2007/12/01(土)土曜日ー。(そうだ、京都へ行こう。)
[イベント] * 第13回 まっちゃ139勉強会
```textile第13回 まっちゃ139目覚まし勉強会テーマ: 管理者のための便利ツールの紹介 (はなずきん♪さん)<10時30分〜11時30分>, * 龍谷大学 深草学舎 21号館 101室
第13回 まっちゃ139勉強会 (テーマ: 管理者系セキュリティ)<13時00分〜17時40分>, * 龍谷大学 深草学舎 21号館 101室
セッション1 最新のマルウェア動向とその対策(Hirotaka Miedaさん) セッション2 ライトニングトーク4連発 1:神戸情報セキュリティ勉強会の紹介(enoさん) 2:企業内エンドユーザのセキュリティ四方山話(忍さん) 3:人に脅威をお伝えすること(山口也間斗さん) 4:未定(うえひろさん) 5:Sanesecurity のこと(小島先生) 第13回 まっちゃ139懇親会<18時15分-20時15分(二時間)>, * 酒菜遊美 悠悠亭
```今回は京都です♪ どうにか宿を取ることが出来たので、参加して来まーす。(^-^) ←会場の龍谷大学。
```textile第13回 まっちゃ139目覚まし勉強会テーマ: 管理者のための便利ツールの紹介 (はなずきん♪さん)<10時30分〜11時30分>, * 龍谷大学 深草学舎 21号館 101室
第13回 まっちゃ139勉強会 (テーマ: 管理者系セキュリティ)<13時00分〜17時40分>, * 龍谷大学 深草学舎 21号館 101室
セッション1 最新のマルウェア動向とその対策(Hirotaka Miedaさん) セッション2 ライトニングトーク4連発 1:神戸情報セキュリティ勉強会の紹介(enoさん) 2:企業内エンドユーザのセキュリティ四方山話(忍さん) 3:人に脅威をお伝えすること(山口也間斗さん) 4:未定(うえひろさん) 5:Sanesecurity のこと(小島先生) 第13回 まっちゃ139懇親会<18時15分-20時15分(二時間)>, * 酒菜遊美 悠悠亭
```今回は京都です♪ どうにか宿を取ることが出来たので、参加して来まーす。(^-^) ←会場の龍谷大学。
2007/12/02(日)日曜日ー。(そうだ、猫カフェへ行こう!)
[雑談] 東福寺@京都いやー、すごかったです♪ (人の多さも、紅葉もw)[動物][猫カフェ] ねこの部屋 あまえんぼう大阪(高槻市)の猫カフェ「あまえんぼう」に行って来ました〜。 とっても癒されました♪(※写真は、計12枚です。 写真の上にマウスのカーソルを当てると、別の 6枚が表示されます。)
2007/12/03(月)月曜日ー。(あんなに駅あったのねw>京都→東京@こだま)
[雑談] * 2ちゃんねらーが考案した国旗デザインが英紙に掲載される (痛いニュース)
>>226 で紹介されている、国旗にしっぽだけ付いているやつが一番笑えたw関連: * Japan offers to solve 'Union Jack problem' (telegraph.co.uk)
[セキュリティ] * SQL Injectionツール (T.Teradaさんの日記)
経由。 15種類のツールが紹介されてます♪ 中国製は無いのね。[雑談] * 吉野家、「テラ豚丼」動画騒動で謝罪 (ITmedia)
吉野家が* 謝罪文
を出す騒ぎになったようです。 ブログやら動画サービスやらが流行るようになって、従業員の悪ふざけ系のトラブル、これからはますます要注意ですね。(-_-メ関連: * 吉野家のバイトが店内で「テラ豚丼」を作りニコニコ動画にアップ→大炎上
[セキュリティ] * PS3で米大統領選の結果を「正確に」予知?…実はMD5脆弱性への問題提起
2008年のアメリカ大統領選挙の結果を予知した⇒名前をそのまま公表してしまうと選挙に影響するので、名前を書いた文書ファイルのMD5ハッシュ値だけを公開しておく。 ・・・というストーリーなのですが、実は、どの候補者の名前が書かれた PDFファイルも、ハッシュ値が同じになっているそうですw もはや MD5 は終わっているという事実を分かりやすくアピール。 素敵です☆関連: * Predicting the winner of the 2008 US Presidential Elections using a Sony PlayStation 3
[雑談] いろいろ。
←女の子を紹介してくださいw
←気持ちよく休暇取らせてw
←サイテー。[TV][あいのり] #384 好きになってもいいよ♥モンゴルからドイツに移動。 矢印: カルボナーラ→Remi。 ダニー。カルボナーラは、相変わらず Remi にめろめろ。カルボナーラ「Remi 1人で俺ら2人だとさ 俺ら2人でRemiを取り合ってるみたいじゃない?」Remi「どこも そういう風に・・・誰見ても見えんと思うよ」カルボナーラ「俺らのラブ光線気づいてないの?」 Remi「え・・・?気づかん・・・」カルボナーラ「今日も Remiの笑顔だいぶかわいかったしね。 Remiの笑顔独り占めしたい」新メンバー: * 宮くん
(20歳) AB型、 三重県出身、 学童保育。 シャイ。新メンバー: * リョウ
(21歳) O型、 千葉県出身、 大学生。 チャラい。新メンバー: * 桃
(22歳) A型、 東京都出身、 OL。 匂いフェチ。 可愛い。(*^^*)新メンバー: * クロ
(21歳) A型、 東京都出身、 大学生。 黒い。お嬢様 Remi は お酒に酔うと Sなキャラが出てくるらしいwRemi「飲んであげよっか? 『お願いします女王様』って言ったらね。」Remi「どーお? どーお? どうしてほしいの?」Remi「好きになってもいいよ♥」カルボナーラ「やっぱRemiかわいいな。 俺 ほんとRemiのこと大好きです」チャラい大学生リョウが Remi と会話。リョウ「お金 大しゅきぃ〜 間違えた 間違えた『Remi大好き』だった」リョウ「なんか俺に聞きたいことある?いいよ」 Remi「Remiに聞きたいことないの?」リョウ「あ〜う〜んとね〜 うんと〜家の資産は?」 Remi「黙れ」ワゴンの中で Remi にガンガンとチャラいトークをするリョウに、カルボ、キレ気味。カルボナーラ「(リョウは)たぶん良い部分もいっぱい持ってんだろうけど それを見てる限り俺は正直 これ以上に 今以上に仲良くなれる気はしないし・・・正直 調子乗んなよ!って思うし」来週は、カルボ×リョウの男の戦い&あいのり8組目の結婚報告?(ゴキかな?)⇒* 今週のあいのり
、 * あいのりウラ話(新メンバーの日記)
>>226 で紹介されている、国旗にしっぽだけ付いているやつが一番笑えたw関連: * Japan offers to solve 'Union Jack problem' (telegraph.co.uk)
[セキュリティ] * SQL Injectionツール (T.Teradaさんの日記)
- まっちゃさん
経由。 15種類のツールが紹介されてます♪ 中国製は無いのね。[雑談] * 吉野家、「テラ豚丼」動画騒動で謝罪 (ITmedia)
吉野家が* 謝罪文
を出す騒ぎになったようです。 ブログやら動画サービスやらが流行るようになって、従業員の悪ふざけ系のトラブル、これからはますます要注意ですね。(-_-メ関連: * 吉野家のバイトが店内で「テラ豚丼」を作りニコニコ動画にアップ→大炎上
[セキュリティ] * PS3で米大統領選の結果を「正確に」予知?…実はMD5脆弱性への問題提起
2008年のアメリカ大統領選挙の結果を予知した⇒名前をそのまま公表してしまうと選挙に影響するので、名前を書いた文書ファイルのMD5ハッシュ値だけを公開しておく。 ・・・というストーリーなのですが、実は、どの候補者の名前が書かれた PDFファイルも、ハッシュ値が同じになっているそうですw もはや MD5 は終わっているという事実を分かりやすくアピール。 素敵です☆関連: * Predicting the winner of the 2008 US Presidential Elections using a Sony PlayStation 3
[雑談] いろいろ。
- “IT担当”社員が喜ぶクリスマスプレゼント (ITmedia)
←女の子を紹介してくださいw
- 優秀な社員を辞めさせない方法 (Geekなページ)
←気持ちよく休暇取らせてw
- IRCのログ検索サービスに不安の声 (/.jp)
←サイテー。[TV][あいのり] #384 好きになってもいいよ♥モンゴルからドイツに移動。 矢印: カルボナーラ→Remi。 ダニー。カルボナーラは、相変わらず Remi にめろめろ。カルボナーラ「Remi 1人で俺ら2人だとさ 俺ら2人でRemiを取り合ってるみたいじゃない?」Remi「どこも そういう風に・・・誰見ても見えんと思うよ」カルボナーラ「俺らのラブ光線気づいてないの?」 Remi「え・・・?気づかん・・・」カルボナーラ「今日も Remiの笑顔だいぶかわいかったしね。 Remiの笑顔独り占めしたい」新メンバー: * 宮くん
(20歳) AB型、 三重県出身、 学童保育。 シャイ。新メンバー: * リョウ
(21歳) O型、 千葉県出身、 大学生。 チャラい。新メンバー: * 桃
(22歳) A型、 東京都出身、 OL。 匂いフェチ。 可愛い。(*^^*)新メンバー: * クロ
(21歳) A型、 東京都出身、 大学生。 黒い。お嬢様 Remi は お酒に酔うと Sなキャラが出てくるらしいwRemi「飲んであげよっか? 『お願いします女王様』って言ったらね。」Remi「どーお? どーお? どうしてほしいの?」Remi「好きになってもいいよ♥」カルボナーラ「やっぱRemiかわいいな。 俺 ほんとRemiのこと大好きです」チャラい大学生リョウが Remi と会話。リョウ「お金 大しゅきぃ〜 間違えた 間違えた『Remi大好き』だった」リョウ「なんか俺に聞きたいことある?いいよ」 Remi「Remiに聞きたいことないの?」リョウ「あ〜う〜んとね〜 うんと〜家の資産は?」 Remi「黙れ」ワゴンの中で Remi にガンガンとチャラいトークをするリョウに、カルボ、キレ気味。カルボナーラ「(リョウは)たぶん良い部分もいっぱい持ってんだろうけど それを見てる限り俺は正直 これ以上に 今以上に仲良くなれる気はしないし・・・正直 調子乗んなよ!って思うし」来週は、カルボ×リョウの男の戦い&あいのり8組目の結婚報告?(ゴキかな?)⇒* 今週のあいのり
、 * あいのりウラ話(新メンバーの日記)
2007/12/04(火)火曜日ー。(『太平洋の薔薇』 by笹本稜平。)
[出来事] * 「欠陥みつけた」電子マネー不正取得 5人逮捕 (産経新聞)
勉強会の資料が続々と公開され始めたようです。 肝心の部分がサニタイズされていますがw[セキュリティ] * Second Lifeでリンデンドルが盗難の恐れ--ハッカーが指摘 (CNET)
仮想世界での所有物に動画を設定することが可能⇒物体に近づくと自動で再生が始まる⇒QuickTimeの脆弱性を悪用して悪意あるサイトに誘導⇒通貨を不正に奪取 という流れだそうですw[ツール] * YouTubeなどのストリーミングが高速化する「SpeedBit Video Accelerator」
確かに体感速度が高速化することが実感できるらしいです。 試したい方はどうぞ。関連: * SpeedBit Video Accelerator Version 2.2
[出来事] * mixi日記に「INFOBAR 2に欠陥品」と“告白”? 三洋「事実確認中」 (ITmedia)
←壮観ですw
←イギリス式らしいw
←災害時にも使える新方式をw[セキュリティ] * 「攻撃のターゲットはWeb」 - 2007年のセキュリティトレンド (MYCOM)
シマンテックによる、2007年におけるインターネットセキュリティに関するトレンドトップ10。 情報漏えい、Vistaの発売、スパム、プロ用の攻撃キット、フィッシング、信頼されているブランドの悪用、ボット、Webプラグインの脆弱性、脆弱性の売買、仮想マシンのセキュリティ面への懸念 という 10個が挙げられています。 (仮想マシンで何かありましたっけ?^^;)[雑談] * IEとFirefox、どちらが安全? セキュリティ担当者がブログで火花 (ITmedia)
大事なのは、脆弱性の多さか、修正までの期間の短さか。 (IE は修正待ちの公表されていない脆弱性をたくさん持っていそうな予感もしますし、確かにフェアじゃないのかもw)
textile電子マネー「ウェブマネー」(1ポイント=1円)をインターネット上で購入する際、購入画面のURLの一部を書き換えると、実際の購入ポイントよりも少ない支払金額で決済できてしまうシステムの欠陥につけ込み、71回にわたり、計約7万円の支払いで計61万5000ポイントをだまし取った疑い。1人が見つけ、4人に広めたそうです。 計5人を電子計算機使用詐欺の疑いで逮捕。[雑談] * 第13回 まっちゃ139勉強会 資料公開
勉強会の資料が続々と公開され始めたようです。 肝心の部分がサニタイズされていますがw[セキュリティ] * Second Lifeでリンデンドルが盗難の恐れ--ハッカーが指摘 (CNET)
仮想世界での所有物に動画を設定することが可能⇒物体に近づくと自動で再生が始まる⇒QuickTimeの脆弱性を悪用して悪意あるサイトに誘導⇒通貨を不正に奪取 という流れだそうですw[ツール] * YouTubeなどのストリーミングが高速化する「SpeedBit Video Accelerator」
確かに体感速度が高速化することが実感できるらしいです。 試したい方はどうぞ。関連: * SpeedBit Video Accelerator Version 2.2
[出来事] * mixi日記に「INFOBAR 2に欠陥品」と“告白”? 三洋「事実確認中」 (ITmedia)
textile「INFOBAR 2の製品検査をしている」と自称する人物が「欠陥品をそのまま流している」などと自らのmixi日記に書き、ネットで騒動になっている。リテラシの低い社員ネタ、最近続きますね〜。 困ったものです。(-_-メ[雑談] いろいろ。
- 遠くからでも見つけやすい本が立ち並ぶ外観の図書館 (GIGAZINE)
←壮観ですw
- ストライプのネクタイ、なぜ右上がりばかりなのか (ExciteBit)
←イギリス式らしいw
- 水洗トイレからの脱却 (JAN JAN)
←災害時にも使える新方式をw[セキュリティ] * 「攻撃のターゲットはWeb」 - 2007年のセキュリティトレンド (MYCOM)
シマンテックによる、2007年におけるインターネットセキュリティに関するトレンドトップ10。 情報漏えい、Vistaの発売、スパム、プロ用の攻撃キット、フィッシング、信頼されているブランドの悪用、ボット、Webプラグインの脆弱性、脆弱性の売買、仮想マシンのセキュリティ面への懸念 という 10個が挙げられています。 (仮想マシンで何かありましたっけ?^^;)[雑談] * IEとFirefox、どちらが安全? セキュリティ担当者がブログで火花 (ITmedia)
大事なのは、脆弱性の多さか、修正までの期間の短さか。 (IE は修正待ちの公表されていない脆弱性をたくさん持っていそうな予感もしますし、確かにフェアじゃないのかもw)
2007/12/05(水)水曜日ー。(ErrorDocument 413 error413.html)
[セキュリティ] * Firefox UTF-7 Universal XSS (Paul Szabo)
Firefox で iframe を用いて UTF-7 文字列を含むページ(Content-Type:ヘッダや metaタグで別の文字コード設定がされていても可)(iframe は style='display:none' として表示させていなくても可)を読み込むようにしておき、閲覧者をソーシャルエンジニアリング的な手法で誘導して、呼び出し元ページの「文字エンコーディング」を UTF-7 に変更させることが出来れば、iframe で読み込んだページ上の UTF-7 で記述されたスクリプトなどを実行させることが出来る・・・という主張。関連: * [Full-disclosure] Firefox UTF-7 Universal XSS
[雑談] * 3.5インチフロッピーディスク型のCD-Rメディア (GIGAZINE)
大きさから考えると、5インチフロッピーのほうが近そうですが・・・格好がよくないかw[セキュリティ] * XSS Alerts: Early Warning Mailing List (XSSed.com)
アドレスを登録しておくと、自ドメインで XSS が見つかったときにメールでお知らせしてくれる?らしいです。 なんか、ドメインを登録したら狙われるんじゃないかと心配してみたりw[雑談] * 優秀な部下が「退職願」を出したときの対処法 (PRESIDENT Online)
今、最後の有休を満喫中の某氏は、どんな引止め工作に遭ったんでしょうかね。(^-^;[出来事] * キヤノンと日本HPのレーザープリンターなど40万台以上で不具合 (ITPro)
回線が断線して電源が入らなくなったり、異臭・発煙が生じることがあるらしいです。[雑談] * インスタントラーメンを食べた小学生4人、直後に泡を吐き即死…中国 (痛いニュース)
名づけて、「即死ラーメン」だそうです。 こわっ!!!
Firefox で iframe を用いて UTF-7 文字列を含むページ(Content-Type:ヘッダや metaタグで別の文字コード設定がされていても可)(iframe は style='display:none' として表示させていなくても可)を読み込むようにしておき、閲覧者をソーシャルエンジニアリング的な手法で誘導して、呼び出し元ページの「文字エンコーディング」を UTF-7 に変更させることが出来れば、iframe で読み込んだページ上の UTF-7 で記述されたスクリプトなどを実行させることが出来る・・・という主張。関連: * [Full-disclosure] Firefox UTF-7 Universal XSS
[雑談] * 3.5インチフロッピーディスク型のCD-Rメディア (GIGAZINE)
大きさから考えると、5インチフロッピーのほうが近そうですが・・・格好がよくないかw[セキュリティ] * XSS Alerts: Early Warning Mailing List (XSSed.com)
アドレスを登録しておくと、自ドメインで XSS が見つかったときにメールでお知らせしてくれる?らしいです。 なんか、ドメインを登録したら狙われるんじゃないかと心配してみたりw[雑談] * 優秀な部下が「退職願」を出したときの対処法 (PRESIDENT Online)
今、最後の有休を満喫中の某氏は、どんな引止め工作に遭ったんでしょうかね。(^-^;[出来事] * キヤノンと日本HPのレーザープリンターなど40万台以上で不具合 (ITPro)
回線が断線して電源が入らなくなったり、異臭・発煙が生じることがあるらしいです。[雑談] * インスタントラーメンを食べた小学生4人、直後に泡を吐き即死…中国 (痛いニュース)
名づけて、「即死ラーメン」だそうです。 こわっ!!!
2007/12/06(木)木曜日ー。(ぐーでパンチ vs ちょきで目潰し?)
[出来事] * 日銀の新しい決済ネットが1時間ダウン、複数手段で対処し「大きな影響なし」
ルータのトラブルだそうです。 再起動で復旧したようですが、当日夜に新品と交換したとのこと。 プレスリリースが出ていますが、具体的な対処内容や原因がまったく見えてきませんね。(^-^;⇒「* 日本銀行では、障害の原因分析、再発防止策の導入を既に行いました。
」[雑談] * 通信教育で、僧侶の資格がもらえます。
某マイミクさんのところから。 通信教育で僧侶になれるらしいですw ・・・ところで、「※本講座を修了された方全員、認定免除がもらえます。」の「認定免除」というのは、認定を免除する(=認定しない)という意味ですかね?w (・・・普通に「認定免状」の間違いですかね。(^-^;)[出来事] * 吉野家の「テラ豚丼」問題、ついに実行犯を特定へ (GIGAZINE)
西日本地域の直営店のバイト2名が処分だそうです。 それよりも、* ケン〇ッキー
が。orz
関連: * 吉野家:アルバイト店員2人を処分 山盛り豚丼動画 (毎日新聞)
[雑談] * 「朝ドラあけのアナウンサーの表情」のナゾ (ExciteBit)
そりゃあ、まぁ、これからニュース読むってのにドラマ観てる時間はありませんわなw[セキュリティ] * オンラインでの政治献金にひそむセキュリティ・リスク (ITPro)
政治献金サイトが 一貫性のないURLや支払いシステムを使っているため、選挙キャンペーンを装うメールで PayPal などでの支払いを促すようなフィッシング詐欺が簡単に行えてしまうという指摘。関連: * Online Campaign 2008: A Phishing Bonanza? (Wired)
[雑談] * 古生物学史上最大級の発見、恐竜の「ミイラ」が発見 (Technobahn)
そのミイラには・・・羽毛は付いていたんでしょうか?(ぇw[出来事] * 盗まれたカード情報がネットに大量掲載 (ITmedia)
海賊版ゲームなどの売買に使われているインターネットフォーラム「Warez Forum」のディスカッショングループに、多数のクレジットカード番号やメールアドレス、PIN番号などが投稿されていたとのことです。関連: * FaceTime Researcher Discovers Stolen Credit Card Details Posted to Internet Forum
[雑談] * 次期IEの名称は「Internet Explorer 8」--ゲイツ氏が明らかに (CNET)
機能やリリース時期ではなく、名称が決まった!というニュースです。 そんな報告、イラネェw[セキュリティ] * OpenOffice.orgに脆弱性、修正パッチが公開 (ITmedia)
データベースエンジン「HSQLDB」に脆弱性が存在し、悪意あるデータベース文書を開いたユーザのマシンで任意のJavaコードが実行される恐れがあるとのこと。関連: * OpenOffice Database Document Processing Unspecified Code Execution (Secunia)
[雑談] * ケンタッキー広報激怒…元アルバイト少年が保護者、教員同伴で謝罪 (痛いニュース)
なんか、なんと言われようと、もう、頭の中にイメージが付いてしまって。。(>_<)関連: * 「ゴキブリ揚げた」mixi日記は「事実無根」 ケンタッキーに「本人が謝罪」 (ITmedia)
ルータのトラブルだそうです。 再起動で復旧したようですが、当日夜に新品と交換したとのこと。 プレスリリースが出ていますが、具体的な対処内容や原因がまったく見えてきませんね。(^-^;⇒「* 日本銀行では、障害の原因分析、再発防止策の導入を既に行いました。
」[雑談] * 通信教育で、僧侶の資格がもらえます。
某マイミクさんのところから。 通信教育で僧侶になれるらしいですw ・・・ところで、「※本講座を修了された方全員、認定免除がもらえます。」の「認定免除」というのは、認定を免除する(=認定しない)という意味ですかね?w (・・・普通に「認定免状」の間違いですかね。(^-^;)[出来事] * 吉野家の「テラ豚丼」問題、ついに実行犯を特定へ (GIGAZINE)
西日本地域の直営店のバイト2名が処分だそうです。 それよりも、* ケン〇ッキー
が。orz
関連: * 吉野家:アルバイト店員2人を処分 山盛り豚丼動画 (毎日新聞)
[雑談] * 「朝ドラあけのアナウンサーの表情」のナゾ (ExciteBit)
そりゃあ、まぁ、これからニュース読むってのにドラマ観てる時間はありませんわなw[セキュリティ] * オンラインでの政治献金にひそむセキュリティ・リスク (ITPro)
政治献金サイトが 一貫性のないURLや支払いシステムを使っているため、選挙キャンペーンを装うメールで PayPal などでの支払いを促すようなフィッシング詐欺が簡単に行えてしまうという指摘。関連: * Online Campaign 2008: A Phishing Bonanza? (Wired)
[雑談] * 古生物学史上最大級の発見、恐竜の「ミイラ」が発見 (Technobahn)
そのミイラには・・・羽毛は付いていたんでしょうか?(ぇw[出来事] * 盗まれたカード情報がネットに大量掲載 (ITmedia)
海賊版ゲームなどの売買に使われているインターネットフォーラム「Warez Forum」のディスカッショングループに、多数のクレジットカード番号やメールアドレス、PIN番号などが投稿されていたとのことです。関連: * FaceTime Researcher Discovers Stolen Credit Card Details Posted to Internet Forum
[雑談] * 次期IEの名称は「Internet Explorer 8」--ゲイツ氏が明らかに (CNET)
機能やリリース時期ではなく、名称が決まった!というニュースです。 そんな報告、イラネェw[セキュリティ] * OpenOffice.orgに脆弱性、修正パッチが公開 (ITmedia)
データベースエンジン「HSQLDB」に脆弱性が存在し、悪意あるデータベース文書を開いたユーザのマシンで任意のJavaコードが実行される恐れがあるとのこと。関連: * OpenOffice Database Document Processing Unspecified Code Execution (Secunia)
[雑談] * ケンタッキー広報激怒…元アルバイト少年が保護者、教員同伴で謝罪 (痛いニュース)
なんか、なんと言われようと、もう、頭の中にイメージが付いてしまって。。(>_<)関連: * 「ゴキブリ揚げた」mixi日記は「事実無根」 ケンタッキーに「本人が謝罪」 (ITmedia)
2007/12/07(金)金曜日ー。(アクセス解析しとかないとw)
[出来事] * カナダのパスポート申請情報、単純なURL書き換えで丸見えに (ITmedia)
経由。 これはヒドいw 今まで気づかれなかったことが奇跡。(^-^;;;[セキュリティ] * Symantec Security Response Weblog: Run Installer, Run! (まっちゃさん)
Internet Explorer で .exeファイルのような 実行形式のファイルをダウンロードする場合、通常であれば、「実行」「保存」「キャンセル」の3つの選択肢を持つダイアログが表示されますが、HTMLソースに「<meta name="DownloadOptions" content="nosave"/>」という記述があると、「実行」「キャンセル」の2つの選択肢しかないダイアログが表示されるそうです。 あらまぁ。(-_-メ
関連: * Run Installer, Run! (Symantec Security Response Weblog)
[雑談] * ケンタッキーでゴキブリ揚げた!?男子高生が大嘘日記で謝罪 (サンスポ)
Flashアプリのセキュリティテストが出来るFlashアプリらしいw ⇒* SWFIntruder (OWASP)
[雑談] * 日本で発売される「段ボール肉まん」の製品画像を入手 (GIGAZINE)
段ボールに入った肉まん(※段ボールは食べられません)らしいですw アキバ名物狙ってる?w関連: * あの世間を震撼させた「段ボール肉まん」が日本でも発売決定 (GIGAZINE)
[雑談] * 「事実無根」では不十分? 従業員の「炎上」、企業の対応策は (ITmedia)
炎上コンサルタントなんて居るのねw 炎上後の沈静化より、炎上予防が大事とのこと。[ツール] * 誰でも簡単にグラフを描けるAPI 『Google Charts』 (IDEA*IDEA)
ockeghemさん経由。 棒グラフ、円グラフ、折れ線グラフなどが* 簡単に描けます
♪ ラベルに日本語入るかな?と試してみたら、UTF-8 でエンコードすると「ひらがな」は表示されました。 漢字は無理?関連:
[雑談] いろいろ。
←「内臓カメラ」怖いw
textileラニング氏はブラウザのURLのうち1文字を「M」から「L」に書き換えただけだった。パスポート申請者の社会保障番号、生年月日、運転免許証番号、住所などのデータを閲覧できることに気づいたという。
- ずきんさん
経由。 これはヒドいw 今まで気づかれなかったことが奇跡。(^-^;;;[セキュリティ] * Symantec Security Response Weblog: Run Installer, Run! (まっちゃさん)
Internet Explorer で .exeファイルのような 実行形式のファイルをダウンロードする場合、通常であれば、「実行」「保存」「キャンセル」の3つの選択肢を持つダイアログが表示されますが、HTMLソースに「<meta name="DownloadOptions" content="nosave"/>」という記述があると、「実行」「キャンセル」の2つの選択肢しかないダイアログが表示されるそうです。 あらまぁ。(-_-メ
関連: * Run Installer, Run! (Symantec Security Response Weblog)
[雑談] * ケンタッキーでゴキブリ揚げた!?男子高生が大嘘日記で謝罪 (サンスポ)
textile広報担当者は記述が虚偽だとすぐ分かったといい「動き回るゴキブリを揚げることはものすごい技術が必要ですから。…」とプロの目で指摘。なんですか?!このコメントはw どんなプロの目だよ。(^-^;[ツール] * SWF Intruder (にわか鯖管の苦悩日記)
Flashアプリのセキュリティテストが出来るFlashアプリらしいw ⇒* SWFIntruder (OWASP)
[雑談] * 日本で発売される「段ボール肉まん」の製品画像を入手 (GIGAZINE)
段ボールに入った肉まん(※段ボールは食べられません)らしいですw アキバ名物狙ってる?w関連: * あの世間を震撼させた「段ボール肉まん」が日本でも発売決定 (GIGAZINE)
[雑談] * 「事実無根」では不十分? 従業員の「炎上」、企業の対応策は (ITmedia)
炎上コンサルタントなんて居るのねw 炎上後の沈静化より、炎上予防が大事とのこと。[ツール] * 誰でも簡単にグラフを描けるAPI 『Google Charts』 (IDEA*IDEA)
ockeghemさん経由。 棒グラフ、円グラフ、折れ線グラフなどが* 簡単に描けます
♪ ラベルに日本語入るかな?と試してみたら、UTF-8 でエンコードすると「ひらがな」は表示されました。 漢字は無理?関連:
[雑談] いろいろ。
- 自動販売機でのたばこの購入方法が変わる (ExciteBit)
←「内臓カメラ」怖いw
- mixiでミスド店員が、ドーナツの真ん中に穴を開けていたと発言 (カオスちゃんねる)
2007/12/08(土)土曜日ー。(ウィルスメールがたくさん来た。)
[雑談] あぶないところだったwHKCU\Software\Microsoft\Windows\CurrentVersion\Run\ の下に気に入らないエントリがあったのですが、(いきなり削除するのもアレかと思って、)深く考えずに軽い気持ちで、その項目の「アクセス許可」で 自ユーザに対して“拒否”をつけたら・・・ひどい目にあいましたw \Run\ の下の1つの項目のアクセス許可をいじっただけなのに、regedit/regedt32 では \Run\ そのものの表示が出来なくなってしまって、どうやって戻して良いものか途方にくれましたw regコマンドでも caclsコマンドでもないし・・・と悩んだ挙句、結局、新しい管理者ユーザを追加して、そちらのユーザから HKEY_USERS\ の下のエントリを参照して元に戻しました。 Administratorsグループに拒否とかつけなくて良かった。(汗[セキュリティ] * 11月は脆弱性狙うトロイの木馬が主流--マカフィー調べ (CNET)
今月は、この日記のコメント欄にも、ウェブ経由で脆弱性を突いて感染するマルウェアのリンクが投稿されたことがありました。 すぐに削除しましたけど。 投稿元IPアドレスは中国でした。[雑談] いろいろ。
←またこのパターンかw
↓14.6歳はちょっとw
←たかしくん最強?w
今月は、この日記のコメント欄にも、ウェブ経由で脆弱性を突いて感染するマルウェアのリンクが投稿されたことがありました。 すぐに削除しましたけど。 投稿元IPアドレスは中国でした。[雑談] いろいろ。
- 理系のための恋愛論 (267) カノジョの母親、こんなカレシにホッとする
- INFOBAR 2告白は「事実無根」三洋が説明、「本人が謝罪」 (ITmedia)
←またこのパターンかw
- ある日女性専用車両に乗ってたら (はてな匿名ダイアリー)
↓14.6歳はちょっとw
- 男性はなぜ若い女性と結婚するのか? フィンランド人研究者が研究発表 (Technobahn)
- 米ロスアラモス研究所がハッキング、内部情報が外部に流出 (Technobahn)
- ここに20枚の金貨があります (カオスちゃんねる)
←たかしくん最強?w
2007/12/09(日)日曜日ー。(「怒らないで聞いて!!」 「犯人は私です、ゴメン」)
[セキュリティ] * 脅威は分かるが被害に遭う自分は想像できない (ITmedia)
「(Webページ閲覧中に)契約した覚えのない料金の支払いを要求するメッセージが表示された」(8.7%)、「覚えのない料金の支払いを要求するメールが送られてきた」(6.3%)という経験がある人のうち、実際に支払いを行った人は 3.8%とのこと。 超おおざっぱに考えると、9万人に Webページまたはメールでの架空請求詐欺を仕掛ければ 3400人騙されて 3億円儲かるわけですね。(ちがうw関連: * 情報セキュリティに関する脅威に対する意識調査(2007年度第1回) (IPA)
[雑談] いろいろ。
「(Webページ閲覧中に)契約した覚えのない料金の支払いを要求するメッセージが表示された」(8.7%)、「覚えのない料金の支払いを要求するメールが送られてきた」(6.3%)という経験がある人のうち、実際に支払いを行った人は 3.8%とのこと。 超おおざっぱに考えると、9万人に Webページまたはメールでの架空請求詐欺を仕掛ければ 3400人騙されて 3億円儲かるわけですね。(ちがうw関連: * 情報セキュリティに関する脅威に対する意識調査(2007年度第1回) (IPA)
[雑談] いろいろ。
- データ復旧会社が明かす--2007年ハードウェア破損珍事件簿 (CNET)
- スプーンって何で片方しかへこんでないの? (カオスちゃんねる)
- 第1次世界大戦時に撮影された兵士で作った自由の女神 (GIGAZINE)
2007/12/10(月)月曜日ー。()
[セキュリティ] * 第3回 Ajaxのセキュリティ、特殊なものだと思ってました (@IT)
経由。 今回は、勉強会への参加の仕方についてです。(←ちがうw) ・・・セキュリティオーディットではなくて、セキュアオーディットなんですねw なんだか不思議な感じです。(ぇw[出来事] * 「ケン〇ッキーでゴキブリ揚げた」 元バイトの高3生、私大付属高を「自主退学」
飲酒喫煙とバイトやカンニングがまずかったらしいです。 「自主」という名の退学処分?(-_-;[セキュリティ] * Webメール,盗み見されていませんか (ITPro)
Webメールが覗き見されたら気づくように、自分宛てに、Webバグもどきを仕込んだ “おとりメール” を送っておこう!という話。 笑えるw ・・・ところで、パスワードリマインダのことを「Send email forgot password system」と呼んでるのは・・・あまり聞かないかも?(^-^;[雑談] * 東京ディズニーランド:アトラクションが非常停止 (毎日新聞)
1983年の開園以来、初めての大規模なアトラクション停止だそうです。 電気系統のトラブルによるコンピュータシステムの障害で、41個中 25個のアトラクションが 4時間にわたって停止したとのこと。[セキュリティ] * スカイプ、「重大」レベルの脆弱性を修正 (CNET)
経由。 URIハンドラ「skype4com」に、**短い**文字列を与えた場合に、一部のメモリ内容の書き換えが行われてしまう脆弱性があり、任意のコードの実行にいたる可能性があったとのこと。関連: * Critical hole in Skype VoIP client (heise Security)
[雑談] * 経済産業省が企業のリコール社告をJIS規格化することに決定 (/.jp)
そのうち、「個人情報流出のお詫び」系もJIS規格化されたりするんでしょうかねw[セキュリティ] * COPYコマンドを使ったデータ隠し (B-) の独り言)
「copy /B dragon.jpg + Lance.7z DragonLance.jpg」というように、画像ファイルの後ろに 7zipアーカイブを結合したものを作成すると、画像は見えるし、7zip での解凍も出来るとのことです。 バイナリの中身を探索してアーカイブ部分を探すなんて、7zip、いい根性してますね。(ちがうw[雑談] いろいろ。
【* 遺失物の公表ページ
】
[TV][あいのり] #385 厚い壁 ドイツ。 矢印: カルボナーラ→Remi←リョウ。 ダニー、宮くん、桃、クロ。肉料理が好きなRemiに、自分の肉を差し出すカルボナーラ。 すぐにリョウも真似をするwカルボナーラ「負けず嫌いだなぁ。 いつでも負けてあげるよ俺は」カルボナーラの日記“カルボナーラ25才 まだ×2 リョウには負けへん”
リョウの日記“絶対ぇー負けねぇーし!!”メンバーのテンションについていけず、ひとり静かな宮くん。宮くんの日記“トークはやっぱりムズかしい。リョウやカルボナーラのトーク力を分けてほしい” Remiを呼び出して白いバラをプレゼントするリョウ。 しかし、翌日返品されてしまうwリョウ「『寒いね』と言い返す人のいるあたたかさ」 Remi「サムいよぉ〜」ベルリンの壁って、東ドイツの中の西ベルリン地区を取り囲む壁だったのね。 西ベルリンから西ドイツまでは、途中で降りられない電車や道路でつながっていた?!そうです。(@_@)Remiの日記“壁が崩壊した年はRemiが生まれた後 歴史的瞬間に自分も存在していた”宮くんの日記“悲しいような、さみしいような 昔はホント残酷だなって・・・。”桃の日記“私は歴史を知らない 本当におバカさんだ”来週は、宮くんの過去、Remiを巡る男のバトル、桃の乳首が裂けた話らしいですw⇒* 今週のあいのり
、 * あいのりウラ話(アウトロー&ゴキの結婚)
- Luffyさん
経由。 今回は、勉強会への参加の仕方についてです。(←ちがうw) ・・・セキュリティオーディットではなくて、セキュアオーディットなんですねw なんだか不思議な感じです。(ぇw[出来事] * 「ケン〇ッキーでゴキブリ揚げた」 元バイトの高3生、私大付属高を「自主退学」
飲酒喫煙とバイトやカンニングがまずかったらしいです。 「自主」という名の退学処分?(-_-;[セキュリティ] * Webメール,盗み見されていませんか (ITPro)
Webメールが覗き見されたら気づくように、自分宛てに、Webバグもどきを仕込んだ “おとりメール” を送っておこう!という話。 笑えるw ・・・ところで、パスワードリマインダのことを「Send email forgot password system」と呼んでるのは・・・あまり聞かないかも?(^-^;[雑談] * 東京ディズニーランド:アトラクションが非常停止 (毎日新聞)
1983年の開園以来、初めての大規模なアトラクション停止だそうです。 電気系統のトラブルによるコンピュータシステムの障害で、41個中 25個のアトラクションが 4時間にわたって停止したとのこと。[セキュリティ] * スカイプ、「重大」レベルの脆弱性を修正 (CNET)
- まっちゃさん
経由。 URIハンドラ「skype4com」に、**短い**文字列を与えた場合に、一部のメモリ内容の書き換えが行われてしまう脆弱性があり、任意のコードの実行にいたる可能性があったとのこと。関連: * Critical hole in Skype VoIP client (heise Security)
[雑談] * 経済産業省が企業のリコール社告をJIS規格化することに決定 (/.jp)
そのうち、「個人情報流出のお詫び」系もJIS規格化されたりするんでしょうかねw[セキュリティ] * COPYコマンドを使ったデータ隠し (B-) の独り言)
「copy /B dragon.jpg + Lance.7z DragonLance.jpg」というように、画像ファイルの後ろに 7zipアーカイブを結合したものを作成すると、画像は見えるし、7zip での解凍も出来るとのことです。 バイナリの中身を探索してアーカイブ部分を探すなんて、7zip、いい根性してますね。(ちがうw[雑談] いろいろ。
- あなたも無関係ではない・点としての事件「モバイルスイカ不正利用」 (ITPro)
- Media Player 6.4に未パッチの脆弱性 (ITmedia)
- 「39万円プレーヤー」マルチ商法、mixi悪用して会員集め (ITmedia)
- 落とし物はネットで検索 改正遺失物法きょう施行 (ITmedia)
【* 遺失物の公表ページ
】
- 40℃のお湯と60℃のお湯を同じ量混ぜたら (カオスちゃんねる)
[TV][あいのり] #385 厚い壁 ドイツ。 矢印: カルボナーラ→Remi←リョウ。 ダニー、宮くん、桃、クロ。肉料理が好きなRemiに、自分の肉を差し出すカルボナーラ。 すぐにリョウも真似をするwカルボナーラ「負けず嫌いだなぁ。 いつでも負けてあげるよ俺は」カルボナーラの日記“カルボナーラ25才 まだ×2 リョウには負けへん”
リョウの日記“絶対ぇー負けねぇーし!!”メンバーのテンションについていけず、ひとり静かな宮くん。宮くんの日記“トークはやっぱりムズかしい。リョウやカルボナーラのトーク力を分けてほしい” Remiを呼び出して白いバラをプレゼントするリョウ。 しかし、翌日返品されてしまうwリョウ「『寒いね』と言い返す人のいるあたたかさ」 Remi「サムいよぉ〜」ベルリンの壁って、東ドイツの中の西ベルリン地区を取り囲む壁だったのね。 西ベルリンから西ドイツまでは、途中で降りられない電車や道路でつながっていた?!そうです。(@_@)Remiの日記“壁が崩壊した年はRemiが生まれた後 歴史的瞬間に自分も存在していた”宮くんの日記“悲しいような、さみしいような 昔はホント残酷だなって・・・。”桃の日記“私は歴史を知らない 本当におバカさんだ”来週は、宮くんの過去、Remiを巡る男のバトル、桃の乳首が裂けた話らしいですw⇒* 今週のあいのり
、 * あいのりウラ話(アウトロー&ゴキの結婚)
2007/12/11(火)火曜日ー。(yamagata21+9。orz)
[セキュリティ] * チャット相手から個人情報を引き出そうとする「チャットロボット」に注意
ホームページ掲載時の業者の作業ミスだそうです。 単純に公表時期を間違えてしまった? それとも、ファイル名が予測可能だったとか、ディレクトリインデックスが有効だったとか、そういう系?(^-^;[雑談] * 誰かのサンタ (鞍さん@B-note)
いいお客さんだw 誰かの「なにげないサンタ」になれるよう振舞えたら素敵ですね☆[セキュリティ] * パッチ情報公開の「不手際」でSkypeが謝罪 (ITmedia)
パッチ公開時にユーザに情報を公開しなかったことについて、Skype は、「意図しないコミュニケーション上の不手際があり…今となっては謝罪するしかない」とコメントを出しているとのことです。(^-^;[雑談] * じいちゃんがネットに流出した (カオスちゃんねる)
色んなところに出没するらしいw 無事に家に帰ってくることを祈っています。(ちがうw[セキュリティ] * 「どんだけぇ〜」「そんなの関係ねぇ」大手270社のIT活用実態 (ITPro)
無理に流行語を取り入れたw感じの、今年一年のIT活用実態のアンケート結果のまとめ記事。[雑談] いろいろ。
←おぉ!!w
textileオンライン恋愛を装い、…会話相手から個人情報を引き出すプログラムがロシアの複数のチャットフォーラムに出回っているという。…同ソフトは、オンライン上で出会ったすべての人物について、名前、連絡先、写真付きのレポートを作成する。この「CyberLover」の自動チャットはとても優れていて、誰もがホンモノの人間相手に話していると思ってしまうらしいですw 30分間に最高で 10人と関係を築くwそうです。[雑談] 今日のspam「例の件、出来ました。」という Subject: で、本文が iso-2022-jp の base64エンコードされてるメールが来ましたw 誰かからのいたずらかと思ってデコードしてみたら・・・普通に spam でしたw[出来事] * 公表前の決算関連情報、他サイトで閲覧可に (読売新聞)
ホームページ掲載時の業者の作業ミスだそうです。 単純に公表時期を間違えてしまった? それとも、ファイル名が予測可能だったとか、ディレクトリインデックスが有効だったとか、そういう系?(^-^;[雑談] * 誰かのサンタ (鞍さん@B-note)
いいお客さんだw 誰かの「なにげないサンタ」になれるよう振舞えたら素敵ですね☆[セキュリティ] * パッチ情報公開の「不手際」でSkypeが謝罪 (ITmedia)
パッチ公開時にユーザに情報を公開しなかったことについて、Skype は、「意図しないコミュニケーション上の不手際があり…今となっては謝罪するしかない」とコメントを出しているとのことです。(^-^;[雑談] * じいちゃんがネットに流出した (カオスちゃんねる)
色んなところに出没するらしいw 無事に家に帰ってくることを祈っています。(ちがうw[セキュリティ] * 「どんだけぇ〜」「そんなの関係ねぇ」大手270社のIT活用実態 (ITPro)
無理に流行語を取り入れたw感じの、今年一年のIT活用実態のアンケート結果のまとめ記事。[雑談] いろいろ。
- IT戦士の作り方 ─おかん、俺戦士になるよ─ (amachangさん)
- 「好きを貫く」よりも、もっと気分よく生きる方法 (分裂勘違い君劇場)
- 【みっくみくに】え ぬえちけー初音ミク特集【してやんよ】 (YouTube)
←おぉ!!w
- 【中国】 好きではない国のトップは「韓国」…中国紙調査 (痛いニュース)
2007/12/12(水)水曜日ー。(作業はエンドレスだ!w)
[雑談] いつもの通勤電車で、ちょっと強めの急ブレーキがかかり、「ピピッピピッ。 急停車します、おつかまりください。」という耳慣れない自動音声が流れました。 あんな機能あったのねw でも、ブレーキと同時なので、あのアナウンスを聞いてから掴まるのは無理だろうなーと思ってみたりも。(^-^;[出来事] * 「@SOLAショップ」の個人情報流出問題で丸紅インフォが調査報告
には結構分かりやすく書いてあるみたいなのに。 ようするに、SQLインジェクション対策に漏れか誤りがあり、個人情報を含む SQLエラーメッセージを吐かせることが出来たと。 そのログが FTPサーバにたまっていて、FTPサーバに何らかの方法で不正にアクセスされ、データが流出してしまったとのことらしい。 そのことに 2年間気づかなかったと。 その結果、13,966名分の個人情報(うち、クレジットカード情報を含むもの 13,252名分)が漏えいし、今回のサイト閉鎖に至ったとのこと。 “「@SOLAショップ」で運用しておりましたシステムは完全に廃棄いたします。” という対応は、ちょっと珍しいですね。 (ま、ASPサービスだったから切りやすかったのかな?)[雑談] * Viiはゲームまでも“Wiiもどき”なのか遊んでみた! (日経BP)
ockeghemさんのブクマ経由。 かなり笑えたw 発売元メーカー名って不明だったのかw[セキュリティ] * 「それは修正済み」、ソフトメーカーが脆弱性情報公開中止を要求
これはヒドいw Secunia が “前世紀のソフトベンダーのような振る舞い” と皮肉るのも分かりますねw (というか、Autonomy、これで余計にイメージを低下させることになっちゃいましたね。(^-^;)[雑談] * 部下の誤送信で情報漏えい――その責任は「オ、オレ!?」 (ITmedia)
メールの誤送信防止ソリューションの宣伝記事。 TOやCC欄のアドレス数を見るのは、BCCとの使い分け間違いによるアドレス漏えいには有効ですが、単純なあて先の間違いに対しては効果が無いかと。 それをカバーするために、「取引先A社の中田さんに送信するメールを、**間違って10人の別の中田さんにも送信してしまった**」とかいう無理なストーリーになってるのが笑えたw 駄洒落も素敵w[雑談] いろいろ。
←その前にPasmo×ICOCAをw
←俺のこと?
textileサーバにはSQLインジェクション対策が実施されていたが、脆弱性が存在したという。そのため不正アクセスを防ぎきれず、個人情報を含むログをFTPサーバ上に保存。当時のログがないため詳細はわかっていないが、外部より何らかの方法でFTPサーバからデータ取得されたと見られている。いったい何を言ってるのかサッパリ分からない文章になってますね。(-_-; * プレスリリース
には結構分かりやすく書いてあるみたいなのに。 ようするに、SQLインジェクション対策に漏れか誤りがあり、個人情報を含む SQLエラーメッセージを吐かせることが出来たと。 そのログが FTPサーバにたまっていて、FTPサーバに何らかの方法で不正にアクセスされ、データが流出してしまったとのことらしい。 そのことに 2年間気づかなかったと。 その結果、13,966名分の個人情報(うち、クレジットカード情報を含むもの 13,252名分)が漏えいし、今回のサイト閉鎖に至ったとのこと。 “「@SOLAショップ」で運用しておりましたシステムは完全に廃棄いたします。” という対応は、ちょっと珍しいですね。 (ま、ASPサービスだったから切りやすかったのかな?)[雑談] * Viiはゲームまでも“Wiiもどき”なのか遊んでみた! (日経BP)
ockeghemさんのブクマ経由。 かなり笑えたw 発売元メーカー名って不明だったのかw[セキュリティ] * 「それは修正済み」、ソフトメーカーが脆弱性情報公開中止を要求
これはヒドいw Secunia が “前世紀のソフトベンダーのような振る舞い” と皮肉るのも分かりますねw (というか、Autonomy、これで余計にイメージを低下させることになっちゃいましたね。(^-^;)[雑談] * 部下の誤送信で情報漏えい――その責任は「オ、オレ!?」 (ITmedia)
メールの誤送信防止ソリューションの宣伝記事。 TOやCC欄のアドレス数を見るのは、BCCとの使い分け間違いによるアドレス漏えいには有効ですが、単純なあて先の間違いに対しては効果が無いかと。 それをカバーするために、「取引先A社の中田さんに送信するメールを、**間違って10人の別の中田さんにも送信してしまった**」とかいう無理なストーリーになってるのが笑えたw 駄洒落も素敵w[雑談] いろいろ。
- 東芝が5分で充電可能、10年以上の長寿命を実現した充電池を開発 (GIGAZINE)
- SuicaとICOCAが電子マネーも相互乗り入れ (/.jp)
←その前にPasmo×ICOCAをw
- 社会に通用しない男の特徴 (アルファルファモザ使い lv.1)
←俺のこと?
- 任天堂DSのゲームを違法コピーしようとした韓国人、相次ぎウイルスに感染→「任天堂の仕業」と抗議書き込み (痛いニュース)
2007/12/13(木)木曜日ー。(帰ってきたモーニングブルードラゴンwww)
[セキュリティ] * HPのノートPCソフトに未パッチの脆弱性 (ITmedia)
HPのノートPCに搭載されている「HP Info Center」(1.0.1.1以前)にゼロデイの脆弱性。 ActiveXコントロール「HPInfoDLL.HPInfo.1」に脆弱性があり、悪意あるWebページを閲覧しただけで、リモートからシステムを完全に制御されてしまう恐れがあるらしい。 パッチはまだ出てない模様。(-_-;関連: * HP Info Center Command Execution and Registry Manipulation Issues (FrSIRT)
[雑談] 今日のspam 「やぁ、中田っち、久しぶり。」帰ってきたモーニングブルードラゴンからのメール。 ちょっと笑えたw ⇒* メール文面/image/txt200712131837_spam.txt
[出来事] * 今度は“ゴキブリラーメン” 元バイト学生書き込み、バーミヤン激怒 (ITmedia)
もう、いいからw[雑談] * 【英国】 新・英国旗デザイン案、ネット投票…1位は「グレン団」、2位は「ルイズ」
この1位のノルウェー人が出したデザインも、実は、日本のアニメ関係なんだそうです。(^-^;関連: * The new face of Britain? Flag poll results (Telegraph.co.uk)
[セキュリティ] * 長崎県平戸市のサイトが21回にわたり改竄、ウイルス感染の恐れも
10月18日から11月30日までの間に、トップページが 21回も改ざんされたそうです。 「改ざん検知ソフト」なんて入れてるヒマがあったら、根本的な対策をしなさいよ!と。(^-^;関連: * 平戸市ホームページの改ざんについて (平戸市公式ホームページ)
[雑談] * messenger新バージョンの「まいこ」が高機能すぎるw (A☆RI☆ブロ)
Windows Live メッセンジャーで、maiko@live.jp に話しかけると応答してくれるらしい。[雑談] * フリーザとの最後の戦い (不活性で怠惰なアタシの肉体の神秘)
あー、笑ったw お腹がイタイ。(^-^;
HPのノートPCに搭載されている「HP Info Center」(1.0.1.1以前)にゼロデイの脆弱性。 ActiveXコントロール「HPInfoDLL.HPInfo.1」に脆弱性があり、悪意あるWebページを閲覧しただけで、リモートからシステムを完全に制御されてしまう恐れがあるらしい。 パッチはまだ出てない模様。(-_-;関連: * HP Info Center Command Execution and Registry Manipulation Issues (FrSIRT)
[雑談] 今日のspam 「やぁ、中田っち、久しぶり。」帰ってきたモーニングブルードラゴンからのメール。 ちょっと笑えたw ⇒* メール文面/image/txt200712131837_spam.txt
[出来事] * 今度は“ゴキブリラーメン” 元バイト学生書き込み、バーミヤン激怒 (ITmedia)
もう、いいからw[雑談] * 【英国】 新・英国旗デザイン案、ネット投票…1位は「グレン団」、2位は「ルイズ」
この1位のノルウェー人が出したデザインも、実は、日本のアニメ関係なんだそうです。(^-^;関連: * The new face of Britain? Flag poll results (Telegraph.co.uk)
[セキュリティ] * 長崎県平戸市のサイトが21回にわたり改竄、ウイルス感染の恐れも
10月18日から11月30日までの間に、トップページが 21回も改ざんされたそうです。 「改ざん検知ソフト」なんて入れてるヒマがあったら、根本的な対策をしなさいよ!と。(^-^;関連: * 平戸市ホームページの改ざんについて (平戸市公式ホームページ)
[雑談] * messenger新バージョンの「まいこ」が高機能すぎるw (A☆RI☆ブロ)
Windows Live メッセンジャーで、maiko@live.jp に話しかけると応答してくれるらしい。[雑談] * フリーザとの最後の戦い (不活性で怠惰なアタシの肉体の神秘)
あー、笑ったw お腹がイタイ。(^-^;
2007/12/14(金)金曜日ー。(今年の漢字:「」 (次点:「食」「嘘」「疑」))
[セキュリティ] * 蔵出しセキュリティ: パスワードの作り方 (園田さん)
好きな歌詞やフレーズ、化粧の段取り順に使用する化粧品名、好物のおかずシリーズといったものを自分のルールで縮めるという方法には納得なのですが、「一週間に見たテレビ番組や映画」とか「昨日の二次会のカラオケで歌った曲名シリーズ」は、覚えられないよ!とツッコミながら読みましたw そしたら、最後に “ここで述べているのははあくまで「作り出す」方法についてであって、記憶しやすくするための手法ではありません。” って書いてありますねw ・・・フレーズを縮める方法は、紙にメモしなくても覚えやすい!という点を好印象に思っていたので、メモしないとダメになってしまうと少し魅力半減かも知れませんね。(^-^;[雑談] * Second Life はてな版? 仮想世界「はてなワールド」β公開 (ITmedia)
Google Maps を足元に敷いた 3次元フィールド上を、紙のようにぺらぺらのアバターで歩き回り、周囲のユーザとチャットなどが出来るそうです。 専用のソフトなどは要らないっぽい? ちょっと面白そうかもw Second Life のように閑散とした世界にならなきゃ良いですねw関連: * はてなワールド (クローズドベータサービス)
[セキュリティ] * </xssed> Domain: yamagata.int21h.jp
(bunさん、thanks!!)「まさか、うちのサイトが狙われるなんて夢にも思わなかった」とコメントしておきますw[雑談] * ネット流行語大賞に「アサヒる」 (ITmedia)
「アサヒる」「スイーツ(笑)」「ゆとり」や、「そんなの関係ねぇ」「どんだけ〜」などw関連: * 2007年ネット流行語大賞、栄えある第1位は「アサヒる」に決定 (GIGAZINE)
[セキュリティ] * 狙われる“不運”な一太郎: またゼロデイ攻撃、集中的な弱点探しの標的に
不運という言葉で片付けるのはどうかと思うけどなぁ。 実際に重大な脆弱性が存在しているのは事実なのだから。 「セキュリティ対策を講じていたのに、サイトが改ざんされました。 凄腕のハッカーにやられたので仕方がありません。」という言い訳と同種の匂い?w[雑談] * 「結婚」でつまずいた。 (アルファルファモザ逝く)
あ、やべぇ。 これじゃあ、おれも結婚できないや。(>_<)[セキュリティ] * 社員は情報セキュリティに無頓着? 「公衆無線LANで業務メール」が半数以上
好きな歌詞やフレーズ、化粧の段取り順に使用する化粧品名、好物のおかずシリーズといったものを自分のルールで縮めるという方法には納得なのですが、「一週間に見たテレビ番組や映画」とか「昨日の二次会のカラオケで歌った曲名シリーズ」は、覚えられないよ!とツッコミながら読みましたw そしたら、最後に “ここで述べているのははあくまで「作り出す」方法についてであって、記憶しやすくするための手法ではありません。” って書いてありますねw ・・・フレーズを縮める方法は、紙にメモしなくても覚えやすい!という点を好印象に思っていたので、メモしないとダメになってしまうと少し魅力半減かも知れませんね。(^-^;[雑談] * Second Life はてな版? 仮想世界「はてなワールド」β公開 (ITmedia)
Google Maps を足元に敷いた 3次元フィールド上を、紙のようにぺらぺらのアバターで歩き回り、周囲のユーザとチャットなどが出来るそうです。 専用のソフトなどは要らないっぽい? ちょっと面白そうかもw Second Life のように閑散とした世界にならなきゃ良いですねw関連: * はてなワールド (クローズドベータサービス)
[セキュリティ] * </xssed> Domain: yamagata.int21h.jp
(bunさん、thanks!!)「まさか、うちのサイトが狙われるなんて夢にも思わなかった」とコメントしておきますw[雑談] * ネット流行語大賞に「アサヒる」 (ITmedia)
「アサヒる」「スイーツ(笑)」「ゆとり」や、「そんなの関係ねぇ」「どんだけ〜」などw関連: * 2007年ネット流行語大賞、栄えある第1位は「アサヒる」に決定 (GIGAZINE)
[セキュリティ] * 狙われる“不運”な一太郎: またゼロデイ攻撃、集中的な弱点探しの標的に
不運という言葉で片付けるのはどうかと思うけどなぁ。 実際に重大な脆弱性が存在しているのは事実なのだから。 「セキュリティ対策を講じていたのに、サイトが改ざんされました。 凄腕のハッカーにやられたので仕方がありません。」という言い訳と同種の匂い?w[雑談] * 「結婚」でつまずいた。 (アルファルファモザ逝く)
あ、やべぇ。 これじゃあ、おれも結婚できないや。(>_<)[セキュリティ] * 社員は情報セキュリティに無頓着? 「公衆無線LANで業務メール」が半数以上
textile喫茶店や空港、ホテルなどの公衆無線LANで会社のメールにアクセスすることがよくある/時々あると答えたのは53%。インターネットカフェ、空港、ホテルなどに設置された公共のコンピュータからも、52%が会社のメールにアクセスしている。前半だけ考えたら、「あぁ、VPN経由ででしょ♪」とか思ったが、後半見ると違うっぽいか。(汗[雑談] いろいろ。
- 携帯電話の料金プランを知らずにP2Pソフトを使って930万円を請求された男 (GIGAZINE)
- カップ麺の「つゆ焼きそば」全国発売開始 (ExciteBit)
- 赤ちゃん恐竜ロボット『PLEO(プレオ)』って? (ExciteBit)
2007/12/15(土)土曜日ー。(サイト脆弱性をチェックされたよ!)
[セキュリティ] * 第7回 「ディレクトリトラバーサル」と「強制ブラウジング」 (ZDNet)
“サイト脆弱性をチェックしよう!” の 第7回 が公開されたようです。 今回は、ディレクトリトラバーサルと強制ブラウジングの話。 4ページ目の 「以下のようなURLに対してブラウザでアクセスし、閲覧可能かどうかで判断する。」 に “以下のようなURL” が書かれていない気がするwhttp://www.example.com/data/user.csv ですかね。[雑談] * 「いつも客に死体出している」mixiでアルバイトによる衝撃告白相次ぐ
確かに、うそは書いてないw (・・・ガソリンは食べ物じゃないですけどw)[雑談] * “街に誰もいない・・・” セカンドライフの「過疎化」が進む (痛いニュース)
“仮想化世界で過疎化” と “アイアムレジェンドとタイアップ” の発想に感動w[雑談] * 「線路におばあさんがしゃがんでおり、人身事故を起こした」→何も発見できず
ちょw こわいよー。 冬に怪談はやめてください。(>_<)関連(?!): * 時速100キロの新快速から飛び降り、平然と去る JR住吉駅 (神戸新聞)
“サイト脆弱性をチェックしよう!” の 第7回 が公開されたようです。 今回は、ディレクトリトラバーサルと強制ブラウジングの話。 4ページ目の 「以下のようなURLに対してブラウザでアクセスし、閲覧可能かどうかで判断する。」 に “以下のようなURL” が書かれていない気がするwhttp://www.example.com/data/user.csv ですかね。[雑談] * 「いつも客に死体出している」mixiでアルバイトによる衝撃告白相次ぐ
確かに、うそは書いてないw (・・・ガソリンは食べ物じゃないですけどw)[雑談] * “街に誰もいない・・・” セカンドライフの「過疎化」が進む (痛いニュース)
“仮想化世界で過疎化” と “アイアムレジェンドとタイアップ” の発想に感動w[雑談] * 「線路におばあさんがしゃがんでおり、人身事故を起こした」→何も発見できず
ちょw こわいよー。 冬に怪談はやめてください。(>_<)関連(?!): * 時速100キロの新快速から飛び降り、平然と去る JR住吉駅 (神戸新聞)
2007/12/16(日)日曜日ー。(星に、願いを。)
[占い] * 未来予測マシーン (GMO INTERNET)
MOJOさん経由。 簡単な質問に答えると、てきとーに未来を予測してくれますw
には到達してみたい。 (“しゃべる!DSお料理ナビ”は持ってないw)[セキュリティ] * 個人情報、外注先への提供制限・経産省が指針 (日経ネット)
1人5500円の支払いを命じた2審大阪高裁判決で確定したそうです。(+金券500円)[雑談] * “Winny漏洩”の抜本的な対策技術、IPAが12月27日まで公募 (INTERNET Watch)
MOJOさん経由。 簡単な質問に答えると、てきとーに未来を予測してくれますw
textile【結婚】 婚期を逃し、結婚を諦めかけていた頃に、突如昔の恋人からメールが届く。その後復縁。トントン拍子に事が運び3ヵ月後に結婚。という内容の夢を見る。夢から覚めると手元のケータイに一通のメールが。まさか、とドキドキしながらメールを開いてみると、fromお母さん。「帰りにパセリと豚肉を買ってきてください」とのこと。結局、その後お母さんから紹介された見合い相手と結婚。なに、このどんでん返しの連続技w ちなみに、風呂場で石ケン踏んで死ぬらしい。orz[雑談] 具が入ってないチャーハンを作ったフライパンでバターを熱して、溶いた卵と温かいご飯を絡めて、塩コショウ、醤油を入れただけw ラーメンと一緒に食べたから気にならなかったけど、実は味がなかった。(^-^; 作る前にレシピを調べれば良かったんだけど、ラーメンゆで始めてから思いついたので間に合わなかったw 次は、せめて* これくらいのレベル
には到達してみたい。 (“しゃべる!DSお料理ナビ”は持ってないw)[セキュリティ] * 個人情報、外注先への提供制限・経産省が指針 (日経ネット)
textile経済産業省は一般企業が持つ顧客の個人情報の流出防止策を強化する。企業がダイレクトメール(DM)や顧客データの作成などを外注する際、クレジットカード番号など犯罪に使われかねない個人情報の提供を原則禁止する。外注先の管理体制の監視も義務付けるそうです。 来年の2月からの適用を目指してるらしい。[出来事] * ヤフーの賠償責任確定 個人情報流出で最高裁 (東京新聞)
1人5500円の支払いを命じた2審大阪高裁判決で確定したそうです。(+金券500円)[雑談] * “Winny漏洩”の抜本的な対策技術、IPAが12月27日まで公募 (INTERNET Watch)
textile1)ファイル共有ソフトを通じた情報漏えいへの抜本的対策となる技術的手法の提案2)上記の抜本的手法に関する基本設計書の作成ファイル共有ソフトを通じた情報漏えいの被害を抜本的に低減するための技術的な手法の提案を公募とのこと。 法人向け。 この内容で募集開始から受付締め切りまで 2週間って結構ギリギリ?
2007/12/17(月)月曜日ー。(『風が強く吹いている』 by三浦しをん。)
[セキュリティ] * tDiary 2.2.0リリース (tdiary.org)
経由。 「* tDiaryの脆弱性に関する報告
」への対応も含まれる。 後で当てる。[雑談] * イー・モバイルが音声通話参入、全国で利用可能に (GIGAZINE)
音声通話部分は NTTドコモの回線を使うそうです。 エリアの心配無いですね。 通話料次第によっては魅力的☆かも知れませんね。 ま、CFカードタイプが欲しい私にはカンケイありませんけどw[セキュリティ] * 中国では7割以上の中小企業が海賊版を利用 (日経BP)
経由。「社内のすべてのソフトが正規版」⇒全体の29%、「一部のソフトが海賊版」⇒44%、「大部分のソフトが海賊版」⇒22%、「全てのソフトが海賊版」⇒5% だそうです。 また、「Windows」や「Officeソフト」の4割は海賊版とのこと。 個人ではなくて、企業対象のアンケートでコレです。 ヒド過ぎる。(-_-;[雑談] いろいろ。
←まぢで?
←いい!!
←確かに全国にあるww[セキュリティ] * これは CSRF ですか? (水無月ばけらのえび日記)
これはヒドいw “むしろ「Cookie の奪取が必要ない」というのが CSRF のポイントだと思いますし。” と太田さんがおっしゃっているとおりですよね。 まったくもう・・・。(ぶつぶつw)関連: * Webアプリの落とし穴に改めて注意 (ITPro)
[TV][あいのり] #386 劣等感ドイツ。 矢印: カルボナーラ→Remi←リョウ。 ダニー、宮くん、桃、クロ。家の事情で高校を中退して働いていたカルボナーラは、ワゴン内の大学の話題についていけずに、ほかのメンバーとの距離を感じる。カルボナーラ“正直 大学生ってものだけに苛立ちすら覚えたし 入学だけで何百万 学費だけでも何百万って親に出してもらって 4年制大学だったら遊べるしみたいな 結局親の金で 親に何もかも用意されて遊ばしてもらって それでなんかイッパシのこと口で叩いて 何なのお前ら?って”宮くんの初チューがない話、桃の『ボンボンな〜る』の話w、戦時中のヒトラーの話。カルボナーラ、大学コンプレックスが Remi への劣等感に。 次第に距離を取り始める。カルボナーラ“Remiに対しては まぁやっぱコンプレックスっていうか 今までとはちょっと違った見方をする様になりましたね”リョウとRemiと3人で町を歩いていたカルボナーラ、途中でさりげなく別行動を取り始める。リョウ「俺から見れば 気を遣ったとか 借りを作ったとか なんか もう明らかにわざといなくなったのが見え見えじゃないですか 何なの?って 何なのそれ?何?それをして何があんの?みたいな 『借り貸したよ』みたいな感じがすごい気にいらなかったですね 正直」カルボナーラの日記“Remiの事は好きだ でも恋愛対象としては難しいんだろうなぁ やっぱりお互い違い過ぎる・・・”次回は、1月7日まで放送が無いらしい。(>_<) カルボ×Remi×リョウの関係が動き出す?!⇒* 今週のあいのり
、 * あいのりウラ話(カルボナーラの日記)
、 * あいのりBB版動画
- まっちゃさん
経由。 「* tDiaryの脆弱性に関する報告
」への対応も含まれる。 後で当てる。[雑談] * イー・モバイルが音声通話参入、全国で利用可能に (GIGAZINE)
音声通話部分は NTTドコモの回線を使うそうです。 エリアの心配無いですね。 通話料次第によっては魅力的☆かも知れませんね。 ま、CFカードタイプが欲しい私にはカンケイありませんけどw[セキュリティ] * 中国では7割以上の中小企業が海賊版を利用 (日経BP)
- まっちゃさん
経由。「社内のすべてのソフトが正規版」⇒全体の29%、「一部のソフトが海賊版」⇒44%、「大部分のソフトが海賊版」⇒22%、「全てのソフトが海賊版」⇒5% だそうです。 また、「Windows」や「Officeソフト」の4割は海賊版とのこと。 個人ではなくて、企業対象のアンケートでコレです。 ヒド過ぎる。(-_-;[雑談] いろいろ。
- 第11回 スクリプトインジェクションを防ぐ10のTips (gihyo.jp)
- 1940年代から変わらないサーバルーム:数分で溶解するブレードサーバ
←まぢで?
- レコメンデーションの虚実(14)〜ソーシャルスパムの時代がまもなくやってくる
- 高校生諸君!テスト80点以上でコロッケ2個 岐阜 (朝日新聞)
←いい!!
- セガ、陸上自衛隊専用の「戦闘糧食」をUFOキャッチャーの景品に (GIGAZINE)
- 月極、森ビル株式公開買い付けの意向 (bogusnews)
←確かに全国にあるww[セキュリティ] * これは CSRF ですか? (水無月ばけらのえび日記)
これはヒドいw “むしろ「Cookie の奪取が必要ない」というのが CSRF のポイントだと思いますし。” と太田さんがおっしゃっているとおりですよね。 まったくもう・・・。(ぶつぶつw)関連: * Webアプリの落とし穴に改めて注意 (ITPro)
[TV][あいのり] #386 劣等感ドイツ。 矢印: カルボナーラ→Remi←リョウ。 ダニー、宮くん、桃、クロ。家の事情で高校を中退して働いていたカルボナーラは、ワゴン内の大学の話題についていけずに、ほかのメンバーとの距離を感じる。カルボナーラ“正直 大学生ってものだけに苛立ちすら覚えたし 入学だけで何百万 学費だけでも何百万って親に出してもらって 4年制大学だったら遊べるしみたいな 結局親の金で 親に何もかも用意されて遊ばしてもらって それでなんかイッパシのこと口で叩いて 何なのお前ら?って”宮くんの初チューがない話、桃の『ボンボンな〜る』の話w、戦時中のヒトラーの話。カルボナーラ、大学コンプレックスが Remi への劣等感に。 次第に距離を取り始める。カルボナーラ“Remiに対しては まぁやっぱコンプレックスっていうか 今までとはちょっと違った見方をする様になりましたね”リョウとRemiと3人で町を歩いていたカルボナーラ、途中でさりげなく別行動を取り始める。リョウ「俺から見れば 気を遣ったとか 借りを作ったとか なんか もう明らかにわざといなくなったのが見え見えじゃないですか 何なの?って 何なのそれ?何?それをして何があんの?みたいな 『借り貸したよ』みたいな感じがすごい気にいらなかったですね 正直」カルボナーラの日記“Remiの事は好きだ でも恋愛対象としては難しいんだろうなぁ やっぱりお互い違い過ぎる・・・”次回は、1月7日まで放送が無いらしい。(>_<) カルボ×Remi×リョウの関係が動き出す?!⇒* 今週のあいのり
、 * あいのりウラ話(カルボナーラの日記)
、 * あいのりBB版動画
2007/12/18(火)火曜日ー。(ホスティングサーバストアップケア?w)
[出来事] * Vulnerability Summary CVE-2007-6348 (NIST NVD)
先日の、SquirrelMail のメンテナのアカウントが破られ、パッケージが改ざんされた件ですが、PHP remote file inclusion の脆弱性が作りこまれていたとのことです。 リモートから任意のコードの実行を行われてしまう恐れがあります。 1.4.11 と 1.4.12 のユーザは、ただちに * 1.4.13
にアップデートする必要があります。[セキュリティ] * 眠れない夜 (hoshikuzuさん)
evasionテクニックとして考えた場合、例えば、こんなの(↓)が動いてしまうわけですね。(汗
全国1000店舗を超える規模にもかかわらず、当日すぐに問題の店舗を特定できたのは、週に2〜3回は担当店舗をチェックしているエリアマネージャーの存在が大きかったとのこと。 エリアマネージャが、厨房の様子や盛り付け方を見て、犯人と思しき人物を割り出し、事情を聴取したところ、当人が認めたのだそうです。 今後は、社内報などを通じて、再発を防ぐための啓蒙活動を行っていくとのこと。[セキュリティ] * 学校のネットワークに侵入できたら、無線ルータをプレゼント
2年前に、管理者パスワードを入手した学生が学校のシステムに侵入し、自分のフランス語の成績を「A」に改竄したり、数人の友達の成績を“上方修正”したりした・・・という事件があり、その後、2年間に150万ドルのIT予算を計上し、学区内のITシステムの改修に注力してきたとのこと。 今回は、その取り組みの一環としてハッキングコンテストの開催に至ったそうです。 もちろん、侵入先はハニーポットのみで、その他の学内ネットワークへの侵入は厳禁とのことです。[雑談] * 火元は護衛艦戦闘指揮所か 自力消火できず地元消防支援 (読売新聞)
本当に有事の際には、岸壁につなげて消防車呼ぶわけにいかないんでしょうが、大丈夫?[セキュリティ] * Mac OS XとWindows版Safariのセキュリティアップデート公開 (ITmedia)
関連: * Apple セキュリティアップデートについて
[雑談] * 衝撃のコピーフリー受信機「フリーオ」、その仕組みをひもとく (Tech-On!)
経由。 デジタル放送のコピー制御を回避する装置。 いいなー。(←コラッ!!w)[出来事] * 英政府、またも個人情報を紛失 (ITmedia)
この前の2500万人に続いて、今度は300万人分の個人情報を紛失とのこと。 全国民の半分の個人情報が流出済みとのことなので、残りの半分の流出に向けて着々と邁進中?(^-^;[雑談] * 東西・南北の通りの名前を指定して検索できるサービス「京都の通り名検索」
そう言えば、先日の京都での まっちゃ139 の懇親会で、「東入ル」を「ひがしはいる」とか読んでしまうとタクシーの運ちゃんになめられる!という話を聞きましたw(上ル/下ル=あがる/さがる、東入ル/西入ル=ひがしいる/にしいる が正解らしい。)[セキュリティ] * GoogleのAjax開発ツールにXSSの脆弱性 (ITmedia)
「Google Web Toolkit」(GWT) に XSS の脆弱性が存在し、細工されたWebページを介してユーザが GWT にアクセスすると、任意のスクリプトが実行される恐れがあるとのこと。 発見者は、SST の福森さん。[雑談] いろいろ。
先日の、SquirrelMail のメンテナのアカウントが破られ、パッケージが改ざんされた件ですが、PHP remote file inclusion の脆弱性が作りこまれていたとのことです。 リモートから任意のコードの実行を行われてしまう恐れがあります。 1.4.11 と 1.4.12 のユーザは、ただちに * 1.4.13
にアップデートする必要があります。[セキュリティ] * 眠れない夜 (hoshikuzuさん)
evasionテクニックとして考えた場合、例えば、こんなの(↓)が動いてしまうわけですね。(汗
textile<script> (\u0061l\u0065r\u0074)(d\u006fcu\u006dent['l\x6fca\u0074i\u006fn'])</script>スクリプト内に var param="入力値" という出力があるとして、「"」が適切にエスケープされていない状況下で、これを止められる WAF って、数少ないだろうなぁ。 (某Site○uard なら止まりますがw)[雑談] * 吉野家、“豚丼騒動”の教訓: 安部修仁社長が語る「経営の足りない部分」
全国1000店舗を超える規模にもかかわらず、当日すぐに問題の店舗を特定できたのは、週に2〜3回は担当店舗をチェックしているエリアマネージャーの存在が大きかったとのこと。 エリアマネージャが、厨房の様子や盛り付け方を見て、犯人と思しき人物を割り出し、事情を聴取したところ、当人が認めたのだそうです。 今後は、社内報などを通じて、再発を防ぐための啓蒙活動を行っていくとのこと。[セキュリティ] * 学校のネットワークに侵入できたら、無線ルータをプレゼント
2年前に、管理者パスワードを入手した学生が学校のシステムに侵入し、自分のフランス語の成績を「A」に改竄したり、数人の友達の成績を“上方修正”したりした・・・という事件があり、その後、2年間に150万ドルのIT予算を計上し、学区内のITシステムの改修に注力してきたとのこと。 今回は、その取り組みの一環としてハッキングコンテストの開催に至ったそうです。 もちろん、侵入先はハニーポットのみで、その他の学内ネットワークへの侵入は厳禁とのことです。[雑談] * 火元は護衛艦戦闘指揮所か 自力消火できず地元消防支援 (読売新聞)
本当に有事の際には、岸壁につなげて消防車呼ぶわけにいかないんでしょうが、大丈夫?[セキュリティ] * Mac OS XとWindows版Safariのセキュリティアップデート公開 (ITmedia)
関連: * Apple セキュリティアップデートについて
[雑談] * 衝撃のコピーフリー受信機「フリーオ」、その仕組みをひもとく (Tech-On!)
- まっちゃさん
経由。 デジタル放送のコピー制御を回避する装置。 いいなー。(←コラッ!!w)[出来事] * 英政府、またも個人情報を紛失 (ITmedia)
この前の2500万人に続いて、今度は300万人分の個人情報を紛失とのこと。 全国民の半分の個人情報が流出済みとのことなので、残りの半分の流出に向けて着々と邁進中?(^-^;[雑談] * 東西・南北の通りの名前を指定して検索できるサービス「京都の通り名検索」
そう言えば、先日の京都での まっちゃ139 の懇親会で、「東入ル」を「ひがしはいる」とか読んでしまうとタクシーの運ちゃんになめられる!という話を聞きましたw(上ル/下ル=あがる/さがる、東入ル/西入ル=ひがしいる/にしいる が正解らしい。)[セキュリティ] * GoogleのAjax開発ツールにXSSの脆弱性 (ITmedia)
「Google Web Toolkit」(GWT) に XSS の脆弱性が存在し、細工されたWebページを介してユーザが GWT にアクセスすると、任意のスクリプトが実行される恐れがあるとのこと。 発見者は、SST の福森さん。[雑談] いろいろ。
- カード1枚のサイズで年間カレンダーになる「Thumb Calendar」 (GIGAZINE)
- 私的録音録画小委員会:「ダウンロード違法化」不可避に (ITmedia)
2007/12/19(水)水曜日ー。(State Inducerって、どんな感じ?)
[セキュリティ] * Webサイト「XSOX.name」とプロキシのボット (ITPro)
さっそく試してみたのに、tDiary には対応してなかったw ⇒
[セキュリティ] * HP、ノートPC100機種の脆弱性に対応するパッチをリリース (CNET)
」でコマンド実行とか、少し想像力のある開発者なら、どういうことになるか分かりそうなものですが...(^-^;)[雑談] * 米アップル、iPhone販売でドコモと交渉 (読売新聞)
ソフトバンクとも交渉しているらしいですが、現時点ではドコモが有力とのこと。[セキュリティ] * 「ハッピーニューイヤー」のクリスマスツリーに注意 (ITmedia)
メールに「Happynewyear.exe」というファイルが添付されて来るそうです。 古典的過ぎるw[雑談] * 地球温暖化を受けて、ついに白熱電球の製造販売が打ち切りへ (GIGAZINE)
白熱電球で地球温暖化?!と驚きましたが、直接温暖化につながるわけじゃなくて、“消費電力が大きいにもかかわらずエネルギー利用効率が悪い” のが切り替えの理由とのこと。[セキュリティ] * 自社のセキュリティ対策は大丈夫? Webサイトでぜひチェックを (ITmedia)
今年の「情報セキュリティ白書」の付録資料になったりするんでしょうかね?w関連: * 情報セキュリティ対策ベンチマーク (IPA)
[雑談] いろいろ。
←おぉ!!?
←サポートがw
←想像と違ったw
←無理w
textile例えばブルート・フォース、クロスサイト・スクリプティング、SQLインジェクションなどのWeb攻撃はすべてWebブラウザを介して発生することを考えると、Webプロキシは攻撃に対してさらに一定レベルの匿名性を提供することになる。クロスサイトスクリプティングの場合、実際にリクエストを送るのは被害者側なので、プロキシを通して匿名性を高めるとかナンセンスな気がw (クロスサイトスクリプティングの脆弱性がサイトに存在するかどうかを攻撃者が確認する段階の話ならば良いですけどw)[雑談] * 「清くかしこまった感じ」などなど ブログ「雰囲気」も判定するサービス (ITmedia)
さっそく試してみたのに、tDiary には対応してなかったw ⇒
[セキュリティ] * HP、ノートPC100機種の脆弱性に対応するパッチをリリース (CNET)
textileHewlett-Packard(HP)は、設計上の脆弱性に対処するため、100機種の同社製ノートPCで使用されている…「Info Center」を無効にするパッチをリリースした。当初は、ActiveX コントロールでの BOf か何かだと思っていたのですが、結局、「設計上の脆弱性」だったとw だから、脆弱性の修正ではなく、ActiveX の無効化という対策なのね。 (ってか、「* .LaunchApp
」でコマンド実行とか、少し想像力のある開発者なら、どういうことになるか分かりそうなものですが...(^-^;)[雑談] * 米アップル、iPhone販売でドコモと交渉 (読売新聞)
ソフトバンクとも交渉しているらしいですが、現時点ではドコモが有力とのこと。[セキュリティ] * 「ハッピーニューイヤー」のクリスマスツリーに注意 (ITmedia)
メールに「Happynewyear.exe」というファイルが添付されて来るそうです。 古典的過ぎるw[雑談] * 地球温暖化を受けて、ついに白熱電球の製造販売が打ち切りへ (GIGAZINE)
白熱電球で地球温暖化?!と驚きましたが、直接温暖化につながるわけじゃなくて、“消費電力が大きいにもかかわらずエネルギー利用効率が悪い” のが切り替えの理由とのこと。[セキュリティ] * 自社のセキュリティ対策は大丈夫? Webサイトでぜひチェックを (ITmedia)
今年の「情報セキュリティ白書」の付録資料になったりするんでしょうかね?w関連: * 情報セキュリティ対策ベンチマーク (IPA)
[雑談] いろいろ。
- 経済産業省、迷惑メール送信業者に懲役刑などを導入へ (GIGAZINE)
←おぉ!!?
- iptablesで商用のファイアウォールを置き換える (OpenTechPress)
←サポートがw
- 隣の銀河を攻撃する「デススター」、NASAが確認 (ITmedia)
←想像と違ったw
- 南半球で最も高い所にある絶叫(!?)アトラクション (ExciteBit)
←無理w
2007/12/20(木)木曜日ー。(70万アクセス、ありがとうございます♪)
[セキュリティ] * Windows版Operaの脆弱性修正パッチが公開 (ITmedia)
[雑談] * ゴジラやUFOで自衛隊が出動する法的根拠? (ITmedia)
ゴジラやモスラには意思が無いと?w あと、別に UFO に 翼がついていようが 反重力で飛んでいようが、大気圏内で日本の領空に入ったら、領空侵犯では? 無線で警告しても意味無さそうですけどw[セキュリティ] * 2007年はWeb経由のウイルスが顕著に、「7割は対策ソフトで検出不能」
経由。 マルウェア作者が、ダウンローダを多段で使用することで、解析にかかる時間を引き延ばそうと画策しているそうです。 (・・・一番最後にダウンロードされたファイルから調べれば早い?w) いつまでも手動メインの解析ではなく、星澤さんとこの自動解析システムのようなものを、もっと使っていかないと間に合わない世の中になってしまったのかも知れませんね。。[雑談] * パッチ適用でIEがクラッシュ MSが回避策を公開 (ITmedia)
で、見れないサイトの例を “for example: http://msn.com” と例示してるのが素敵w[セキュリティ] * Flash Playerに深刻な脆弱性多数、アップデートを (ITmedia)
[出来事] * GoogleのSNS「Orkut」でWebワームが猛威、40万人が感染 (ITmedia)
経由。 ほんとだ。 こんにちは、こんにちは!ですねw[雑談] * 降り注ぐミサイルを撃墜する防衛ゲーム「MAD」と「Argent Burst」 (GIGAZINE)
未だに、ときどき * Desktop Tower Defense
をやってしまってる私は時代遅れ?w
textileOpera 9.25では、プラグインやリッチテキスト編集機能を使って**クロスサイトドメインスクリプティング**が可能になる問題など、4件の脆弱性に対処した。ちょw クロスサイトドメインスクリプティングって何さw 混ざってるw関連: * Changelog for Opera 9.25 for Windows (Opera)
[雑談] * ゴジラやUFOで自衛隊が出動する法的根拠? (ITmedia)
ゴジラやモスラには意思が無いと?w あと、別に UFO に 翼がついていようが 反重力で飛んでいようが、大気圏内で日本の領空に入ったら、領空侵犯では? 無線で警告しても意味無さそうですけどw[セキュリティ] * 2007年はWeb経由のウイルスが顕著に、「7割は対策ソフトで検出不能」
- まっちゃさん
経由。 マルウェア作者が、ダウンローダを多段で使用することで、解析にかかる時間を引き延ばそうと画策しているそうです。 (・・・一番最後にダウンロードされたファイルから調べれば早い?w) いつまでも手動メインの解析ではなく、星澤さんとこの自動解析システムのようなものを、もっと使っていかないと間に合わない世の中になってしまったのかも知れませんね。。[雑談] * パッチ適用でIEがクラッシュ MSが回避策を公開 (ITmedia)
- IEBlog
で、見れないサイトの例を “for example: http://msn.com” と例示してるのが素敵w[セキュリティ] * Flash Playerに深刻な脆弱性多数、アップデートを (ITmedia)
textile脆弱性があるのはAdobe Flash Player 9.0.48.0、8.0.35.0、7.0.70.0とそれ以前のバージョン。攻撃者が問題を悪用すると、悪質なFlashファイル(.swf)をユーザーにFlash Playerでロードさせ、システムを制御することが可能になる。CVE- が たくさん並んでますね。 怖っw 忘れずにアップデートしましょう♪ (ちゃんと新社名だw ⇒「Toshiharu Sugiyama of UBsecure, Inc. and JPCERT/CC」)関連: * Flash Player update available to address security vulnerabilities (Adobe)
[出来事] * GoogleのSNS「Orkut」でWebワームが猛威、40万人が感染 (ITmedia)
- まっちゃさん
経由。 ほんとだ。 こんにちは、こんにちは!ですねw[雑談] * 降り注ぐミサイルを撃墜する防衛ゲーム「MAD」と「Argent Burst」 (GIGAZINE)
未だに、ときどき * Desktop Tower Defense
をやってしまってる私は時代遅れ?w
2007/12/21(金)金曜日ー。(上った後にハシゴを外された。)
[雑談] 頭の中でぐるぐるエンドレス「終わらない仕事はない、また次の仕事が始まるだけ〜♪」という曲が、頭の中で終わらないw[出来事] * Googleのテキスト広告を乗っ取るトロイの木馬 - BitDefender (MYCOM)
あー、これ、ありますねw この際、プライベート用は MUA ごと別のものを使う?(違w
textile「Trojan.Qhost.WU」の名称が付けられたトロイの木馬は、感染したマシンのhostsファイルを書き換え、本来であればGoogleのテキスト広告を表示する際に接続すべきGoogleのサーバではなく、第3者の用意した別のサーバへとユーザーを誘導する。そして、偽の広告を表示して広告収入で儲ける♪とかだったら面白かったのですが、そうじゃなくてマルウェアのダウンロードをさせたりするらしいw なーんだ。(←コラッw) ちなみに、
textilepingなどのネットワークコマンドで「page2.googlesyndication.com」の接続先IPアドレスを確認し、「9x.xxx.xxx.xxx」のようなアドレスが表示されるかで判別する。かえって分かりにくいようなw 普通に hosts のエントリを確認するほうが良くない?w[雑談] * 女性システム管理者の憂鬱: ボーナスの行方を決めた1通のエラーメール
あー、これ、ありますねw この際、プライベート用は MUA ごと別のものを使う?(違w
2007/12/22(土)土曜日ー。(無論、オムロン?w)
[セキュリティ] * 年末年始における注意喚起 (IPAセキュリティセンター)
経由。 年末年始・長期休暇前のいつものアナウンスが出てます。(^-^)[雑談] いろいろ。
←そんな季節かぁ
←Googleドキュメント?w
←野良飛行機w
←最近、月日が流れるのが早くて...(^-^;
←ドラゴン桜?
- まっちゃさん
経由。 年末年始・長期休暇前のいつものアナウンスが出てます。(^-^)[雑談] いろいろ。
- Google Desktop、今年も新作クリスマスガジェット (ITmedia)
←そんな季節かぁ
- ブラウザベースの「OpenOffice.org」リリース (CNET)
←Googleドキュメント?w
- 絶対に落ちない飛行機かんがえたwwww (カオスちゃんねる)
←野良飛行機w
- 落ちて死ぬ寸前の人が見るスローモーション、年齢と共に加速していく歳月の経過 ― “記憶の密度”という説明 (なんでも評点)
←最近、月日が流れるのが早くて...(^-^;
- 悪魔のような教師と俺の3年間の戦い (ハムスター速報)
←ドラゴン桜?
2007/12/23(日)日曜日ー。(年賀状作ろうと思ったらインクが無い。orz)
[雑談] * 「恋の願いが叶う」という噂を信じた女子高生にツリーの飾りを次々と盗まれる
宇都宮パルコの話。 「盗んだ飾りをまた戻せば更に願いが叶う」という噂を流すの良い!w[雑談] * 「デスノート」などのパクリで少年マガジン編集部謝罪 (痛いニュース)
36ページの大半が別のマンガのトレース?! ここまで来るとある意味、才能かも?w[雑談] * 迷惑メール対策や個人情報保護に有効な「使い捨てメールアドレス」サービス開始
スパイウェアに対応した初の製品は、「ノートンインターネットセキュリティ2004」だそうです。[雑談] * IEEE 802.11b/gの無線LANを検知できる「Wi-Fi Detector Tシャツ」 (BB Watch)
802.11b/g の 無線LAN の電波強度を、胸のELパネルに表示するTシャツだそうですw
宇都宮パルコの話。 「盗んだ飾りをまた戻せば更に願いが叶う」という噂を流すの良い!w[雑談] * 「デスノート」などのパクリで少年マガジン編集部謝罪 (痛いニュース)
36ページの大半が別のマンガのトレース?! ここまで来るとある意味、才能かも?w[雑談] * 迷惑メール対策や個人情報保護に有効な「使い捨てメールアドレス」サービス開始
textile一般のサブアドレスサービスと比較し、必要な時に必要な期間だけ使用出来る、使用期限を設定する事で退会処理しなくても利用を停止出来る等、利便性の高いサービスとなっております。迷惑メール対策には良いと思いますが、これ(↑)はサービス提供側に迷惑なんじゃあ?(-_-;[雑談] * PCを脅威から守る究極の対策は?: 進化を続けるPCへの脅威 (ITmedia)
スパイウェアに対応した初の製品は、「ノートンインターネットセキュリティ2004」だそうです。[雑談] * IEEE 802.11b/gの無線LANを検知できる「Wi-Fi Detector Tシャツ」 (BB Watch)
802.11b/g の 無線LAN の電波強度を、胸のELパネルに表示するTシャツだそうですw
2007/12/24(月)月曜日ー。(世間は、クリスマス・イブ☆)
[TV][ドラマ] 2007年4Qドラマランキングヤマガタが独断と偏見で選んだ2007年4Qドラマランキングです。順位ドラマ名テレビ局ひとこと1ドリーム☆アゲイン日本テレビ天国の案内人さん、最終話で因果律組み換えみたいなことが出来るなら、主人公を人違いで天国に送っちゃった時点で使えよとw2ハタチの恋人TBS長澤まさみさん、可愛い〜。 わたしはこのドラマ好きでしたが、視聴率はイマイチだったみたいですね。(^-^;3働きマン日本テレビうちの会社には仕事モードのスイッチが壊れててOFFにならない女性社員が多いような気もw4ガリレオフジテレビ主題歌を歌ってるKOH+は、福山雅治プロデュースの柴咲コウさんだったんですね。 しばらく気づきませんでしたw5ジョシデカ!テレビ朝日最初の頃、拳銃撃ちまくってたのに途中から撃たなくなりましたねw クレームを受けた? 何かの事件に遠慮した?6SP(エスピー)フジテレビ全何話なんだろう。1月の回で最後なのかな?7医龍フジテレビ朝田龍太郎はやっぱり最後は海外に行くのね。^^;8スワンの馬鹿!フジテレビ一か月のこづかい3万円・・・結婚、躊躇しちゃうなぁw9有閑倶楽部日本テレビ主人公グループの氏名が松竹梅、菊正宗、白鹿、黄桜、剣菱、グランマニエって・・・作者、どんだけ酒好きなんだよw10暴れん坊ママフジテレビ上戸彩さんが母親役w 良いヤンママっぷりでしたw11モップガールテレビ朝日北川景子さんのドジ&天然ボケ、素敵ですw12浅草・ふくまる旅館TBS娘役が、大塚ちひろさんから黒川智花さんに代わっててびっくり。どっちも好きだから良いですけどw13歌姫テレビ朝日最終話で、過去から現代に切り替わるのが唐突過ぎw 1話の導入を覚えていた人がどれだけ居るか…ここにあるドラマ以外では、「恋する日曜日」のシリーズも見てました♪ (連ドラじゃないけど。)「オトコの子育て」は おかしな時期に始まったので見逃しました。(^-^;;[セキュリティ] * ウイルススキャンサービスの「暗黒面」 (ITmedia)
ウィルス作者の間では、「VirusTotal」や「VirusScan」は“検体を提供する”オプションをオフにしていても検体が送信されると噂になっているそうですw このため、メーカにファイルを送らないことを保証した、ウィルス作者向けの有料スキャンサービス「AvCheck.ru」などが生まれてきているそうです。(^-^;[雑談] * 「失恋休暇」を取ってみたい: 2008年は福利厚生で社員のやる気を引き出す
「失恋休暇」ってw すごい先進的な企業ですね〜。 取るとき気まずくないのかな。(ぇw[セキュリティ] * スマートフォンのウイルス対策は過剰気味? (ITmedia)
シャワーで汚れを洗い流すことができ、干しておくだけで翌日にはアイロンをかけなくても着用できる世界初の「シャワークリーンスーツ」だそうです。(@_@) これがあれば、ドラマのように、雨の中、傘もささずに逃げる彼女を追いかけて捕まえて抱擁しても・・・翌日はそのスーツで出勤できますよ!(ぇw[雑談] いろいろ。
「全国の8割のエリアが80kbpsくらい」 「ベストエフォートですので!」
そんな身につまされるようなすごろくイヤだw
←素晴らしい。
←これはヒドい。
マック側の指示ではないそうですが、ま、テナントをたくさん出してますからねw
今年プライベートで知り合って二人で食事に行った女の子の数? うーん・・・。
ウィルス作者の間では、「VirusTotal」や「VirusScan」は“検体を提供する”オプションをオフにしていても検体が送信されると噂になっているそうですw このため、メーカにファイルを送らないことを保証した、ウィルス作者向けの有料スキャンサービス「AvCheck.ru」などが生まれてきているそうです。(^-^;[雑談] * 「失恋休暇」を取ってみたい: 2008年は福利厚生で社員のやる気を引き出す
「失恋休暇」ってw すごい先進的な企業ですね〜。 取るとき気まずくないのかな。(ぇw[セキュリティ] * スマートフォンのウイルス対策は過剰気味? (ITmedia)
textileスマートフォンにおけるウイルス対策の重要性は低く、セキュリティベンダーが扇動している。…iPhoneはネット接続による危険が指摘されているが、切迫したウイルス対策の必要性はないと考える。iPhone については、現状では、自分の電話に侵入(?)してrootが取れる〜!と喜んでいるだけですが、今後、DoCoMo(かな?)と提携して日本に入ってきた暁には、普通にリモートからの侵入(直接ではなく、受動的攻撃が多いでしょうけど)が試みられる格好のターゲットになると思いますけどねぇ。[雑談] * 着たまま入る?「シャワーで洗えるスーツ」が発売 (IZA)
シャワーで汚れを洗い流すことができ、干しておくだけで翌日にはアイロンをかけなくても着用できる世界初の「シャワークリーンスーツ」だそうです。(@_@) これがあれば、ドラマのように、雨の中、傘もささずに逃げる彼女を追いかけて捕まえて抱擁しても・・・翌日はそのスーツで出勤できますよ!(ぇw[雑談] いろいろ。
- KDDIのPC向け定額モバイルデータ通信、本日よりサービス開始 (/.jp)
「全国の8割のエリアが80kbpsくらい」 「ベストエフォートですので!」
- ストレス入院からITセレブへ: 悶絶! これがSEすごろくだ (ITmedia)
そんな身につまされるようなすごろくイヤだw
- 「お客様のドリンク代は前のお客様が」「じゃあ、私も次の人の分を」の繰り返しで350人余りが“おごり合い”リレー (なんでも評点)
←素晴らしい。
- 子供たちが送ったサンタさんへの手紙、返事は…「お前の手紙、長すぎ」
←これはヒドい。
- マック「×××はいけない」 週刊誌中づり広告を黒塗り (asahi.com)
マック側の指示ではないそうですが、ま、テナントをたくさん出してますからねw
- 理系のための恋愛論 (268) どうしてモテない? 著者が振り返る07年恋愛問題
今年プライベートで知り合って二人で食事に行った女の子の数? うーん・・・。
2007/12/25(火)火曜日ー。(この胸いっぱいの愛を。)
[動物] * ねこ丼 (YouTube)
かわゆいw 次回は、もう少し大きなどんぶりを用意してあげてくださいw[セキュリティ] * 第12回 Webサイトからの顧客情報流出(後編) (ITPro)
ockeghemさんのブクマ経由。 「SELECT」のくだりは、例示のためにわざと単純化したのだろうとは思いますが、それにしても安易すぎですねw ただ、複数のパラメータに分割して送信すると検知を回避できる場合があるのは本当ですね。 (通常、WAF はホワイトリストとブラックリストを組み合わせて使うのですが、もしも仮に、ホワイトリストの設定を行わずにブラックリストだけに頼っているような場合や、SQL に必要な文字種が許可されたパラメータに SQLインジェクションが存在する場合を考えると、例えば、シグネーチャは誤検知を少なくするために、「\Wselect\W.*\Wfrom\W」のようなイメージになっているでしょうから、“addr3=*/from+sysobjects--&addr2=select+name/*&addr1='+union+”のように分割されて送信されるとツライのかも?) (それ以前に、WHERE句に入るならば '+or+'a'='a や '-- だけで問題となる場合も多いでしょうし、条件が TRUE になる式は 'a'='a' の形式以外にも無数に書けますしねw) さらに、それ以外にも、%uXXXX で送信したり、スペースの代わりにタブを使ったり、/**/ をはさんだり・・・様々な検知回避の手法がありますから、WAF は あくまでも修正までの時間稼ぎとして、ツールを使った単純な攻撃から身を守るために使うくらいに思っておいたほうが良いのでしょうね。(^-^;[雑談] * Wiiリモコンで頭の位置を認識する VRシステム (Engadget Japanese)
おー! これはすごい。 「有限と微小のパン」の世界にまた一歩近づいた?!(@_@)[出来事] * イブのStorm一斉攻撃、セクシーなサンタで誘惑 (ITmedia)
クリスマスって、なんだっけ〜、なんだっけ〜♪[雑談] * 女性にアプローチする10の必勝方法 (GIGAZINE)
「これらすべてを実践すれば相手はあなたのパワーに驚くだろう」とのことw[動物] * メリ☆クリ
ゆーきさんのところから。 可愛い!!!!!(*^^*)
かわゆいw 次回は、もう少し大きなどんぶりを用意してあげてくださいw[セキュリティ] * 第12回 Webサイトからの顧客情報流出(後編) (ITPro)
ockeghemさんのブクマ経由。 「SELECT」のくだりは、例示のためにわざと単純化したのだろうとは思いますが、それにしても安易すぎですねw ただ、複数のパラメータに分割して送信すると検知を回避できる場合があるのは本当ですね。 (通常、WAF はホワイトリストとブラックリストを組み合わせて使うのですが、もしも仮に、ホワイトリストの設定を行わずにブラックリストだけに頼っているような場合や、SQL に必要な文字種が許可されたパラメータに SQLインジェクションが存在する場合を考えると、例えば、シグネーチャは誤検知を少なくするために、「\Wselect\W.*\Wfrom\W」のようなイメージになっているでしょうから、“addr3=*/from+sysobjects--&addr2=select+name/*&addr1='+union+”のように分割されて送信されるとツライのかも?) (それ以前に、WHERE句に入るならば '+or+'a'='a や '-- だけで問題となる場合も多いでしょうし、条件が TRUE になる式は 'a'='a' の形式以外にも無数に書けますしねw) さらに、それ以外にも、%uXXXX で送信したり、スペースの代わりにタブを使ったり、/**/ をはさんだり・・・様々な検知回避の手法がありますから、WAF は あくまでも修正までの時間稼ぎとして、ツールを使った単純な攻撃から身を守るために使うくらいに思っておいたほうが良いのでしょうね。(^-^;[雑談] * Wiiリモコンで頭の位置を認識する VRシステム (Engadget Japanese)
おー! これはすごい。 「有限と微小のパン」の世界にまた一歩近づいた?!(@_@)[出来事] * イブのStorm一斉攻撃、セクシーなサンタで誘惑 (ITmedia)
クリスマスって、なんだっけ〜、なんだっけ〜♪[雑談] * 女性にアプローチする10の必勝方法 (GIGAZINE)
「これらすべてを実践すれば相手はあなたのパワーに驚くだろう」とのことw[動物] * メリ☆クリ
http://image.blog.livedoor.jpゆーきさんのところから。 可愛い!!!!!(*^^*)
2007/12/26(水)水曜日ー。(参加できなかった。orz)
[セキュリティ] * 2007年のクロスサイトスクリプティングを振り返って (葉っぱさん)
葉っぱさんが、著名サイトで見つけた XSS で、修正が終わっているものについて書かれています。 ほかにも、有名な公人のオフィシャルページとかで見つけたという風のウワサを聞いたような気もしますが、自主規制ですかね?w (サイトごと無くなった?=修正完了でしょうかねw)[雑談] * JR東海、リニア新幹線の事業費5.1兆円を自己負担で建設することを発表
2025年度には、時速500kmで走行するリニアモーターカーで大阪<=>東京が約1時間に?![出来事] * サンタの次はニューイヤー、Storm Wormの素早い変わり身 (ITmedia)
さっそく、クリスマスカードから新年のメッセージに変更されたそうですw[雑談] * Apple、不正コピー防止技術の特許を申請 (Computerworld)
もしも、ほんとに「5分〜10分間に1回」チェックをするとしたら、笑える。(ぇw[セキュリティ] * 年末年始のセキュリティチェック9カ条―JPCERT/CCが呼びかけ (ITmedia)
年末年始の長期休暇前後に確認すべきセキュリティ対策項目だそうです。 この時期どこも...[雑談] いろいろ。
←プロペラでかっw
←磯野家のなぞw
←いいぢゃん...
葉っぱさんが、著名サイトで見つけた XSS で、修正が終わっているものについて書かれています。 ほかにも、有名な公人のオフィシャルページとかで見つけたという風のウワサを聞いたような気もしますが、自主規制ですかね?w (サイトごと無くなった?=修正完了でしょうかねw)[雑談] * JR東海、リニア新幹線の事業費5.1兆円を自己負担で建設することを発表
2025年度には、時速500kmで走行するリニアモーターカーで大阪<=>東京が約1時間に?![出来事] * サンタの次はニューイヤー、Storm Wormの素早い変わり身 (ITmedia)
さっそく、クリスマスカードから新年のメッセージに変更されたそうですw[雑談] * Apple、不正コピー防止技術の特許を申請 (Computerworld)
もしも、ほんとに「5分〜10分間に1回」チェックをするとしたら、笑える。(ぇw[セキュリティ] * 年末年始のセキュリティチェック9カ条―JPCERT/CCが呼びかけ (ITmedia)
年末年始の長期休暇前後に確認すべきセキュリティ対策項目だそうです。 この時期どこも...[雑談] いろいろ。
- 女性システム管理者の晴れ舞台?: 今度は避けたい―サーバルームに初詣で (ITmedia)
- ドラえもん、タケコプターで空を舞う (ITmedia)
←プロペラでかっw
- 聖水や十字架がセットになった19世紀のヴァンパイア退治キット (GIGAZINE)
- タラヲ「サンタさんからプレゼントきたです〜」 (ハム速)
←磯野家のなぞw
- 「100円玉つかみ取り」で“おはじき”混ぜる (痛いニュース)
←いいぢゃん...
2007/12/27(木)木曜日ー。(--enable-auth-digest)
[メモ] ダイジェスト認証について試したメモw
Apache を ソースからコンパイルする場合には、./configure --enable-auth-digest する。Apache 2.2系では、AuthDigestFile ではなく、AuthUserFile というコマンドを使う。 (モジュールが組み込まれているorロードされているのに、「Invalid command 'AuthDigestFile', perhaps misspelled or defined by a module not included in the server configuration」というエラーが出て悩んだw)設定の例(httpd.conf や .htaccess に書く):
“グーグルではミスを認め、同日夜から検索結果を改めた。”、“グーグル日本法人広報部では、「検索結果の順位を決める人工知能の学習能力が不十分だった。早急に改善したい」としている。” とのことですが・・・うーん、これは Google の「ミス」と言えるものなのかどうか・・・。(^-^;;;[セキュリティ] * Wordファイルを「.exe」に書き換え ワームの隠し機能 (ITmedia)
Wordファイルを "Wordのアイコンを持ち、実行すると元のWord文書を開きつつ、裏で不正な活動をする.exeファイル" と置き換える機能があるそうです。 同時に、拡張子の表示設定もいぢるらしい。 ほー。関連: * Morphing (Your Own) Documents into 2008 (Avert Labs Blog)
[雑談] いろいろ。
←こんなに高度だったのねw
←風情が無い?
←相対性理論w
- Digest認証 (Wikipedia)
- RFC 2617 : HTTP Authentication: Basic and Digest Access Authentication
Apache を ソースからコンパイルする場合には、./configure --enable-auth-digest する。Apache 2.2系では、AuthDigestFile ではなく、AuthUserFile というコマンドを使う。 (モジュールが組み込まれているorロードされているのに、「Invalid command 'AuthDigestFile', perhaps misspelled or defined by a module not included in the server configuration」というエラーが出て悩んだw)設定の例(httpd.conf や .htaccess に書く):
textile<Directory "/usr/local/apache2/htdocs/dir/"> AuthType Digest AuthName Realm AuthDigestProvider file AuthUserFile /usr/local/apache2/htdocs/dir/.htdigest Require valid-user</Directory>htdigest -c .htdigest Realm username で ユーザを作成する。
textile$ htdigest -c .htdigest Realm usernameAdding password for username in realm Realm.New password: Re-type new password:ダイジェストの計算方法について有効な Authorization: がない状態でアクセス:
textileHTTP/1.1 401 Authorization RequiredWWW-Authenticate: Digest realm="Realm", nonce="09QpMUBCBAA=dec1f45af95a843cf40e525a82a3c8a00cb1df0e", algorithm=MD5, qop="auth"A1 = ユーザ名 ":" realm ":" パスワード ⇒ username:Realm:passwordA2 = HTTPのメソッド ":" コンテンツのURI ⇒ GET:/dir/cnonce = 適当に作る ⇒ e96e5562fb8543f000b37d582103e21bnc = 連番にしてみる ⇒ 00000001, 00000002, ...response = MD5( MD5(A1) ":" nonce ":" nc ":" cnonce ":" qop ":" MD5(A2) )= MD5( MD5("username:Realm:password") ":" "09QpMUBCBAA=dec1f45af95a843cf40e525a82a3c8a00cb1df0e" ":" "00000001" ":" "e96e5562fb8543f000b37d582103e21b" ":" "auth" ":" MD5("GET:/dir/") )= MD5( "96997dfca18fd3fa5e1731ea16d38c99" ":" "09QpMUBCBAA=dec1f45af95a843cf40e525a82a3c8a00cb1df0e" ":" "00000001" ":" "e96e5562fb8543f000b37d582103e21b" ":" "auth" ":" "99d8425bdd0da70e27779d504bd615c0" )= "1139daf5701bf63cfc70a0bd6cfc9082"これらを踏まえて、リクエストを作成する:
textileGET /dir/ HTTP/1.1Host: example.jpAuthorization: Digest username="username", realm="Realm", qop="auth", algorithm="MD5", uri="/dir/", nonce="09QpMUBCBAA=dec1f45af95a843cf40e525a82a3c8a00cb1df0e", nc=00000001, cnonce="e96e5562fb8543f000b37d582103e21b", response="1139daf5701bf63cfc70a0bd6cfc9082"リクエストの URI と、uri="..." の値は一致する必要がある。一致しないと、HTTP/1.1 400 Bad Request⇒ Digest: uri mismatch - </dir0/> does not match request-uri </dir/>★uri="..." には QueryString(「?」以降)も含める必要があるっぽい。★Firefox や IE 7 は含めているが、IE 6 は今でも「?」以降は送信してない。★Apache には、この IE 6 のバグを回避するための設定がある:BrowserMatch "MSIE" AuthDigestEnableQueryStringHack=On設定すると、「?」以降を送信した場合でも送信しない場合でも認証が成功するようになる。(IE6 でも IE7 でも、どちらでも問題なくアクセス出来るようになる。)ちなみに、QueryString に「"」を含む値を送信してみたwFirefox ⇒ uri="/dir/?C=M;O=A%22"IE 7 ⇒ uri="/dir/?C=M;O=A\""IE 6 ⇒ 元から QueryString が送信されない。せっかくなので、ディレクトリ名に「"」を含む場合も試してみたwFirefox ⇒ uri="/dir/%22/"IE 7 ⇒ uri="/dir/%22/"IE 6 ⇒ uri="/dir/"/" ・・・あ゛(笑) ダメダメですw★あくまでもメモ書きなので、技術的な正しさを求めないでくださいねw[出来事] * グーグルで厚労省「偽サイト」が最上位に、丸1日続く (読売新聞)
“グーグルではミスを認め、同日夜から検索結果を改めた。”、“グーグル日本法人広報部では、「検索結果の順位を決める人工知能の学習能力が不十分だった。早急に改善したい」としている。” とのことですが・・・うーん、これは Google の「ミス」と言えるものなのかどうか・・・。(^-^;;;[セキュリティ] * Wordファイルを「.exe」に書き換え ワームの隠し機能 (ITmedia)
Wordファイルを "Wordのアイコンを持ち、実行すると元のWord文書を開きつつ、裏で不正な活動をする.exeファイル" と置き換える機能があるそうです。 同時に、拡張子の表示設定もいぢるらしい。 ほー。関連: * Morphing (Your Own) Documents into 2008 (Avert Labs Blog)
[雑談] いろいろ。
- 旧日本軍の風船爆弾の唯一の現物が公開へ (/.jp)
←こんなに高度だったのねw
- 後継難に悩む寺を救う? 全自動鐘つき機が普及中 (/.jp)
←風情が無い?
- 仕組みを説明してくれるスレ (カオスちゃんねる)
←相対性理論w
2007/12/28(金)金曜日ー。(「正体」なんてありませんw)
[雑談] 仕事を納める日今年は、ちゃんと、納まりますw[雑談] * 「アカウントを停止した」 Amazonアフィリエイト会員に間違いメール (ITmedia)
のところにも実際にメールが届いたそうですw (お小遣い、良いなーw[雑談] * 「Gmail」と「Yahoo!Mail」の利用者数の比較 (GIGAZINE)
訪問者数なので死活ユーザは数えずにこの差なのね。 このままの成長率で行くと2010年にはGoogleのほうが多くなる計算だそうですが、どうなんでしょうね? やっぱりYahoo!って強いのねw
関連: * 2007 In Numbers: More People Using Yahoo Mail This Christmas Than Gmail
[雑談] * ボタンを押す振動で発電、電池不要(?)のリモコン (/.jp)
もしも、カチカチカチッとボタンを連打しないと操作できないとかだったら、笑うw[雑談] * 【年末特別編】「会社なんて辞めてやる! 独立を考える前にご一読を」 (Impress)
「独立」 は まったく考えていませんが、「自宅作業」 は してみたい。(ぇw
- まっちゃさん
のところにも実際にメールが届いたそうですw (お小遣い、良いなーw[雑談] * 「Gmail」と「Yahoo!Mail」の利用者数の比較 (GIGAZINE)
訪問者数なので死活ユーザは数えずにこの差なのね。 このままの成長率で行くと2010年にはGoogleのほうが多くなる計算だそうですが、どうなんでしょうね? やっぱりYahoo!って強いのねw
関連: * 2007 In Numbers: More People Using Yahoo Mail This Christmas Than Gmail
[雑談] * ボタンを押す振動で発電、電池不要(?)のリモコン (/.jp)
もしも、カチカチカチッとボタンを連打しないと操作できないとかだったら、笑うw[雑談] * 【年末特別編】「会社なんて辞めてやる! 独立を考える前にご一読を」 (Impress)
「独立」 は まったく考えていませんが、「自宅作業」 は してみたい。(ぇw
2007/12/29(土)土曜日ー。(携帯をかけてプププッと鳴ったら・・・)
[雑談] * 「ダウンロード違法化」で606ページ パブリックコメント公表 (ITmedia)
高木先生のコメントは、552ページに載っていました。 (329ページではないw)関連: * 私的録音録画小委員会中間整理に関する意見募集に寄せられた御意見
**[pdf]**[雑談] いろいろ。
高木先生のコメントは、552ページに載っていました。 (329ページではないw)関連: * 私的録音録画小委員会中間整理に関する意見募集に寄せられた御意見
**[pdf]**[雑談] いろいろ。
- スパイウェア絶滅します―セキュリティソフト装う偽ツールの亜種 (ITmedia)
- こんな言葉も流行りました 07年ネット用語大全 (ITmedia)
- 客はなぜ怒っているのか―会話から感情を分析するソフト (ITmedia)
- 【楽天】 楽天ブックス、値段を間違った商品の差額を振り込み請求 (痛いニュース)
- 映画の入場料 、「1800円は高い」7割以上 (痛いニュース)
- マンスリー・チャイナネット事件簿 年末特集:2007年の中国インターネットを振り返る
2007/12/30(日)日曜日ー。(今年も残すところ、あと2日。)
[占い] * 経県(経県値&経県マップ)
チャム&レオさん経由。 私は、基本、ひきこもりですので、白いところ多いですw[雑談] いろいろ。
←「偽」
←Firefoxへw
、 * 続き
←いい!!
←内蔵はしないなw
←私=ゆとりw
←最近、夜、眠れません...
←笑っちゃダメw
←おいしかった。
チャム&レオさん経由。 私は、基本、ひきこもりですので、白いところ多いですw[雑談] いろいろ。
- 2008年に高まるポストインシデントのリスクコントロールの重要性 (ITmedia)
←「偽」
- Netscapeの灯が消える - 開発/サポートは2008年2月1日まで (MYCOM)
←Firefoxへw
- 全力でプログラマーを「人気の職業」に押し上げたい (Attribute=51)
、 * 続き
←いい!!
- 5インチベイ内蔵可能なPico-ITX PCキットが登場 (IMPRESS)
←内蔵はしないなw
- 5kgの石と1kgの石を同時に落としたら (はてな匿名ダイアリー)
←私=ゆとりw
- なかなか眠れない人のための簡単に眠る10の方法 (GIGAZINE)
←最近、夜、眠れません...
- 空気清浄機よりすごい、細菌を死滅させる空気浄化機「NS-457」 (GIGAZINE)
- 凶器は冷凍タラバガニ!万引き見つかり警備員を小突く (スポーツ報知)
←笑っちゃダメw
- 雪印北海道100マスカルポーネ (エスプレッソソース付き)
←おいしかった。
2007/12/31(月)月曜日ー。(大晦日。・・・まだ実感ないw)
[雑談] 今年のまとめ今年を振り返って、いろいろと数えてみたw今年、猫カフェに行った回数: 13回猫の時間(大阪)×4、あまえんぼう(高槻)×3、ねこのみせ(町田)×3、なーごなーご(名古屋)×1、猫とあそぼ(大阪)×1、Fairy Fields(福岡)×1今年、出張や私用で遠出をした回数: 12回大阪/京都×6、福岡×2、静岡方面×2、名古屋×2今年、勉強会に参加した回数: 10回まっちゃ139(京都/大阪)×4、Admintech(東京)×3、SKUF Meeting(東京)×1、ばりかた勉強会(福岡)×1、XSS祭り(東京)×1今年、ピザのホール喰いをした回数: 18回ドミノピザ×11、ピザーラ×7[雑談] * 「明けおめ」メール不通でも110番通報しないで auが呼びかけ
メール不通時の「送信できませんでした(110)」で110番に電話をかけないようにw関連: * auからのお知らせ - お願い
メール不通時の「送信できませんでした(110)」で110番に電話をかけないようにw関連: * auからのお知らせ - お願い