‘セキュリティ’ タグのついている投稿

Flash ? No Thank You : HTML5

 トピック,
 公開日:2015年7月15日

 Flashにダメ出しが続いているようです。
「AdobeはFlash終了の日を発表すべき」とFacebookのセキュリティ担当が発言
凶悪な脆弱性が発見されたFlash PlayerをFirefoxが標準でブロック開始

 思えば三年半くらい前にこんな記事を書いていたりしました。
今までよくもったと言うべきか。
遅かれ早かれオワコンになるのは間違いなさそう?

Lenovoの悪質アドウェアの件

 トピック
 公開日:2015年2月22日 / 更新日:2015年2月23日

★2015年2月23日追記

 SSL証明書を発行する企業が証明書を偽造する悪質なアドウェア「Privdog」を販売していたことが判明

 「COMODO Internet Security」などの開発元が
悪質アドウェアを販売してるとは・・・。
やれやれだぜ。
フリーソフトとかに同梱されたりしたら目も当てられませんね。

 Lenovo製品のPCの一部にプリインストールされている
アドウェア「Superfish」に深刻な問題が確認された
と報道されているようです。

ざっくりと記事を拾ってみました。
Lenovo製PCに入っている極悪アドウェア「Superfish」はどれだけヤバイのか?
Lenovoに悪質アドウェアがプリインストール
Lenovo製品にプリインストールされているアドウェアSuperfishに関連する情報をまとめてみた
Superfishが危険な理由

 セキュアな通信に割り込んで、
偽の秘密鍵を使って偽の証明書を発行するという感じらしい。
その秘密鍵はアドウェア内にあるので、
それを取り出すことは可能なようです・・・。
もはや秘密でも何でもなくなりますねΣ( ̄ロ ̄lll)
すでにクラックされたようなので証明書は破棄しないとまずいですね。

 Superfishが登録されてしまっているかどうかは
こちらでチェックできるようです。
10秒ほど待つと結果が表示されるようです。
私のPCはLenovoじゃないので問題なしでした。

 ちなみにLenovoはこんな会社です。
米国政府機関が安全保障上の懸念を表明してたりします。
・・・なるほど(^_^;)
日本のあの会社と事業統合してるらしいのですが、
そっちの製品は大丈夫?(^_^;)
カノ国謹製の通信チップとかも・・・な噂があったりなかったり(^_^;)

bashがやばい

 トピック
 公開日:2014年9月25日

Linuxとかで標準的に使われているシェルである「bash」に
重大な脆弱性が発見されたそうです。
手順が簡単なのに効果が絶大だそうです・・・((((;゚Д゚))))ガクガクブルブル

ざっくりとリンクを拾ってみました。
UNIX系のソフト「bash」に重大バグ、システム乗っ取りも
「bash」シェルに重大な脆弱性、主要Linuxでパッチが公開
BASHの脆弱性でCGIスクリプトにアレさせてみました
先程から騒ぎになっているbashの脆弱性について
bashの脆弱性がヤバすぎる件

バッシュといえば、
バスターランチャーHMなこいつとか、

こいつな感じ?(^_^;)

@PAGESでユーザ情報流出

 つぶやき, トピック,
 公開日:2013年8月29日 / 更新日:2013年9月5日

このサイトは、
無料ホームページをサービスしている@PAGES
利用させてもらっています。
CGIだけでなくPHPやデータベースが使えたりして重宝しているのですが、
残念ながらユーザー情報が流出してしまったようです。
こちらにお詫びが出ています。

つい先日、
2chでクレカ流出とかあったばかりだったりします。
自分は全く関係なかったのですが、
その流出情報のスクリーンショットを見ると、
@PAGESのも書いてあったりしました・・・(^_^;)

@PAGESでの流出内容と影響範囲は以下のようになっています。

[text]
※流出内容

ユーザ名
パスワード
メールアドレス
登録時のIP
登録時のユーザエージェント

※影響範囲
2013年2月27日午後3時以前に登録したユーザ全員
[/text]

自分も見事に該当しておりました・・・Σ( ̄ロ ̄lll)
メールアドレスが流出したのはちょっと痛いかも。
スパムとかいっぱい来そうです(T_T)

2chのスレによると、
パスワードは平文で記録されていたようです。
セキュリティ的にありえないですね(怒#
そんなわけで強制リセットされましたので、
再発行の申請となりました。
流石に今度はハッシュして記録するようにしたようです。

どうやら、
8月21日頃に流出して、
8月28日に対処されたようなので、
この期間にファイルをぶっこ抜かれたかもしれません。
少なくとも可能性はあるわけです。
WordPressやDBとかのパスを速攻で変更しておきました。
自分の場合は個人情報的なファイルは置いてなかったので、
大丈夫だとは思うのですが・・・うむぅ。

★追記。

ロリポップとかもヤラレタようです。
クロスサイトスクリプティング(XSS)の脆弱性を突かれたっぽい?
なんか大規模に攻撃が来ている雰囲気?

国内Webサーバーの大規模改ざん発生中!

 トピック
 公開日:2013年3月18日 / 更新日:2014年1月21日

BHEK2 (Blackhole Exploit Kit Version 2) による改ざんだそうです。
結構ヤバめっぽい雰囲気です。

どうやら、
IEとセキュリティパッチ未適用のJava/Flash/PDFの組合せで
攻撃される模様です。
IEのバージョンはIE6らしい?

詳しくは、ここここここを参照してください。
3番目のサイトが非常に詳細に解説しています。
改ざんされてしまった285個のサイトの一覧も載っているので、
これらのサイトには当面アクセスしないようにした方が良いですね。

該当サイトは hosts ファイルに
127.0.0.1 aaa.bbb.ccc
とか書いておけば、とりあえずは安心なはず。
DNSへ問い合わせる前にIP解決できるようになるので。
ちなみに、「127.0.0.1」の解説はこちらとかで。
なお、hosts ファイルは read-only 属性にしておいた方が良さげですよ。

IE6なんて古いのを使ってる人は
あまり居ないんじゃないかとは思ってたんですが、
現状の結果がこんな状況なので、
十分に対策しておいた方が良さそうですよ、皆さん!