去年末から今年に入って大きな話題になった Gumblar 関連の騒ぎ。このところやつは Gumblar の亜種と言うよりも、同じドライブ・バイ・ダウンロードを使った別物で、8080 系と呼ばれたり、とはいえ手口や被害が似てるから、Gumblar 攻撃という名前で総称され…

SSL に関しては誤解が多い。「SSL だから安心」という言われ方をするが、正確には、「SSL だから、繋ごうとしたサイトに繋がっていて、第３者に通信内容を知られる心配は無い」ということであって、「かけた電話番号にちゃんと電話が繋がって、会話の内容を…

最近、redmine に興味を持って、あれこれ試していたのだが、こういった Web ベースのアプリケーションのユーザ管理や認証に関して不満が多い。確かに、さくっと入れてみて試す、とか、ちょっとしたグループで使ってみる、という時に敷居が低いメリットはある…

PDF ファイルのパスワード解析をするソフトの紹介記事があった。PDFファイルのパスワードを簡単に解析できる「PDFCrack」！ - 裏技shop DDこの記事自体は、特に問題ないのだが、最後の方に、 動作速度はそれなりといった感じですね。やっぱり6桁以上のパスワ…

最近はてブを付けたのだが、ハイバネーションファイルのセキュリティ上の問題を指摘しているページがあった。Windowsセキュリティ・ワンポイントレッスン 第1回 ハイバネーションの危険性同じ事なら、ページファイル（UNIX 系 OS ならスワップファイル、スワ…

3 年あまり使っていた前の機種が、バッテリパックがぐらつくようになって、ちょっとした衝撃で電源が切れるような状態になったので、今月に入って買い換えたのが、京セラ製の WX340K。２歳前の娘が悪戯するので、ロックが基本なのだが、前に使っていた WX310…

直近のコラム（世間の認識と脅威レベルのギャップ――XSSは本当に危ないか？：川口洋のセキュリティ・プライベート・アイズ（13） - ＠IT）で話題をさらった JSOC の川口さんの話が聞けたのは、非常に良かった。自分もはてブを付けた一人だけど、セキュリティ…

はてなブックマーク - ハギーが解説 目からウロコの情報セキュリティ事情：SSLを過信していませんか――ネットバンキングに潜む誤解とは (1/2) - ITmedia エンタープライズ高木さんの「↓」がどのコメントを刺しているのか分からないんだけど、たまたま直下にあ…

自分が無線LANを使わないので、いまいちピンときていない感じなんだけど、WPA-TKIPの一部がアウトらしい。そもそも、無線 LAN 周りの規格って、メーカー先行の規格があったり、名称がどんな実態を表すのか分かりづらかったり。「TKIP」なる言葉があることは…

question:1203251805「暗号化」というものの理解の難しさ。「暗号化」が実際に使われる場面で、「通信に対する暗号化」と「保存されているデータの暗号化」の２つがあって、通信を丸ごと暗号化するのが、一般に「SSL」や「TLS」と呼ばれる暗号化。さらに、通…

脆弱性は気にしない？ PCユーザーの大半がパッチ修正を未適用 - ITmedia エンタープライズこの記事、タイトルだけを見ると「未だに Windows Update すらしない人がこんなにいるのか？」と思ったら、中身を読むと「アプリケーションのパッチ」の話。この話を…

セキュリティの教科書に出てくるような話だけど、セキュリティの強度は Weakest link、つまり、一番弱いところで決まると言われ、もっとも Weakest Link になりやすいのは人間だ、というのがあるけど、人間に対するセキュリティコントロールぐらい難しいもの…

PS3で米大統領選の結果を「正確に」予知?…実はMD5脆弱性への問題提起 | スラドMD5 がハッシュ関数として、そろそろ危ない、という話は以前からあったけど、実例をまじまじと見せられたのはこれが初めて。10 個の PDF ファイルがすべて同じ MD5 値で、かつ、…

個人情報保護法の制定の時に、まことしやかに「病院で名前を呼ぶのは個人情報保護法上、問題がある」なんてことを言われたが、最近、遙かに深刻な過剰反応を耳にした。某メーカーの社員が PC を紛失した。このことにより、このメーカーは多くの顧客から取引…

情報処理技術者試験でこの春に新設になった科目の「テクニカルエンジニア（情報セキュリティ）」。無謀にも、一切の試験勉強なしにチャレンジしてみました(^^;。印象としては、まぁ、普通かな。午前の試験では妙にデータベースに関する問題が多かったのと、…

http://www.itmedia.co.jp/enterprise/articles/0510/18/news018.html web archive: ITmedia エンタープライズ：Firefoxのバグの実証コードが公開(Shifr_JIS)「セキュリティ上の問題」とされる事象のひとつに DoS（Denial of Service）があるけど、昔だった…

残念でした - JULYの日記どうも最近、ssh に対するブルートフォース・アタックがはやっているらしい。前に、１時間半ものの間、アタックされていいたのを書いたが、今度は 7/21 18:56:24（日本時間）から 23:48:24、約５時間に渡ってずーっと、ムダなアタッ…

日本時間で 6/2 23:03:36 〜 6/3 0:36:54 の間、私の弁当箱サーバに一生懸命アタックしていた方がいらっしゃいました(^^; 弁当箱サーバは外から ssh でつながるようにしていて、以前から ssh でのログインをトライしているログは見ていたのだが、今回はたま…

今年 4/1 の個人情報保護法の施行で、病院で名前を呼ばずに受け付けの番号で呼び出す、という話があるんだけど、施行後に病院に行ってないんで実態は知らないが、それにしてもなにか違和感が...。一応、「情報セキュリティアドミニストレーター」の資格を持…

今日、情報セキュリティアドミニストレータ試験を受けてきたんだけど、大盛況だったなぁ。春にテクニカルスペシャリスト（システム管理）を受けたときなんか、札幌の会場で 100 人ぐらいだったと思ったけど、今回は、受験番号ベースで 1000 人近く。実際に試…