The Polaris Dawn crew is back on Earth after a historic mission
The Polaris Dawn crew is back on Earth after a historic mission
CAPTCHAをご存知でしょうか。 スパム防止のために歪んだ文字とかを入力させる、アレのことなのですが、 はてなのCAPTCHAの強度が妙に低く思えたので検証してみました。 CAPTCHAというのはいわゆる逆チューリングテストという奴で、 人間には可能だが機械には処理しにくいことをさせることで、 ロボットによる操作を弾こうというものです。 たとえば、Gmailのユーザ登録には以下のような画像が表示され、 表示されている文字を入力することが求められます。 CAPTCHAの強度 例えばスパムを送るために大量のGmailアカウントを得ようとしてる人がいたとします。 手作業でGmailを登録するのは骨が折れる。 そこでプログラムによる機械化を試みることになるわけです。 その際、障壁となるのがこのCAPTCHAなのです。 この画像から正解である文字列"vittac"を得ることは機械には難しい。 プロ
アダルトサイトっぽいページでリンク先に飛ぼうとすると、「個人情報を取得しました→登録が完了しました→何日以内に払え、払わないと通報」的な画像が表示されることがよくあります。ソーシャルブックマークなどでセルクマしてランキング操作しているサイトもあるので、知らずに訪れて焦ってしまう方も少なからずいるのでは。 しかし、それらの画像のほとんどはただの gif 画像。「請求の 正体見たり gif 画像」ということで、さっさとページを閉じ、サイトの URL を検索してみるとかが吉かと。 ところでそれらの画像って、マジマジと見ると大抵マヌケな感じがしてほほえましい。今までも当サイトで何度か取り上げたのだけれど、他にもそういう画像がないかと釣りサイトを巡ってみた。というわけで、以下ではそれらのサイトから収集した gif 画像を紹介します。画像をクリックすると、それぞれの画像を単体でみれるよ。再生が一回で終
Windowsの各種ユーザーアカウントのパスワードを解析して表示することができるオープンソースソフト「Ophcrack」を使ってみました。Windows Vistaにも対応しており、総当たりで解析するのではないため、非常に素早く解析できるのが特徴。数分程度の時間で解析できてしまいます。今回の実験ではジャスト3分でAdministratorのパスワードが表示されてしまいました、ショック。 通常はISOイメージをCDに焼いてCDブートで起動するのですが、今回はUSBメモリから起動してみました。実際に起動してから終了するまでの様子のムービーもあります。 というわけで使い方などの解説は以下から。 ※あくまでも自分のパスワードの弱さをチェックするためのソフトなので、使用する際には自己責任でお願いします Ophcrack http://ophcrack.sourceforge.net/ ダウンロードは
( 追記 8/8 14:20:「img1756」で検索してくる者が急増中。かなり拡散している模様。同じファイル名とは限らないので注意) 先日久しぶりな友人から突然MSNメッセンジャーが届いてファイルがついていた。Photo_0728.zip?とりあえず、解凍してVirusチェックしてみるが問題なし。何かスクリーンセーバー作ったのかと思い実行。。。ええ、感染しました。数分おきにアプリケーションが1つ16bit実行時のエラーが発生しました。そのファイルの中身は.exeだけどJavaScriptがかかれていました。その後必死で該当サービスやタスクを探すけど、特定には至らず。オリジナルの.scrファイルの中のリソースをチェックしても画像など各種リソースなし。この時点でVirusと疑いました。と言えども、ウイルスの定義ファイルも最新のため膠着状態。特徴として自分のユーザーのフォルダー、C:\Docu
実名でブログを書くことは、非常に危険です。ましてや何を書いて良いかもわからない初心者の人はスタート地点でいきなりタブーを犯してしまう危険性があります。例えば、現状と照らし合わせて、個人のブログが炎上して日常生活に影響を及ぼす大半の理由は実生活までトレースされうる情報が掲載されているからに他なりません。 ここで予め言っておきます。ネット上に蔓延る匿名の悪意、あるいは社会正義の名の元の鬱憤晴らしを認めているわけでも、減らそうとしていないわけでもありません。ただ、それは現実にそこにあることを認めないと危険だ、ということです。それがなくなる前に実名での活動を勧めるのは、こちらが有益なものを提供しているのであるから襲われまいとヨハネスブルクを丸腰で一人で歩くようなものです。装甲車に乗って声を張り上げられる人は限られています。まずいちばん最初に自覚しなければならないのは「現実として」いつでも襲われえる
crossdomain.xml を安易に設置すると CSRF 脆弱性を引き起こす可能性があります。というのも、ここ数が月、それなりの数の crossdomain.xml による CSRF 脆弱性を発見し(現在、それらのサイトでは対策がなされています)、まだまだ Web プログラマに脆弱性を引き起こす可能性がある、という考え方が浸透してないんじゃないか、と思ったので。 先月、Life is beautiful: ウェブサービスAPIにおける『成りすまし問題』に関する一考察にも crossdomain.xml について書かれてたのですが、その後もいくつかのサービスで crossdomain.xml を許可ドメインすべてにしているサービスがあったので、注意喚起としてエントリーに書き起こします。 自分も一年半ぐらい前は、crossdomain.xml を許可ドメインすべて ('*') にして設置し
アンチウイルスソフトって不要ですよね? 私はアンチウイルスソフトを導入していません。ここ10年以上毎日インターネットをしていますし、ウィニーもじゃんじゃん使っていますが、ウイルスに感染したことはありません。怪しい実行ファイルを見かけたら削除するだけです。ブラウザはIE、メールソフトはアウトルックです。念のため半年に一度PC全体をオンラインスキャンで検査していますが、ウイルスが検出されたことはありません。企業でのシステムのようにLANで繋がったパソコンでなければ、こんなものでしょうか。結局、ウイルスの脅威を煽るのは、ソフト会社の宣伝ですよね。さっきアンケートをしたら、http://q.hatena.ne.jp/1182166371三割以上の人が一切使っていないことが分かりました。もう面倒なので、半年に一度のチェックもやめようと考えています。PCに詳しいみなさんも使っていないでしょう?
実施:2006/07/24、25、26 86体のWinny、Shareネットワーク内に存在するウイルスにおける検出結果 すべての拡張子を検査。その他初期設定。結果はすべてオンデマンド検査によるもの。検出は懐疑含む ■使用したウイルス一覧 ■各ソフト未検出ウイルス一覧 (※リスト作成にFileInfoListを使用しています) Winny、Share内部に流通しているウイルスに主眼を置いたテストです Winny、Shareと直接リンクするウイルスだけではなく、単にファイルに混入しただけのトロイなども含まれています 以上の他、どのアンチウイルスも検出せず名称の付けようが無く今回検体の中に含めなかったウイルスが3体ありました 検体が少なくあまり幅の広い結果にはなりませんでしたが参考にでもなれば幸いです また他の人が行ったテスト Hacker Japan7月号のWinny・Sha
アクセルとブレーキの踏み間違いによるAT車暴走事故について、システム的・機械的な原因を指摘するブログを読んだ。交通安全の問題は現代人にとって切実であり、はてなブックマークでもずいぶん注目されている。 A Successful Failure - アクセルとブレーキを間違えたぐらいで暴走する車が悪い はてなブックマーク - A Successful Failure - アクセルとブレーキを間違えたぐらいで暴走する車が悪い 404 Blog Not Found:なぜクルマにはアクセルとブレーキがついているのか はてなブックマーク - 404 Blog Not Found:なぜクルマにはアクセルとブレーキがついているのか 小飼氏の言う「アクセルとブレーキの統合によるエラー防止」は、すでに鉄道では実現している。 マスター・コントローラー - Wikipedia ワンハンドルマスコン-民鉄用語辞典-
悪質な「JavaScript」が、ますます狡猾になっている。Arbor Networksの上級セキュリティエンジニアであるホセ・ナザリオ博士によれば、今日のJavaScriptは、標的のWebブラウザや脆弱なコンポーネント、アクセス可能なクラス識別子(CLSID)を特定したり、個別にカスタマイズした攻撃を仕掛けたりすることも可能だという。 ナザリオ氏は、「NeoSploit」と呼ばれる新たなマルウェアツールが、少なくとも7種の異なる手段の中から標的の弱点を衝くものを選択し、PCへの感染を広げている事実を把握したと述べている。 「過去数カ月の間に、この種の攻撃や悪質なJavaScriptが大量に出回った。JavaScriptがより自己防衛的に、なおかつ攻撃的に悪用されるケースが増えている」(ナザリオ氏) ナザリオ氏は4月18日に現地で開かれたセキュリティイベント「CanSecWest」に出席
昨年「個人向けインターネットバンキングの推奨環境にFirefoxを記載する銀行は二行」とスラッシュドット・ジャパンに書き込んだが、一年近く経ったので今現在どの程度の数の銀行が推奨ブラウザとしてFirefoxを明記しているか改めて調べてみた。調査の対象は全銀協の名簿(全銀協の概要|全国銀行協会:全銀協の会員一覧)に記載の銀行のうち、正会員(128会員)と準会員(55会員)。準会員のうち半数以上は外国の銀行である為、実際には正会員+10行程度が調査の対象となる。 結果、Firefox対応を明記している銀行数は2007年4月21日現在で16行である*1。 調べてみて分かったのは、推奨環境にFirefoxを明記する銀行が急に増えているという事、そのほとんどが地方銀行である事、である。 ここで疑問。なぜ地方銀行ばかりなのだろうか? 答えは簡単。「システムを開発運用している会社が同じだから」である。
それは偶然発見した。なんとGmailのパスワード入力画面にもちゃんと歪んだ画像CAPTCHAが実装されているのだ。しかもほとんどのボットに見え、ほとんどの人間に見えないCAPTCHAである。ちょっとした工夫でCAPTCHAの欠点を補い、利点を生かしているのだ。見つけた時、思わず拍手してしまった。 事の始まりはこうだ。さっき、Gmailにログインしようとしたら、以下のようなエラーが出た。 平凡なエラーだ。しかしまずいことに、2度目、3度目も間違えた。そこでふと「Gmailは何回くらいでアカウントがロックされるんだろう」という疑問が湧いた。そもそも自分には、ブルートフォースアタックに対抗するにはアカウントロックしかないと考えていた。 するとなんと、10回目のミスで、次の画面が現れたのだ。 アカウントがロックされる代わりに、突然CAPTCHAが現れた。 つまりこうだ。パスワードを10回
思い返してもはらわたが煮えくり返るので本当は触れないでおこうと思ったけど、カイ氏伝を読んで気が変わったのと、最近ワタシのブログに「FON」で検索して訪れる人が多いので書く。 先日ユーザーの方々より、退会についての対応が不透明とのご指摘を頂きました。 退会についての対応が不透明というわけじゃなくて、退会申請を無視してただけだろと言いたいところですが、突っ込みどころはそこじゃないっす。 そもそもワタシが個人情報削除依頼のメールを無視されたというエントリを書いたのが始まり。 ・話題のFONってやつ ・FONが個人情報を削除してくれない ・相変わらずFONが個人情報を削除してくれない ・続FONが個人情報を削除してくれない ・続々FONが個人情報を削除してくれない ・経済産業省 ついに経済産業省に改善指導を要請するまでに至ったわけですが、エントリにもチラッと書いてありましたが、同時並行でカスタマー
ちらほらネットを巡回していると、ちょいとヤバげなお話が。 なんでも、かなり面倒くさい偽装方法があるようなんですね。 簡単な目視チェックでは見落とし易く、誤ってウィルスを踏んでしまうという 恐ろしい事態を引き起こしかねないとかなんとか。 長いですが、そんな偽装方法と解決方法に関して書いてみたり。 【偽装方法について】 参考:こんなにお手軽な、ファイル拡張子の偽装方法が・・・Unicode 制御文字の挿入(RLO) 要はアラビア語コードの文体が右→左であり 日本語コードの文体が左→右と異なっている点を利用しているってお話です。 例えばファイル名が「virus.exe」なんてウィルスがあったとします。 これをアラビア語コードで書くと「exe.suriv」となって 拡張子がパッと見ただけではexeに見えないって寸法です。 「ああ拡張子だけじゃなくて先頭の文字列チェックすりゃいいのね。てかそもそも俺
WEP(Wired Equivalent Privacy)を攻撃する新手法を研究者が発見した。これまで知られていた最強のキー再生攻撃に比べ、必要とするデータの量は「けた違い」に少なくて済むという。その結果、「Breaking 104 bit WEP in less than 60 seconds」(104ビットWEPを60秒以内に破る)という論文のタイトルが示す通り、1分足らずでクラッキングが可能になる。 具体的には、50%の確率で成功させるために必要なデータパケットはたった4万。8万5000パケットなら95%の確率で成功すると、論文では述べている。執筆者のエリック・テウス、ラルフ-フィリップ・ワインマン、アンドレイ・フィスキンの3氏はいずれも独ダルムシュタット工科大学コンピュータサイエンス学部の研究者。 WEPが簡単にクラッキングできるというのは周知の事実だ。簡単に入手できるソフトを使っ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
