追記： 現在のPHPではリモートファイル読み込みを制御するphp.ini設定としてallow_url_fopen（URL等のファイルとして読み込むフラグ）とallow_url_include（URLなどをPHPスクリプトとして読み込むフラグ）があります。php://input（標準入力用のURL。Webアプリの場合、POSTリクエストなどが読み込める）もal…

先日IEの仕様ですに書いた問題とはどういう物か、百聞は一見にしかず、実際に見るのが良いと思います。 Secunia（ここからのアドバイザリは多いですね）がレポートした問題で、この不具合の動作をテストするページも用意されています。どういう訳かニュースサイトなどではこのURLが紹介されていない場合が多いようなので紹介する事にします。 http://secunia…

最近話題になっている、信頼できるサイトからのダイアログの様に見せかける事ができるためフィッシングに利用される可能性がある問題、に対するマイクロソフトの対応です。 仕様として見て見ない振りしても問題は消えません。また一つIEを使わない理由が増えましたね。 成人の6割以上が銀行預金残高を主にインターネットで確認--米調査という状況を考えると「仕様です」と言って切…

このセキュリティーホールは1週間ほど前に報告されている問題で、ちょっと古いですがメモとして残しておきたいので書いておきます。 The flaws are "highly critical," security monitoring company Secunia said in an advisory posted Tuesday. 自動更新を有効にしている…

米国の政府機関では、スパム、フィッシング、スパイウェアというインターネット上の3つの脅威に対処する体制が整っていない、と米政府の監査官らは結論づけた。 最近まで外部からの攻撃で身近なセキュリティ上の脅威といえばウィルスやワームでしたが、今はスパム、フィッシング、スパイウェアが身近で最も大きな脅威であると思います。（ウィルス対策に力を入れなくて良いという事では…

モバイルマルウェア、VoIPの危険性、無線ホットスポットへの懸念、規制遵守、スーパーワーム――これがGartnerが指摘した誇大宣伝されているセキュリティ問題トップ5だ。（IDG） 確かに誇張されているかもしれない、と思えるケースもあります。セキュリティ製品を販売するベンダーが今すぐ対応しなければならないリスクであると顧客が思えるようなマーケティングを行うの…

まず断っておきますが私は法律に関して素人です。 最近、米国での顧客情報紛失事件が多くなっています。 米シティグループ関連企業、顧客情報390万人分を紛失 なぜ最近このような報道が多いのか気になっていたのですが、急に紛失事故やクラックに遭うケースが増えたはずがありません。 数日前になりますがBSデジタルでやっていた米国のABCニュースを見ていて理由が分かりまし…

「まるごとPHP Vol.1」で共同執筆させていただいた岡田さんの記事です。 幸か不幸か、該当したところではたして真剣な対処をするのだろうか。無論、そうあって欲しいが、実のところ、これまで何年にもわたり、ウェブサイトにかかわるセキュリティ脆弱性と対応策が公表され、正しいプログラミング方法について公表されたとしても、それに対応することを怠っているサイトは非常に…

預金者を保護する法案の与党内での調整が完了したようです。新聞の報道内容からすると、この内容は銀行にとってかなり不利な条件に思えました。 暗証番号をキャッシュカードに書き込むと言った重大な過失を銀行側で証明できる場合は預金は保障されない、というのは当たり前ですが軽い過失の定義が大問題です。 生年月日や電話番号などを暗証番号に使用し、カードと同じ場所に保管してい…

国の出先機関などの仕事をする際にセキュリティ確保が難しいとは思っていたのですが、アメリカの安全保障に関わる機関も 米国土安全保障省（DHS）は同省に課されたサイバーセキュリティに関する責任を果たせず、緊急事態に対しても全くの「無防備状態」である可能性がある。連邦会計監査官らは米国時間26日に発表した報告書の中でDHSをこう酷評した。 という状況らしい。 日本…