Disconnect tracks the trackers, across the internet and beyond.Learn more
文字コードが引き起こす問題点は、これまで説明したような比較の一致・不一致といったソフトウェアの処理上のものだけでなく、人間に対する視覚的な効果という点でも強く影響を与え、攻撃者にとっての強力な道具となることがあります。 今回および次回で、そのような文字コードが引き起こす視覚的な問題点を紹介します。 視覚的に似た文字 見かけのよく似た文字は、フィッシングなどによく利用されます。典型的な例としては、アルファベット小文字のl(エル)と数字の1などがあります。たとえば、http://bank1.example.jp/ というURLのオンラインバンクがあったとすると、攻撃者は http://bankl.example.jp/ というURLを使ってフィッシングを企むということは容易に想像できると思います。 もちろん、収録している文字数が増えれば増えるだけ、このように見かけのよく似た文字が存在する率も高
By quinn norton Tor(トーア)はIPアドレスを相手に知られることなくインターネットに接続したり、メールを送信したりできる匿名の通信システムです。世界的に有名なBlack Hatセキュリティカンファレンスでは、Torの暗号化を無効にしてしまう内容の講演が、講演者の在籍する大学の弁護士による要望によってキャンセルされたこともあり、セキュリティ業界に波紋を広げました。インターネットに詳しい人ならよく知っているTorですが、名前を聞いたことはあるけども実際はよく知らない人や、存在自体を知らない人がたくさんいるとのことで、デジタル社会の自由な権利について活動している電子フロンティア財団が、「Torについて知っておくべき7つのこと」を公開しています。 7 Things You Should Know About Tor | Electronic Frontier Foundation
Internet ExplorerなどにAmazon・Twitterのパスワードを保存している人でも、ネットバンキングなどセキュリティに厳しいサイトでは保存できずパスワード忘れてしまうことがあると思います。そんなときに、ログインパスワードを一つだけ覚えておけば、それ以上覚える必要がなくなり、ログインID・パスワードを暗号化して保存でき、登録済みのサイトへ自動ログインが可能になる無料のソフトが「LoginCode」です。インストール・ログインIDとパスワードの登録・自動ログインなどは以下から。 LoginCode - Password Manager that gives you Safety on the Web http://logincode.com/content/download.php ◆インストール 上記サイトの「Download」をクリック。ここでは、Windows 64-b
米Microsoftは8月7日(現地時間)、Webブラウザ「Internet Explorer(IE)」のサポートおよびセキュリティアップデートの各バージョンのタイムラインを発表した。IE 8に関しては2016年1月12日に完全に終了する計画という。 2016年1月12日時点でサポートおよびセキュリティアップデートの対象になるのは、以下のOSとブラウザの組み合わせのみ。例えばWindows 7 SP1でIE 8~10を使っているユーザーはこの期日までにIE 11にアップデートするようMicrosoftは推奨する。 米分析会社Net Applicationsが毎月発表している世界でのWebブラウザのバージョン別シェアの7月版では、IE 8のシェアがいまだに最も大きく21.56%。Microsoftが昨年秋にリリースした最新ブラウザのIE 11のシェアは2位の16.7%だった。 関連記事 IE
米Microsoftは8月7日(現地時間)、Webブラウザ「Internet Explorer (IE)」の利用者が、より安全で新しいWeb標準に対応する最新バージョンを使用するように、2016年1月12日からIEのサポートサイクルを変更すると発表した。Windows VistaならIE 9、Windows 8.1ならIE 11というように、WindowsおよびWindows Serverの各プラットフォームで使用できるIEの最新版のみにテクニカルサポートとセキュリティアップデートを提供する。 公式ブログで公開された記事「Stay up-to-date with Internet Explorer」によると、2016年1月12日時点で以下のようなWindowsプラットフォームとIEバージョンの組み合わせがサポートされる予定だ。 Windows Vista SP2:Internet Expl
By tim_d Internet Explorer 6から11までの全バージョンに関わる脆弱性の存在をMicrosoftが発表しました。対象OSはWindows 8.1やWindows Server 2012などほぼすべてのWindows OSで、当然、2014年4月9日にサポートが終了したWindows XPも含まれていますが、マイクロソフト セキュリティ アドバイザリの適用はありません。 Microsoft Security Advisory 2963983 https://technet.microsoft.com/ja-jp/library/security/2963983 New Zero-Day Exploit targeting Internet Explorer Versions 9 through 11 Identified in Targeted Attacks |
Webブラウザの脆弱性を突いてコンピュータにマルウェアを感染させる攻撃が横行している実態を踏まえ、サポート期間を延長する。 米Googleは10月16日、2014年4月でMicrosoftのサポートが終了するWindows XPについて、Webブラウザ「Google Chrome」は少なくとも2015年4月まで、XP向けにも通常のアップデートやセキュリティパッチの提供を続けると発表した。 Googleのブログによると、XP向けChromeのサポート期間延長は、脆弱性が放置されたWebブラウザを使ってコンピュータにマルウェアを感染させる攻撃が横行している実態を踏まえた措置。マルウェアやフィッシングなどの攻撃を防ぐため、2015年4月まではXPにもこれまで通りChromeの最新版を自動的に配信し、脆弱性の修正などを行う。 XPは、Chromeのユーザーを含めてまだ相当量のユーザーが使い続けてお
フェンリルは10月12日,タブブラウザSleipnir 2.00の正式版を公開した(関連記事)。Sleipnirはバージョン 1.66まで柏木泰幸氏が個人で開発していたが,2005年6月にフェンリル株式会社を設立し,バージョン2の開発を行っていた。柏木氏に,Sleipnirを開発した経緯や狙いを聞いた。(聞き手は高橋 信頼=IT Pro) ---Sleipnirを作り始めたきっかけは。 大学生の時,友達とタブブラウザについて話していて「自分でも作れる」と思って,作り始めたのがきっかけです。ユーザーの使いやすさを追求して,様々な機能を作りこみました。ソフトウエア配布サイトなどで紹介され,次第にアクセスが増えていきました。 学生時代は,ほぼ毎日全ての時間をソフトウエア開発にあてていました。あまり学校には行かず(笑)。ユーザーの声を聞いているのが楽しくて。それが原動力ですね。 就職すると,仕事も
掲載当初、「Firefox、プラグイン廃止へ」というタイトルの下、「プラグインを削除する方向で作業を進めている」と記述しておりましたが、誤りであったため修正いたしました。ご迷惑をおかけした読者の皆様ならびに関係各位に深くお詫び申し上げます。 Mozillaは「Mozilla Security Blog - Update on Plugin Activation」において、セキュリティ強化を目的として、Firefoxのプラグイン(メディアの再生などで必要になるソフトウェアの追加機能)不使用を強化する方向で作業を進めていることを伝えた。 Firefoxでは以前から対応を進めており、現在のバージョンではプラグインはデフォルトで無効。プラグインの使用が必要になるページを開くとプラグインを有効にするかどうかをたずねる「click-to-play」という機能が動作する仕組みになっている。記事ではWeb
セキュリティコンサルティング企業の米Accuvant LABSが12月9日(現地時間)に発表したWebブラウザのセキュリティに関する調査結果によると、米GoogleのGoogle Chromeが最も安全なブラウザだという結論に達したという。 この調査では、Google Chrome、米MicrosoftのInternet Explorer(IE)、MozillaのFirefoxに関し、複数の観点から安全性を比較した。従来の調査に多い、脆弱性の報告数やURLブラックリストの比較ではなく、脆弱性攻撃への対抗策の分析・比較に重点を置いたという。 同社は、この調査にはGoogleが資金を提供しているが、結果はAccuvant独自のデータに基づいた客観的なものだとしている。 サンドボックス、プラグインのセキュリティ、JITコンパイラの強度、ASLR(アドレス空間配置のランダム化機能)、DEP(データ
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。 不肖私が昨年9月にIPAに届け出たものです。 これまでは情報非開示依頼があったので多くを語ることができませんでした。 ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。 周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m 当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。 2012年9月15日(土) WebViewを使ったビジネスアプリのフレームワークを作りたいという構想があって(PhoneGapにはないビジネス用の固有の機能を入れようと思って。バーコードリーダーとか印刷機能とか)、そういえば addJ
寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、残念ながらまだ読んでいない人が多そうだと言うことと、より広い読者に向けて具体的に説明した方がよいだろうと考えました。 そこで、通信路上に攻撃者がいる典型例として、公衆無線LANの偽AP(アクセスポイント)があるケースを題材として、「HTTPSを使ってもCookieの改変は防げない」ことを説明します(Secure属性使うと盗聴は防げますが、改変は防げません)。長いエントリなので結論を先に書いておきます。 Secure属性がないCookieはHTTPSでも盗聴できる Cookieの改変についてはSe
Google Chrome では設定画面からブラウザに保存してあるパスワードを簡単に見ることができて危ないっていう件について誤解されていそうな点をまとめてみたいと思います。 ソフトウェア開発者の Elliott Kember 氏が自身の Blog に「Chrome's insane password security strategy」 というタイトルで指摘する記事を書き、日本ではギズモード・ジャパンで翻訳記事が上がったことで話題になった、「Google Chrome では設定画面からブラウザに保存してあるパスワードを簡単に見ることができて、マスターパスワードの設定もないから危ない」 っていう件。 Chromeでは自動保存のパスワードが丸見え。サーッと血の気が引いたわ : ギズモード・ジャパン Chromeブラウザの「パスワード丸見え」問題にGoogleが釈明 : ITmedia ニュース
ちょっと凝ったWebアプリケーションを作成していたり、あるいはWebのセキュリティに関わっている人ならば「Same-Origin Policy」(SOP)という言葉を一度は聞いたことがあると思います。日本語では「同一生成元ポリシー」あるいは「同一生成源ポリシー」などと訳されることもありますが、個人的には「オリジン」は固有の概念を表す語なので下手に訳さず「同一オリジンポリシー」と書いておくのが好きです。 さて、この「オリジン」とは何なのかという話ですが、これは「RFC 6454 - The Web Origin Concept」で定められており、端的に言うと「スキーム、ホスト、ポート」の組み合わせをオリジンと定め、それらが同じものは同一のオリジンとして同じ保護範囲のリソースとして取り扱うということです。 例えば、http://example.jp/fooとhttp://example.jp:
こんにちはこんにちは!! 先日、CROSS 2013っていう、エンジニア向けのビール飲み放題のイベントに行ってきました! そこの「HTML5×セキュリティ」っていうコーナーで、ちょっと喋ってきたんですが、 その時の小ネタを紹介しておきます。 最近、ブログとかのWebサービスで写真をアップロードする時に、 ファイルをドラッグ&ドロップするだけでできたりしますよね。 いちいちダイアログから選ばなくていいから便利です。 こんなやつ。 この手の仕掛けって、ドラッグ時にボーダーカラーを変えたりして 「いまドラッグ&ドロップ状態ですよ〜」ってわかりやすく表示されますが、 それって別に、ブラウザが警告の意味で出してるんじゃなくて、 あくまで、Webサービス側が親切で表示してるだけなんですよね。 ってことは ・ドラッグされても特にボーダーラインなどを表示せず ・画面上のどこでもドロップを受け入れるようにし
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く