WWW Watch

Security カテゴリーの記事一覧

インターネット、Web のセキュリティに関する記事の一覧を表示しています。(1 / 2 ページ)

WordPress のユーザー名を隠してもセキュリティ対策に大きくは影響しない

WordPress に登録されているユーザー名が外部からわかってしまうのは問題だという記事が話題になっていたようなので簡単にメモ。

もちろん、隠せるなら隠したらよいと思いますから、下記の記事の内容を否定するつもりはありませんが、ユーザー名が外部にバレるのは問題だという話については、それを言ったら世の中のほとんどのサービスが問題になっちゃうからさという話と、そんなことよりもやるべきことは沢山ありますよというセキュリティ対策の優先順位の話について。

Continue reading

Google 透明性レポートに 「HTTPS の使用状況」 セクションが追加、日本は HTTPS の普及で遅れ気味

Google は、同社が公開している透明性レポート (Transparency Report) に、新たに 「HTTPS の使用状況 (HTTPS Usage)」 セクションを追加したことを発表しています。

このセクションには、HTTPS 使用状況が時間の経過とともにどう変化しているかがわかるデータが、Web 全体、および国別にまとめられています。

データを見ると、現時点でパソコン向けページについて、ユーザーが表示するページの半分以上が HTTPS 経由になっていること、さらに HTTPS ページの閲覧時間は Web の利用時間の 2/3 を占めることがわかります。

また、モバイルデバイスが対象になると、HTTPS 経由で読み込まれるページの割合はパソコンに比べて劣るものの、同じく増加傾向であることなどが読み取れます。

Continue reading

Let's Encrypt (無料 SSL サーバ証明書) の設定が超簡単になったと聞いて試してみた件

Webセキュリティの小部屋さんで下記の記事が公開されていて、無料の SSL (TSL) サーバ証明書を提供する認証局 「Let's Encrypt」 からの証明書取得がとっても簡単になったということなので、ちょっと試してみましたが、とっても簡単だったのでメモ。

Continue reading

アフィリエイト・サービス・プロバイダ各社はいい加減配信する広告を SSL に対応させろと思っていたらバリューコマースさんが対応した件

いや、もうタイトルで言い切ってるんですけども、大手のアフィリエイト・サービス・プロバイダ各社は、HTTPS による広告配信に未だ対応していないところが多く、当 Blog のように Web サイトを SSL 対応させた際にそのままでは混在コンテンツ (Mixed Content) が発生してしまいとてもやっかいでした。

2016年にもなっていつまで対応しないんだよ、いい加減対応しろ...... もとい、そろそろ対応して欲しいなぁと思っていたらバリューコマースさんがやっと SSL に対応したそうです。ついでに他のアフィリエイト・サービス・プロバイダさんも調べてみたら A8.net さんもいつの間にか SSL 対応していましたという話。

Continue reading

ケータイキット for Movable Type に OS コマンドインジェクションの脆弱性

ちょっと時間経っていますがお仕事上、身近な話題なので書いておきます。

ゴールデンウィーク開始直前でしたが、Movable Type で利用可能な携帯サイトの構築プラグインとしてアイデアマンズ社が開発・販売している「ケータイキット for Movable Type」に、OSコマンドインジェクションの脆弱性が発見され、すでにその悪用によって不正アクセス・情報漏洩被害が起きていることから、緊急度の高い案件になっています。

Movable Type を開発している Six Apart 社からもリリースが出されているほか、JPCERT/CC にも注意喚起が上がっています。

Continue reading

ゴールデンウィーク中ですが、各所から脆弱性情報が出ている件

日本ではゴールデンウィークの真っ只中ですが、4月末から5月頭にかけて、サーバ管理者にとっては重要な脆弱性情報(セキュリティ・アドバイザリー)がいくつか公開されています。

Apache Struts 以外は多くのサーバ環境で利用されていると思いますので、何らかの対応が必要かと思います。

日本語での情報。

Continue reading

glibc に脆弱性 CVE-2015-7547 が発見された件で glibc アップデートした

ちょうど 1年ほど前に GNU C Library (glibc) にリモートコードを実行される脆弱性、CVE-2015-0235 が発見され、ちょっとした騒ぎになりました (下記記事参照)。

CVE-2015-0235 は glibc の関数 gethostbyname() におけるバッファーオーバーフローの脆弱性 (そのため 「GHOST」 と命名された) でしたが、実際には攻撃手法が限られる点や、その時点で多くの OS がすでに gethostbyname() を使用しておらず (IPv6 に対応しないため)、getaddrinfo() を使用していることがほとんどだったため、glibc の普及状況からすれば影響は限定的でした。

ところが、今回はその getaddrinfo() にバッファーオーバーフローと任意のコードを実行させられる可能性がある脆弱性 CVE-2015-7547 が発見され、こちらは結構な大騒ぎになっております。

Continue reading

Firefox 46 以降は HTTP 接続時にパスワード入力欄があるとアドレスバーで警告する

Firefox現在 「Firefox Developer Edition」(Aurora Channel) としてリリースされている Firefox 46 は、HTTP で接続している (要するに SSL で保護されていない) Web ページ上にログインフォームなど、パスワード入力フォームがあった場合、アドレスバーに 「無効な鍵アイコン」 を表示して、現在の接続が安全でないと明示、警告するようになりました。

Continue reading

フィッシングに引っかからないためにアドレスバーをみるクセをつけましょう

Amazon の偽サイトに誘導し、そこでアカウント情報を盗むという、所謂フィッシングサイトが話題になっています。フィッシングサイト自体は別に珍しくないと思いますが、今回のは日本の Amazon (amazon.co.jp) を騙っているということで、引っかかる人が多そうという予感はします。

Continue reading

Windows 版 1Password の保管庫形式を 「OPVault」 に変更する方法

1Passwordパスワード管理ソフトの 1Password ですが、Agile Keychain 形式で保存された一部のデータが、条件的にはかなり厳しいものの、漏洩する可能性があるってことで話題になっていました。

で、その問題が指摘された Agile Keychain 形式 (旧バージョンで使われていた形式) から、現行バージョンではデフォルトになっている OPVault 形式へと、保管庫の形式を変更する方法について解説された 「携帯総合研究所」 さんの記事が話題になっていたのですが、Mac 版の 1Password の件しか書かれていなかったので、Windows 版 (1Password 4 for Windows) について私が試した方法をメモがてらに書いておこうと思います。

Continue reading

事前予告されていた OpenSSL のアップデートが公開されたので OpenSSL 1.0.2d を入れた件

OpenSSL に関して、7月 9日に重要度 「高」 の脆弱性修正をリリースするよと事前に予告されていた件で、予告通り 9日 (米国時間) にこの脆弱性修正が適用されたバージョンのリリースが行われましたので、自分のサーバ環境にも適用しました。

Continue reading

当 Blog を SSL 対応させたので手順や修正が必要になった点などをまとめ

なぜか先週末の夜中に急に思い立って、この Blog のドメイン用に SSL 証明書を購入し、急遽 SSL 対応 (HTTPS でアクセスできるように) してみたわけですが、その手順やら、SSL 化したことでちょっと手直ししないといけなくなって大変だった点などをまとめて見ようと思います。

ちなみに、まだリダイレクトや HSTS (HTTP Strict Transport Security) はドメインに対して有効にしていないので、現状は HTTP / HTTPS どちらでもアクセスできる状態。もうちょっと検証した上で HSTS を有効にして所謂、常時 SSL 化する予定。

10年間以上運営してきた Web サイトを SSL 対応させると、こういう問題が起こるのね、とかそういうところが大変なのね的な感じで参考にして頂ければ幸いです。

Continue reading

事前予告されていた OpenSSL のアップデートが公開されたので OpenSSL 1.0.2a を入れた件

OpenSSL に関して、3月 19日に重大なアップデートをリリースするよと事前に予告されていた件で、予告通り 19日 (米国時間) に多数の修正が適用されたバージョンのリリースが行われましたので、自分のサーバ環境にも適用しました。

今回のリリースに関連して公開されている各バージョンと、セキュリティアドバイザリーは下記です。

Continue reading

FREAK (Factoring attack on RSA-EXPORT Keys) 対策で Web サーバに行った SSLCipherSuite の設定例

先週話題になっていた、輸出グレードの RSA 暗号をサポートしていたことに起因する脆弱性 「FREAK」 に関連して、Apache + OpenSSL で運用しているサーバに対して SSLCipherSuite の設定を見直してみたので、その方法と具体的な設定についてまとめておきます。

まず、FREAK に関しての詳細な情報については下記のリンク先などをご覧ください。この記事では件の脆弱性に対応するため、Web サーバ側で行った設定変更についてのみ触れています。

Continue reading

Microsoft、IE11 の SSL 3.0 を 2015年 4月以降、デフォルト無効化

Internet ExplorerMicrosoft セキュリティーチームが SSL 3.0 の脆弱性 (所謂、POODLE) への対処として、2015年 4月以降 (米国時間の 2015年 4月 14日以降)、IE11 における SSL 3.0 をデフォルト無効にすると発表しました。

SSL 3.0 が無効になるだけで、TLS 1.0、TLS 1.1、TLS 1.2 に関しては通常通り使えるため、ほとんど影響はないと思いますが、サーバ、Web サイト管理者の方々はあらためて確認が必要かと思います。

Continue reading

Google Japan 公式 Twitter、セキュリティ月間で問題を出すも、正解とは別のところで突っ込まれる

Twitterちょっと面白かったので。

Google セキュリティ月間っていうのをやってるんですね。その関係で、Google Japan さんの公式 Twitter アカウントがセキュリティに対する意識を高めてもらおうと問題をツイートしてたんですが、ちょっとしたミスで正解とは関係ないところをみんなから指摘されることに。

Continue reading

Chrome Canary に HTTP 接続を 「安全でない」 と表示するフラグが追加される

HTTPSGoogle の ‎Chromium Security‎ チームが、Chromium Projects サイト内で公開した文書、「Marking HTTP As Non-Secure」 内で、ユーザーエージェントは、HTTP 接続に対して 「安全でない」 と明確に表示することを提案した件、以前この Blog でも書きました

その件が、実際に Google Chrome の Canary ビルド (42.0.2292.0) で実装されたそうです。Google の Ilya Grigorik 氏が Google+ に投稿しています。

Continue reading

glibc に脆弱性 CVE-2015-0235 通称 「GHOST」 が発見される

GHOSTGNU C Library (glibc) にリモートコードを実行される脆弱性、CVE-2015-0235 が発見され、GetHost 関数によって引き起こされる脆弱性ということから 「GHOST」 と命名されたそうです。

Linux で標準 C ライブラリとして使われている glibc だけに影響範囲が広く、以前 OpenSSL に見つかった脆弱性 (Heartbleed Bug) と同様に、長いこと脆弱性が発見されないまま使われていたという点で騒ぎになりそう。

Continue reading

常時 SSL 化による Web サイト表示速度向上の可能性について

先週、Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめる記事を書きました。内容とは別に 「5分とはいったい......」 と 5分間という時間に対する禅問答的提起をした形にも、一部ではなりましたが (大げさ)。

さて、この中で、常時 SSL 化のメリットやデメリットについても簡単に書いたのですが、デメリットの中で、Web サイトのパフォーマンスについて、「SSL 化でパフォーマンスが悪化する可能性」 と、一方で 「HTTP/2 や SPDY が利用可能な状況では SSL 化でパフォーマンスが向上する可能性」 という両方の可能性について簡単に触れました。

この部分について補足的な意味で、少し追加のエントリーを書いておくことにします。

Continue reading

5分でわかる正しい Web サイト常時 SSL 化のための基礎知識

HTTPS をランキングシグナルに使用しますと Google が公式に発表したあたりから、Web サイトの SSL 対応、特に Google が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。

そこで、いい機会だしその辺に関する情報をまとめておこうかな~ と思って書いてみた、恒例の (?) 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。

Continue reading

Firefox Nightly のネットワークモニタに 「セキュリティ」 タブが追加

Firefox Nightly現在、Firefox Nightly としてリリースされている、Firefox 38 の開発ツール上のネットワークモニタに 「セキュリティ (Security)」 タブが追加されました。

ネットワーク要求のうち、現在接続に使用している暗号化プロトコルのバージョンや、HSTS (HTTP Strict Transport Security) の有効 / 無効や、公開鍵ピンニング (Public Key Pinning) の有効 / 無効などのステータスが確認できます。

Continue reading

Google、ブラウザは HTTP 接続に対して 「安全でない」 と表示するべきと提案

HTTPSGoogle の ‎Chromium Security‎ チームは、Chromium Projects サイト内で公開した 「Marking HTTP As Non-Secure」 と題された文書内で、ユーザーエージェント (UA / 要するにブラウザ) は、HTTP 接続に対して「安全でない」と明確に表示することを提案しています。

Continue reading

パスワードを使い回されても大丈夫なパスワード登録フォームを考えてみる

まじめに、じゃなくてこういうのってどうなんだろねっていうレベルの話。

今年は特にパスワード情報の流出と、それを使ったリスト型攻撃による不正アクセスや個人情報の流出といった話題が数多く世間を騒がせましたが、ここで問題になるのが、多くの人がやってしまいがちな、「パスワードの使い回し」。

Continue reading

Google Chrome 39 が正式リリース、SSL 3.0 へのフォールバック機能がデフォルトで無効に

Google ChromeGoogle Chrome 39 が正式リリースされました (v39.0.2171.65)。セキュリティ関連で 42 件の脆弱性が修正されているほか、Mac 向けに 64bit 版が提供開始 (32bit 版は廃止 / Windows 版は 32bit、64bit が選択可能) されるなどの変更が行われています。

で、この Blog でも先日取り上げたとおり、Chrome 39 では SSL 3.0 へのフォールバック機能がデフォルトで無効になりました (TLS_FALLBACK_SCSV / TLS で接続失敗したときに SSL 3.0 で再試行する機能が無効に)。

Continue reading

主要ブラウザにおける SSL 3.0 無効化タイミングのまとめ

SSL 3.0 の脆弱性 (POODLE) の件で、10月に下記の記事を書いたんですが、その中でも触れた、各主要ブラウザにおける SSL 3.0 無効化タイミングだけ、わかりやすいように抜き出してこちらにまとめておこうと思います。メモ代わり。

Continue reading

bit.ly が Google セーフブラウジングで不正なサイトとしてブロックされてる件

bitlyさっき気がついたんですけども、短縮 URL サービス bitly が提供しているドメイン 「bit.ly」 が Google セーフブラウジングでブロックされてしまっているようで、短縮 URL を使用して投稿したツイートなどのリンクが Firefox や Chrome で開けなくなってました (2014年10月25日 16:30 現在)。

Continue reading

SSL 3.0 の脆弱性 (POODLE) 対策で Web サーバの SSL 3.0 を無効にした件とブラウザ側の対処まとめ

2014年 10月 14日 に発表された「Secure Sockets Layer(SSL)」のバージョン 3.0 (SSL 3.0) に存在する脆弱性 (CVE-2014-3566)、通称 「POODLE (Padding Oracle On Downgraded Legacy Encryption)」 ですが、これに関連して、自分で管理している Web サーバ (Apache) の SSL 3.0 を無効にしました。

その設定方法についてと、ついでに自分が使っているブラウザ側でもこの機会に SSL 3.0 を無効にしたので、各ブラウザごとに SSL 3.0 を無効にする方法などをまとめておこうと思います。

Continue reading

Bash の脆弱性が騒ぎになっていたのでアップデートした件

シェルスクリプトで書かれた CGI やシェル経由で外部コマンドを呼び出すようなコードを外部からアクセス可能なサーバに置いている場合には大変なことになりそうな Bash の脆弱性 (Shellshock って呼ばれてるみたいですね) が今朝から話題になっていました。

Continue reading

Gmail のログイン情報約 500 万件流出騒動で掲載されたアカウントのうち有効だったものは 2% 未満

Google日本だと今日の朝方にニュースなどで取り上げられて話題になっていましたが、約 500万件にもおよぶ Gmail のメールアドレスとパスワードの組み合わせがロシア語の Bitcoin セキュリティフォーラムに掲載された件で、Google Online Security Blog に公式見解が掲載されました。

これによると、まず本件は Google からの情報漏洩ではないということ。さらに掲載された情報のうち、実際に有効だったアカウントは全体の 2% 未満 (とはいっても 500万件の 2% なので 10万件弱) であり、Google の不正使用防止機能によってほとんどの不正アクセスは防止されたであろうこと、さらに流出したアカウントに対してはパスワードのリセットをユーザーに通知し、保護したとアナウンスされています。

Continue reading

Gmail のエイリアスは個人情報漏洩対策にならないからやめとけっていう話

Gmailまともな知識を持っている人にはそりゃそうだで終わる話ですが、いまさら Gmail のエイリアスを持ち出して、設定しておくと個人情報が漏れたときに流出元がわかるからやっておきましょうみたいな記事が話題になっているのが目に付いたので書いておきます。

これ、全くとは言わないまでもほぼ意味ないですし、本当にサービスによってアドレスを使い分けたい、漏れた時は確実にわかるようにしたいってことであれば Gmail 以外のメールサービスのエイリアスの方が優れていたり、他にも色々と方法がありますので、そこについて簡単に触れてみようと思います。

Continue reading

TweetDeck に XSS の脆弱性。意図せぬリツイートが実行される

TweetDeckTweetDeck でクロスサイトスクリプティング (XSS) を狙った投稿が広まったようで、先ほどたまたま起きて TweetDeck 見てたら、自分の環境でもいきなり Chrome が XSS の警告を出して、気がつけば特定の投稿が勝手にリツイートされてるっていう・・・・・・

TweetDeck で閲覧している場合、該当の投稿がタイムラインに表示されるだけで自動的にリツイートがされてしまうようで、防ぐ手立てなしでした。

Continue reading

Dropbox の 2段階認証を Google Authenticator を使って設定する

Google Authenticator皆さん、2段階認証使ってますか?

2段階認証を突破する方法なんかも取りざたされたりしている昨今ではありますが、とはいえアカウントへの不正アクセスを防ぐためには有効にしておいた方がいい 2段階認証。

Google の 2段階認証はよく取り上げられますが、それ以外にも Apple、Amazon (AWS)、Dropbox、Evernote、Facebook、GitHub、Microsoft、Twitter、Yahoo! 等でもこの 2段階認証は使用できます。

Continue reading

iOS で添付ファイルが暗号化されていないからメールが危険とか言われている件について

セキュリティ研究者の Andreas Kurtz 氏が、自身の Blog で iOS 7.0.4 以降に存在する 「メールの添付ファイルが暗号化されていない」 という問題について発表した件を取り上げた記事を目にしたのですが、ちょっと論点ずれているっぽかったので書いてみます。

この問題について取り上げた記事ってのは下記など。どちらも日本語での記事参照元としては 「気になる、記になる...」 さんになってるんですかね。

Continue reading

IE の脆弱性に対するセキュリティ更新プログラムが提供開始、XP も対象に

Internet Explorerマイクロソフトは先日、Internet Explorer (IE) の全バージョン、IE6 ~ IE11 における、リモートコードが実行される脆弱性に関するセキュリティアドバイザリ(2963983) を発表しましたが、この脆弱性に対するセキュリティ更新プログラムを緊急のセキュリティパッチとして提供開始するとのこと。

今回は対応が早いですね。ちなみに先日サポートが終了した Windows XP 上の IE に対しても例外的にセキュリティ更新プログラムが提供されるそうです。

Continue reading

IE6~11 に未解決の新たな脆弱性。セキュリティ更新プログラムは後日提供予定

Internet Explorerマイクロソフトが発表したセキュリティアドバイザリ(2963983) によると、Internet Explorer (IE) の全バージョン、IE6 ~ IE11 にリモートコードが実行される脆弱性が発見されたとのこと。

セキュリティパッチは月例、もしくは臨時のセキュリティ更新プログラムで提供されるとのことで、それまでは Enhanced Mitigation Experience Toolkit 4.1 (EMET 4.1) の適用や、インターネットオプションからローカルイントラネットセキュリティゾーンの設定を 「高」 にすることで ActiveX を無効にするなどの対策が案内されています。

Continue reading

OpenSSL の脆弱性 (Heartbleed Bug) に関連して、SSL サーバ証明書を再発行した件

OpenSSL - Heartbleed Bug先日、この Blog でも書きましたが、OpenSSL に脆弱性が見つかった件に関連して、自分のところで運用しているサーバで使用中の SSL サーバ証明書を再発行したので、その手順などをメモ。

ちなみに、私が使用しているのは Rapid-SSL さんなので、証明書再発行手続きの方法などは SSL サーバ証明書の発行元によって異なります。

Continue reading

OpenSSL の脆弱性 (Heartbleed Bug) に関する Q&A

OpenSSL - Heartbleed BugOpenSSL に脆弱性が見つかった件で、この脆弱性に関する詳細を解説するサイト (heartbleed.com) をセキュリティ企業の Codenomicon 社が公開しています。

そこで、同サイトに掲載された Q&A の中から特に重要そうな部分を簡単に抜粋して翻訳してみました。あと、文末で OpenSSL のバージョン確認とアップデート方法についても簡単に解説しています。

Continue reading

ntpd の脆弱性に関連して、さくら VPS の設定を確認した件

ntpd の monlist 機能を悪用した DDoS 攻撃に関して、1ヶ月ほど前の 1月 15日付けで JPCERT/CC から注意喚起が発表されていましたが、昨日、2月 12日付けで、さくらインターネットさんからも、本件についてユーザー向けのアナウンスが出されました。

で、残念なことに JPCERT/CC からの注意喚起の際は気がついていなかったんですが、今回のさくらインターネットさんからのアナウンスで本件を認識したのと、この Blog も現在、さくらインターネットさんの さくら VPS を利用して運用していますので、念のため設定を確認してみましたというお話。

Continue reading

IE 全バージョンに存在する脆弱性に対するセキュリティアップデート

Internet Explorerマイクロソフトは先月、Internet Explorer (IE) の全バージョン、IE6 ~ IE11 における、リモートコードが実行される脆弱性に関するセキュリティアドバイザリ(2887505) を発表しましたが、10月の定例アップデートで、この脆弱性に対する IE のセキュリティ更新プログラムが提供される旨、アナウンスがありました。

Continue reading

iOS 7 で Safari のパスワードが丸見え以前にパスワードロックしよう

iPhoneiOS 7 でアップデートされた Safari では、ブラウザに保存された (自動入力用の) ログイン情報やクレジットカード情報が、設定画面から確認できるようになったんですね。

今までは保存されたログイン情報を、iOS 上で確認したりすることはできなかったので、機能的には PC 版のブラウザに近づいたと言えます。

ところで、本件について下記のような記事が話題になっていました。

セキュリティに対する懸念と、パスワードロックしましょうっていう対策についてはその通りなので特に言及しませんが、この記事に対する反応として、「Safari 危険」 とか、「Safari パスワードが見られるとかありえねぇ」 みたいなのを見かけましたので、これは以前、Chrome で話題になった件と似てるなということで、簡単に書いてみます。

Continue reading

IE6~11 に未解決の脆弱性。セキュリティパッチは後日、Fix it は公開済み

Internet Explorerマイクロソフトが発表したセキュリティアドバイザリ(2887505) によると、Internet Explorer (IE) の全バージョン、IE6 ~ IE11 にリモートコードが実行される脆弱性が発見されたとのこと。

すでに、IE8、IE9 を対象にした標的型攻撃も確認されているとのことで、当面の対策として Fix it はすでに公開済みですので、取り急ぎそちらを利用するか、IE を窓から投げ捨てるか、対策が必要になります。

Continue reading

Chrome などで保存したパスワードが丸見えだから危険とか言われている件について

Google Chromeソフトウェア開発者の Elliott Kember 氏が自身の Blog に「Chrome's insane password security strategy」 というタイトルで指摘する記事を書き、日本ではギズモード・ジャパンで翻訳記事が上がったことで話題になった、「Google Chrome では設定画面からブラウザに保存してあるパスワードを簡単に見ることができて、マスターパスワードの設定もないから危ない」 っていう件。

Chrome の開発チーム (Justin Schuh 氏) の方からは Hacker News の方で反論 (後述) が上がってて、一段落した感じになっていますが、本件について Chrome やばい、使うの気を付けようとか、Firefox や IE なら安全とか言ってる人を見かけたのでちょっと乗り遅れ気味ですがまとめてみたいと思います。

Continue reading

IE 用の累積的なセキュリティ更新プログラムが公開

Internet Explorerマイクロソフトが 7月10日に公開した 7月のセキュリティ更新プログラムの中で、Internet Explorer に存在する 17件の脆弱性に関して修正するプログラム (MS13-055) を公開、Microsoft Update で自動更新を開始しました。

自動更新を有効にしていれば、この更新プログラムが適用されるはずです。

Continue reading

本当は怖い Gmail (アドレス間違いに気を付けろっていうお話)

Gmailやばいタイトル釣りっぽい。

別に Gmail に限った話ではないですし、Gmail の仕組みが悪いって言うわけじゃないのでそこは誤解なきよう願いしますが、携帯キャリアやプロバイダのメールにしても、Gmail をはじめとした Web メールサービスにしても、「@」 より後ろのドメイン部分が (ほぼ) 全ユーザー共通で運用されるメールアドレスって、気を付けないと自分から大事な情報を漏洩っていうミスを結構簡単にやりがちなので気を付けましょうねっていう当たり前のお話を今さら。

Continue reading

Google、国家安全保障局 (NSA) によるサーバ監視を否定

PRISM今、Google Official Blog 見てたら、「Dear Google users」 で始まるお堅い文章が上がってて、読んでたら、アメリカ国家安全保障局 (NSA) によるサーバデータの収集についての、同社の公式見解でした。

昨日、Washington Post でそういう報道があって、それに対するものみたいですね。報道的には NSA による大規模な情報収集プログラム (PRISM) によって、Google、Facebook、Microsoft、Apple など、大手インターネット企業の主要サーバから、NSA、FBI がユーザーの様々なデータを直接取得してるというもの。

Continue reading

IE9 以前に情報漏洩の脆弱性、IE10 への移行を推奨

Internet Explorerすでに各所で話題になっていますが、Internet Explorer (IE) 6,7,8,9 が対象となる情報漏洩の脆弱性が JVN で上がっていました。

該当するバージョンの IE には、XML ファイルの取扱いに問題があり、攻撃用に細工された XML ファイルをローカルで開くと、別のローカルファイルの内容が漏洩する可能性があるとのこと。

Continue reading

Firefox 23 が Content Security Policy 1.0 仕様に対応

FirefoxMozilla Hacks で、現在 Aurora チャンネルの、Firefox 23 が、Content Security Policy (CSP) 1.0 の仕様に対応した件、紹介されていました。

Content Security Policy (CSP) 1.0 は、あらかじめその Web ページで読み込まれることが想定されている JavaScript などのコンテンツを、ホワイトリストとして指定することによって、攻撃者によって挿入される悪意のあるスクリプトの読み込みを遮断し、クロスサイトスクリプティング (XSS) など、インジェクション攻撃から Web サイト や Web アプリケーションを保護するための仕組み。現在、W3C で策定が進められ、勧告候補の段階になっています。

Continue reading

Google、5分でできる強固なパスワード設定方法をアドバイス

GoogleGoogle Official Blog で、不正アクセスなどから自分の情報を守るためにパスワードを強固なものにするためのアドバイスを公開していましたので紹介。

書いてあることはごく当たり前のことですが、あまり知識のない人には役立つ情報だと思います。iPad を買って、最近インターネットにはまりだしたお父さんやお母さんなど、周りにいましたら教えてあげましょう。

Continue reading

それは robots.txt の問題じゃなくて...

なんか robots.txt がホットなキーワードになっていたので今さら知ったのですが、通信機器レンタルサービスの会社さんがクレジットカード情報をど派手に流出させたた件で、サイトに設置されていた robots.txt が色々と残念な件について話題になっていました。

Continue reading

Yahoo! Japan、今度はミスで自ら情報流出

Yahoo! Japanついこの間、5月 17日に、Yahoo! Japan に対する不正アクセスと、それにより、最大で 2200万件の ID 情報が流出した可能性についてニュースがありました。

さらに、追加調査で、流出したとみられる最大 2200万件の ID のうち、148.6万件について、不可逆暗号化されたパスワードと、パスワードを忘れてしまった場合の再設定に必要な情報 (ひみつの質問) の一部が流出した可能性が高いという報告が上がって色々と話題になっていた Yahoo! Japan さんですが、そんな大変な時期に、今度は担当者のミスでヤフオクユーザーに Yahoo! Japan のユーザー情報の一部を送りつけてしまう事案が発生したそうです。

Continue reading

Recent Entry

全ての記事一覧を見る

Hot Entry

逆引きおすすめエントリー