)
[セキュリティ] * 会津大学発のベンチャー、Webアプリ脆弱性診断の公開βテストを開始
経由。 XSS だけで 800パターン? それ、無駄なものを送りすぎなんじゃあ?w[雑談] * 「正解はCMのあと」などテレビの山場CMは逆効果…視聴者の86%が「不愉快」
最初にやり始めた頃はムカつきましたが、最近は慣れたかもw 録画を観ることが多いし。[セキュリティ] * ウイルス感染ルートのほとんどがウェブの脆弱性を悪用--マカフィー調べ
「Let's note プレミアムエディション」の紹介記事。 かっこいいなぁ〜。(*^^*)[セキュリティ] いろいろ。
textile現在対応している脆弱性は、クロスサイトスクリプティング約800パターン、他のカテゴリに関しては順次追加予定。
- ずきんさん
経由。 XSS だけで 800パターン? それ、無駄なものを送りすぎなんじゃあ?w[雑談] * 「正解はCMのあと」などテレビの山場CMは逆効果…視聴者の86%が「不愉快」
最初にやり始めた頃はムカつきましたが、最近は慣れたかもw 録画を観ることが多いし。[セキュリティ] * ウイルス感染ルートのほとんどがウェブの脆弱性を悪用--マカフィー調べ
textileマカフィーでは、主だったウイルスの感染ルートのほとんどがウェブ経由、しかも脆弱性を悪用した感染であるため、脆弱性への迅速な対応が大切としている。SQLインジェクションなどでコンテンツにiframeを埋め込ませて受動的攻撃!とか多いみたい。[雑談] * 黒くてプレミアムな“R”に魅せられる (ITmedia)
「Let's note プレミアムエディション」の紹介記事。 かっこいいなぁ〜。(*^^*)[セキュリティ] いろいろ。
- Leopardのファイアウォール問題でUS-CERTが注意喚起 (ITmedia)
- Mac OS X Leopard Firewall Changes (US-CERT)
- Mac攻撃は一過性で終わらず (ITmedia)
- Not a Good Sign (F-Secure Weblog)
2007/11/08(木)木曜日ー。(続きは、高槻の猫カフェで♪(うそw))
[セキュリティ] * UTF-7とクロスサイトスクリプティング (葉っぱさん)
経由。 昨日開催された“ヌルい勉強会(仮称)”での* 葉っぱさん
のプレゼン資料。 最初、動かし方が分からなくて焦ったwけど、左右のカーソルキーで動きます。 上下キーを押すと一覧表示から選択も出来るようです。 プレゼン内容にも、S6 にも両方感動!w関連: * Yet Another Dynamic Presentation (amachangさん)
[ツール] * sqlmap: a SQL injection tool
のところで紹介されていました。 ボクには必要ないけど、なんとなくメモw[セキュリティ] * 「サイバー聖戦」の攻撃技術、犯罪組織に遠く及ばず (ITmedia)
笑えるw ・・・いや、待て! こうやって油断させておく作戦かも?!(ぇw[雑談] * 東電、携帯で家電を遠隔操作できる「リモコ」 (ITmedia)
留守中にエアコンがクラックされてずっと「入」にされるフトコロオーバーフローの攻撃とかw[雑談] * NOVA社長室を公開 330平方メートル、ミニバーも (asahi.com)
わお! これはなんてうらやま・・・けしからん部屋なんだw[雑談] * 市販されているWindowsXP解説書籍の全ページがネット上で無料公開中 (GIGAZINE)
すばらしい。 ものすごく広告がたくさんついてますが、ま、仕方が無いw関連: * Windows XP 最強FAQ&Tips 560ページの有料書籍を無料公開!
- まっちゃさん
経由。 昨日開催された“ヌルい勉強会(仮称)”での* 葉っぱさん
のプレゼン資料。 最初、動かし方が分からなくて焦ったwけど、左右のカーソルキーで動きます。 上下キーを押すと一覧表示から選択も出来るようです。 プレゼン内容にも、S6 にも両方感動!w関連: * Yet Another Dynamic Presentation (amachangさん)
[ツール] * sqlmap: a SQL injection tool
- Luffyさん
のところで紹介されていました。 ボクには必要ないけど、なんとなくメモw[セキュリティ] * 「サイバー聖戦」の攻撃技術、犯罪組織に遠く及ばず (ITmedia)
笑えるw ・・・いや、待て! こうやって油断させておく作戦かも?!(ぇw[雑談] * 東電、携帯で家電を遠隔操作できる「リモコ」 (ITmedia)
留守中にエアコンがクラックされてずっと「入」にされるフトコロオーバーフローの攻撃とかw[雑談] * NOVA社長室を公開 330平方メートル、ミニバーも (asahi.com)
わお! これはなんてうらやま・・・けしからん部屋なんだw[雑談] * 市販されているWindowsXP解説書籍の全ページがネット上で無料公開中 (GIGAZINE)
すばらしい。 ものすごく広告がたくさんついてますが、ま、仕方が無いw関連: * Windows XP 最強FAQ&Tips 560ページの有料書籍を無料公開!
2007/11/09(金)金曜日ー。(実装が腐ってる?)
[雑談] ロードバランサーのせいで secure属性が消える?ユーザと Webサーバとの間に、ロードバランサーらしきものが居て、そいつが、
ockeghemさん経由。 後で読むために、とりあえずメモw[雑談] * 電車男の米国版? ネットの力で一目惚れの相手を発見 (ITmedia)
サイトに携帯番号やメアドを載せるって・・・すごいなぁw 真似できない。(^-^;[セキュリティ] * Firefoxに脆弱性、投稿サイト使い悪用の恐れ (ITmedia)
例えば、「jar:https://example.com/test.jar!/t.htm」 が example.com ドメインで実行されるらしい。 投稿サイトなどで危ないとされていますが、影響範囲は小さそう。関連: * VU#715737: Mozilla Firefox jar URI cross-site scripting vulnerability
[出来事] * Firefox 3のβ版リリース? 誤報でアクセス殺到 (ITmedia)
ソーシャルニュースサイト Digg での誤報が原因でアクセス殺到だそうです。(^-^;[雑談] いろいろ。
textileSet-Cookie: LBXXXX=XXXxX; path=/という Cookie を発行するのですが、レスポンスに Set-Cookie: がすでに存在する場合には、
textileSet-Cookie: JSESSIONID=XXXXXXXXXX; Path=/; Secure, LBXXXX=XXXxX; path=/というようにヘンな風にあいのりしようとするらしい。(-_-; このせいでブラウザ側では secure属性を認識できず。 ダミーの Cookie でも追加してそっちに憑依させるしかないかな。。[セキュリティ] * Ajaxアプリケーションに対するセキュリティーの脅威を克服する (IBM)
ockeghemさん経由。 後で読むために、とりあえずメモw[雑談] * 電車男の米国版? ネットの力で一目惚れの相手を発見 (ITmedia)
サイトに携帯番号やメアドを載せるって・・・すごいなぁw 真似できない。(^-^;[セキュリティ] * Firefoxに脆弱性、投稿サイト使い悪用の恐れ (ITmedia)
例えば、「jar:https://example.com/test.jar!/t.htm」 が example.com ドメインで実行されるらしい。 投稿サイトなどで危ないとされていますが、影響範囲は小さそう。関連: * VU#715737: Mozilla Firefox jar URI cross-site scripting vulnerability
[出来事] * Firefox 3のβ版リリース? 誤報でアクセス殺到 (ITmedia)
ソーシャルニュースサイト Digg での誤報が原因でアクセス殺到だそうです。(^-^;[雑談] いろいろ。
- 約1年で1000万円——モバイルSuicaの不正利用はなぜ起きた? (ITmedia)
- ちょっと見てきて - あの場所が気になる (デイリーポータルZ)
2007/11/10(土)土曜日ー。(オンラインバイキング?w)
[ツール] * Webフォームの住所や氏名などの項目を1クリックで入力できるIEツールバー
Webアプリ検査ツールのクローラーにありがちな機能をIEツールバーにw 個人情報をあまりお手軽に入力出来るのも考えものかと思いますけどね。 少し面倒くさいくらいでよいのかと。(^-^;関連: * NaviThru 2.2 (BIXのページ)
[雑談] * 「ダイ・ハード4.0」などサイバーテロ映画3作品 (ASCII.jp)
ウォーゲーム、懐かしすぎw わたしが初めてあの映画を(テレビで)観た時には、「これが音響カプラかぁ。 うちには最新の2400bpsのモデムがあるぜぃ! 勝った♪」とか、「うわ! 8インチフロッピーだ。 今や時代は 5インチから 3.5インチに移ろうとしてるところなのに!」とか対抗意識を燃やしながら観てましたw ビデオに撮ってたので何回も観たなぁ。 実は深層心理に色々とシゲキを受けてたのかもw 先生の机の引き出しからパスワード(「pencil」)を盗んで成績表を書き換えたり、ウォーダイアリング<%=fn'ウォーダイアリングという言葉の語源が実はこの映画だ、って話を聞いたこともあるけど、本当だろうか?w'%>でゲーム会社のサーバに侵入したり・・・確かに“ハッカー”映画の原点でしたかね。
Webアプリ検査ツールのクローラーにありがちな機能をIEツールバーにw 個人情報をあまりお手軽に入力出来るのも考えものかと思いますけどね。 少し面倒くさいくらいでよいのかと。(^-^;関連: * NaviThru 2.2 (BIXのページ)
[雑談] * 「ダイ・ハード4.0」などサイバーテロ映画3作品 (ASCII.jp)
ウォーゲーム、懐かしすぎw わたしが初めてあの映画を(テレビで)観た時には、「これが音響カプラかぁ。 うちには最新の2400bpsのモデムがあるぜぃ! 勝った♪」とか、「うわ! 8インチフロッピーだ。 今や時代は 5インチから 3.5インチに移ろうとしてるところなのに!」とか対抗意識を燃やしながら観てましたw ビデオに撮ってたので何回も観たなぁ。 実は深層心理に色々とシゲキを受けてたのかもw 先生の机の引き出しからパスワード(「pencil」)を盗んで成績表を書き換えたり、ウォーダイアリング<%=fn'ウォーダイアリングという言葉の語源が実はこの映画だ、って話を聞いたこともあるけど、本当だろうか?w'%>でゲーム会社のサーバに侵入したり・・・確かに“ハッカー”映画の原点でしたかね。
2007/11/11(日)日曜日ー。(ポッキー&プリッツの日?w)
[雑談] いろいろ。
(* 蒼さん
経由。)
←童顔の人、大丈夫?w
←これはすごい。(@_@)
←↓女の人ってムズカシイw
[雑談] * 車のナンバー照会、厳格化 プライバシー保護を重視 (asahi.com)
現状だと、車のナンバーと、理由(「登録内容の確認」のようなあいまいなものでOK)を書いて、運輸支局で身分証を出して申請すれば、車の所有者の住所や氏名が調べられたのね。 悪用が増えたので、19日から車台番号やもっと詳細や理由がないと申請を受け付けなくなるらしい。[雑談] * トレンドマイクロ、PS3のバージョン2.00にセキュリティサービスを提供 (BBWatch)
PS3向けにトレンドマイクロがコンテンツフィルタリングソフトを提供するそうです。 子供に勝手に解除されないようにパスワード付けたり出来るんでしょうかね?
関連: * 「ウェブ セキュリティ for PS3」を11月8日から世界同時に無償提供
- 330ml で 1,260円のウーロン茶。 高っ!w
(* 蒼さん
経由。)
- 購入者の年齢を顔で判断するタバコ自販機 (/.jp)
←童顔の人、大丈夫?w
- 任天堂のすごさを垣間見たとき (ksh Days)
←これはすごい。(@_@)
- 理系の女の子の取扱説明書 (gomi-boxさん)
←↓女の人ってムズカシイw
- 「30代女性です。かなり安い指輪を婚約者に渡されそう…どう思いますか?」
[雑談] * 車のナンバー照会、厳格化 プライバシー保護を重視 (asahi.com)
現状だと、車のナンバーと、理由(「登録内容の確認」のようなあいまいなものでOK)を書いて、運輸支局で身分証を出して申請すれば、車の所有者の住所や氏名が調べられたのね。 悪用が増えたので、19日から車台番号やもっと詳細や理由がないと申請を受け付けなくなるらしい。[雑談] * トレンドマイクロ、PS3のバージョン2.00にセキュリティサービスを提供 (BBWatch)
PS3向けにトレンドマイクロがコンテンツフィルタリングソフトを提供するそうです。 子供に勝手に解除されないようにパスワード付けたり出来るんでしょうかね?
関連: * 「ウェブ セキュリティ for PS3」を11月8日から世界同時に無償提供
2007/11/12(月)月曜日ー。(仕事三昧。orz)
[ツール] * Nikto 2.00 (CIRT.net)
&* まっちゃさん
経由。 Webサーバスキャナ "Nikto" 2.00 がリリースされたそうです。[セキュリティ] * 政府機関統一基準適用個別マニュアル群 (内閣官房情報セキュリティセンター)
経由。 わたしも「* 6.セキュリティの検証と妥当性確認
」あたりが気になる?[雑談] * ファイルサイズ無制限で送受信できる無料ネットサービス「PipeBytes」
経由。 容量無制限&登録不要のファイル送信サービス。 ⇒* PipeBytes
[出来事] * Webサイト4万ページに不正スクリプト トルコのMSNBCも感染 (ITmedia)
SQLインジェクションなどを通じて、「yl18.net」上の悪意あるスクリプトを呼び出す iframe が、150ドメインのWebサイト、4万ページ以上に埋め込まれたそうです。 こりゃ大規模だー。[セキュリティ] いろいろ。
[TV][あいのり] #381 横綱争奪戦モンゴル。 矢印: ねこ→鉄平←茶葉。 カルボナーラ→Remi。 ダニー。乗馬中、茶葉と一緒にいた鉄平だが、ひとり遅れ始めたねこのことが気になる。 すると・・・茶葉「ねこ気になるなら行っていいよ」 鉄平「え いいよ全然全然 そういうわけじゃなくて」茶葉が鉄平とずっと一緒に居るのを見て、ねこは・・・ねこ「はぁ〜。 危機感があるっていうのはもうすごい私も分かってるし。 なんかやっぱ変わったことをしなきゃって。 とりあえず茶葉と差を付けたい」 そして翌日、ねこは一晩で編み上げたネックウォーマーを鉄平にプレゼント♪茶葉“まずいですよ。 私だって負けたくないみたいな。 ねこと鉄平が一緒にいたら、私だっていい気持ちはしない。 それは、嫌だ”数日後、市場で買い物をするメンバー。 ねこを抑えて、茶葉が鉄平と二人きりに。 そして、半ば強引に鉄平と手をつなぐ茶葉。 ねこはその光景を見てしまう。 「手つないでるやん!」ねこ「(茶葉と鉄平が)どんどん仲良くなるのを横目で見てて、すごいそれがうらやましくて。 バスの中でもなんか(会話が)すごい噛み合ってたから。 わーどんどんどんどん茶葉のいいとこ見えちゃうよみたいな。 もうめっちゃ情緒不安定ですもん今。 いつ涙が出てくるかもわかんないし」ねこと茶葉の2人からアプローチを受けている鉄平の気持は・・・鉄平「ねこが自分のことを気になってくれているっていうのは感じていたんですけど、茶葉も僕に対して少し気に入ってもらってるっていうのもこの頃感じて。 どちらか一方に話せば どちらか一方を悲しませる可能性がある。 思ったより過酷。 精神的に過酷だな。 逃げたくなりますね」来週は、さらなる修羅場に発展するらしい。(>_<)⇒* 今週のあいのり
、 * あいのりウラ話(鉄平の日記)
- kikuz0uさん
&* まっちゃさん
経由。 Webサーバスキャナ "Nikto" 2.00 がリリースされたそうです。[セキュリティ] * 政府機関統一基準適用個別マニュアル群 (内閣官房情報セキュリティセンター)
- ikepyonさん
経由。 わたしも「* 6.セキュリティの検証と妥当性確認
」あたりが気になる?[雑談] * ファイルサイズ無制限で送受信できる無料ネットサービス「PipeBytes」
- TATSUYAくん
経由。 容量無制限&登録不要のファイル送信サービス。 ⇒* PipeBytes
[出来事] * Webサイト4万ページに不正スクリプト トルコのMSNBCも感染 (ITmedia)
SQLインジェクションなどを通じて、「yl18.net」上の悪意あるスクリプトを呼び出す iframe が、150ドメインのWebサイト、4万ページ以上に埋め込まれたそうです。 こりゃ大規模だー。[セキュリティ] いろいろ。
- 「私は探偵、あなたを盗聴しています」、芝居がかったウイルスメール (ITPro)
- アップル、「iPhone」アップデートを公開--jailbreakingコードも出現 (CNET)
- ロシアのサイバー犯罪者集団「RBN」、サイトが突然の閉鎖 (CNET)
[TV][あいのり] #381 横綱争奪戦モンゴル。 矢印: ねこ→鉄平←茶葉。 カルボナーラ→Remi。 ダニー。乗馬中、茶葉と一緒にいた鉄平だが、ひとり遅れ始めたねこのことが気になる。 すると・・・茶葉「ねこ気になるなら行っていいよ」 鉄平「え いいよ全然全然 そういうわけじゃなくて」茶葉が鉄平とずっと一緒に居るのを見て、ねこは・・・ねこ「はぁ〜。 危機感があるっていうのはもうすごい私も分かってるし。 なんかやっぱ変わったことをしなきゃって。 とりあえず茶葉と差を付けたい」 そして翌日、ねこは一晩で編み上げたネックウォーマーを鉄平にプレゼント♪茶葉“まずいですよ。 私だって負けたくないみたいな。 ねこと鉄平が一緒にいたら、私だっていい気持ちはしない。 それは、嫌だ”数日後、市場で買い物をするメンバー。 ねこを抑えて、茶葉が鉄平と二人きりに。 そして、半ば強引に鉄平と手をつなぐ茶葉。 ねこはその光景を見てしまう。 「手つないでるやん!」ねこ「(茶葉と鉄平が)どんどん仲良くなるのを横目で見てて、すごいそれがうらやましくて。 バスの中でもなんか(会話が)すごい噛み合ってたから。 わーどんどんどんどん茶葉のいいとこ見えちゃうよみたいな。 もうめっちゃ情緒不安定ですもん今。 いつ涙が出てくるかもわかんないし」ねこと茶葉の2人からアプローチを受けている鉄平の気持は・・・鉄平「ねこが自分のことを気になってくれているっていうのは感じていたんですけど、茶葉も僕に対して少し気に入ってもらってるっていうのもこの頃感じて。 どちらか一方に話せば どちらか一方を悲しませる可能性がある。 思ったより過酷。 精神的に過酷だな。 逃げたくなりますね」来週は、さらなる修羅場に発展するらしい。(>_<)⇒* 今週のあいのり
、 * あいのりウラ話(鉄平の日記)
2007/11/13(火)火曜日ー。(毎年恒例の・・・。)
[セキュリティ] * Webブラウザ「Sleipnir」「Grani」に脆弱性 (ITmedia)
発見者は、SST の福森さん。 お気に入りの検索結果が適切にエスケープされないため、お気に入りに登録されている URL に HTMLタグが含まれていた場合にスクリプトの実行などが行われる可能性があるということらしい。 実際の攻撃に発展する可能性は低そう。[雑談] * 大変な事になってしまった・・・VIPPERの力を貸してほしい・・・ (ハムスター速報)
この展開は予想外だったw フラグ立ちまくりですな。(地雷原にw)[セキュリティ] * Firefoxの脆弱性、GoogleのXSS問題に波及 (ITmedia)
これを “GoogleのXSS問題” とか言ってしまったら、少しかわいそうかも?!(^-^;[雑談] * Firefox3に搭載されるかもしれない「Ctrl+Tab」のタブプレビュー機能
Grani にも同様の機能があるのですが、最初に画像を生成する時が重すぎ。 マシンが貧弱?w[出来事] * シーゲート社製外付けハードディスク、台湾でウィルスに感染したまま出荷
約1,800台が出荷済み。 マシンにつなげた途端に autorun.inf でトロイの木馬が自動起動。(汗[雑談] * やる気をくじく、8つの方法:“やる気”のくじき方入門 (ITmedia)
これから8回にわたって連載するらしい?!w 使い方を間違えないように注意?w[セキュリティ] * 組み込みシステムに迫りくる脅威(1)情報家電編
(* ikepyonさん
経由。)インターネット対応電子レンジに偽のレシピを表示させる脆弱性とか探したい。(ぇw[雑談] いろいろ。
発見者は、SST の福森さん。 お気に入りの検索結果が適切にエスケープされないため、お気に入りに登録されている URL に HTMLタグが含まれていた場合にスクリプトの実行などが行われる可能性があるということらしい。 実際の攻撃に発展する可能性は低そう。[雑談] * 大変な事になってしまった・・・VIPPERの力を貸してほしい・・・ (ハムスター速報)
この展開は予想外だったw フラグ立ちまくりですな。(地雷原にw)[セキュリティ] * Firefoxの脆弱性、GoogleのXSS問題に波及 (ITmedia)
これを “GoogleのXSS問題” とか言ってしまったら、少しかわいそうかも?!(^-^;[雑談] * Firefox3に搭載されるかもしれない「Ctrl+Tab」のタブプレビュー機能
Grani にも同様の機能があるのですが、最初に画像を生成する時が重すぎ。 マシンが貧弱?w[出来事] * シーゲート社製外付けハードディスク、台湾でウィルスに感染したまま出荷
約1,800台が出荷済み。 マシンにつなげた途端に autorun.inf でトロイの木馬が自動起動。(汗[雑談] * やる気をくじく、8つの方法:“やる気”のくじき方入門 (ITmedia)
これから8回にわたって連載するらしい?!w 使い方を間違えないように注意?w[セキュリティ] * 組み込みシステムに迫りくる脅威(1)情報家電編
(* ikepyonさん
経由。)インターネット対応電子レンジに偽のレシピを表示させる脆弱性とか探したい。(ぇw[雑談] いろいろ。
- 「クーポン利用率が予想以上に多く…」 モスバーガー、赤字に転落 (痛いニュース)
- ガソリンスタンド客、給油後に車を忘れ歩いて帰宅 (痛いニュース)
- ボジョレー解禁日に「悪魔のビール?!」がやってくる! (ExciteBit)
2007/11/14(水)水曜日ー。(エビマヨ無くなった?(涙))
[セキュリティ] * MS月例パッチ公開、Windows URI処理の脆弱性に対処 (ITmedia)
PDFなどを経由して悪用されていた“Windows URI処理の脆弱性”も修正されたそうです。関連: * 2007年11月のセキュリティ情報 (マイクロソフト)
[雑談] * FinderとExplorerに見るMac OSとWindowsの共通点と相違点 (ITmedia)
レオ様(レパード)、かっこいいなぁw それはともかく、Explorer が落ちたことがあるのを殊更に強調してみせるこの記事の書き方はどうなんだろうw あと、「フォルダごとに表示が変わる」のは“各フォルダの表示設定を保存する”あたりの設定で変えられそうだし、比較の仕方が少々雑に思えたりw[ツール] * freewvs - a free web vulnerability scanner
経由。 既知の脆弱なバージョンのWebアプリ(ブログ、CMS、Wiki、...)が動作していないか確認するフリーツールらしい。 (いわゆる、Webアプリのスキャナでは無いw) ちなみに、“Web Vulnerability Scanner” は Acunetix の登録商標だったりしない?w まぎらわしぃw[雑談] * なぜこんなものを発売したのかわからない史上最悪のクソゲー「Big Rigs」
これは笑えるw サイアクのゲームですねw * これじゃあレビューも投げ出したくなるわw
[セキュリティ] * OWASP Code Review Guide
経由。 OWASP のコードレビューガイドだそうです。 ダウンロードなら無償。[雑談] * ockeghemさんのブクマのコメント
悪いほうの“ハッカー”の話。 日本に居ないとすると、一太郎の脆弱性を突く官公庁を狙ったワームとか、外国の方が作ったと? (あ、それこそ近隣の国のサイバーテロ部隊の仕業とか?(^-^;)[雑談] いろいろ。
←なぜ弁当?w
←ノート取らなくてよい?w
PDFなどを経由して悪用されていた“Windows URI処理の脆弱性”も修正されたそうです。関連: * 2007年11月のセキュリティ情報 (マイクロソフト)
[雑談] * FinderとExplorerに見るMac OSとWindowsの共通点と相違点 (ITmedia)
レオ様(レパード)、かっこいいなぁw それはともかく、Explorer が落ちたことがあるのを殊更に強調してみせるこの記事の書き方はどうなんだろうw あと、「フォルダごとに表示が変わる」のは“各フォルダの表示設定を保存する”あたりの設定で変えられそうだし、比較の仕方が少々雑に思えたりw[ツール] * freewvs - a free web vulnerability scanner
- kinnekoさん
経由。 既知の脆弱なバージョンのWebアプリ(ブログ、CMS、Wiki、...)が動作していないか確認するフリーツールらしい。 (いわゆる、Webアプリのスキャナでは無いw) ちなみに、“Web Vulnerability Scanner” は Acunetix の登録商標だったりしない?w まぎらわしぃw[雑談] * なぜこんなものを発売したのかわからない史上最悪のクソゲー「Big Rigs」
これは笑えるw サイアクのゲームですねw * これじゃあレビューも投げ出したくなるわw
[セキュリティ] * OWASP Code Review Guide
- ikepyonさん
経由。 OWASP のコードレビューガイドだそうです。 ダウンロードなら無償。[雑談] * ockeghemさんのブクマのコメント
textileその手があったか。KCCSのライバル会社がockehgemを堕落させる目的で美酒、佳肴、傾城を送り込まないか心配だ笑ったw 饅頭怖いみたいになってる?w ・・・私は若くて可愛い女性が怖いです。(なにw[セキュリティ] * 「日本にハッカーなんていない」(1)マーケット的観点から考える
悪いほうの“ハッカー”の話。 日本に居ないとすると、一太郎の脆弱性を突く官公庁を狙ったワームとか、外国の方が作ったと? (あ、それこそ近隣の国のサイバーテロ部隊の仕業とか?(^-^;)[雑談] いろいろ。
- 地下100メートルにデータセンター サンなど12団体で (ITmedia)
- IBM,Webアプリのぜい弱性を調べる「Rational AppScan」を発表 (ITPro)
- プログラマ男子取扱説明書 (WeBLoG)
- FileMaker、「弁当のように手軽な」個人向けデータベース発表 (ITmedia)
←なぜ弁当?w
- 卒業アルバムも黒板もIT化—教育関連展示会で (ITmedia)
←ノート取らなくてよい?w
2007/11/15(木)木曜日ー。(えんえんと間違い探し。orz)
[セキュリティ] * Mac OS X TigerとSafari 3βのセキュリティアップデート公開 (ITmedia)
[出来事] * 米軍収容所の運営マニュアル、ネットに流出 (ITmedia)
ノウハウがぎっしりのようですw これは、脱走を試みる人のヒントにもなるかも知れませんね。 まぁ、今頃、大慌てで改訂してるでしょうし、2003年のじゃ内容が古すぎるかw[雑談] * おまいらちょっと十円玉の鳳凰堂見てみろ (カオスちゃんねる)
これは100%真実!w よぉく見ましょう〜w (10円玉じゃなくて >>1 の文章をねw)
textileMac OS X 10.4.11では、Adobe Flash PlayerやAppleRAID、BIND、Kerberos、カーネル、Safariなどに関連して、計39件の脆弱性に対処した。…Safari 3βのアップデート3.0.4は、…タブブラウジングやFreeType 2.2.1の脆弱性、クロスサイトスクリプティング(XSS)の脆弱性など8件の問題が修正されている。色々と修正されたようです。 あと、Safari 3 の正式版もリリースされたようです。関連: * About the security content of Mac OS X 10.4.11 and Security Update 2007-008
[出来事] * 米軍収容所の運営マニュアル、ネットに流出 (ITmedia)
ノウハウがぎっしりのようですw これは、脱走を試みる人のヒントにもなるかも知れませんね。 まぁ、今頃、大慌てで改訂してるでしょうし、2003年のじゃ内容が古すぎるかw[雑談] * おまいらちょっと十円玉の鳳凰堂見てみろ (カオスちゃんねる)
これは100%真実!w よぉく見ましょう〜w (10円玉じゃなくて >>1 の文章をねw)
2007/11/16(金)金曜日ー。(扉がとじたりしまったりしてるw)
[出来事] * オンラインゲーム上で家具の窃盗を行った少年が逮捕される (GIGAZINE)
Webデザイナが顧客とのトラブルを避けるための対処法。 合意を取る&書類に残す!が基本w[ツール] * Windowsのフリーズ状態を緊急解除できるフリーソフト「AntiFreeze」
ALT+CTRL+WIN+HOME の同時押しで、固まっているアプリだけをピンポイントで落としてくれる常駐ソフトだそうです。 これすら起動しなかったら、あきらめて電源プチッですねw関連: * AntiFreeze (Resplendence Software Projects)
textileホテルを舞台にしたMMOゲーム「Habbo Hotel」内で、2500ポンド(約57万円)の価値がある家具を盗んだとして17才の少年がオランダの警察に逮捕されました。「ハッキングと建造物侵入の罪」だそうです。 え、建造物侵入になるの??!(@_@)[雑談] * デザイナーが嫌がる痛い客のありがちな行動・クレームの対処法
Webデザイナが顧客とのトラブルを避けるための対処法。 合意を取る&書類に残す!が基本w[ツール] * Windowsのフリーズ状態を緊急解除できるフリーソフト「AntiFreeze」
ALT+CTRL+WIN+HOME の同時押しで、固まっているアプリだけをピンポイントで落としてくれる常駐ソフトだそうです。 これすら起動しなかったら、あきらめて電源プチッですねw関連: * AntiFreeze (Resplendence Software Projects)
2007/11/17(土)土曜日ー。(どうも。ジェントルマン山形です。)
[ツール] * Microsoft Moneyファイルを Excel に出力 "ofx2excel" by yamagata21/tool/ofx2excel/
オンラインバンキングやクレジットカード会社のインターネットサービスなどで時々見かける「Moneyへ取り込む」(Microsoft Money 形式での入出金明細などのダウンロード)ボタンを押して取得したファイルを読み込んで、 TSV形式で保存したり、Excel に表として出力したりするツールを作りました。読み込んで Excel に保存するだけのシンプルなツールですw 自動ダウンロードとか、各口座の集計とかしたい人は、12,000円くらいで本家が買えるみたいなので、そちらでどうぞ♪⇒* ダウンロードは、こちらから。/tool/ofx2excel/
(フリーソフトウェアです。)
オンラインバンキングやクレジットカード会社のインターネットサービスなどで時々見かける「Moneyへ取り込む」(Microsoft Money 形式での入出金明細などのダウンロード)ボタンを押して取得したファイルを読み込んで、 TSV形式で保存したり、Excel に表として出力したりするツールを作りました。読み込んで Excel に保存するだけのシンプルなツールですw 自動ダウンロードとか、各口座の集計とかしたい人は、12,000円くらいで本家が買えるみたいなので、そちらでどうぞ♪⇒* ダウンロードは、こちらから。/tool/ofx2excel/
(フリーソフトウェアです。)
2007/11/18(日)日曜日ー。(しあわせは遠きにありて思ふものw)
[セキュリティ] * 小売店のワイヤレスデータ管理、85%はセキュリティに問題あり (ITmedia)
小売店で使用されているノートPC、携帯デバイス、バーコードスキャナーなど2500以上のワイヤレス機器を調査したところ、そのうち85%がアクセスポイントの設定ミス、安易なネーミング、ファームウェアの更新し忘れ、いい加減な設定などによりデータ盗難の危険性が高いことが発覚したそうです。 また、
(WPA が出る前の2002年9月の調査)なんて出ていましたが、今も昔もダメダメな事業者は居るってことでしょうかね。 (そもそもバーコードスキャナなどの専用機器は、機種によっては暗号化の設定に対応してなかったりするんでしょうね。 あとは古い機器のために わざと WEP を残しているとかですかね。) ・・・耳にアンテナを内蔵した女子大生が小売店を歩いていたら要注意ですね?!(なにw [雑談] * 昆虫型スパイロボットのプロトタイプ「DelFlyⅡ」 (Gizmodo)
みっきーさん経由。 これはかえって目立つ!w 思わず、はたき落としたくなりますね。(^-^;
小売店で使用されているノートPC、携帯デバイス、バーコードスキャナーなど2500以上のワイヤレス機器を調査したところ、そのうち85%がアクセスポイントの設定ミス、安易なネーミング、ファームウェアの更新し忘れ、いい加減な設定などによりデータ盗難の危険性が高いことが発覚したそうです。 また、
textile約5000のアクセスポイントを調べた結果、25%は暗号化されていなかった。暗号化されていたアクセスポイントのうち、25%はワイヤレスデータ暗号化技術としてはあまり安全でないとされるWEPを使用して…いた。とのことです。 そう言えば、昔、日本の百貨店での WEP の使用有無を調査した* レポート?
(WPA が出る前の2002年9月の調査)なんて出ていましたが、今も昔もダメダメな事業者は居るってことでしょうかね。 (そもそもバーコードスキャナなどの専用機器は、機種によっては暗号化の設定に対応してなかったりするんでしょうね。 あとは古い機器のために わざと WEP を残しているとかですかね。) ・・・耳にアンテナを内蔵した女子大生が小売店を歩いていたら要注意ですね?!(なにw [雑談] * 昆虫型スパイロボットのプロトタイプ「DelFlyⅡ」 (Gizmodo)
みっきーさん経由。 これはかえって目立つ!w 思わず、はたき落としたくなりますね。(^-^;
2007/11/19(月)月曜日ー。(TBSE=テレビ狂牛病ってw)
[雑談] * 公式認定 アサヒる.NET WEB
(ockeghemさん経由。)新聞、テレビ、週刊誌、求人、辞書、・・・などでのアサヒるの扱いをアサヒったサイトw 力作w[セキュリティ] * デスクトップが乗っ取られるとき (ITPro)
システムトレイにメッセージを表示できる時点で、すでにそれなりにシステムに入り込んでいるように思えますが、そこからさらにユーザを騙してソフトをインストールさせる意味って、どこにあるんでしょうかねー? (やろうと思えば、勝手にダウンロードして、勝手にインストールすることが出来るはず。) 何かの利用規約のようなものに同意させることが目的? 誘導ソフトと本命ソフトを別々の国に置くなどして操作をかく乱するため? あとから関係ないと言い逃れるため??[雑談] * 巨大なバルーンでできたダミーのミサイルとトレーラー (GIGAZINE)
仮に人間の目は騙せたとしても、いざ攻撃しようとして、ミサイルのロックをかけようとしたら・・・かからなくてバレない?w それとも、もっともっと上空からの監視を欺くためなのかな。[雑談] いろいろ。
[TV][あいのり] #382 逃げられない男モンゴル。 矢印: ねこ→鉄平←茶葉。 カルボナーラ→Remi。 ダニー。鉄平は、ねこと茶葉が自分のことを好きだと分かってから、必ずワゴンは一番最後に乗り、自分からは席を選ばないようにしていた。(^-^;鉄平“僕がもしかしてどちらかと仲良く話したりすればどちらかを傷付けるだろうし”金庫番の鉄平が財布をスラれてしまった。 速攻で許してくれるねこと茶葉w鉄平「本当すいません。 すいません せっかくみんなで節約したのに」ねこ「それはしょうがないよ、スリは」 茶葉「誰でも失敗はあるからね」カルボナーラ「こんな外国なんだから そういう人いるでしょ! 反省してくださいよ!」翌日、財政難のメンバーはストリートパフォーマンスでお金を稼ぐことに。Remiに化粧をして貰うカルボナーラ。 “目パッと開けたら近いんですよ顔が。 正直ね ビックリするぐらい ドキドキしましたね。 俺25歳にもなって何照れてるんだろうじゃないけど” ディスコに繰り出したメンバー。 ねこは普段飲めないお酒を飲みまくる。ねこ“(鉄平は)お酒を二人で飲んで... が自分の中での理想のカップルっていつも言ってたから。 お酒が飲めないからマイナスっていうのがすごいイヤで。 だからお酒が飲めるようになって そこのマイナスをカバーしたい”酔っぱらって泣いてしまったねこに絡まれる鉄平。 さすがに途中でキレ気味にwねこ「すごい思わせぶりするよねぇ? みんなに優しいじゃん」鉄平「だって全員メンバー好きだもん」 ねこ「じゃあ全員に告られたらどうするの?」鉄平「じゃあ俺はどうすりゃいいんだよ!! 俺だって迷ってんだよ!」ねこには泣きながら絡まれ、茶葉にはタオルを投げ付けられ、疲労困憊の鉄平。鉄平の日記“この場から消えたい・・・”そして・・・鉄平に告白することを決意するねこ。
(ockeghemさん経由。)新聞、テレビ、週刊誌、求人、辞書、・・・などでのアサヒるの扱いをアサヒったサイトw 力作w[セキュリティ] * デスクトップが乗っ取られるとき (ITPro)
システムトレイにメッセージを表示できる時点で、すでにそれなりにシステムに入り込んでいるように思えますが、そこからさらにユーザを騙してソフトをインストールさせる意味って、どこにあるんでしょうかねー? (やろうと思えば、勝手にダウンロードして、勝手にインストールすることが出来るはず。) 何かの利用規約のようなものに同意させることが目的? 誘導ソフトと本命ソフトを別々の国に置くなどして操作をかく乱するため? あとから関係ないと言い逃れるため??[雑談] * 巨大なバルーンでできたダミーのミサイルとトレーラー (GIGAZINE)
仮に人間の目は騙せたとしても、いざ攻撃しようとして、ミサイルのロックをかけようとしたら・・・かからなくてバレない?w それとも、もっともっと上空からの監視を欺くためなのかな。[雑談] いろいろ。
- 理系のための恋愛論(265) えええ? ワルっぽく見せなくても
- 襲われても絶対負けない護身術をアニキが懇切丁寧に解説するムービー (GIGAZINE)
- 家のなかで気軽にヘリコプターを飛ばしてみない? (ExciteBit)
- 専門学校がコスプレ学科はじめるらしいよ!(驚) (HINALOG 2.0)
[TV][あいのり] #382 逃げられない男モンゴル。 矢印: ねこ→鉄平←茶葉。 カルボナーラ→Remi。 ダニー。鉄平は、ねこと茶葉が自分のことを好きだと分かってから、必ずワゴンは一番最後に乗り、自分からは席を選ばないようにしていた。(^-^;鉄平“僕がもしかしてどちらかと仲良く話したりすればどちらかを傷付けるだろうし”金庫番の鉄平が財布をスラれてしまった。 速攻で許してくれるねこと茶葉w鉄平「本当すいません。 すいません せっかくみんなで節約したのに」ねこ「それはしょうがないよ、スリは」 茶葉「誰でも失敗はあるからね」カルボナーラ「こんな外国なんだから そういう人いるでしょ! 反省してくださいよ!」翌日、財政難のメンバーはストリートパフォーマンスでお金を稼ぐことに。Remiに化粧をして貰うカルボナーラ。 “目パッと開けたら近いんですよ顔が。 正直ね ビックリするぐらい ドキドキしましたね。 俺25歳にもなって何照れてるんだろうじゃないけど” ディスコに繰り出したメンバー。 ねこは普段飲めないお酒を飲みまくる。ねこ“(鉄平は)お酒を二人で飲んで... が自分の中での理想のカップルっていつも言ってたから。 お酒が飲めないからマイナスっていうのがすごいイヤで。 だからお酒が飲めるようになって そこのマイナスをカバーしたい”酔っぱらって泣いてしまったねこに絡まれる鉄平。 さすがに途中でキレ気味にwねこ「すごい思わせぶりするよねぇ? みんなに優しいじゃん」鉄平「だって全員メンバー好きだもん」 ねこ「じゃあ全員に告られたらどうするの?」鉄平「じゃあ俺はどうすりゃいいんだよ!! 俺だって迷ってんだよ!」ねこには泣きながら絡まれ、茶葉にはタオルを投げ付けられ、疲労困憊の鉄平。鉄平の日記“この場から消えたい・・・”そして・・・鉄平に告白することを決意するねこ。
- 「キャミソールの日」に社員が下着で働く会社 (GIGAZINE)
- 今年の紅白はアキバ系によるアニメソングでスタート (痛いニュース)
- 女性から見てNGな男性のファッションは「アキバ系を感じさせるファッション」
- “ツンデレ”じゃない!! “ヤンデレ”の世界 (ExciteBit)
2007/11/26(月)月曜日ー。(観光シーズンなのね。。)
[セキュリティ] * [Full-disclosure] XSS with UTF-7 in yahoo.com
あ! 葉っぱさんだw yahoo.com の検索で、パラメータ "eo" に、有効でないエンコード名を指定することによって、IEユーザに対して UTF-7 を用いた XSS が可能だった(修正済み)とのこと。[雑談] * メイドさんが秋葉原ツアーガイド 観光客に大ウケ (ITmedia)
時期が時期だけに暖かそうな格好ですが、若干、メイドさんっぽく見えない感じも?!w[セキュリティ] * DNS Rebinding (徳丸浩さんの日記)
DNS Rebinding について分かりやすく解説されています♪ (いつものクセで、細かいところにツッコミを入れてしまって、徳丸さんの気分を害してしまったかも。 ごめんなさい。orz)[雑談] * 誤りだった“プログラマー35歳定年説”─実は「16進数」 (bogusnews)
年齢を16進表記するなんて、openmya界隈の女性によく見られる傾向と一緒ですねw[セキュリティ] * 違法ダウンロードしたユーザーはアカウント停止—フランスが新制度
確かに効果ありそうですが、ISP がユーザの通信を覗いても良いということ? (もしやヘッダ情報やふるまいのみで判断する?) (それともフランスには「通信の秘密」の保護は無い?)[雑談] いろいろ。
+ * 続きと補足
[TV][あいのり] #383 千秋楽モンゴル。 矢印: ねこ→鉄平←茶葉。 カルボナーラ→Remi。 ダニー。モンゴル帝国時代の首都ハラホリンの丘で、ねこが鉄平を呼び出して告白。ねこ「オーディションのときは85%ぐらいの納得いく答えが出たら帰るって言ってたの。 でも 今100%・・・以上かもしれないぐらいな気持ちになりまして。 たぶん仕事で忙しいじゃん?そういうのもちゃんと分かった上で告白してるし。 そういう面では絶対苦しめたくないし。 時間かかるかもしれないけど もっといい女性になれるように頑張るから。 一緒に日本に帰りたい」告白を終え、鉄平と別れた後にふと大事なことに気づくねこ。ねこ「あっ!好きって言ってない気がしてきた」 ねこは茶葉もダブル告白するかもと思っていたが、茶葉の気持ちは・・・茶葉“もうね 頭が混乱しててね。 どこが好きだったのかも 何もかも分からない”翌日、鉄平からねこに告白の返事をする運命の朝。鉄平「ねこが昨日俺に告白してくれたことはすごく嬉しい。 けど今は俺自身も100%以上の気持ちで接したいのね。 ねこの気持ちは本当によく伝わったし、もしかしたら今後後悔するかもしれない。 けど今は一緒に帰れない」ねこ「で 鉄平は気持ちを伝えたい人はいるの?」鉄平「いない。 今いない。 自分の気持ちがそこまでいく人はいない」そして、その日の午後。 ホテルのレストランで昼食を取った後に鉄平が・・・鉄平「ねこが俺に告白してくれて 旅を終わらせたけど 俺も今日でワゴンを降ります。 やっぱり 毎日仕事のこと思い出して 正直モンゴルは 恋愛と仕事で辛かった。 俺も本当はもうちょっと旅したかった。 カップルとかで帰りたかったけど」同じ日にリタイアするのなら、ねこと一緒に帰国して日本で一から始めてみても良かったはずなのに、ちゃんと告白を断ったあたりに鉄平の誠意があるのでしょうね。。ねこが告白失敗で帰国。 鉄平がリタイア。 そして・・・茶葉は一時帰国中に病院で精密検査を受けたところ心電図に異常が見られたということでドクターストップでリタイア。(汗次週は、男性2名+女性2名の大量の新メンバーが合流♪ チャラ男が居るらしいw⇒* 今週のあいのり
、 * あいのりウラ話(ねこと鉄平と茶葉からの手紙)
あ! 葉っぱさんだw yahoo.com の検索で、パラメータ "eo" に、有効でないエンコード名を指定することによって、IEユーザに対して UTF-7 を用いた XSS が可能だった(修正済み)とのこと。[雑談] * メイドさんが秋葉原ツアーガイド 観光客に大ウケ (ITmedia)
時期が時期だけに暖かそうな格好ですが、若干、メイドさんっぽく見えない感じも?!w[セキュリティ] * DNS Rebinding (徳丸浩さんの日記)
DNS Rebinding について分かりやすく解説されています♪ (いつものクセで、細かいところにツッコミを入れてしまって、徳丸さんの気分を害してしまったかも。 ごめんなさい。orz)[雑談] * 誤りだった“プログラマー35歳定年説”─実は「16進数」 (bogusnews)
年齢を16進表記するなんて、openmya界隈の女性によく見られる傾向と一緒ですねw[セキュリティ] * 違法ダウンロードしたユーザーはアカウント停止—フランスが新制度
確かに効果ありそうですが、ISP がユーザの通信を覗いても良いということ? (もしやヘッダ情報やふるまいのみで判断する?) (それともフランスには「通信の秘密」の保護は無い?)[雑談] いろいろ。
- ドコモもauもいいかげんにメールアドレス設定の仕様を直せ。
+ * 続きと補足
- ITが引き起こした災厄トップ10 (/.jp)
- QuickTimeにまた新たな脆弱性、実証コードも公開 (ITmedia)
- Apple QuickTime RTSP Content-Type header stack buffer overflow
- Airport Kiosks Security (GNUCITIZEN)
[TV][あいのり] #383 千秋楽モンゴル。 矢印: ねこ→鉄平←茶葉。 カルボナーラ→Remi。 ダニー。モンゴル帝国時代の首都ハラホリンの丘で、ねこが鉄平を呼び出して告白。ねこ「オーディションのときは85%ぐらいの納得いく答えが出たら帰るって言ってたの。 でも 今100%・・・以上かもしれないぐらいな気持ちになりまして。 たぶん仕事で忙しいじゃん?そういうのもちゃんと分かった上で告白してるし。 そういう面では絶対苦しめたくないし。 時間かかるかもしれないけど もっといい女性になれるように頑張るから。 一緒に日本に帰りたい」告白を終え、鉄平と別れた後にふと大事なことに気づくねこ。ねこ「あっ!好きって言ってない気がしてきた」 ねこは茶葉もダブル告白するかもと思っていたが、茶葉の気持ちは・・・茶葉“もうね 頭が混乱しててね。 どこが好きだったのかも 何もかも分からない”翌日、鉄平からねこに告白の返事をする運命の朝。鉄平「ねこが昨日俺に告白してくれたことはすごく嬉しい。 けど今は俺自身も100%以上の気持ちで接したいのね。 ねこの気持ちは本当によく伝わったし、もしかしたら今後後悔するかもしれない。 けど今は一緒に帰れない」ねこ「で 鉄平は気持ちを伝えたい人はいるの?」鉄平「いない。 今いない。 自分の気持ちがそこまでいく人はいない」そして、その日の午後。 ホテルのレストランで昼食を取った後に鉄平が・・・鉄平「ねこが俺に告白してくれて 旅を終わらせたけど 俺も今日でワゴンを降ります。 やっぱり 毎日仕事のこと思い出して 正直モンゴルは 恋愛と仕事で辛かった。 俺も本当はもうちょっと旅したかった。 カップルとかで帰りたかったけど」同じ日にリタイアするのなら、ねこと一緒に帰国して日本で一から始めてみても良かったはずなのに、ちゃんと告白を断ったあたりに鉄平の誠意があるのでしょうね。。ねこが告白失敗で帰国。 鉄平がリタイア。 そして・・・茶葉は一時帰国中に病院で精密検査を受けたところ心電図に異常が見られたということでドクターストップでリタイア。(汗次週は、男性2名+女性2名の大量の新メンバーが合流♪ チャラ男が居るらしいw⇒* 今週のあいのり
、 * あいのりウラ話(ねこと鉄平と茶葉からの手紙)
2007/11/27(火)火曜日ー。(“”って何さ?!w)
[セキュリティ] * サイト脆弱性をチェックしよう! 第6回:SQLインジェクションの検査方法
ほんとにレスポンスに「SQLインジェクションが可能です」って入ってきたら良いのになぁw[雑談] うつ病 糸の切れたたこ ×1誰ですか、こんなキーワードで検索してきたのはw**[追記]** こらっ!!w ⇒「小柄 華奢 女性 データセンター 床 ×1」[出来事] * X’masの惨劇−JTBの10日間に及ぶセキュリティインシデント対処事例
社員が中国のWebサイトを閲覧⇒未知のウィルスに感染⇒800台に感染が広がる⇒復旧のために人手を集めたいがクリスマス前で若手社員が集まらない⇒・・・ という復旧までの10日間の激闘の記事。[セキュリティ] * 都教委「個人情報含むメールも会話も禁止」新基準作成へ (産経MSN)
会話も禁止だそうです。 ま、飲み会の席とか、喫煙所が一番アブナイですからねw[雑談] * えっ、データが消える? ファイルの情報漏えい防止『データステア (DataStare)』
書類を読むために DataStareクライアントをインストールする必要があるそうです。 怖いw[セキュリティ] * Firefoxに危険度「高」の脆弱性、最新版にアップデートを (ITmedia)
経由。 FireFox 2.0.0.10 が公開。 「jar:」スキームでのクロスサイトスクリプティング、CSRF などに悪用される恐れのある「window.location」設定時のレースコンディション、悪意あるページを読み込んだ時にメモリ破損→任意のコードが実行される恐れのある脆弱性の3つが修正されたそうです。関連: * Mozilla Products Memory Corruption and Cross-site Request Forgery Issues (FrSIRT)
[ツール] * Wink - a Tutorial and Presentation creation software
経由。 チュートリアルやプレゼン用のデモに使えそうなフリーウェア。 画面をキャプチャして Flash の動画を生成してくれ、キャプションを入れたりも出来るらしい。 とりあえずメモ。[セキュリティ] * 深刻度を色分け表示--脆弱性対策情報データベース「JVN iPedia」が刷新
が刷新されたそうです。 画像掲載&深刻度色分け&検索の強化。
ほんとにレスポンスに「SQLインジェクションが可能です」って入ってきたら良いのになぁw[雑談] うつ病 糸の切れたたこ ×1誰ですか、こんなキーワードで検索してきたのはw**[追記]** こらっ!!w ⇒「小柄 華奢 女性 データセンター 床 ×1」[出来事] * X’masの惨劇−JTBの10日間に及ぶセキュリティインシデント対処事例
社員が中国のWebサイトを閲覧⇒未知のウィルスに感染⇒800台に感染が広がる⇒復旧のために人手を集めたいがクリスマス前で若手社員が集まらない⇒・・・ という復旧までの10日間の激闘の記事。[セキュリティ] * 都教委「個人情報含むメールも会話も禁止」新基準作成へ (産経MSN)
会話も禁止だそうです。 ま、飲み会の席とか、喫煙所が一番アブナイですからねw[雑談] * えっ、データが消える? ファイルの情報漏えい防止『データステア (DataStare)』
書類を読むために DataStareクライアントをインストールする必要があるそうです。 怖いw[セキュリティ] * Firefoxに危険度「高」の脆弱性、最新版にアップデートを (ITmedia)
- まっちゃさん
経由。 FireFox 2.0.0.10 が公開。 「jar:」スキームでのクロスサイトスクリプティング、CSRF などに悪用される恐れのある「window.location」設定時のレースコンディション、悪意あるページを読み込んだ時にメモリ破損→任意のコードが実行される恐れのある脆弱性の3つが修正されたそうです。関連: * Mozilla Products Memory Corruption and Cross-site Request Forgery Issues (FrSIRT)
[ツール] * Wink - a Tutorial and Presentation creation software
- ikepyonさん
経由。 チュートリアルやプレゼン用のデモに使えそうなフリーウェア。 画面をキャプチャして Flash の動画を生成してくれ、キャプションを入れたりも出来るらしい。 とりあえずメモ。[セキュリティ] * 深刻度を色分け表示--脆弱性対策情報データベース「JVN iPedia」が刷新
- JVN iPedia
が刷新されたそうです。 画像掲載&深刻度色分け&検索の強化。
2007/11/28(水)水曜日ー。(明日は、いいにくきゅうの日らしいw)
[ツール] * Exploit-Me : a suite of Firefox web application security testing tools
経由。 Webアプリのセキュリティ検査をする Firefox用のプラグイン。 クロスサイトスクリプティングの検査をする XSS-Me と、SQLインジェクションの検査をする SQL Inject-Me があるようです。 性能はイマイチでしたが、うにゅうにゅとタブが出るのが面白かったので、メモwXSS-Me のほうは、Firefox のパーサを使って属性やタグの挿入を見てるみたいなので、明らかな誤検出というのは少なそう。 (検出漏れはだいぶありましたけどねw あと、セッション管理の甘いアプリでしか使えませんし、直後のページに出力が無いとダメですw)SQL Inject-Me のほうは、ikepyonさんがご指摘のとおり、特定の文字列(エラーメッセージ等)の存在や 200以外のステータスコードかで判断しているみたいですね。 反応の違いでは見てくれないっぽい。[雑談] * 東西線でPASMOを使った早起き通勤キャンペーン (ITmedia)
早起きは 50円の得!らしいですw 専用タッチ端末じゃなくて自動改札でやってくれればよいのに。 あと、20回で1000円、40回で2000円って・・・ふつう 40回なら おまけして 2500円とかにしません?w[出来事] * ツークリック詐欺で逮捕状 会社役員に、被害3億円か (東京新聞)
ツークリック詐欺などで男女6人が、約3400人から3億円騙し取っていたそうです。(@_@)[動物] * やじうまミニレビュー : ドギーマンハヤシ「ペットの夢こたつ」
mixi で商品名が出ていたので検索してみました。 こんなのあるのね。 可愛い♪[雑談] いろいろ。
- ikepyonさん
経由。 Webアプリのセキュリティ検査をする Firefox用のプラグイン。 クロスサイトスクリプティングの検査をする XSS-Me と、SQLインジェクションの検査をする SQL Inject-Me があるようです。 性能はイマイチでしたが、うにゅうにゅとタブが出るのが面白かったので、メモwXSS-Me のほうは、Firefox のパーサを使って属性やタグの挿入を見てるみたいなので、明らかな誤検出というのは少なそう。 (検出漏れはだいぶありましたけどねw あと、セッション管理の甘いアプリでしか使えませんし、直後のページに出力が無いとダメですw)SQL Inject-Me のほうは、ikepyonさんがご指摘のとおり、特定の文字列(エラーメッセージ等)の存在や 200以外のステータスコードかで判断しているみたいですね。 反応の違いでは見てくれないっぽい。[雑談] * 東西線でPASMOを使った早起き通勤キャンペーン (ITmedia)
早起きは 50円の得!らしいですw 専用タッチ端末じゃなくて自動改札でやってくれればよいのに。 あと、20回で1000円、40回で2000円って・・・ふつう 40回なら おまけして 2500円とかにしません?w[出来事] * ツークリック詐欺で逮捕状 会社役員に、被害3億円か (東京新聞)
ツークリック詐欺などで男女6人が、約3400人から3億円騙し取っていたそうです。(@_@)[動物] * やじうまミニレビュー : ドギーマンハヤシ「ペットの夢こたつ」
mixi で商品名が出ていたので検索してみました。 こんなのあるのね。 可愛い♪[雑談] いろいろ。
- 「Windows XP SP3」を導入すると10%速度アップする (GIGAZINE)
- 浴槽サイズの「ポータブルな原子力電池」 (WIRED VISION)
- 「エスカレーター、歩かないで」 名古屋や横浜の地下鉄など (痛いニュース)
- どーも。クリエーターになると噂の若槻千夏です。 (マーボー豆腐は飲み物です)
2007/11/29(木)木曜日ー。(いいにくきゅうの日♪)
[セキュリティ] * 駄目な技術文書の見分け方 その473 (徳丸さんの日記)
高○センセが乗り移ったかのようなネタが披露されていますw
[セキュリティ] * セキュリティリスクはOSからアプリ、サーバからクライアントへ (MYCOM)
SANS から、恒例の 2007年のセキュリティリスク トップ20 が出ました。 「S1 Web Applications」のところに円グラフがありますが、Webアプリに関する脆弱性の報告数が増えており、Webアプリ以外(OS,サーバアプリ)の脆弱性の報告数とほぼ同等にまでなっているようですね。 今回、Webアプリでもっとも狙われている脆弱性の例としては、PHPリモートファイルインクルード、SQLインジェクション、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF) が挙げられているようです。関連: * SANS Top-20 2007 Security Risks (2007 Annual Update)
[雑談] スピア型 vs 標的型(Targeted Attack) エピソードII ?w先ほどの * SANS Top-20 2007 Security Risks
を眺めていたら、Spear Phishing (a highly targeted phishing attack.) という項目がありますね。 去年の夏ごろに、スピア型という言葉は日本独自の用語だから標的型に改めよう!という流れがあって、日本では今や標的型のほうが一般的になったと思いますが、・・・実は海外ではスピア型という用語のほうが一般化して来てたりしたら面白いなぁw (SANS の この記事だけを見て、海外で(今、)一般的に使われていると考えるのは早計ですけどもw) (ま、この記事をきっかけに、改めて広まるという可能性も考えられますけどねw)[雑談] いろいろ。
←また○○○か!本家w
←え、誰か私のこと見てる?w
←二段階くらいなら声かけないw
←某MLで紹介されてた。
高○センセが乗り移ったかのようなネタが披露されていますw
textiletextileSQLインジェクション対策の基本はXSSと同じく適切なエスケープ処理を行うことだ。最近、開発環境の多くは、Prepared Statementあるいはバインドメカニズムと呼ばれる仕組みが実装されているので、それらを用いることが最も簡単な方法といえる。
…SQLインジェクション対策の場合、(1)エスケープ処理を行うことと、(2)Prepared Statementを用いることは、どちらか一方のみを行うべきで、すなわち「or」の関係だ。…しかるに、上記の例では二つの文の関係が、andなのかorなのか、あるいは他の関係なのか分からない。Prepared Statement を 「適切なエスケープ処理を自動で行ってくれる仕組み」 と捉えている場合には元記事の文章展開は違和感がないかも。 (データベースエンジン側の Prepared Statement ではなく、もっと手前の、ライブラリなどでの置き換えの仕組みだけを思い浮かべている?)[雑談] ブラック会社に勤めてるんだが、もう俺は限界かもしれない
- ブラック会社に勤めてるんだが、もう俺は限界かもしれない
- ブラック会社に勤めてるんだが、もう俺は限界かもしれない2
[セキュリティ] * セキュリティリスクはOSからアプリ、サーバからクライアントへ (MYCOM)
SANS から、恒例の 2007年のセキュリティリスク トップ20 が出ました。 「S1 Web Applications」のところに円グラフがありますが、Webアプリに関する脆弱性の報告数が増えており、Webアプリ以外(OS,サーバアプリ)の脆弱性の報告数とほぼ同等にまでなっているようですね。 今回、Webアプリでもっとも狙われている脆弱性の例としては、PHPリモートファイルインクルード、SQLインジェクション、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリ(CSRF) が挙げられているようです。関連: * SANS Top-20 2007 Security Risks (2007 Annual Update)
[雑談] スピア型 vs 標的型(Targeted Attack) エピソードII ?w先ほどの * SANS Top-20 2007 Security Risks
を眺めていたら、Spear Phishing (a highly targeted phishing attack.) という項目がありますね。 去年の夏ごろに、スピア型という言葉は日本独自の用語だから標的型に改めよう!という流れがあって、日本では今や標的型のほうが一般的になったと思いますが、・・・実は海外ではスピア型という用語のほうが一般化して来てたりしたら面白いなぁw (SANS の この記事だけを見て、海外で(今、)一般的に使われていると考えるのは早計ですけどもw) (ま、この記事をきっかけに、改めて広まるという可能性も考えられますけどねw)[雑談] いろいろ。
- 「友達から届いたYouTubeビデオ」に要注意、人気便乗スパム相次ぐ (ITmedia)
- せめて、ハードディスクの最期はこの手で…… (@IT)
←また○○○か!本家w
- 人見知りにありがちなこと (日刊スレッドガイド)
←え、誰か私のこと見てる?w
- イスの背もたれを倒すとき、声かけますか (ExciteBit)
←二段階くらいなら声かけないw
- ハイテク中毒の恐怖 (CNET)
←某MLで紹介されてた。
2007/11/30(金)金曜日ー。(瑕疵担保期間とっくに過ぎてますw)
[動物] * ずっとこのままでいて欲しい、可愛い可愛い子猫 (cat@log)
sayitoさん経由。 か、可愛い!! (ま、私は大人になった猫さんも好きですけどね♪w)[セキュリティ] * 147銀行の4分の1にフィッシング対策で問題あり、URLを表示せず (ITPro)
経由。 トーマツさんが、国内の147の銀行のインターネットバンキングサイトでのフィッシング詐欺対策の現状を調査したところ、約4分の1のサイトに問題が見つかったとのこと。 例えば、アドレスバーを非表示にしていたり(24%)、ログイン先が別ドメインになっていたり(76%)という状況。 ちなみに、最近盛んに宣伝を見かけるw 例の“EV SSL証明書”は、全サイトの 2%で導入されていたそうです。関連: * 銀行(147行)ウェブサイトにおけるフィッシング*への対応状況の調査結果を公表
[便利] * 乗換+徒歩ルート (マピオンナビβ版)
京都駅から京阪に乗るには奈良線で東福寺に出ないとだめだよね?とか話していたら、ずきんさんが教えてくれました♪ 七条まで歩いてもよいらしい? (15分くらいで着くらしい?)[雑談] * 窓が無い部屋に、窓を作り出す照明器具「Bright Blind」 (DesignWorks)
自宅に、秘密の地下室 や 核シェルターを作る際には、導入を検討してみてはいかが?w[出来事] * 韓国男性の死因、携帯電話の爆発ではなかった (ITmedia)
本当は、採石場で作業中に、同僚が運転する掘削機に轢かれたのだそうです。 (その際に携帯電話が発火。) 「怖かったので、携帯電話の爆発で死んだと嘘をついた」と警察で自白したとのこと。[動物] * シルエットカレンダー(卓上) 2,600円
経由。 黒猫さんと白猫さんのシルエット型卓上カレンダー。 おしゃれ♪[製品] * Adobe、フリー版のAdobe PDFを提供開始 ただし広告入り (Technobahn)
画面上に広告が出るのなら良いのですが、生成されるファイルに埋め込まれるのはちょっとw[雑談] * JavaScriptでRPG?「The ClanFX Javascript Game Engine」 (MOONGIFT)
JavaScript で書かれたゲームエンジン。 サンプルシナリオ付き。 * SourceForge
でダウンロード出来ます。 ちなみに、エンジンではないですけど、日本では * TRIGLAV
というのがあるらしい。 へー。[ツール] * Caffeine Monkey (SecureWorks)
セキュメモ経由。 JavaScript の難読化を自動でほどいてくれるツールだそうです。 メモ。[動物] * 映画「本日の猫事情」
猫好きの、猫好きによる、猫好きのための・・・猫の映画。 明日公開です♪w
sayitoさん経由。 か、可愛い!! (ま、私は大人になった猫さんも好きですけどね♪w)[セキュリティ] * 147銀行の4分の1にフィッシング対策で問題あり、URLを表示せず (ITPro)
- まっちゃさん
経由。 トーマツさんが、国内の147の銀行のインターネットバンキングサイトでのフィッシング詐欺対策の現状を調査したところ、約4分の1のサイトに問題が見つかったとのこと。 例えば、アドレスバーを非表示にしていたり(24%)、ログイン先が別ドメインになっていたり(76%)という状況。 ちなみに、最近盛んに宣伝を見かけるw 例の“EV SSL証明書”は、全サイトの 2%で導入されていたそうです。関連: * 銀行(147行)ウェブサイトにおけるフィッシング*への対応状況の調査結果を公表
[便利] * 乗換+徒歩ルート (マピオンナビβ版)
京都駅から京阪に乗るには奈良線で東福寺に出ないとだめだよね?とか話していたら、ずきんさんが教えてくれました♪ 七条まで歩いてもよいらしい? (15分くらいで着くらしい?)[雑談] * 窓が無い部屋に、窓を作り出す照明器具「Bright Blind」 (DesignWorks)
自宅に、秘密の地下室 や 核シェルターを作る際には、導入を検討してみてはいかが?w[出来事] * 韓国男性の死因、携帯電話の爆発ではなかった (ITmedia)
本当は、採石場で作業中に、同僚が運転する掘削機に轢かれたのだそうです。 (その際に携帯電話が発火。) 「怖かったので、携帯電話の爆発で死んだと嘘をついた」と警察で自白したとのこと。[動物] * シルエットカレンダー(卓上) 2,600円
- ずきんさん
経由。 黒猫さんと白猫さんのシルエット型卓上カレンダー。 おしゃれ♪[製品] * Adobe、フリー版のAdobe PDFを提供開始 ただし広告入り (Technobahn)
画面上に広告が出るのなら良いのですが、生成されるファイルに埋め込まれるのはちょっとw[雑談] * JavaScriptでRPG?「The ClanFX Javascript Game Engine」 (MOONGIFT)
JavaScript で書かれたゲームエンジン。 サンプルシナリオ付き。 * SourceForge
でダウンロード出来ます。 ちなみに、エンジンではないですけど、日本では * TRIGLAV
というのがあるらしい。 へー。[ツール] * Caffeine Monkey (SecureWorks)
セキュメモ経由。 JavaScript の難読化を自動でほどいてくれるツールだそうです。 メモ。[動物] * 映画「本日の猫事情」
猫好きの、猫好きによる、猫好きのための・・・猫の映画。 明日公開です♪w