CMSの脆弱性の統計を取りはじめてみたので資料にしました。もっと深く調べてみたいので続く予定です。
スライド中の「CMS四天王」のチョイスは徳丸さんのものをいただきました:-D
東京でセキュリティの仕事をしている小江戸民のブログ
積んでしまっていたブログネタの消化ですのでパパッと書いてしまいます。
皆さんはPGPを使っていますか?メール等のメッセージを暗号化したり、ファイルに署名ができたりするソフトウェアです。IPAへのセキュリティに関する届出・相談で用いたりします。PKIのようなお堅い仕組みがなくても利用できるので、手軽にセキュリティを高めることができます。
Mozilla ThunderbirdでPGPをシームレスに使用できるアドオンがEnigmailです。今年、これに脆弱性(CVE-2014-5369)が発見されました。メールを暗号化したときにBCCの受信者へは平文を送ってしまい、BCC受信者の通信内容盗聴等によってメッセージの内容が漏えいするというものです。ご利用の方はアップデートを。
この脆弱性は現在の最新バージョンである1.7.2で修正され、BCC受信者にもメッセージが暗号化されて届くようになりました。しかし、これで問題が解消したわけではないと考えています。
Internet Explorer 6から11が影響を受けるゼロデイの脆弱性が発見されました。
対象バージョンにWindows XPに搭載されている6も含む事で、Windows XPから最新OSへの移行が進むことを期待します。
WebブラウザはInternet Explorer以外にも多々ありますので、「いっそIEをやめる!」と決意した方のために、Internet Explorerを無効にする方法をご紹介します。また、Thunderbirdのみですが、メール内のリンクによる細工されたHTMLへの誘導を防止する方法もご紹介します。
[追記が5件ありますので、続きからどうぞ]
昨日夕方にmixiのAndroidアプリを使用していたところ、こんな画面になりました。
状況はTwitterと連携していたmixiボイスに対してコメントが来たため、さらに返信しようとしたところです。IME(ATOK)のキーボードの上にケンタッキーのロゴとともに「プレゼントが届きました!タップして、プレゼントをGetしよう!!」という広告と思われるものです。
なんだこれ?と思ったら消えてしまいました(上のスクリーンショットはアプリ起動を繰り返して再現しました)。文字入力をしようとテキストボックスをタップしてキーボードを表示させたところです。キーに重なっているのでうっかり広告をタップするところでした。
気になったのは、何がこの広告の表示を行っているかというところだったので、右上の水色で書かれている「coudec」をWeb検索してみました。株式会社ミクシィマーケティングによる収益化プラットフォームです。よくある広告主とアプリ開発者をつなぐサービスですね。
さて、問題にしたいのは表示方法です。一言でいうと、「そこでいいの?」です。
ちょっと色分けしてみました。お前何者だっ。
懸念としては2点くらい。どちらもユーザーの混乱を招きかねないものです。
Webページの場合、広告は広告であるとわかるという点が安心してWebサイトを回れる条件のひとつになっていると思います。アプリも同じですよね。
今回は広告の表示方法に関する話題でした。
Windows8の深夜販売に行きました。もちろん、DSP版とアップグレード版のパッケージ両方を買って、アップグレード版をメインマシンに入れて使用しています。入れたマシンは割と古い(Core i5 650+8GB)ですが快適に使えています。
デスクトップならロジクールのタッチパッドt650(Amazonへ。結構値下がりました)を使うとWindows8の機能を活用できておすすめです。
NetWalker PC-Z1/PC-Z1J/PC-T1搭載のOS 「Ubuntu 9.04(ARM版スマートブックリミックス、シャープカスタマイズ版)」につき、本製品を継続してご利用いただくために、Ubuntu 9.04の重要なセキュリティアップデートを 2012年5月まで定期的にご提供させていただきます。Ubuntu 9.04はLTS版ではないので、Canonicalのサポートがもう切れているんですね←この辺正確に把握していない。
Junk E-mail Reporting Tool を使用することにより、マイクロソフトおよびその関連会社に迷惑メールを直接報告することができます。この情報は、迷惑メール フィルター テクノロジの有効性を高めるための分析に役立てられます。インストールすると、Outlookに「迷惑メールの報告」というメニュー/ボタンが追加されます。
This is an automated reply from the Microsoft Forefront Online Security, Spam Analysis Department. No additional correspondence will be sent to you.
We appreciate your spam submission. You will receive this auto-reply message only once per day if you submit multiple emails for evaluation in a 24 hour period. Additional information is as follows:
* Spam submissions are processed seven days per week with new spam rules pushed out continuously. Time frames for rules on individual submissions vary depending on the quantity and quality of submissions.
* As new spam rules are set globally for all customers, please be aware that not all individual spam submissions result in a new spam rule.
* It is critical that when reporting spam that full Internet headers are included. This may be done by sending the offending message as an attachment along with the full original Internet headers; OR by using the Junk-Email Plug-In (as made available for some Outlook 2003+ users depending upon your organization).
*In order for automated spam processing to take place, spam submissions should be sent in individually. Please do not forward multiple spam mails in one individual message.
Thank you for assisting us in controlling unwanted email!
Microsoft Forefront Online Security
After more than eight years of working on .NET Reflector, I have decided it is time to move on and explore some new opportunities.今後もフリーのコミュニティ版は提供されるみたいですよ。新しいダウンロードページはこちら。
I have reached an agreement to have Red Gate Software continue the development of .NET Reflector.
※いくつかの情報は削除してあります。
Outlook 2007で添付されてきたファイルがメッセージウィンドウ内でプレビューできます。
気づいたら構造が結構変わっていたのでそれに対応。天気が表示されるようになりましたね。