サイト運営者の視点で、パスワードリマインダーの実装について考えてみます。 (1) 登録メールアドレスに生パスワードを送信する アチコチでよく見かけますが、パスワードの扱いが軽すぎます。 メールを盗聴されるとパスワードが漏れます。パスワードの使い回しが少なくないと思われる現在、該当サイトだけでなく他のサイトもアカウントを乗っ取られる危険性があります。 また、該当サイトではデータベースに生パスワード、もしくは復号可能なパスワードを保存している事になります。万が一該当サイトのサーバーがクラックされた場合、データベースのデータと復号方法まで一緒に漏れる可能性があります。 (2) 登録メールアドレスにランダムな仮パスワードを送信する メールを盗聴されるとその仮パスワードを使ってログインされ、アカウントが乗っ取られます。パスワードを変更されてしまうとどうしようもなくなります。 盗聴者より先にログインし
FFFTPが危ないらしいぞ。 フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです これ読んで、「うわ。FFFTP消さなきゃ」とか思った奴。はっきり言ってやろう、お前は馬鹿だ。 何が馬鹿だって? 「マルウェア」の類があったら危険なものを、今まさに何の疑問もなく使っていて、FFFTPだけを悪者にしているからだ。確かにこの問題だけを見れば、FFFTPはヤバい。でも、そのヤバいものを消したところでたいした解決にならない。 「マルウェアの類があったら危険なもの」の代表は、ウェブブラウザだ。だから、FFFTPだけ消して安心してウェブを見ていたら、何の対策も立てたことにならない。FFFTPを消すんだったら、まずウェブブラウザを消せよwww ウェブブラウザはパスワードを保存してくれる。ウェブブラウザに限らず、パスワードを保存するソフトは例
2010年01月28日13:28 カテゴリ 社会保険庁の国民年金基金付加年金が、無断で、銀行口座から月々400円を引落していました。 まず、最初に、心温まるタイトルではないことをお詫びしておきます。 ですが、 社会保険庁の国民年金基金「付加年金」が、信じられないことに、無断で、銀行口座から月々400円を引落していたのは、残念ながら、事実なのです。。 国民年金基金「付加年金」ってなんだろ。 と思う人は、多いと思います。 僕も、勉強不足で、知りませんでした。。。 「付加年金」について、社会保険庁のページで説明があります。参考までに。 社会保険庁:あなたも年金を増やしませんか?月々400円づつ支払うと、一定の期間の支払い後、受け取り額がお得になるシステムのようです。 少々、込み入った記事になりますので、 このエントリーの内容を整理しておきます。 国民年金基金付加基金(以下、付加年金と記す)は、ひ
やや古い話になるが、ドコモ携帯の携帯固有IDのみを用いたWebサイト認証の脆弱性がHASHコンサルティングより報告されている(情報公開日は昨年11月24日)。この問題は、数年前からセキュリティ研究家の高木浩光氏が指摘していたものだ(「無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者」、「ケータイWebはどうなるべきか」)。 この問題は読売新聞でも取り上げられている(「最新29機種ドコモ携帯、個人情報流出の恐れ」) 専門家では無いのでややセンセーショナルな読売の記事見出しが適切かどうかは判断が付きかねる。技術的な詳細に関しては専門の方々の解説を求む。 (追記@16:08)今回発覚した問題と、高木氏が指摘していた問題はどちらも固有IDを悪用するという点は共通しているものの、異なるものだという指摘をいただきました(#1702037)。高木氏が指摘していたのは、携帯
NTTドコモの携帯電話のうち、インターネット閲覧ソフト「iモードブラウザ2・0」を搭載した最新29機種を通じて、利用者の個人情報を不正取得される恐れのあることが、専門家の指摘で明らかになった。 同社は携帯サイトの運営者にパスワード認証などの安全対策を呼びかけている。携帯電話の機能が高機能化するにつれ、こうした危険は増しており、利用者も注意が必要になってきた。 該当機種は、昨年5月以降に発表されたプロシリーズやスタイルシリーズなど。iモードブラウザ2・0は、ジャバスクリプトと呼ばれる機能が組み込まれており、携帯用のインターネットサイトと自動で情報をやりとりできる。 悪意ある携帯用サイトは、接続してきた利用者の携帯のジャバスクリプトを使って、利用者が会員になっている別のサイトに一瞬だけ接続させることができる。その時、この会員サイトに利用者の住所など個人データが登録されていると、盗み出されてしま
新年早々、お年玉として芸能人のパスワード入りエクセルファイルがプレゼントされた「アメブロお年玉パスワード事件」。 アメブロお年玉パスワード事件とは 「アメブロお年玉パスワード事件」とは、一体どんな事件だったかというと、 1. 2010年になり、ミキティなどの芸能人ブログでお年玉画像入りの記事が投稿された。 2. お年玉画像をクリックすると、芸能人ブログのパスワード等が記載されたエクセルファイルがダウンロードできるようになっていた。 3. お年玉プレゼントだと思った一般ユーザーが芸能人ブログにログインし、不正アクセスしてしまった。 このような事件でした。 サイバーエージェントの対応 アメーバブログ運営元のサイバーエージェントは即日、「Ameba」オフィシャルブログ、不正アクセス被害についてというPDFで”不正アクセス被害”について報告しました。 株式会社サイバーエージェント(本社:東京都渋谷
さすがに芸能人ブロガーをたくさん抱えているだけに、大変な騒ぎになっているアメブロですが、これはどうかと思わなくもない。 「Ameba」のオフィシャルブログにおいて、2010年1月1日未明、不正アクセスの被害を確認いたしました。また同時に、オフィシャルブログのID、パスワード約450件等を記述したエクセルファイルが外部に流出したことを確認しております。当社は、本不正アクセスに関して迅速に対応するため緊急対策チームを結成し、流出したパスワードを本日正午までに変更するなど、対応策を実施しております。 不正アクセスの被害を確認!『アメーバブログ』のパスワード流出事件が警察沙汰に | ガジェット通信 GetNews とのサイバーエージェントのコメントですが、不正アクセスって流出させたこと?それともそれを使ってアクセスしたこと? 確かに他人のID/PASSWORDを使ってログインすることは不正アクセス
前回、サイバーエージェントが運営するインターネットブログサービス『アメーバブログ』には多数の芸能人がブログを開設しているのだが、その芸能人たちのIDとパスワードがエクセルデータ(拡張子: xls)で流出している(漏えいしている)という記事をお伝えした。2010年1月1日の午前1時ごろに発覚したこの騒動。その流出過程と当編集部の取材過程を合わせて解説していきたいと思う。 2010年1月1日1時9分にインターネット掲示板『2ちゃんねる』のハロプロ@2ch掲示板に、『ミキティが変なの踏んでブログ更新されたっぽいよ』というタイトルのスレッド(掲示板)が作られた。「どうすんの」という書き込みとともに、タレントのミキティ(藤本美貴)さんのブログのURLも掲載。URLをクリックするとブログに飛び、お年玉と書かれた画像が掲載されている。マウスカーソルをその画像に合わせると、画像ファイルのはずなのになぜかエ
『アメーバブログ』で前代未聞の情報漏えいが発生した。『アメーバブログ』はタレントやモデルなどの芸能人ブログに力をそそいでおり、日本最大数の芸能人ブログをサービスとして公開しているのだが、その芸能人たちのIDとパスワードが記載されているエクセルデータがインターネット上に漏洩しているのである。しかも、複数の芸能人ブログから情報が流出している状態である。 情報漏えいが発覚したのは2010年1月1日の午前1時ごろで、そのころに掲載された芸能人数人のブログ画像がなぜかエクセルデータになっており、そのエクセルデータをダウンロードすると『アメーバブログ』運営スタッフの管理表のようなデータが手に入るという。その画像というのは『アメーバブログ』側が用意したお正月用の画像で、その画像のみがエクセルデータを含んでいる。 管理表には数百人の芸能人ブログのIDとパスワードが記載されており、ブログデザインの進行進捗な
昨日のTwitterクラック事件はDNSに不正な値を設定されたことが原因でした。 Twitter公式ブログでも以下のようにDNSが原因であり、本体が乗っ取られたわけではないと記述されています。 「Twitterブログ: 昨日のDNS障害についての追加情報」 この攻撃の間、われわれはDNSプロバイダのDynectと直接連絡を取り続けました。そしてDNSをできるだけ素早くリセットするよう緊密に作業しました。 これを見たときに「ああ、やっぱりDynectが原因だったか」と思いました。 恐らくTwitterは自分でネットワークやサーバをほとんど運営しておらず、DNS部分はCDN事業者のDynIncのサービスを購入していると推測されます(参考:Twitterのネットワーク構成を調べてみた)。 さらに、「CDN事業者のDynectにとってTwitterでの事件は経営に凄く大きな打撃を与えるのでは?」と
いつもAmebaをご利用いただきまして、ありがとうございます。 一部の皆様より質問いただきました、弊社サービスのセキュリティ対応について、 ご報告いたします。 弊社では新規サービスの開発時はリリース前に、 既存サービスは定期的に、外部セキュリティ監査会社による調査を必ず実施しております。 調査報告は深刻度別に分類され、これまでユーザーの皆様のデータ漏洩や 破壊につながる可能性がある部分については即時の対応を、 それ以外の部分については一定期間内での対応実施を徹底して参りました。 現在、昨今の事情を鑑み、影響の大きな部分については優先度を最上級にし、 緊急対応を行っております。 ご迷惑をおかけいたしますが、ご理解いただきますよう、お願いいたします。
错误摘要 HTTP 错误 404.0 - Not Found 您要找的资源已被删除、已更名或暂时不可用。
「Amebaなう」なるtwitterの真似にインスパイアされたサービスが始まって、さっそくは「はまちちゃん」の餌食になっている。 ミニブログ「Amebaなう」モバイル好調でPC版を前倒し、スパム被害も広がる 自分達の気に入らないものを悪しざまに言うのは同情出来ないことではないのではあるが、これを「スパム」と言ってしまうのは思考停止ではないか? 例によってはまちちゃんは脆弱性を突いて「こんにちはこんにちは!!」を出しつつ自分をフォローさせるトラップを仕掛けたようだ。まぁ、彼を知っている人なら、「お手軽フォロークリック」で便利でいい。って、私はAmebaのアカウントを消したばかりなんで、祭に参加出来なかったんだけど(Amebaはアカウントを消すとしばらく同じアカウントは使えなくなる)。 で、まぁ、これは「いつもの」でしかない。彼を知る人からすれば「いつやるのか」だけが問題であって、やらかさなか
この前、知人と一緒に「情報の暴露」に関して歩きながら話していました。 個人的な付き合いで知り得た情報を、本人の了承無く、本人の意図しない公開された場所で暴露してしまう人がネット上で増えているのではないかという話題でした。 そこで、「そういった点に関しての情報リテラシ教育も必要なのかも知れませんね」という発言をしたところ、「それはリテラシの問題ではない。むしろデリカシーの問題だ」と言われて、今までモヤモヤとしていたものが急に晴れた気がしました。 確かに、個人的に経験した「他人による嫌な暴露」は、情報リテラシが高いと思われる人によって行われていました。 「何をされると人が嫌がるか」という視点が欠けているというのは、リテラシというよりも、デリカシーだと言われると非常に納得できます。 リテラシが高くてデリカシーが無い人が怖い オフ会などで同席して最も怖いのは、情報リテラシが非常に高くてデリカシーが
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く