スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

9月20日のtwitterセキュリティクラスタ

台風がやってくるようです。困ったものですね。

新しいMacOSであるところのLionは簡単に他人のパスワードハッシュが読めたりリセットできたりできるようです。もう個人しか使わないし見せっぱでかまわないという戦略なのでしょうか。
MasafumiNegishi :このLionの脆弱性、手元のMBAで確かめてみた。確かにハッシュを読み込んでパスワードクラックできるし、新しいパスワードの設定もできるね。 Defence in Depth: Cracking OS X Lion Passwords

piyokango :“yebo blog: Mac OS X Lionはパスワードクラックが簡単” http://htn.to/vSy1zJ

ockeghem :@MasafumiNegishi yebo blogで紹介されていたやつですね。それは、すご…いというか、ひどい。パスワードのリセットがどの範囲でできるか気になりますが

MasafumiNegishi :@ockeghem 試してみたところでは、新パスワードを設定する際に旧パスワードの入力を求められますね。

ockeghem :@MasafumiNegishi ほう、それなら問題ないと思いますが、何かあるのでしょうかね


MasafumiNegishi :Lionの脆弱性の件、念のため。パスワード変更の問題は、自分のアカウントのパスワード変更時に旧パスワードが必要ないというもの。他人のアカウントのパスワードを変更できるわけではない。もう一つのパスワードハッシュの問題は他人のアカウントのハッシュも含めて見れてしまう。


ありがたいことにレビュアーの端くれだったので、見本をいただきました。検索できて便利ですが、印刷できないのは残念です。そのあたりは個の力で突破してくださいということでしょうか。内容はたぶん最新版だと思います。
ockeghem :【速報】「体系的に学ぶ 安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始決定しました。詳細は明日のブログで発表します #wasbook

kaito834 :待ってました!書籍自体もってると、少しお安くなるといいなー:) RT @ockeghem: 【速報】「体系的に学ぶ 安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始決定しました。詳細は明日のブログで発表します #wasbook

ockeghem :販売開始キャンペーンでの期間限定割引がありますので、明日の発表をお楽しみに RT @kaito834: 待ってました!書籍自体もってると、少しお安くなるといいなー:) RT 「体系的に学ぶ 安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始 #wasbook

ymzkei5 :やりましたね! これで、筋力がなくても、いつでも傍に置いておけますね。w RT @ockeghem: 【速報】「体系的に学ぶ 安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始決定しました。詳細は明日のブログで発表します #wasbook

ockeghem :どうぞ、おそばに置いてやって下さいw RT @ymzkei5: やりましたね! これで、筋力がなくても、いつでも傍に置いておけますね。w RT @ockeghem: 【速報】「体系的に学ぶ 安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始 #wasbook

hasegawayosuke :徳丸さんのご厚意により #wasbook 電子版を先行入手。検索できるので超便利。ちなみに "Ajax" という語はたった4か所しか出てこないというのを電子版だと簡単に知ることができました。"はせがわようすけ" も同じく4か所。どーでもいいですね。


絵文字変換XSSだそうで。以前のWassrをはせがわ某氏が大変なことにしたときみたいなことが起こると思うとガクブルですね。
sheercat :絵文字変換によるXSSみつけた。これは結構他のコンテンツにもあるんじゃまいか。

bugbird :そうか、絵文字の採用は、結局のところ「脆弱性フロンティア」となる可能性があるのか。肯定材料、否定材料、しばらくにぎやかになりますかね?

hasegawayosuke :絵文字の機能が脆弱性につながったとか、それなんて Wassr (ry


そして、三菱重工へのサイバー攻撃続報。IHIなど他の軍事に関わる会社にも攻撃があったそうで日本も本格的にサイバー戦争に巻き込まれてきましたね。
piyokango :公式のプレスリリース出てますね。 / “三菱重工|本日の一部報道について” http://htn.to/F5wFiQ

kaito834 :2011年9月に発覚した三菱重工のウイルス感染について。「...高輪警察署にウィルス感染の事実を報告。その後、警視庁や警察庁にも..助言を受けたが、被害届けは出していない」「感染したウィルスは...「TSPY_DERUSBI.A」など」 http://htn.to/HDwsUb

NanohaAsOnKai :( ´-`) .。oO(午前中から騒がれてた件、同時多発だったんだ。社内ポリシーの見直しからかな?) / 三菱重工にサイバー攻撃、80台以上のサーバーやPCがウイルス感染 http://bit.ly/ncZiSK

mizhruuuu :三菱重工が狙われたサイバー攻撃の被害まとめ(原発・防衛関連施設) - NAVER まとめ

NobMiwa :おお、「IHIにもサイバー攻撃 ウイルス感染は確認されず」 http://s.nikkei.com/pwUNrd

sen_u :なるほど。RT @msaitotypeR: この一覧、IPアドレスで見ると片手以内だそうで。静岡は特に。@msaitotypeR 9月18日「大規模日本Webサイト攻撃活動」の成果(Far East Research)

Lawcojp :三菱重工事件で攻撃対象が拡大。同社を含む防衛産業8社が標的型攻撃を受ける。Trend Microによれば、悪意あるPDFファイルをメール添付ファイルとして送信する手口か。

kitagawa_takuji :組織の重要情報の窃取を目的としたサイバー攻撃に関する注意喚起

keijitakeda :この画面は中国語かな? → 三菱重工を含む防衛産業8社が標的型攻撃の被害に、Trend Microが分析 -INTERNET Watch via @internet_watch

connect24h :続報が出てきた。三菱重工を含む防衛産業8社が標的型攻撃の被害に、Trend Microが分析 -INTERNET Watch http://owl.li/6zpDH

hasegawayosuke :"組織の重要情報の窃取を目的としたサイバー攻撃に関する注意喚起" とりあえず、変なOffice/PDFファイルを開いたときのリスク軽減のために企業内では OFV と Adobe Reader X を入れておくといいですね。


これが本格的な攻撃に使われることになると、現在のインターネットセキュリティ基盤が覆されるようなことなのでちょっと気になりますね。
sen_u :SSL/TLS暗号化に重大な脆弱性、cookiesを復号するPoCも http://bit.ly/p7Pojd

hasegawayosuke :@sen_u こっちのが詳しいけど、既知の方法用いただけで改めて脆弱性が見つかったわけじゃなさそうですね。思ったより解読が速かった、という。


冗談かと思ってましたが本格的にメールはオワコンとなっていくのでしょうかね。
securityshell :Barack Obama’s Email Servers Hacked using XSS

hasegawayosuke :オバマ大統領のメールサーバでXSS使ってメール送信ってことは、これWebメールだったのかな。


その他気になったことはこのあたり。
hasegawayosuke : 45ページ目、マジでこれ導入されるの?

masa141421356 :@hasegawayosuke 新しいインジェクションのネタに見えますね


zusanzusan :IPAフォーラム2011 (@明治記念館,10月27日)


security_inci :[CAPJ] MasterCard(マスターカード)を騙るフィッシング(2011/9/20) - ニュース http://bit.ly/oPcqs5


zusanzusan :Biclique Attack を SQUARE に適用したところ、2^126 で攻撃に成功した模様です。 ”Biclique Cryptanalysis of the Block Cipher SQUARE”Hamid Mala http://goo.gl/zvZGY


kitagawa_takuji :[セキュリティサミット]クラウドやスマホの普及とともに危険が急拡大、その防衛術とは:ITpro http://nkbp.jp/qYNZ1x #itprojp


tessy_jp :O'reillyで全E-Book 50%OFFやってる。 9/28 までっぽい。http://bit.ly/q8zyMt


hasegawayosuke :来週か再来週くらいから、平日夜に HTML5 セキュリティ勉強会を開催しよう。参加者いなかったらいつも通り1人勉強会ということで。


itsec_jp :[Bot] #ITSec_JP SkypeはiOSアプリのXSS(クロスサイトスクリプティング)脆弱性を認識, “懸命に修復中” http://goo.gl/fb/dYxVV
スポンサーサイト

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。