複数のパスワードを一括管理できる、クロスプラットフォームでオープンソースの無料アプリ『KeePass』の、Firefoxアドオン『KeeFox』ができました。 パスワード管理ツールと言えば「LastPass」が素晴らしいと何度か紹介してきましたが、どんなにセキュリティがしっかりしていても、サードパーティーのサーバでパスワードを管理する事に抵抗がある人も多いと思います。その気持ちはよく分かります。だからこそ、KeePassを使ってきたという人もいるでしょう。 しかし、これまでKeePassにはブラウザのプラグインが無く、LastPassほどブラウザとの親和性も高くなかったため、少々不便な思いをしていたのではないかと思います。ですから、今回のKeeFoxの登場は待ってましたという感じではないでしょうか。 KeeFoxは、アドオンとしてはまだ少々詰めの甘いところがありますが、KeePassを愛用

先日、このブログ用に使っていたtwitterアカウントをハックされてしまった。しかも2回も。 どなたかが当ブログのcontactフォームを通じて教えてくださり、気づいた（その節はありがとうございました）。 慌てて確認してみると、確かに見覚えのない英語のメッセージと怪しげなリンクがtweetされていた。消そうにも、パスワードまで変えられており、ログインできない。 しかし、twitterから登録メールアドレス宛に以下のようなメールが届いていた。 要約すると「あなたのアカウントが乗っとられた可能性があるので、パスワードをリセットしました。このリンクからパスワードを変えてください」という感じ（それにしても、この中途半端な和訳はいつ直るのかな…）。 どうやら、アカウントハックにあったことがtwitterには判別できるらしい。やはり、無差別に攻撃しているのだろう。 でないと、こんなに地味なアカウントを

本城信輔／McAfee Labs東京 主任研究員 Gumblarは，ドライブバイ・ダウンロード（drive-by-download）攻撃の一つである。ドライブバイ・ダウンロード攻撃とは，Web サイトにアクセスしたユーザーのきちんとした同意を得ずに，マルウエア（ウイルス）を勝手にダウンロード・感染させる脅威だ。このうちWebブラウザやアプリケーションのぜい弱性を悪用する方法は，数年前から見られるようになった。今年1月には，「Operation Aurora」という，Internet Explorer（IE）のゼロデイのぜい弱性を悪用したドライブバイ・ダウンロード攻撃も発見された。 2009年4月ころに発見された，元々のGumblar攻撃の流れは，図1の通り。大きく五つのステップがある。（1）攻撃者がWeb管理者になりすましてWebページを改ざん，（2）ユーザーが改ざんされたWebページにア

適当 XSSがある=なんでもやり放題ではない ブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。個人情報を預かってるサイトは、重要個人情報についてはHTTPSじゃないと参照できなかったり、そもそも表示しなかったり(パスワードやカード番号等)、決済用のパスワードや暗証番号を入れないと操作できなかったりする。 参考までに http://blog.bulknews.net/mt/archives/001274.html (2004年のアメブロ脆弱性の話) http://d.hatena.ne.jp/yamaz/20090114 (信頼できないデータを取り扱うドメインを分ける話) 管理用と別ドメインに分けたにも関わらず、script実行できることに対してDISられ

■乗り換えても無駄　　　感染した場合、危ないのはFFFTPじゃなく、FTPクライアントソフト全体 SmartFTP、NextFTP、Filezilla、WinSCPもFFFTPと同じ意味で危険 今のところ大丈夫なクライアントはある でも、大勢の人が乗り換えたら、マルウェアがバージョンアップして対応してくるだけだよ ていうか、パスワードを保存すること自体が危険だよ INIファイルに変えたって同じだよ！ ■特定のマルウェアに感染しなければ大丈夫　　　もちろん、「絶対感染しない｣ってのは不可能だけどね 感染した場合に、FTPソフトが保存してる情報を盗み出して利用される だから危ないと騒がれてる ｢特定のマルウェア｣とは、8080系とか“Gumblar”とかいわれてる奴 **　■過去にパスワードを保存していないなら平気 **　■今後もパスワードを保存しなければ平気 保存して無いものは盗みようが無い

Windows UpdateでOSを最新の状態にしておくウイルス対策ソフトを入れて最新のパターンファイルにしておく●Webサイトのサーバーで コンテンツが改ざんされて悪質なプログラムが仕込まれていないかチェックするといったことが必要です。 パソコン側の対策すべてのWeb担当者に今すぐしてほしいのが、ガンブラー系ウイルスがねらっているプログラムのバージョンアップ。とはいえ結構面倒なんですよね。そこで、IPA（情報処理推進機構）が無償で提供しているMyJVNバージョンチェッカを使いましょう。3分で簡単に、バージョンアップが必要なプログラムが残っていないかチェックできます。 MyJVNバージョンチェッカのページへ行く http://jvndb.jvn.jp/apis/myjvn/vccheck.html 「MyJVN バージョンチェッカの起動」からXP用かVista用かWindows 7用かを選

分かり難いパスワードを設定することがいかに大切かということは、ライフハッカーでも口を酸っぱくして何度も言ってきました。それでもまだ多くの人が、分かりやすくて安直なパスワードを使い続けています。3,200万人分のパスワードを分析しても、未だによくあるパスワードの上位はこんな感じ（画像参照）なのです。 去年の12月、FacebookなどのSNSにマルチメディアスライドショーなどを提供している「RockYou」が、パスワードデータベースの情報を漏洩しました。3,200万人分のパスワードとログイン情報が、一人のハッカーの手によって公に晒されてしまったのです。 セキュリティ会社の「Imperva」は、3,200万人のパスワードをくまなく調べ分析しました。その結果、RockYouのユーザーが設定しているパスワードの欠点と、パスワードがあまりにも更新されなさ過ぎるという嘆かわしい事実を、「Consume

特に断りのない限り、記載の金額はすべて税込金額です。消費税の計算上、実際の請求額と異なる場合があります。 セキュリティ対策ソフトをお申し込み済みの方へ 各セキュリティ対策ソフトをお申し込み後、ご利用にあたって、インストールを行う必要があります。 設定完了していない方は、下記よりお手続きをお願いします。

名古屋・岐阜県の中小企業を中心に、twitter、Facebookなどのソーシャル・メディアのビジネス活用を支援する、株式会社はちえん。の代表、ソーシャル・マジシャン坂田誠がノウハウを語るブログ 言うまでもなく、twitterが大ブーム。 そして、どんどんユーザーが増えてきています。 そんな中、少し危惧している事態が一点。それは各ユーザーが意図しない、個人情報をだだ漏らしになっている点です。 今回、犯罪や詐欺などに巻き込まれない為に、twitterで特定条件の個人情報を獲る方法を示してみます。 といっても、特別なツールは必要なく、使うのはtwitter公式検索です。 例えば「彼氏と別れたばかりの女性」だけをtwitterで探したいとしましょう。　その場合、twitter公式検索にて、検索のオプションを使って、こんな風に検索します。 すると、検索結果に、ノイズは入るものの、結構な割合で「彼氏

オーベルジーヌ実食レポ 食べ物の鼻塩塩(未だに通じるのかな) オーベルジーヌというカレーをご存知だろうか 都内にあるデリバリー専門のカレー屋で、 ロケ弁などで大人気の本格欧風カレーが楽しめるらしい いいな〜 いいな〜オブザイヤー 都内の奴らはこんな良いモン食ってんのか 許せねえよ………

世間では、今Gumblar祭りが勃発中であり、SQLインジェクションがニュースに出てくることは少なくなったが、だからと言ってSQLインジェクションの脅威がなくなったわけではない。SQLインジェクションはGumblarを仕掛ける手段としても利用されることがあり、Webアプリケーションを提供する全ての人にとって、対策を講じなければいけない驚異であることに変わりはない。SQLインジェクションという攻撃手法が認識され、大いに悪用されているにも係わらず、その本質に迫って解説している記事は少ないように思う。従来のWeb屋だけでなく、今やアプリケーション開発の主戦場はWebであると言っても過言ではなく、そういう意味ではSQLインジェクションについて理解することは、全てのプログラマにとっての嗜みであると言えるだろう。 というわけで、今日は改めてSQLインジェクションについて語ってみようと思う。 SQLイン