あるMLでプログラム内部の文字エンコーディングは決めない事にしている、と言う意見を目にしました。プログラムを利用するシステムにより複数の文字エンコーディングがあるのでプログラム内部の文字エンコーディングを指定しない方が便利であることが理由だそうです。このような方針でも安全なプログラムは書けますが、セキュリティ上お勧めできない設計方針と思います。 2000年2…

The attackers were likely able to penetrate the server running the Web site due to faulty configuration, Microsoft said in a statement Monday. 設定ミスだそうです。いわゆるページの改ざんだったようです。 http://…

メモ。Excel 0 Day攻撃のFAQ。 6/14にポストされ、6/16にマイクロソフトも脆弱性を確認とあります。XP上のExcel 2003/2002では確認されているそうです。Excel 2000は幾つかのベンダが影響あり、としているそうです。 最近MS Officeアプリの0 Dayが流行っているので注意が必要と思います。次はOOoとか?

PHP 4.4.2が増えてきているようですが、半数近くが4.3ユーザだそうです。 PHP 5系は低空飛行の状態のようです。 http://www.nexen.net/images/stories/phpversion/200605/evolution.milieu.en.png アップグレードがいかに難しいかを表している数値だと思います... セキュリティホ…

Netcraftによると、PayPalのIDが盗まれているらしい。 Webサイトの開発者にはセキュリティ対策としてHTTPSだけでは意味が無いことは100も承知だと思いますが、普通のユーザは「HTTPS＝安全」と刷り込まれていると思います。HTTPSを使っていてもXSSに脆弱だと意味が無い良い例になりそうです... HTTPSなのに接続先サイトを偽証できる理…

一般の利用者の安全性確保もできますし、不正口座を無くすにもかなり効果的だと思います。クレジットカードだと損害を補償しなければならないがキャッシュカードだと保障しなくても良い場合が当たり前だったので「キャッシュカードに有効期限をつける」と言う発想は金融機関になかったのだと思います。キャッシュカードにも有効期限をつけた方が良いですね。 結構知られている(?)と思…

「出会い系サイトを運営しませんか?」とメールが来ていたのですが詐欺っぽいですね。こんなメールでも騙される人はいるのでしょう。「出会い系サイトを利用しませんか?」という内容のSPAMは山ほど来ているのですが「出会い系サイトのサイトを運営しませんか?」というSPAMは初めてです。（来ていたのかも知れませんが気が付いたのは初めて）100%の確証は無いのでメール自体…

最近PostgreSQL、MySQL両方にSJISエンコーディングを利用している際のエスケープ方法の問題を修正がリリースされています。この件は単純に「データベースシステムにセキュリティ上の脆弱性があった」と言う問題ではなく「アプリケーションの作り方を変える必要性」を提起した問題です。 参考：セキュアなアプリケーションのアーキテクチャ – sandbox化 (…

海外からのコメント/トラックバックspam対策としてコメントだけはDNS逆引きなしのホストを拒否（というか登録したように見えても実際には反映しない）していたのですが、最近は一度に数百のトラックバックスパムを送ってくるSEO/SEM業者がいます。 コメントスパムに比べるとトラックバックURLを知った上でスパムを送信する必要があるのでコメントスパムに比べてトラッ…

RFCの位置づけも、絶対的に崇め奉る技術者がいたり、そもそも読んでない(あることを知らない)なんて技術者がいたりとまちまちだが、相互接続に影響する部分は準拠しておいてほしいと思う。携帯各社のメールアドレス仕様でユーザより「PCのメールからメール送受信ができない！」とクレームを受けたことのあるタレコミ人としては、ユーザに対しきっちり警告も行わないままで、相互接…