※セキュリティー強化版の進行状況⇒修正履歴 WEBインベンターのご利用に心から感謝いたします。ショッピングカートの管理プログラムのセキュリティーを一層向上させましたのでお知らせいたします。 追加された機能は、次の4つです。 (1)クッキーによるログイン方式。 (2)指定したIPアドレスからのみ管理プログラムにアクセスできる。 (3)パスワードの暗号化。 (4)メールフォームのスパム対策など。 それで、追加された管理プログラムの機能とバージョンUPの方法をお知らせいたします。 1.追加された管理プログラムの機能 2.バージョンUPの方法 ━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1.追加された管理プログラムの機能 ━━━━━━━━━━━━━━━━━━━━━━━━━━━ 管理画面に入る方法をクッキーによるログイン方式にしました。それで、クッキーの有効期間をブラウザーを閉じるまでに
http://d.hatena.ne.jp/m-bird/20100402/1270190863 とか http://anond.hatelabo.jp/20100403084111 とか ずいぶん適当なこと書いてあるなと思ったので調べた。 見ているページのURLが送られるかという話 ツールバーは使ってないのでChromeについてだけ軽く検証したので書いておく。検証したバージョンはGoogle Chrome 5.0.366.2 devでモニタに使ったのはFiddler。 見ているページのURLを自動で送信する機能はChrome自体には無い。アドレスバーにURLを貼りつければ検索語句の補完機能が動いて送られることがある。 ただしhttpsの場合はホスト名まで、httpの場合はクエリストリング(URLの?以降)は含まれない。 フォームの自動入力を有効にしたらなんかXMLが送られるけど、これは見
Mozillaは、当初30日としていたスケジュールを前倒しして、「Firefox 3.6.2」を公開した。 Firefoxブラウザの更新版となる3.6.2が3月22日付で公開された。当初30日としていたスケジュールを前倒しして、深刻な脆弱性に対処している。 Mozillaのアドバイザリーによると、Firefox 3.6.2では「WOFFの整数オーバーフローによるヒープ破損」の脆弱性を修正した。これはセキュリティ企業のSecuniaが2月に概略を公表していたもので、悪用されるとシステム上で任意のコードを実行される恐れがあり、危険度は極めて高いとされる。 このほかにも複数のセキュリティ問題と安定性の問題が解決された。ダウンロードはFirefoxの「ヘルプ」メニューで「ソフトウェアの更新を確認」、またはMozillaのサイトから入手できる。
みなさまには日ごろから弊紙bogusnewsをご愛読いただきありがとうございます。 さて、このたび弊紙サイトは、現在世界中で猛威をふるっているコンピュータウイルス「ガンプラー」に感染したため、一時的にサイトの更新を見合わせておりました。弊紙の更新を心待ちにしていた女性の方々には、深くおわび申し上げます。 サービス停止期間中、弊紙では専門の粘着質セキュリティコンサルタント・高木浩光氏の指導のもと、駆除・およびセキュリティ向上のためのシステム見直しをおこなってまいりました。その結果、現在ではガンプラーとは無縁の安全な状態に復旧することに成功しました。読者のみなさまにも、不都合なく安心して閲覧していただくことが可能です。 今回の件では、読者の女性のみなさまにたいへんご迷惑をおかけいたしました。今後ともbogusnewsではセキュリティに配慮したサイト運営に気をつけて参る所存です。今後ともよろしく
PNGデータのエンコード/デコード処理ライブラリ「libpng」に、DoS誘発につながる脆弱性が見つかり、フェンリルとLunascapが対応を明らかにした。 PNGデータのエンコード/デコード処理ライブラリ「libpng」にサービス停止(DoS)を誘発させる恐れのある脆弱性が見つかり、情報処理推進機構とJPCERTコーディネーションセンターが3月4日付で情報を公開した。 脆弱性は、特定のPNGファイルの処理に起因するもので、細工された補助チャンクが含まれるPNGファイルを処理する際に、膨大なメモリとCPUを消費する場合があり、DoSが誘発される恐れがある。 脆弱性はlibpng 1.4.0以前に存在しており、開発元のPNG Development Groupは2月27日に脆弱性へ対処した1.4.1、1.2.43、1.0.53を公開して、アップデートの適用もしくは回避策を実施するよう呼び掛け
■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー(Twitter)でも、よく「○○ったー」みたいなサービスがばんばん登場してますね! おかげでますますツイッターが面白い感じになってて、いい流れですね! でも・・・ちょっと気になることが・・・ 最近「もうプログラマには頼らない!簡単プログラミング!」だとか・・・ 「PHPで誰でも簡単Webサービス作成!」だとか・・・ はてなブックマークのホッテントリで見かけますよね・・・ プログラミングする人が増えるのは素敵です!レッツ・プログラミングなう! なんですけど・・・ ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです!
イラストSNS「pixiv」の一部の作品に対し、「ツマンネ」「ヘタクソ」「気持ちわる」といった中傷コメントが意図せずに投稿されてしまう問題が起きた。運営会社が調べたところ、何者かがユーザーに脆弱性を悪用した外部URLをクリックさせ、意図しないコメントを投稿させていたことが分かり、既に脆弱性は修正した。 ピクシブの開発者ブログによると、問題は2月5日~14日に発生。イラストのキャプション欄などに貼られていたあるURLをクリックすると、外部サイトを経由し、中傷コメントが投稿されるようになっていた。 URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)を悪用していた。脆弱性は14日に修正した。アカウントが乗っ取られたわけではなく、個人情報の漏えいや改ざんはないとしている。ウイルス感染の被害もないという。 pixiv
最近はてなブックマークでも度々話題になっている「ガンブラー(Gumblar)」というキーワード。「ウイルスやFTPと関係があるらしい」ということは知っていても、「結局どういうものなの?」「何をすればいいの?」と疑問に思っている人も多いのではないでしょうか。そこで今回は「ガンブラーとFTPクライアント」の問題について、原因と対策をまとめてみました。 ■「ガンブラー(Gumblar)」って何? そもそも「ガンブラー」とは、一体何なのでしょうか? ▽「Gumblarの手口を知り、対策を」IPAが注意喚起 -INTERNET Watch ▽情報処理推進機構:プレス発表:記事 ▽「ガンブラー」は手口の名前、感染するウイルスはさまざま - ニュース:ITpro ▽ASCII.jp:猛威が止まらない!ガンブラー総まとめ <ガンブラーは“PCをウイルス感染させる手口”、感染するウイルスの種類は様々> 国民
シマンテックは1月8日、ブログサービス「Ameba」で行った広告キャンペーン「ノートン警察」で配布したブログパーツ「Norton Police City in Ameba」が改ざんされ、閲覧者をウイルスに感染させていた可能性があることを受け、感染の恐れがあるユーザーにセキュリティソフトの90日体験版を無料提供すると発表した。 1月12日から2月5日まで「ノートン インターネットセキュリティ2010 特別90日無償版」を専用サイトで配布。「影響を受けたユーザーを特定するのは不可能」とし、誰でも利用できるようにする。 感染の恐れがあるユーザーには、利用中のウイルス対策ソフトを最新版にし、PCのフルスキャンを行うよう呼び掛けている。ノートンの30日間体験版もWebサイトから無料でダウンロードできる。 Amebaを運営するサイバーエージェントによると、外部委託先企業のサーバが不正アクセスを受けてブ
芸能人のブログに入り放題という前代未聞の新サービスを世に問い、問題作として話題を攫ったサイバーエージェントが、今度はノートンとのコラボサービスのブログパーツでトロイの木馬を搭載するという面白い試みをしているというので見物に逝ってきました。 ブログパーツ「ノートン警察」を使われていた方へ http://ameblo.jp/caetla-2008/entry-10427328482.html http://megalodon.jp/2010-0107-1225-07/ameblo.jp/caetla-2008/entry-10427328482.html 【ノートン警察】お粗末、Javascruptが・・・・ http://ameblo.jp/dendoshi/entry-10428673022.html http://megalodon.jp/2010-0107-1235-05/ameblo
■編集元:ニュース速報板より「サイバーエージェントがアメーバブログ不正アクセスの被害届け提出でν速から逮捕者続出か?」 1 ウィンナー巻き(茨城県) :2010/01/01(金) 22:32:14.50 ID:n3VcD3aB ?PLT(12000) ポイント特典 2010年1月1日の早朝に発生した『アメーバブログ』のパスワード流出事件。 『アメーバブログ』でブログを執筆している芸能人たちのIDやパスワード、メールアドレスなどが流出した大規模な情報漏えい騒動だ。この件に関して、『アメーバブログ』を運営しているサイバーエージェントは不正アクセスの被害を確認したとして、警察に被害届を提出したという。 「不正アクセスの被害」という発言は、パスワードが漏れたことにより芸能人たちのブログに勝手にアクセスをした人たちがいたことを意味している。インターネット上の掲示板には「アクセスできた」という
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
