スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

9月6日のtwitterセキュリティクラスタ

そろそろ今月も@ITの連載「Twitterセキュリティクラスタ まとめのまとめ」が公開されるはずですよ。見てね!

叩かれまくっているカレログですが、どうやらAndoroidのムックと連動して、ムックの方にやっちゃいけないような使い方が解説されていた模様。
そういや昔の無線機だと違法な方は隠し機能としてあってジャンパを切ったり隠しコマンドを入力する必要があったなあと思い出しましたがカレログはど直球なので困りますね。
Benjamin_jp :@HiromitsuTakagi このアプリの開発元の株式会社 サン・クロノ・システムズの東中野制作ルームは有限会社マニュスクリプトと同じビル。

HiromitsuTakagi :お急ぎ便で発注完了。 http://amazon.co.jp/dp/4845839512/

HiromitsuTakagi :「スクープ!! (秘)アプリで彼女の動きをGPSでリアルにチェック!」のところは、どんな内容になってますかー? RT @Benjamin_jp 入手した

Benjamin_jp :@HiromitsuTakagi リイド社の宣伝と記事名は異なります。全96頁、p.90に全面掲載。『裏を返せば女性の行動も把握』とスマホ使用者の許諾を得ない前提の記事。『くれぐれも悪用厳禁!』とあり。

Benjamin_jp :@HiromitsuTakagi 記事名は『大事な彼女の行動をチェック!』Sさんが彼女に不審を抱き試してみましたというもの。『しかもアプリアイコンが評価されないのでアプリが作動している事も悟られないのだ。』の表現 あり。開発者の避けていた表現をズバズバ書いてる。

Benjamin_jp :@HiromitsuTakagi 『彼氏行動追跡アプリ「カレログ」karelog.jp』Sさんの彼女が母親と墓参りといいつつ某温泉に行っていたことがわかったので、彼女と一緒にいる時間を増やし連れ出してあげることが増えたというシメ。

noboru_murata :#カレログ 残念だけど、マニュスクリプト社にはクロの疑いが濃い訳だから、我々が探偵の真似をしなくても司直が動くべきだったと思う。まあ、システムの裏技を解説したくらいで当局に目をつけられる世の中は生き辛いけれど、自前のソフトウェアの悪用法を解説したんじゃ「指導」どころじゃ済まない。

ymzkei5 :あら。>“一方、刑事事件になるかについて、落合弁護士は「適用条文が思いつかない」と話す。” RT @kitagawa_takuji: スマホ用追跡アプリが騒動に 勝手に行動を監視される危険も - MSN産経ニュース

bulkneets :カレログの是非と関係なく、どれだけ理論武装してても悪用されるために作られましたと決めつけられ炎上する様子や、メディアが取材で言ってもいないことを勝手に書くといったことについて、ソフトウェア開発者はもっと危機感を感じたほうが良いと思いますよ


一方もう一つ、出した側は眠れない日々を過ごしているほど叩かれてる「作りながら基礎から学ぶPHPによるWebアプリケーション入門」についてです。想像以上にひどいみたいですが、これだけひどいと出した側にも事情があったりするのかもしれませんが…
rryu2010 :想像を上回る内容に耐え切れなくなって「作りながら基礎から学ぶPHPによるWebアプリケーション入門」を買ってしまった。

bakera :最初の章の最初の文章が「ただし、」で始まる本は初めて見ました。まさかその前の扉ページに本文が書かれているとは……。編集もかなり斬新ですね。 > 「作りながら基礎から学ぶPHPによるWebアプリケーション入門」

ockeghem :@bakera おお、購入されたのですか。あるいは、@rryu2010 さんのかな?

rryu2010 :@ockeghem 私が購入したものです。Content-Descriptionとか、すごい間違いがあって想像以上のものでした。

ockeghem :@rryu2010 Content-Descriptionとかあったっけ、と思ったら、見出しがそうなっていますね。それと連動して索引も。本文とサンプルスクリプトはあっているのに、これは編集・校正の怠慢でもありますね

rryu2010 :@ockeghem 調べてみたらMIMEの方にContent-DescriptionがあってContent-Dispositionと組み合わせて使うっぽいので、どこかからコピペして直しそこなったのかもしれません。説明に「メールメッセージ本文とは別に」と出てきますし。

ockeghem :@rryu2010 P99~P100は、ひどいですねぇ。P99の(2)の箇所では、$fileは未定義で、その次の行で$fileがセットされてますし…変数の未定義は何カ所も見つけましたが。ブログでは書きませんでしたが、この品質だと回収しろよと思いました

rryu2010 :@ockeghem P.280のJSに var updir_i = "./img/"; というコードがあって、すわディレクトリトラバーサルか、と思ったら使ってなくて大丈夫だったというのもありますね。しかも(4)の番号が振ってあるのに本文中での言及なしとか、本当にひどいです。


上記XAMPP/jQuery/HTML5で作るイマドキのWebサイトには必要となりそうなJSONハイジャックについて。ブラウザー次第という面もあるみたあいですが。
ockeghem :JSONのセキュリティを説明する上で、いずれはJSONハイジャックについて書かないといけいないと思うんですけど、現在アップデートされているブラウザではこの攻撃成立しないという気がするんだよね。 「いやいや成立するよ」という情報あります?

hasegawayosuke :@ockeghem 手元の Andoroid なブラウザでは __defineSetter__ による JSON Hijacking が未だに有効ですね。Opera mobile、Android版Firefoxでは修正されています。

hasegawayosuke :@ockeghem あと言わずもがなですが、IE + UTF-7 は健在です。

ockeghem :@hasegawayosuke 以前ブログに書いておられたやつですか? IE7までは有効という…

ockeghem :@hasegawayosuke 今確認しました。確かに動きますね。まだ現役の攻撃手法ですね。しかし、さすがです

hasegawayosuke :@ockeghem はい。レスポンスヘッダのcharsetより要素のそれが優先されるという悲劇です。

ockeghem :@hasegawayosuke ありがとうございます。そちらは、対策は別に考えないといけないですね


その他に気になったことはこのあたり。
piyokango :マルウェア Morto に見る、強固なパスワードの重要性 - 日本のセキュリティチーム - Site Home - TechNet Blogs :


itm_ve :ITmedia Virtual EXPO 2011のご参加は【無料】ですよ~!必要事項にご記入いただき、来場登録していただければ事務局からその後のご案内させていただきます! http://ow.ly/6m95X #itm_expo


Hagexx :怪しい、怪しすぎる。怪しすぎて毛が抜けた。謝罪と賠償を(略 アメブロ攻略ソフト自動WEB巡回ブラウザ - ハイパークリックシステム龍馬 http://goo.gl/oChkR


satorukanno :OpenSSL version 1.0.0eがリリースされた!
GlobalSign_JP :一連の認証局ハッキング犯を名乗る人物のブログにおいて、複数の認証局をハッキングしたとの声明がありました。弊社の名前も含まれているため調査を進めております。


スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
06-2017
SUN MON TUE WED THU FRI SAT
- - - - 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 -

05   07

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。