スポンサーサイト
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
新しい記事を書く事で広告が消せます。
9月7日のtwitterセキュリティクラスタ
昨日までのクソ暑い日々から一変して、今日は土砂降りの雨です。落差が激しいですね。
twitterのXSSです。まだまだありますね。
展開されるURLはこんなかんじ。
http://dev.twitter.com/search?query=%25C0%3C/script%20%25C0%3E%25C0%3Cscript%20%25C0%3Ealert%281%29//%25C0%3C/script%20%25C0%3E
そして、これじゃないようですが、TwitterのXSSで、閲覧者のCookieが狙われているみたいです。
日本語記事があるようなので追加しておきます。
プロの目からもやはりいろいろおかしいみたいなので、これからもまだいろいろ起こるかもしれません。
ルートサーバーに続き、いよいよjpドメインにもDNSSECが導入されるようです。そして、DNSSECって使われてるの?の答え。
TechCrunchのヨーロッパ版が乗っ取られていたようです。日本でアダルトサイトになったのはtechnoratiでしたか。
最近、実験クライアントとして古い時計のおかしいPCを引っ張り出してきたのですが、すべてのSSLアクセスで証明書が期限が未来過ぎておかしいって出て泣きそうになりました。時計って大切ですね。
高木先生からSFCの人に問題提起。近日中に情報セキュリティじゃないけど関係者に会うので聞いてみよっと。
まあ、それなら公開鍵認証じゃなくてもいいんじゃないかということですね。
高木先生の批判のきっかけとなった、このサービスが紹介されているエントリがこちら。
http://d.hatena.ne.jp/daigaku-syokuin/20100905/p1
そして、参考になるエントリがこちら。
http://d.hatena.ne.jp/y-kawaz/20100907/1283849508
そしてこちらははせがわさんからの問題定義。こっちは難しくてよくわかんないです。
IPAによると、職場のパソコンが感染してしまった中年サラリーマンから「どうしたらいいんだ」「何とかしてくれ」と、助けを求める電話が相次いでいるという。って中年限定かよw
twitterのXSSです。まだまだありますね。
kinugawamasato: dev.twitter.com XSS still hasn't been completely fixed. http://bit.ly/dvpJyO #XSS #twitter
展開されるURLはこんなかんじ。
http://dev.twitter.com/search?query=%25C0%3C/script%20%25C0%3E%25C0%3Cscript%20%25C0%3Ealert%281%29//%25C0%3C/script%20%25C0%3E
そして、これじゃないようですが、TwitterのXSSで、閲覧者のCookieが狙われているみたいです。
MasafumiNegishi: RT Attackers Target Twitter XSS Bug - http://j.mp/a71ygf
MasafumiNegishi: RT Twitter XSS in the wild - http://j.mp/cyJ24j
日本語記事があるようなので追加しておきます。
tdaitoku: RT Twitterで悪質なスクリプトが流通、cookie盗難の恐れ http://bit.ly/9gY3sj
プロの目からもやはりいろいろおかしいみたいなので、これからもまだいろいろ起こるかもしれません。
hasegawayosuke: Twitterは文字コード周り、やっぱりおかしいね。
ルートサーバーに続き、いよいよjpドメインにもDNSSECが導入されるようです。そして、DNSSECって使われてるの?の答え。
Murashima: JPドメイン名サービスへのDNSSEC導入、2011年1月16日に決定 -INTERNET Watch http://goo.gl/Tgdn
MasafumiNegishi: RT DNSクライアントによるDNSSECのリクエスト量 - http://j.mp/aHSILq
TechCrunchのヨーロッパ版が乗っ取られていたようです。日本でアダルトサイトになったのはtechnoratiでしたか。
RosehrMarketing: TechCrunch Europe hacked, serving malware http://ow.ly/2ApZK #News #Info #Security
最近、実験クライアントとして古い時計のおかしいPCを引っ張り出してきたのですが、すべてのSSLアクセスで証明書が期限が未来過ぎておかしいって出て泣きそうになりました。時計って大切ですね。
gohsuket: ん?httpsで? RT @izuizu: chromeでtwitterのURLにどくろマークが・・・なにこれこわい・・・ http://twitpic.com/2m0fvj
高木先生からSFCの人に問題提起。近日中に情報セキュリティじゃないけど関係者に会うので聞いてみよっと。
HiromitsuTakagi: 慶應SFCの学生(特に情報セキュリティ関係)に試練の課題。2週間以内にこのサービス https://itcsecure.sfc.keio.ac.jp/ssh/ の中止を実現せよ。(ただし「秘密鍵生成をサーバ側で行うのが不適切」という指摘は誤りなので注意すること。)
HiromitsuTakagi: ヒント: 大学側への要望書には次の3点を説明する必要がある。(1)SSH公開鍵認証を使う意義、使わない場合との差は何か(技術的観点)。(2)このサービスの存在によってセキュリティは低下するか否か(技術的観点)。(3)それなのになぜこのサービスの中止が必要なのか(社会的観点)。
HiromitsuTakagi: ヒント: (2)の説明には少なくとも次の事実確認(とその考察)を含む必要がある。(i)鍵登録後のログイン手段、(ii)鍵登録後に強制パスワード変更があるか否か、(iii)鍵登録作業の全員への強制の有無と(i)の将来予定、(iv)当該機能を利用可能なネットワーク上の範囲。
まあ、それなら公開鍵認証じゃなくてもいいんじゃないかということですね。
kinyuka: KO大学の鍵の件、何が問題なんだかいまいちわからない… 最近はSSLの鍵も生成してもらう時代だし… http://jp.globalsign.com/service/ssl/skip/
kinyuka: 公開鍵の自動登録をしちゃうのか それはまずいな
高木先生の批判のきっかけとなった、このサービスが紹介されているエントリがこちら。
http://d.hatena.ne.jp/daigaku-syokuin/20100905/p1
そして、参考になるエントリがこちら。
http://d.hatena.ne.jp/y-kawaz/20100907/1283849508
そしてこちらははせがわさんからの問題定義。こっちは難しくてよくわかんないです。
hasegawayosuke: JSONPを返すAPIにて攻撃者がJSONPフォーマットを壊して自由にJSを埋め込めるとしたらどんな脅威がある? そのままJSONPをブラウザで開いてもHTML扱いされないのでXSSは発生しない場合。
hasegawayosuke: (続き) JSONPの破壊が持続性を持つような場合だと、そのJSONPを呼んでいる他のサイトに対するXSSか。JSONPの破壊が反射的な場合は実害なし? 例えば callbak 名に好きな文字列が入る、みたいな。
IPAによると、職場のパソコンが感染してしまった中年サラリーマンから「どうしたらいいんだ」「何とかしてくれ」と、助けを求める電話が相次いでいるという。って中年限定かよw
ymzkei5: IPAセキュリティセンターの加賀谷さんのコメントあり。>■会社PC危ない!アダルトサイト詐欺急増、衝撃の手口(ZAKZAK(夕刊フジ)) http://news.livedoor.com/article/detail/4992024/
