SSHでのファイル転送は遅くて困る事があります。RabbitベースのCryptiCoreを採用したため、OpenSSHより2倍から8倍速いという事らしいです。 日本円でも買えるようですがエンタープライズ用という事で結構高いです。 クライアント - ¥17,756 サーバ - ¥92,234 http://www.ssh.com/company/sales/s…

総務省の検討会で住民基本台帳の閲覧制度廃止がやっと提言されたらしい。 当たり前過ぎ＆遅すぎ... 次は生善説を前提としている公務員に対する罰則規定などの改正が必要かな。

普通キーロガーと言えばソフトウェア、キーボードの信号を直接ハードウェアで読み取る方法のどちらかですが、簡単な仕組みでキーボードをタイプしている音から入力をかなりの確率で推測できると論文が発表されたそうです。 私の好きな映画の一つ「ミッドナイトラン」でロバート・デニーロが電話を盗聴してダイアル音から通話先の電話番号を割り出すのと基本的には同じ手口です。 今後は…

ドメインに0xADが含まれているとヒープオーバーフローが発生するそうです。 個人的にはIDNは不必要と考えていますが、IDN関係のコードかな? IDN以外でこんなバグがあるとは思えない。 IDNはレジストラだけが儲かる仕組だと思います。一般ユーザやサイト運営に関わる人には全く利益無し、とまでは言いませんが不利益の方が利益を遥かに上回ると思います。IDNサポー…

先日のPHP関西セミナーで、管理者権限で動作しているスパイウェアなどがインストールされたPC上で、Web上のログインやフォーム送信の安全性を保障する方法は(説明した方法では）無いと言いましたがこれは変わりがありません。時間があまり無かったので補足しておいた方が良いと思える点を補足します。 まずパスワードですが、パスワードが盗まれても大丈夫な仕組みは昔からあり…

昨日に引き続き「絶対安全」と誤解されているかもしれないセキュリティ対策の話です。 CSRF(クロスサイトリクエストフォージェリ）対策、アカウント作成ボット対策としてグラフィック上に書かれたテキストを読み取らせるサイトが多くあります。普通のOCRで読み取れるような簡単なグラフィックテキストでもコメントスパムなどのボット対策としては（今のところ）十分有効ですが、…

SSLが流行しはじめた頃、「このサイトはSSLを使っているので安全です」とうたっていたサイト多く見かけました。これが大嘘であった事は周知の事実となっていると思います。 最近セキュリティ対策として「セキュアキーボード」と呼ばれている「ソフトウェアキーボード」が流行しつつあります。特に金融機関を中心に急速に浸透してきています。ソフトウェアキーボードとはWeb画面…

前からちょくちょく見かけていたのですが最近はDNSサーバを使用しユーザトラキングを行っているSPAMメールがどんどん増えているように思えます。 SPAMMERとしてもどのどのメールアドレスからは反応（クリック）があったのか知りたいので最も安直な手口として http://example.com/?u=user@example.com の様なメールがありました。…

高木さんは前から公官庁のサイトの署名利用の方法や案内の問題を指摘されていますが「警察よ、今更お前もか！」と言う感想です。 判っている人が口出しできない状況なのでしょうけどね...

CNET Japanの記事によるとドイツの開発者がOracleは2年以上セキュリティーホールを放置していると主張しているとしています。 先日、OracleはE-Business Suiteに複数の脆弱性に対するパッチを公開しましたが http://www.securityfocus.com/bid/10871 によるとこれも1年近く対策に時間を要したようです…