スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

4月26日のtwitterセキュリティクラスタ

数日前から話題だったソニー「PlayStation Network」への攻撃とサーバー停止ですが、どうやら本当に侵入され、最悪なことにカード情報なんかを取られてしまっていたわけですね。とりあえずいろんなニュースソースを。
ntsuji: ソニー、プレイステーション・ネットワークへの外部侵入を認める―クレジットカード情報を含む個人データ漏洩のおそれ ≪ TechCrunch Japan http://bit.ly/gDtmOF

connect24h: ソニー、個人情報7500万人超流出の恐れ ハッカー攻撃か   : 日本経済新聞 http://s.nikkei.com/fOKr4D

MasafumiNegishi: ソニー「PlayStation Network」、個人情報が漏えい--システムに不法な侵入 - CNET Japan http://bit.ly/gobOvU

harunya1101: RT だめだ、完全に終わった。さすがのオレも擁護できない最悪の展開:ソニー、個人情報最大7500万件流出。『PSN』に不正侵入 http://jin115.com/archives/51771488.html

TETSUnoTAMACY: くはーっ、これは厳しい!→ ソニーPSに不正アクセス、米社から7700万人の個人情報流出 | Reuters http://t.co/FfPd7jo



malaさんのWebサービスに対する総括と言った感じですが、確かにそうかもと思っていたら…
bulkneets: Evernoteに関していうと「直ちに危険ではないけど好ましくない仕様」を複数把握していて、そのうちいくつかは俺がtwitterに書いているのだから今の段階で「大丈夫です、安全です」って判断して勝手広報するやつは全員アホ

bulkneets: テッククランチとかの紹介してるサービスたいてい深刻な脆弱性があるしライフハックの人たち色んなサービスに登録しまくりでひどい目にあうどころかひどい目にあっても気づかないとかありそう


今日はBelugaというサービスでいろいろXSSを見つけられたようです。
hasegawayosuke: エゴサーチしててBelugaというサービスを知る今日この頃。ぜんぜん時代に追いつけてないな…。 http://twitter.com/y_benjo/statuses/62828776253431808

hasegawayosuke: 普通に Beluga だめだった。

bulkneets: ほんとだ http://bit.ly/fwjhEc

bulkneets: 知り合いに</script><xmp>氏が居るとバグる http://bit.ly/i9HPeH

bulkneets: みなさん平気でファボっておられますけど巻き添えで多数のサイトがおかしくなる可能性があるな

bulkneets: ログイン画面のXSSは「自動入力されるような実装になってる」パスワードマネージャにパスワード保存していた場合に容易にパスワードを抜ける。

bulkneets: Beluga パスワード保存してるFirefoxやChromeだとログアウトしてるほうがパスワード盗めて危険、ChromeだとXSSフィルタ動くな、回避できるんだっけこれ


もうあきらめたのか、ちょっと壊れかけてますw 「若いうちはXSSがあるくらい元気がないとな!ガハハハハ!」とかオヤジっぽいですが、もうそろそろXSSのあるWebサービスがなくなってきて「若者のXSS離れ」が心配されそうな予感がします。
bulkneets: XSSがあるぐらいの方がわんぱくで良い

hasegawayosuke: XSSがあるぐらいの方がマッシュアップしやすくて良い

bulkneets: scriptつかえるチャットは電脳戦みたいになって普通に面白いですよ


徳丸本にも書いてた気がしますが、自作セッション管理は破られやすいみたいなのでやんないほうが賢明だと思います。
ockeghem: 自作セッション管理機構は脆弱性の巣窟なので、よい子の皆さんは絶対に真似しないように/注意を追記いただきました。ありがとうございます / 大規模 Web サービスでログインを長期間保持するには SESSION は使わず Cookie とデ… http://htn.to/2rn1CB


その他に気になったことはこのあたり。
JSECTEAM: ブログをポストしました。「Internet Explorer 9日本語版公開。歴代 IE のセキュリティ機能の進化を振り返る」 http://bit.ly/gvEGEe


piyokango: IEのセキュリティ設定(ローカルイントラネット)で、IE8では保護モードが既定で有効になっていますが、IE9では無効になっていますね。

piyokango: 私が前変更したかもしれないですが。


vulcain: 「IE6対応?高くつくけどやる?」キャンペーンでもいい気がするw QT @youichirou: すばらしい。これこそあるべき姿だと思う。 / 「IE6対応? それ、別料金でできるよ。」キャンペーン http://htn.to/Th78qe


cubedl: とりあえず「UACを切る」とか言ってドヤ顔してる馬鹿に耳をかさないこと / Windows7を買ったら最初にやるべき事ってなんだ? | ライフハックちゃんねる弐式 http://htn.to/TXWdVt


expl01t: CVSS2.0を使って脆弱性の深刻度を評価してる.reading: IPA, 自動車の情報セキュリティ動向に関する調査 http://www.ipa.go.jp/about/press/20110426.html


tomoki0sanaki: 玉石混交でいいじゃないか。脆弱性を放置するサービスもあれば、セキュリティが高すぎて使いにくくてイライラさせるサービスもあれば、自分の感覚にあったちょうどいいレベルのサービスもある。・・・一人ひとりがそれを選べばいいじゃん。一つにする必要性を感じない。


koizuka: テスト reading Twitter公式のShareブックマークレットがブラクラ化した件 - FLYING http://t.co/3KxR3YP


nao_pcap: Microsoft、インストール不要無償のウィルススキャナを公開 | エンタープライズ | マイコミジャーナル http://journal.mycom.co.jp/news/2011/04/26/013/index.html


nao_pcap: マカフィー株式会社 | McAfee Blog - ゴールデンウィークは、本物そっくりの「コピー」サイトに注意 http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1214


ntsuji: 今日はいまいち気分が乗りません。なので、電卓が起動する謎ファイルを送ってみてみんなが脆弱なバージョンを使ってないかどうかをチェックしてみた。

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。