RFIDを使ってSQLインジェクションという話題があるようですが、ID3やEXIFなどのタグ情報を使った攻撃は既知の問題です。バッファオーバーフローを使ったウィルス感染の危険性も指摘されていますが、バッファオーバーフローも既知ですね。セキュリティ上の問題に気が付くか（気を付ける?）は簡単な基礎知識を持っているか持っていないかによって違いが出る例です。 普通に…

私の環境だけなのかも知れませんが、WindowsXP+FirefoxにFlash Player 8のバージョンアップがインストールできません。自己解凍EXEをダウンロードしたのですが解凍したあとインストーラが起動せずに終了しているようです。ウィザード画面も開かず勝手にインストールが終了した(?)ようです。Firefoxを再起動すると8.0.22->8.0.2…

追記：CSRFの件、以下に記載しています。 http://blog.ohgaki.net/index.php/yohgaki/2006/04/02/a_ma_sa_sa_a_ia_ca_sa_rhtmleosa_ia_a_iea よろしければどうぞ。 ---- 新しい書籍で紹介した本がもうアマゾンで予約できるようになったようです。早い... Webアプリケー…

オライリーのONLampにURIのデコード回数を検知する仕組みを紹介したA Canary Trap for URI Escapingですが、セキュリティ的には良いプラクティスとは言えませんね... このような仕組を取り入れるより、アプリケーションを正しく作り、正しくエンコード・デコードされるようにするべきです。このような事が一般的になれば、IPSによる保護が…

誓約書は 　（１）公務に使うパソコンやフロッピーディスクなどを許可なく外部に持ち出さない 　（２）私物パソコンであってもファイル交換ソフトを入れない の２項目。 この2項目のだけだとすると、突っ込みどころ多数です。 ニュースに流す（？）くらいならセキュリティと法律の専門家に相談してから誓約書を作った方がよいのではないでしょうか... 警察はプロの犯罪者に狙わ…

2005年11月、インシデントレスポンス、コンピュータ・フォレンジックなどITセキュリティサービスを提供するGuidance Softwareの顧客データベースにハッカーが侵入。情報を盗難する事件があった。 セキュリティ対策は万能ではないのは常識ですがセキュリティツールを販売している会社のサーバがクラックされるのは痛いですね。医者の不養生といいますがフォレン…

Macのクラックコンテストが行われ30分でroot権限を取得された事が報道されていますが、それに対する反論。 Anyone that wanted to hack the machine was given access to the machine through a local account (which could be accessed via S…

listservに深刻な脆弱性だそうです。最近はlistservを使っているMLはあまり見ませんが、だからこそ危ういのかも知れません。3ヶ月は脆弱性の詳細を公開しないそうです。 Peter Winter-Smith of NGSSoftware has discovered a number of vulnerabilities in L-Soft's LI…

コメントSPAM対策にBBQあらしお断りシステムのチェックを入れてみました。コメントの送信時にのみチェックするようになっているので参照だけであればどこからも参照できると思います。もし問題があった場合にはご連絡いただけると助かります。 BBQの使い方 b2evolutionへの変更（htsrv/comment_post.phpのはじめの辺り） // SPAMM…

Winnyで機密情報が流出事件が相次いでいますが、ほとんどが 「ファイル交換ソフトを入れたPCでの閲覧は禁止していた」 と報道されています。 Winnyで情報漏えいがあった組織のセキュリティポリシーは本当に「ファイル交換ソフトが入ったPCで閲覧は禁止する」と書いてあるのでしょうか? そもそも勝手にソフトをインストールするのは一切不可にすべきです。データを持ち…