mixi脆弱性報告制度:評価対象外になったもの
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 mixi脆弱性報告制度で報告した脆弱性のうち、報告したけど評価対象外になったものをまとめます。 報告したけど評価対象外だった脆弱性 1.ショッパーズアイ コードインジェクション 報告日:2014年3月31日 評価結果連絡:2014年4月8日 弊社において既知の脆弱性であると判断、よって脆弱性報告制度の対象外 ※追記:この脆弱性は現在は対応済みです。mixiさんに問い合わせて脆弱性対応済みであることを確認してから記事を公開しました。 ※2014.4.16 23:00 本記事の反響がやたら大きくなってしまったのでコメントを
キャッシュポイズニングの開いたパンドラの箱 Opened Pandora's box of Cache Poisoning 鈴木常彦 2014.04.15 (Concept by 前野年紀 2014.02) / English version 背景 Kaminsky 2008年、Dan Kaminsky 氏が TTL に影響されない毒入れ手法を発表した。 しかし、偽応答のAdditional Section で毒が入るとされたのは誤りだったことを2011年に鈴木が明かにした。 http://www.e-ontap.com/dns/bindmatrix.html Müller Bernhard Müller の "IMPROVED DNS SPOOFING USING NODE RE-DELEGATION", 2008.7.14 https://www.sec-consult.c
--------------------------------------------------------------------- ■(緊急)キャッシュポイズニング攻撃の危険性増加に伴う DNSサーバーの設定再確認について(2014年4月15日公開) ~問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨~ 株式会社日本レジストリサービス(JPRS) 初版作成 2014/04/15(Tue) 最終更新 2014/05/30(Fri) (対策に関するDNS運用者向け文書へのリンクを追加) --------------------------------------------------------------------- ▼最近の状況 最近、日本の大手ISPにおいてカミンスキー型攻撃手法によるものと考えら れるキャッシュDNSサーバーへのアクセスが増加している旨、JP
アップル創業者である故スティーブ・ジョブズの伝記は数多あるけれど、3月にアメリカで発刊された『 Haunted Empire 』 は、「ジョブズ後のアップル」について書かれた、恐らく初めてのまとまった本だ。 経営コンサルタントの私から見ると、ほかの人にマネできない超人ジョブズの事績よりも、「普通の人」たちがその帝国を受け継いで、どのように経営していくのか、という事例の方がはるかに興味がある。カリスマ創業者が成功させたベンチャーが、必ず通らなければならない道であり、多くを学べるからだ(関連記事:「普通の会社」化するアップルの行方)。 そしてこの本を書いたのは、米国育ちの日本人ライター、ケイン岩谷ゆかりさん。ジョブズ時代末期からその後しばらく、米経済紙ウォール・ストリート・ジャーナル在職中にアップルを担当していた。本を読んでみて、日本とアメリカのマルチカルチャー環境にいる彼女だからこそ書ける、
2日前に情報が漏れ、ドコモより即日「同社が出したものではない」という釈明案内がウェブページに掲示されたものの、翌日には緊急記者会見で公式発表されたNTTドコモの新料金「カケホーダイ&パケあえる」は、2年前からのアメリカのキャリアのポストペイド料金がモデルとなっています。 音声定額料金はアメリカではプリペイド携帯会社が最初に提供開始。いつごろからなのか筆者も記憶が定かではありませんが、少なくともNet10が2010年2月には「月$50で通話・テキスト・データ使い放題」プランを出していた記事が、ネットでは探すことができました。 ポストペイド契約では2011年ころまでは、 ● 月450分まで $40 ● 月900分まで $60 ● 通話使い放題 $70 (データ通信料金は別途選択) などといったような料金が主要な流れでした。そして、1家族で5台まで加入できる家族(Family)プランでは、この通
東京のJR渋谷駅を大きく造り直すための工事が17日夜から始まる。いまは分かれている山手線の内回りと外回りのホームを一つにまとめ、約350メートル離れている埼京線のホームをすぐ隣に移す。さらに両ホームの上をまたいで3棟のビルを建設する。工事は2027年までかかる予定だ。 JR東日本が14日に発表した。全体の開発は、JR東日本、東急電鉄、東京メトロが共同で進める。 渋谷では昨年3月、山手線ホームの東側にあった東急東横線渋谷駅が地下に移った。かつての東横線渋谷駅と隣の東急百貨店東横店はともに解体が進んでおり、跡地の一部を埼京線ホームに使って山手線や東急、東京メトロとの乗り換え時間を短縮する。ホームの完成時期は未定という。 3棟のビルには商業施設やオフィスが入る予定だ。最も高い東棟(46階建て)が20年、中央棟(10階建て)と西棟(13階建て)が27年の完成を見込む。(上栗崇)
ソネットは2014年4月14日、下り最大150Mビット/秒、上り最大50Mビット/秒のLTEデータ通信を利用できるプリペイド式SIMカード「Prepaid LTE SIM」の提供を4月22日に開始すると発表した(写真1)。NTTドコモのLTE(Xi)とW-CDMA(FOMA)のネットワークに対応する。必要な分だけ使いたいユーザー、すぐに使いたいユーザーや短期間日本を訪れる外国人旅行者にお勧めだとする。 データ通信量が100MBの「プラン100M」と500MBの「プラン500M」を用意する。利用期間はプラン100Mが30日、プラン500Mが60日。料金はプラン100Mが2778円、プラン500Mが4630円(いずれも税抜き)。SIMカードは標準SIM、MicroSIM、nanoSIMの3種類。 販売場所は同社のサイト(http://www.so-net.ne.jp/prepaid/#buy)
日本の有名な大学の講座を、誰でもインターネットで無料で受講できる。 これまでの高等教育の在り方を変えるかもしれない、日本で初めての大規模オンライン講座が14日から始まりました。 一体、どんなシステムなのか、そして、どのような可能性を秘めているのか、ネット報道部の梅本一成記者が取材しました。 新しい“学び”の形 初日の14日、記者会見が行われ、設立に携わった東京大学大学院の山内祐平准教授が「このような先進的な試みが社会に向けて発信されていけば、既存の大学の授業も見直されるきっかけになると思う」と述べ、オンライン講座の意義を強調しました。 講座の名は「gacco(ガッコ)」。 参加は東京大学や慶應義塾大学のほか、北海道大学や秋田県の国際教養大学、名古屋商科大学など14校に上り、講座も日本史や国際政治、それにファッションやアニメなど幅広く用意されています。 今年度中に、全国100の大学で
橋やトンネルなどの老朽化による事故を防ぐため、専門家による国土交通省の審議会は、「最後の警告」という異例の強いことばを使った提言をまとめました。 国や自治体に、点検や対策を行った結果を公表することや、点検の質を確保するため技術者の資格制度を導入することなど、維持管理を確実に行う仕組みを作るよう求めています。 おととし12月に発生した中央自動車道の笹子トンネルの事故などを受けて、専門家で作る国土交通省の審議会は、老朽化した橋やトンネルなどの維持管理を確実に行う仕組みを作るための提言をまとめ、太田国土交通大臣に手渡しました。 提言では、冒頭で「最後の警告」と異例の強いことばを使って、「今すぐ本格的なメンテナンスにかじを切らなければ、橋の崩落など、人命や社会システムに関わる致命的な事態を招くであろう」と指摘しました。 そのうえで、国と自治体に対して、点検や診断、それに対策を行った結果を公表するよ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
