スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

1月10日のtwitterセキュリティクラスタ

電子書籍がログを送信することととWebサイトがログを記録することの違いを解説されています。技術的必然性の有無ということですね。
HiromitsuTakagi:電子書籍のページ閲覧操作履歴を、Webのアクセスログと同一視して「何がいけないの?」という声が僅かながらあるようだが、Webは実現手段として当初からそれが必然であったために、歴史的に黙示の同意があると言えるのに対し、アプリはそうではない。

HiromitsuTakagi:Webは、ハイパーリンクを用いたハイパーテキストとして登場した。つまり、読もうとする必要なページだけを要求し、取得して、閲覧するという点が特徴で、それはネットワーク回線の細い当時としては技術的に必然であった。一方、歴史的経緯から、アクセスログを取るのも当然となっていた。

HiromitsuTakagi:そのため、アクセスログを解析することによって、閲覧者の嗜好を分析するということも可能になるわけだが、それはあくまでも結果として可能になったのであって、初めからそれを目的として、(必要もないのに)ページ単位の履歴を取得しようとしたわけではない。

HiromitsuTakagi:そのようなWebにおいては、90年代後半から、閲覧動向を知られ得ることがプライバシー上の問題として取沙汰され、匿名で閲覧する権利を実現するための、いくつかの試みもなされた。ページ単位の履歴を取られるのは止められないから、閲覧者を特定できなくすることで回避しようとしたのであった。

HiromitsuTakagi:それに対して、電子書籍やアプリの場合は異なる。ハイパーリンク、ハイパーテキストと異なり、一冊の単位で配布されるものであり、閲覧者が見ようとしているページ毎にダウンロードすることは不必要であり(実際、産経新聞アプリもマガストアも、一括ダウンロードになっている)技術的必然性はない。


jQueryにはそれ自体に起因するXSSがあるみたいですね。使っている人は注意した方がいいのですかね。
bulkneets:Here is #XSS http://bit.ly/yuVD9b caused by $('.sub a[href*=" $query_param "]:first') / @jeresig @mustardamus #jQuery

bulkneets:jQueryのCSSセレクタ誤認に起因するXSS、最近割と頻繁に見つけていて、やっぱりjQuery本体直すべきだという実感があるのだけど、影響大きい著名サイトで悪用可能で未修正なものは晒せないから、ちょうどいい事例があったという感じ


@sonodamさんのご登場ですよ。
kuno_ichi:#mynavinews 【インタビュー】打つ手がないとも言われるサイバー攻撃にどう取り組むべきか? - 園田氏 #security


こちらには@ntsujiさん。「これが「年収一億マン」の8つのオキテだ」で名前が出されていると思うとうらやましくてたまりません。
ntsuji:よくよく見るとボクがセミナーでしゃべったことも参考にされているようで嬉しいなう。RT @ntsuji: ボクの名前がちょこっとだけー出てきますよ。 / プレジデント 2012年1.30号 - http://bit.ly/xRBiYY


最近話題のhashdos攻撃ですがCookieでも可能だそうです。ひー。
ockeghem:Apache+PHPで、Cookieによるhashdos攻撃は可能のようですね。Apacheのリクエストヘッダは、デフォルトで1つあたり8192バイト、ヘッダ数は100まで。かけ算で約800KB。攻撃には十分な容量です。ただし、(続く) #hashdos

ockeghem:(続き)攻撃の前提として、複数Cookieヘッダが使えないといけないけど、PHPでは複数のCookieヘッダを受け取る。また、Cookieの名前もパーセントデコードする(Cookie: %41=1; は Cookie: A=1; と同じ)ので既存のPoCが使える #hashdos

ockeghem:Cookieのvalueをパーセントデコードするのはよいとして、名前までそうするのは余計なお世話のような気もするが…


その他に気になったことはこのあたり。
data_head:CarrierIQ Removerと見せかけて有料SMSを送信するTrojan。トレンドに乗っかる手口はSpamでよく見るが、配布が容易なAndoroidもSpam的手口が有効であることが分かる。| Android.Qicsomos >


tdaitoku:Symantec製品のソースコードが流出、ハッカー集団が公言


OrangeMorishita:【脆弱性情報:速報】バージョン3.0までのPowerDNSにDoS攻撃が可能になる脆弱性が開発元からアナウンスされました。既に対応版がリリースされています。該当するPowerDNSのご利用の方は、バージョン3.0.1または2.9.22.5への更新が必要になります。


kaito834:「スマートフォンの利用者を狙った悪質なサイトが、去年の7月ごろから増えている...中には、現金6万円を振り込んでしまった被害も確認されているということ...」 / ““ワンクリック詐欺”スマホでも NHKニュース” http://htn.to/t5XYGW


madonomori:更新: 深刻度“High”の脆弱性3件を修正した「Google Chrome」v16.0.912.75が公開 http://bit.ly/zU7JiZ

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
07-2017
SUN MON TUE WED THU FRI SAT
- - - - - - 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 - - - - -

06   08

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。