スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

4月27日のtwitterセキュリティクラスタ

今日からゴールデンウィークだそうですよ。

プレステネットの侵入に関する続報がいろいろと。
yarai1978: PSNへの侵入について発覚から現在までの進行状況。 http://tinyurl.com/64jsrz4

gohsuket: PS3ジェイルブレークでソニーから訴訟されたジョージ・ホッツがPSNセキュリティ対応を批判、自身のPSN侵入関与否定 RT @martyn_williams http://bit.ly/j65QIl PlayStatio… (cont) http://deck.ly/~Pxn8k

kitagawa_takuji: ソニーPSN個人情報流出事件、被害総額は約2兆円の可能性も。すでにアメリカでは提訴も | デジタルマガジン http://t.co/4gTZM6P via @digimaga

kitagawa_takuji: PSNユーザーのクレジットカード不正利用されたの声が続々と届く。取引履歴に注意を | デジタルマガジン http://t.co/WT7zpan via @digimaga

expl01t: パスワード使い回しの注意喚起はなるほどぉと思った.メアド(さらにクレカ番号も?)が流出したことで,それに対する影響だけを考えがちだけど,今回はパスワードも同時に流出してるからね. https://www.jpcert.or.jp/at/2011/at110011.txt

expl01t: PSNのログインIDはメアドと一緒(楽天方式)ですね. http://www.jp.playstation.com/psn/korehajipsn/jyunbi_account/name/index.html RT: @expl01t パスワード使い回しの注意喚起.

infosecmedia: PlayStation Network credit cards protected by encryption - http://infosecmedia.org/Oj

MasafumiNegishi: カード情報は暗号化されていたけど、他の個人情報は平文で保存してましたと。だからといって、カード情報が安全ってことにはならないよなぁ。

labunix: ソニー情報流出 侵入手口2つの可能性  :日本経済新聞 http://s.nikkei.com/kfsmuE

ockeghem: エフセキュアブログ : Sony PSNハックに関する質疑応答 http://htn.to/62EFqL

yasulib: 「IPS、WAF、アンチウイルスなどの予防策だけがセキュリティ対策では無いのです。」 ソニーのPSNからの情報漏洩に学ぶ事後対応策の重要性 http://blog.f-secure.jp/archives/50594422.html

eagle0wl: PSNのアカウントを作成する際は住所入力が必須なのだが、本当に住所なんぞ必要なのだろうか。iTunes Storeアカウントに登録されてる住所の大半が、Apple本社/日本法人(クパチーノ/新宿区)のそれであるように、PSNもSONY本社(港区)の住所で登録したのは正解だったか。

lumin: PSNのパスワードは他では一切使いまわしていないものを使っているので安心。


それとは全く関係ないSONYのXSSが報告されてますね。
AndMyXSS: www.sonyproductinformatie.nl - #XSS vulnerability http://j.mp/kNEw7B


Evernote、Dropbox、Boxcarと最近流行のどこでも自分のメモにアクセス系のアプリは基本的に脆弱なようなので使わない方がいいかもしれませんね。
kinugawamasato: evernote、対応が完了いたしましたとか言ってどこが完了してるねん chrome IE opera http://www.evernote.com/about/video/#"><script>alert(1)</script>

Hagexx: セキュリティポリシー改訂で露見したDropboxのウソ - YAMDAS現更新履歴 - http://goo.gl/k6iiR

bulkneets: Boxcar怖い、使わないでおこうとかじゃなくて、これRTしたらいいんじゃないでしょうか… http://bit.ly/maM1cg


Osfooraの検証結果です。
bulkneets: Osfooraのディレクトリ以下にどんなファイルがあるのか誰も検証してくれない、file://で開いてるというのは分かりました。もし奇跡的にoauth tokenとかまでkeychainに保存してるなら大した影響がないでしょう。

bulkneets: Osfoora Documents/osfoora13.sqlにtwitterのパスワード入ってるけど外部のリソース読み取れなくてscript src無理、読めても外部に送る手段がない、というのが今の見解。

bulkneets: iPhone物理的に奪われなければ大丈夫です


bulkneets: iPhone app上でfile://を開いてるがhttpのリソースは読み込めなくてscriptタグ除いて123文字混入することが出来る状態で、一番悪いことは何が出来るのか

hasegawayosuke: @bulkneets 今の日本だと while(1); で電池の消耗じゃね?


bulkneets: XSSでパスワード盗めるかどうかについてざっくり書いた http://bit.ly/mAqmLw


あと、修正されたようですが、bit.lyにも脆弱性があったようです。
AndMyXSS: bit.ly - #XSS vulnerability http://saf.li/682j3


あと気になったことはこのあたり。
netagent_jp: blog 更新です、最近 CTF 参戦記ばかり書いている気がする愛甲による 「PCTF2011 参戦記」です http://www.netagent-blog.jp/archives/51779232.html


kitagawa_takuji: John the RipperがSandy Bridgeの拡張命令「AVX」に対応 http://www.openwall.com/lists/john-users/2011/04/28/1


ntsuji: Ncrack0.4PLPHAがリリースされていますよ。大きな追加・変更はVNCモジュールが追加されたくらいでしょうか。 http://nmap.org/ncrack/
スポンサーサイト

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
11-2017
SUN MON TUE WED THU FRI SAT
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 - -

10   12

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。