Mac OS X Sudo Password Bypass ≈ Packet Storm If your session belongs to a user with Administrative Privileges (the user is in the sudoers file and is in the "admin group"), and the user has ever run the "sudo" command, it is possible to be…

BREACH ATTACK breachattack.com/resources/BREACH - SSL, gone in 30 seconds.pdf HTTPの圧縮機能を用いて、HTTPS上の通信をみてCSRF tokenなどの秘密を推測することができるという脆弱性。以前CRIMEという脆弱性があったのだが、あれはHTTPSの圧縮機能とい…

ニュース - Facebookの脆弱性、発見者がZuckerberg CEOのウオールを使って証明：ITpro 友達以外のウォールにも書き込みできるという脆弱性だった模様。報告者の動画見た感じだと、HTMLを書き換えてpostするだけでできていたっぽい。既に修正済みとのこと。以…

Rails SQL injection vulnerability: hold your horses, here are the facts – Phusion Corporate BlogPhusion Corporate Blog Let Me Github That For You | Lands of Packets CVE - CVE-2012-5664 (under review) User.find_by_name('foo', :select => 'id…

Firefox, Opera Allow Phishing by Data URI Claims New Paper - ParityNews.com: ...Because Technology Matters data URIで任意のHTMLを表現できるのでフィッシングできるよという話。さらに、URL短縮サービスを利用すれば、URL短縮サービスがフィッシング…

MySQL/MariaDBにバグ、256分の1の確率で間違ったパスワードでも認証されてしまう | スラッシュドット・ジャパン セキュリティ どんなバグかなと思ってリンク先を見ると my_bool check_scramble(const char *scramble_arg, const char *message, const uint8 …

At 8:49am Pacific Time this morning a GitHub user exploited a security vulnerability in the public key update form in order to add his public key to the rails organization. He was then able to push a new file to the project as a demonstrat…

Sudo format string vulnerability Sudo 1.8.0 introduced simple debugging support that was primarily intended for use when developing policy or I/O logging plugins. The sudo_debug() function contains a flaw where the program name is used as …

警察は、コンピュータ犯罪に使われた＆狙われたソフトのソースコードを公開すべき いわゆる、フル・ディスクロージャ＝完全情報公開。 もちろん実際それは難しかろうし、現実的には第三者のプロを選任して意見を求めるってところだろう。たとえば医療過誤の…

大口委員：その説明がない場合を問題にしているわけでございますけども……。まあ、そういう事例もあると。それから、プログラム業界ではバグがつきものだと、バグのないプログラムはないと言われております。そして、たとえば無料のプログラムですね、このフ…

大量ふぉぼに関連してOAuthについてのいろんな意見 - Togetterまとめ Edit - 4ji.ssig33.com 「利用目的が明記していない」→「何に使ってもよいことに同意したことになる」というのは通らないんじゃないかな。企業が個人情報を使って変なことをしていた場合…

DPIは悪なのか?「ネット全履歴もとに広告」総務省容認 課題は流出対策」について思うこと。：ASSIOMA：ITmedia オルタナティブ・ブログ なんだかISPを擁護しすぎな気がする。前半部分の DPI技術そのものは悪い技術ではないよ 総務省は無条件に容認したわけで…

おいAmazonがパスワード前方一致でログインできるぞ:アルファルファモザイク もうずっと人大杉 自分は再現できなかった。 再現できたと主張している人のほとんどが8文字以上 8文字以上でも再現できない人もいる 以前は4〜8文字を推奨していた 643 ： グロー…

webサイトにログインするときに，パスワードの入力欄は入力しても通常「****」のように隠されてしまうのだが，それがユーザビリティ的によくないと大御所の人が指摘している． Alertbox: パスワードを隠すのをやめよう（2009年06月23日） Schneier on Securi…

[を] Mac OS X から ssh 接続してもすぐ切れちゃう問題に対処そう言えばうちの環境でも切れていたなあと．で以下の記事を参考にされているkeep-alive for sshHeartbeatが推奨されているんだけども，パッチ当てたくないないしなあと．あと，記事が古すぎるの…

Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。 Atom や RDF を利用したXSS - 葉っぱ日記 そもそもIEがContent-Typeを無視するということを知らなかったので，ちょっ…

秋元@サイボウズラボ・プログラマー・ブログ: プリンターが印刷する隠し追跡コードの問題偽札防止のために印刷日時やシリアルナンバーなどの情報を黄色いドットでプリンタが自動的に印刷してしまうという話．けど，印刷日時とかってたいした個人情報ではない…

Official Blog: Cookies: expiring sooner to improve privacyいままで2038年までだったのが2年後までに変更される．まあgoogleでかつ行くたびに更新されるわけなんで，あんまり関係ないと言えば関係ない．

http://09-f9-11-02-9d-74-e3-5b-d8-41-56-c5-63.com/del.icio.usあたりにあったので何かと思ったのだが，HD-DVDのキーらしい．おそらくこの不正コピー問題の部分に書かれているもので，このキーをつかうことでHD-DVDのリッピングができるらしい．で，これに…

Suppose that you want to run the following command: C:\Program Files\Internet Explorer\iexplore One cool thing about Windows is that although the path contains a space, it still runs the application fine, even if you don’t place quotes aro…

Security Analysis of the Diebold AccuVote-TS Voting Machine]アメリカの電子投票システムとしてよく利用されているDieboldのマシンに対するセキュリティ分析．前から脆弱性が指摘されていたらしいのだけれども，今回初めて実際に攻撃コードを挿入すること…

ars technicaの記事でおもしろそうだったので論文を読んでみた．論文見るとタネンバウム先生の所だった．