パスワードを忘れた? アカウント作成

過去1週間(やそれより前)のストーリは、ストーリアーカイブで確認できますよ。

13628524 journal
日記

beroの日記: 広告OK、採掘ダメ、という人はweb広告知らないんじゃないか 6

日記 by bero

web広告OK、採掘ダメ、という人は
おそらく民放TVや雑誌等の既存メディアのアナロジーから、コンテンツを見る対価として広告を見させられるのは「社会的に許容し得る(既に許容されている)」、後者はそうではない、と考えているのではないかと思いますが、
webでは一見広告に見えるものが裏で何をしているのか把握していないのではないでしょうか?

ネット広告 閲覧者の情報収集「端末」「個人」危うい結合

13624031 journal
スポーツ

enoqの日記: J2第19節 愛媛戦

日記 by enoq

DAZNにて観戦

・前半から両チームテンション高くプレスを掛け合い、それを躱していくという
  目まぐるしい展開。カウンターからひやひやするシーンもありましたが、
  セットプレーから高木が押し込んで先制。
・後半も前半と同様テンション高く進み、カウンターからのイブスキーのクロスを
  ラリベイが流し込んで2点目。終了間際に押し込まれてバイタルがぽっかり空いた
  ところをゴラッソなミドルをくらって失点するもなんとか逃げ切り。久々の勝利です。

審判が接触にわりと寛容だったので球際の強度がどちらも高く、どちらに転んでも
おかしくないゲームでしたが勝ち切れました。
あとグッピーが本当に楽しそうにサッカーしていたのをみて感傷的になったり。

13620239 story
セキュリティ

サイトにCoinhiveを設置していたサイト管理者、不正指令電磁的記録取得・保管罪で摘発される 221

ストーリー by hylom
裁判にして司法の場で争うべきでしょうね 部門より

Webブラウザ上で仮想通貨の採掘を実行させる「Coinhive」を自身の管理するWebサイトに設置していたとあるWeデザイナーが、不正指令電磁的記録取得・保管罪で家宅捜索や取り調べを受け、罰金10万円の略式命令を受けていたことを報告しているITmedia)。

この問題についてはセキュリティ研究家の高木浩光氏がまとめているが、Coinhiveの設置が不正指令電磁的記録取得・保管罪に該当するかどうかは明確ではなく、今回の摘発は不適当である可能性がある。

こういった「Coinhiveの摘発」はこの一件だけではなく、「合同捜査本部があって複数の県警に事件が割り振られており、結構な人数が検挙されているらしい」という話があるようだ。また、ウイルス対策ソフトウェアなどを提供しているメーカーがこういった仮想通貨採掘スクリプトについて過剰に危険だと煽っているとの指摘もある。

13616130 story
インターネット

上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる 62

ストーリー by hylom
スラドですらちゃんと買っているのに 部門より

無償でSSL/TLS証明書を提供するサービス「Let's Encrypt」の利用が広まっているが、このサービスで発行された証明書を利用する上場企業や官公庁が登場したことが一部で話題になっている(上原哲太郎氏のTweetShigeki Ohtsu氏のTweet)。

SSL/TLS証明書の役割の1つは暗号化通信に利用するための鍵を提供することだが、別の役割としてその接続先を保証するというものもある。Let's Encryptは接続先サーバーがそのドメイン名に適切に紐づけられていることについては保証するが、証明書の所有者については保証しない。そのため、企業などでの利用には適さないとされている。

(以下、追記と訂正@6/8 0:55)セキュリティ研究家の高木浩光氏によると、「TLS(SSL)における証明書の役割は中間者攻撃を防ぐことであり、それを上回りもしないし下回りもしない。(実在証明の機能はTLS(SSL)の機能ではない。)」とのこと(指摘Tweet)。

SSL/TLS証明書にはドメインの認証のみを行うDV証明書と運営者の実在性審査を行うOV証明書、厳格に運営者の審査を行うEV証明書があるが(解説記事)、高木氏によるとOV証明書は無意味とのことで、DV証明書を利用するのであれば無料の証明書でも十分だという。そのため、企業サイトにおけるLet's Encryptの証明書の利用も問題ないようだ。

13603062 story
YRO

Coinhiveを設置したサイトの運営者が不正指令電磁的記録供用の疑いで捜査されるトラブルが発生中? 101

ストーリー by hylom
何が悪いんだ 部門より

Webブラウザ上で仮想通貨の採掘(マイニング)を実行させるサービス「Coinhive」を利用したWebサイトの運営者が警察に捜査されるというトラブルが発生しているとして、セキュリティ研究家の高木浩光氏が情報提供を呼びかけている

Coinhiveについては海賊版サイトなどが収益のために採掘コードを設置するケースがあったほか(過去記事)、広告ネットワークを経由して不正に採掘コードを第三者のWebサイトに埋め込むといったトラブルが発生していた。

一方でサイト運営者が広告などに代わる収益源として、利用者の同意を得た上で利用するケースも少なくない。たとえば豪UNICEFはCoinhiveを利用して仮想通貨を採掘し、その結果を寄付するWebサイトを開設しているほか、広告を表示する代わりに仮想通貨の採掘をさせるという試みも登場している。

13582559 story
テクノロジー

ハッキングなどの情報を提供していたサイト 「Wizard Bible」、検察からの圧力で閉鎖 41

ストーリー by hylom
日本ではサイバーセキュリティ研究は無理だったか 部門より

ハッキングなどに関する技術情報を提供していたWebサイト「Wizard Bible」が、4月22付で閉鎖した。Wizard Bibleは2003年にスタートしたWebマガジンで、主催のIPUSIRON氏だけでなく、複数のエンジニア・研究者などがセキュリティやハッキングなどに関連する記事を寄稿していた。

同サイトの告知によると、閉鎖の理由一部の記事が「不正指令電磁的記録提供」に該当すると判断され、検察から閉鎖を要求されたという(現在これらの説明は削除済み)。「問題のある記事が投稿された場合、記事の内容を改めたとしても、投稿者のPC内のそのファイルが存在するのでアウト。通報しなければならない」「アンダーグラウンドな内容を含むWizard Bibleを続けることは反省が足りない」などとされたという(eagle0wl氏のブログ)。

また、2017年にフィッシングサイトを開設した高校生が逮捕されるという事案があったが(河北新報)、この高校生がWizard Bibleに寄稿していたという話もあるようだ。

この事件を受けて、セキュリティ研究者の高木浩光氏は「本件は別にしても、不正指令電磁的記録の罪については、このところ妥当性を欠く検挙例の話が聞こえてきており、いよいよ放置できない段階に来た」とコメントしている。

13582163 submission
テクノロジー

ハッキングなどの情報を提供していたサイト 「Wizard Bible」、検察からの圧力で閉鎖

タレコミ by hylom
hylom 曰く、
ハッキングなどに関する技術情報を提供していたWebサイト「Wizard Bible」が、4月22付で閉鎖した。Wizard Bibleは2003年にスタートしたWebマガジンで、主催のIPUSIRON氏だけでなく、複数のエンジニア・研究者などがセキュリティやハッキングなどに関連する記事を寄稿していた。

同サイトの告知によると、閉鎖の理由一部の記事が「不正指令電磁的記録提供」に該当すると判断され、検察から閉鎖を要求されたという(現在これらの説明は削除済み)。「問題のある記事が投稿された場合、記事の内容を改めたとしても、投稿者のPC内のそのファイルが存在するのでアウト。通報しなければならない」「アンダーグラウンドな内容を含むWizard Bibleを続けることは反省が足りない」ということだという(eagle0wl氏のブログ)。

また、2017年にフィッシングサイトを開設した高校生が逮捕されるという事案があったが(河北新報)、この高校生がWizard Bibleに寄稿していたという話もあるようだ。

この事件を受けて、セキュリティ研究者の高木浩光氏は「本件は別にしても、不正指令電磁的記録の罪については、このところ妥当性を欠く検挙例の話が聞こえてきており、いよいよ放置できない段階に来た」とコメントしている。
13581169 journal
スポーツ

enoqの日記: J2第10節 福岡戦 1

日記 by enoq

気候はすっかり初夏のレベスタにて観戦

・スタメンは前節と変えずの4411。高木がベンチに復帰です。
  選手入場後の最後のアップでエベルトが何故か痛んでいて
  いやーな予感がしましたが案の定最初にPKで失点後、直ぐに
  取り返したもののその後は悪い意味でエベルトオンステージ orz
  ファウルスロー連発にオウンゴールにイエローにと明らかに一人
  だけ試合に入れてない感ありあり。
・後半はエベルト->高木。前半の出来を見てたらしょうがない。
  が開始早々にハイラインの裏を取られて失点。その後は茶島->小島
  ラリベイ->為田とカードを切るもしっかり守られて終了

エベルトの不出来が痛かったのは確かではありましたが、相手プレス
をいなせずこちらのプレスは交わされ、ラリベイもボールを収められない
とあれば完敗と言えるでしょう。あとはイブスキーを投入出来る交代枠が
後一つあったらなぁ(慨嘆

13581170 submission
スポーツ

J2第10節 福岡戦

タレコミ by enoq
enoq 曰く、

気候はすっかり初夏のレベスタにて観戦

・スタメンは前節と変えずの4411。高木がベンチに復帰です。
  選手入場後の最後のアップでエベルトが何故か痛んでいて
  いやーな予感がしましたが案の定最初にPKで失点後、直ぐに
  取り返したもののその後は悪い意味でエベルトオンステージ orz
  ファウルスロー連発にオウンゴールにイエローにと明らかに一人
  だけ試合に入れてない感ありあり。
・後半はエベルト->高木。前半の出来を見てたらしょうがない。
  が開始早々にハイラインの裏を取られて失点。その後は茶島->小島
  ラリベイ->為田とカードを切るもしっかり守られて終了

エベルトの不出来が痛かったのは確かではありましたが、相手プレス
をいなせずこちらのプレスは交わされ、ラリベイもボールを収められない
とあれば完敗と言えるでしょう。あとはイブスキーを投入出来る交代枠が
後一つあったらなぁ(慨嘆

13572328 story
セキュリティ

「英単語の一部を規則的に記号に置き換えたパスワード」は安全ではない 53

ストーリー by hylom
結局文字長を長くするのが一番なのよね 部門より

日テレNEWS24で「安全なパスワードの作り方」として安全でないパスワードの作り方を紹介していたことが話題になっている

紹介されていたのは、「アルファベットの代わりに似ている記号や数字を使う」というもの。「情報提供:トレンドマイクロ」となっているが、昨今ではこのような手法を考慮した総当たり攻撃が行われているため、あまり意味はないという。これに対しセキュリティ研究者の高木浩光氏は正しい「安全で覚えやすい」パスワードのつけ方として、「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」を提案している。

13559857 journal
スポーツ

enoqの日記: J2第6節 京都戦

日記 by enoq

DAZNにて観戦

・前節からは怪我の高木を含め、山本, 勇人, ラリベイoutで
  杉山, 溝渕, 茶島, イブスキーinの3421継続。オーストラリア代表の
  ゲリアがベンチ入りです。清武が足首を痛めて為田に交代。その直後に
  溝渕からのクロスでエベルトが飛び込んでヘッドで先制、イブスキーの
  突破からもらったセットプレーの流れで熊谷が追加点。
・後半は京都さんがトゥーリオさんを一列前に上げてきましたが、
  特に流れは変わらず。鳥海が筋肉を傷めてゲリアに交代し、ゲリアは
  左SBに入って4141へ移行。ゲリアが慣れない左SBやっているせいか、
  熊谷が引っ張られてやや危ないシーンも作られますが大過なくゲーム
  をクローズ。連勝でございます。

けが人が地味に増えてきました。まだ回せてますがどうなることやら。
あと隙あらば4141にしようとするエス将。

13556700 journal
スポーツ

enoqの日記: J2第5節 讃岐戦

日記 by enoq

DAZNにて見逃し配信を観戦

・近藤, 鳥海, 山本, ラリベイがスタメン復帰で 清武, 勇人, 船山が今季
  初スタメンの3421ダブルボランチに布陣を変更。高木のミドルがオフサイド
  になるということもありつつ、ボールをしっかり握りショートコーナーから
  高木がヘッドで決めて先制。その後もしっかり
・後半からは清武, 船山, 茶島, ラリベイ, 山本とケチャドバ状態。ロス
  タイムに一点返されるものの今季初勝利でございます。

やっぱりダブルボランチのほうが戦い方が安定しますわね

13544799 story
プライバシ

個人情報保護委員会が主催するイベントのWebサイト、個人情報保護の視点が足りず盛大に批判される 41

ストーリー by hylom
怒れる気力があってすごい 部門より

セキュリティ・プライバシ関連研究家の高木浩光氏が個人情報保護委員会の主催するイベントWebサイトに対し、個人情報保護の視点から不備が存在すると指摘している(個人情報保護委員会ゥァア゛ーッ ドガシャア)。

このサイトにはイベント参加申込のために氏名や社名、メールアドレスなどの情報を入力するページがあるのだが、ここに表示されている「個人情報の取り扱いについて」という項目においては取り扱い主体の記載が記載されていない。個人情報保護委員会は一昨年にもイベントの告知サイトで同様に個人情報の取り扱い主体をを記載しないという問題を起こしていたという。

また、このサイトで使われているドメインが.go.jpでない点についても指摘が入っている。

13544679 submission
セキュリティ

【高木先生】個人情報保護委員会ゥァア゛ーッ ドガシャア【ブチギレ】

タレコミ by Anonymous Coward
あるAnonymous Coward 曰く、
セキュリティ研究者の高木浩光氏こと、スラド民jbeef (1278)先生が、個人情報保護委員会を名乗る謎のサイトについて ブチギレ 警告を行っている

このサイトは、https://nintei-symposium.jp/ という。

誰がこのサイトを運営しているのか不明。シンポジウムの主催者すら書いてない(略)
個人情報保護委員会が公認する「直接書面取得時の利用目的明示義務」(個人情報保護法18条2項、行政機関個人情報保護法4条)の実施例ですよー!

  • スクロールバーで行数少なめに抑えたテキストエリアでかっこよく告知事項を表示。
  • 「本展関係のご案内」という“消費者”*2にすごく意味のわかる利用目的の特定及び明示。
  • まったくどこにも書いてないのにどこだかわかって当然よね「当社」との記載。

(略)今回が初じゃない。2度目だよ。一昨年2月の「個人情報の保護と利活用を考えるシンポジウム」とやらでも、同じことをやらかしていた。
取得主体が個人情報保護委員会であるなら、.go.jp(政府ドメイン名)に置かないと、「政府機関の情報セキュリティ対策のための統一基準」の遵守事項(6.3.2(1))違反

その上で、jbeef先生は

反省する気があるなら今すぐこのサイトを閉じろ。同じ過ちを繰り返さないための組織的対策を講じろ。

と締めている。

だが、ちょっと待って欲しい。このサイト実は個人情報保護委員会を名乗るだけでフィッシングサイトの可能性はないだろうか?タレコミ子が確認した限り、確信が得られなかった。

証明書はACMでお手軽に作っただけ。実在認証が一切無い。Wihosではコプロシステムという会社の所有になっており確認できない。なにより、個人情報保護委員会のページには最近「個人情報保護委員会」を名乗って情報を集めるなどのされていると言う警告がなされている。
このように偽サイトであると考えればこれらのお粗末な対応も納得ができるのではないだろうか?偉い人もっと調べて欲しい


情報元へのリンク
13524264 journal
日記

kamiyamaの日記: メモ20180210

日記 by kamiyama
読んだもの
  • Amazonの方からきました~Amazonから薄い本を出す方法 (鈴木みそ、Amazon.co.jp)
    KDP(kindle direct publishing)の方法についてまとめたもの。
    気になったところ:コンテストに応募済みの作品でも販売できます。
  • からかい上手の高木さん vol.8 (山本崇一朗、小学館)
    最初はバレンタインの話。個人的には中学生のころのバレンタインデーが一番ドキドキしてた気がする。まあ別になにもなかったけどな。
13499902 story
プライバシ

ネットへの投稿を収集して分析し、人材を求める企業に提供するサービスが登場、合法か違法か 60

ストーリー by hylom
適法にやる手段はあるだろうに 部門より

SNSやブログへの投稿やプロフィールを収集し、それをその投稿者に無断で企業に提供するというサービスがあるそうだ(NHK)。

このサービス「scouty」は、公開されているブログやSNSなどから情報を収集し、それらをまとめたものを人材を募集している企業に提供するというもの。レポジトリ共有サ―ビスや技術情報共有サービス、SNS、イベント情報サイト、個人ブログなどから情報を取得しているとのこと。

いっぽう、セキュリティやプライバシ問題の研究者である高木浩光氏はこのサービスに対し「違法では?」と疑問を呈している。同社はWHOIS情報から連絡先を集めていると公言しているが、これはWHOISの利用規約違反となる可能性があるという。さらに、情報が収集されることを希望しない個人に対してはデータの削除申請を受け付けるとしているものの、同社のプライバシーポリシーでは利用停止の条件として「あらかじめ公表された利用目的の範囲を超えて取り扱われているという理由又は偽りその他不正の手段により取得されたものであるという理由」が必要とされているなど、このサービスでは適切に個人情報を取り扱っているのかという点において疑問があるようだ。

13499417 submission
プライバシ

ネットへの投稿を収集して分析し、人材を求める企業に提供するサービスが登場、合法か違法か

タレコミ by hylom
hylom 曰く、
SNSやブログへの投稿やプロフィールを収集し、それを投稿者に無断で企業に提供するというサービスがあるそうだ(NHK)。

このサービス「scouty」は、公開されているブログやSNSなどから情報を収集し、それらをまとめたものを人材を募集している企業に提供するというもの。レポジトリ共有サ―ビスや技術情報共有サービス、SNS、イベント情報サイト、個人ブログなどから情報を取得しているとのこと。

いっぽう、セキュリティやプライバシ問題の研究者である高木浩光氏はこのサービスに対し「違法では?」と疑問を呈している。高木氏は同社がWHOIS情報から連絡先を集めていると公言している点についてWHOISの利用規約ではないかとしているほか、また、情報が収集されることを希望しない個人に対してはデータの削除申請を受け付けるとしているものの、同社のプライバシーポリシーでは利用停止の条件として「あらかじめ公表された利用目的の範囲を超えて取り扱われているという理由又は偽りその他不正の手段により取得されたものであるという理由」が必要だという。これ以外にもこのサービスでは適切に個人情報を取り扱っているのかという点で疑問があるとのことだ。
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...