パスワードを忘れた? アカウント作成
325438 submission
ニュース

巫女プログラマー、サービスを独断で停止し、警察沙汰に 308

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
巫女プログラマー?のYuzuさんが勤務先のサービスにおいて、パスワード再発行フォームのメールアドレス入力画面にSQLを仕込むと全ユーザーの情報を引き出したりできるといった致命的なセキュリティーホールを発見し、 本人の独断でサービスを停止した結果、会社に警察が来るという状況になっているそうだ。
271839 submission
セキュリティ

就活サイトで生パスワードをメールで送ってくる企業ってどうよ 85

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
はてなのAnonymous Diaryで「平文メールにパスワードを書いて送ってくる糞企業一覧」というエントリーが話題になっている。曰く、リクナビでJR東海にエントリーしたところ、「○○様 ID:12345678 パスワード:mypassword こんにちは!JR東海人事部です。」というメールが到着したのだそうだ。しかも、定期的にパスワードがメールで送られてきたとのこと。同様のサイトは他にもあって、いくつもの大企業の名前が挙っている。こういうのはどうにか潰せないものだろうか。
264513 comment

yurieのコメント: Re:どんなソフトでもユーザーに言い訳させちゃダメ (スコア 2, 興味深い) 106

貧乏学生にとって無料というのは最高のアドバンテージです

Calcでデータまとめて
Writerでレポート書いて
Mathで数式書いて
Drawで図を書いて
Impressでスライドつくってpdfに変換して発表しています

いいソフトだと思いますよ。Office97から乗り換えているのでそう思うだけかもしれませんが

190561 submission
GNU is Not Unix

GNU gzipに脆弱性、1.4リリース 38

タレコミ by Elbereth
Elbereth 曰く、
JVNのJVNVU#188937 GNU gzip における複数の脆弱性経由で知ったが、GNU ProjectのGNU gzip — News: gzip-1.4 released (stable/security)によると、GNU gzip 1.3.14 ~1.3.3 のバージョンに複数の脆弱性があり、修正がされた1.4がリリースされたとのこと。 この記事によると、脆弱性のあるバージョンでは、細工された gzip 圧縮ファイルを処理させることで、サービス運用妨害 (DoS) 攻撃を受けたり、ユーザの権限で任意のコードを実行されたりする可能性がある。また、脆弱性の一つは、64-bitシステム上でのみ影響を受ける模様。 gzip 1.3.3のリリースは2002年3月8日で、1.3.14は2009年10月30日のリリースなので、かなり長期間のものが対象になる。 ※なお、2/5 03時現在でCODEZINEの記事では「2009年10月に公開されたバージョン1.3.3以来の安定版」と書かれていますが、これは1.3.14のことと思われる。
190419 submission
インターネット

警察庁がWinny等の「観測システム」を正式運用開始と発表 75

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
時事通信の記事共同通信の記事INTERNET Watchの記事などによりますと、警察庁が、WinnyとShareのファイル共有ネットワークのファイル流通実態を把握するための「観測システム」を、今年1月初めから本格稼働したと2月4日に発表したそうです。この「観測システム」は昨年3月ごろから試験運用を開始していたのだそうで、Shareについて、1日あたり95万個が流通していたファイルが、2009年11月30日の一斉取り締まり後に約5万個減少したのを観測したとのことです。また、ノード数についても、一斉取り締まり後に約1割減少し、2010年1月1日の改正著作権法施行後に約2割減少したのを観測したとのことです。 したのを観測したとのことです。

情報元へのリンク
189262 submission
著作権

iTunes Storeで販売されているPerfumeの楽曲、「無断配信」だった 77

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
ITmediaが報じるところによると、iTunes Storeで販売されているPerfumeのアルバム「GAME」は、レコード会社である徳間ジャパンコミュニケーションとは関係ない者によってアップロード/販売されているものだったことが判明したそうだ。

これらの楽曲は、配信元が「Tukuma Japan Communications」となっているほか、説明文などがすべて英語表記になっており、徳間ジャパン側も「違法アップロードだ」と述べているとのこと。
187272 submission
携帯通信

UMTS 3GとGSMの音声暗号、それぞれ解読される 19

タレコミ by 90
90 曰く、

いささか旧聞ですが、本家記事Mobile: Second 3G GSM Cipher Crackedによれば

3G GSMにおいてトラフィックの安全性を保つ"Kasumi"暗号が新しく開発された解読法によって破られた。related-key attackというこの方法によって完全な復号鍵が得られるという。Kasumiが即時に危険な暗号となるようなことはないという。"Misty"と呼ばれる暗号の改良版であるこの暗号はA5/3とも呼ばれ、3G GSMにおける通信暗号の標準となっている。論文は"この論文ではsandwitch attackという新しい攻撃を提示し、それにより8つあるKASUMIのラウンドのうち7つを2^14という驚くべき高い確率で発見する単純な手順を組み、残り一つを解析することで、4つのrelated key、2^26のデータ、2^30バイトのメモリ、2^32の時間で128bitの完全なKASUMI復号鍵を発見できる。複雑さは非常に小さく、攻撃のシミュレーションは一台のPCを用いて2時間以内に完了し、実験的にその正しさと複雑性を確認した"と述べ、手法は一般のPC上で容易に実装できるとしている。

とのことである。また同じく本家記事IT: GSM Decryption Publishedによれば

NY Timesの記事によれば、ドイツの暗号専門家Karsten Nohl氏が今年で21歳になる、世界中のデジタル携帯電話で使われるGSMの暗号を解読し、公開したようだ。彼によればこれは43億の無線通信のうち35億を占めるシステムの脆弱性を示す試みであるという。GSMに使われるA5/1暗号化はすでに解読されているが、公開されたのはこれが初めてだ。Chaos Communication Congressに参加した約600人の前で氏は"これはGSMのセキュリティが不十分であることを示すものだ"と語り、"我々はキャリアにもっとセキュリティを改善するよう働きかけている"とした。ロンドンに本部を置き、アルゴリズムを採用したGSM AssociationはNohl氏の行為は違法であり、無線での電話に関する脅威を誇張しているという立場を取っている。スポークスマンのClaire Cranton女史は"これは理論上は可能だが現実的でない"とし、採用以来ほかに誰も破ったものはいないとした。CellCryptのCEO、Simon Bransfield-Garth氏は"彼のすることは英国と米国においては違法であり、プライバシーを念頭においてこういった行為をするというのは理解できない"と述べ、彼の行為が現在は政府と諜報機関にのみ広まっていた携帯電話の通信傍受技術を発展させ、大規模な犯罪組織もこれを備えられるることになるかもしれないという懸念を示し、"GSMの会話を破るのに要する時間は数週間から数時間に縮まるでしょう"とし、"最終的には分の単位まで縮むと思います"と言った。

ということで、いつのまにか電話をかけると「機密保持のため回線を切らせていただきます。ご協力ありがとうございます」といわれる日が来ていたようです。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...