やっぱ沼さんは、すごいや!
ほんま足下にも及びません、、、、
Symantec Security Response - Bloodhound.Exploit.96
Symantecさんは、XML CoreなZero-Dayに対応されました。未知の脆弱性対応はSymantecさんが一番早いですねぇ。
Bloodhound.Exploit.96 は、Microsoft XML Core Services setRequestHeader における脆弱性の悪用を試みる Web ページ(Microsoft Security Advisory 927892 <英語> 参照)に対するヒューリスティック手法による検出名です。
ってことで、任意のコードをユーザー権限で実行可能とのこと。
Bloodhound.Exploit.96 は、Microsoft XML Core Services setRequestHeader における脆弱性の悪用を試みる Web ページに対するヒューリスティック手法による検出名です。この脆弱性の悪用に成功した攻撃者は、ログオンしたユーザーの権限を使用して任意のコードを実行できる可能性があります。
多々McAfeeが早いこともあるそうですね。
こじま 『McAfee の方が早い事も多々あると思いますよ。
http://vil.nai.com/vil/content/v_140840.htm』(2006/11/08 11:50)
MVP リード 小板公一のブログ : コミュニティ活動とは?
コミュニティで活躍する人の定義ですなぁ、わたしゃーWebMaster、Community Organizerくらいか?!?!
オンラインコミュニティ活動の一例
- Active Poster
- Blogger
- Online Contents Author
- Web Master
オフラインコミュニティ活動の一例
- Active Speaker
- Books/Articles Author
- Trainer
コミュニティ活動の一例(オンオフ両方)
- Beta Contributor
- Community Master
- Community Organizer
ITmedia エンタープライズ:Gmailアップデートを装うワームに要注意
Gmailのアップデートを見せかけてユーザー名とパスワードを盗み出すウイルスが出ているそうです。
Googleの無料メールサービスGmailのセキュリティアップデートと見せかけ、Gmailのユーザー名とパスワードを盗み出すワームが出回っている。英セキュリティ企業Sophosが11月2日に報告した。
「W32/Gfail-A」はメールを介して広がるよう設計されたワームで、Gmailからのセキュリティアップデートを装ったファイルが添付されている。メールのタイトルには「Gmail NotifierとGmail Webサービスの重要なパッチ」とあり、本文には「Gmail Notifierのパスワード脆弱性と、Gmail WebサイトにHTML問題が見つかったため、顧客の皆様が最新のプロテクションを得られるよう、メールでアップデートをお送りすることにしました。詳細情報は添付ファイルを参照してください」と書かれている。
Wizard Bible vol.29 (2006,11,7)
ゴルゴメソッドwwww kawakawaさんおもろw
kawa氏の「ゴルゴメソッド」は面白かった。これは、セキュリティ系のサービ スを提供する際に、クライアントに「どこまでなら守れるのか」という意味で限 界があることを伝える際に使う。 「だって、いくら優秀なボディガードを雇ったって、ゴルゴに狙われたらおし まいですよね?つまりそういうことです。この○×侵入防止システムは通常のレ ベルの攻撃は防ぎますが、ゴルゴ級のハッカーを防ぐことはできないです。Gは無 理です。」 こう言えばクライアントも心の底から納得するという。
Hotmail and Windows Live Mail XSS Vulnerabilities
Bagtrackではせがわさんデビューです。同時に、OpenmyaMLのアーカイブも・・・・・
RSnakeさんも、ha.ckers.orgで書かれています(こっちは、はせがわさんって書かれてないや)
FrSIRT - Linux Kernel Fragmented IPv6 Packets Handling Security Bypass Vulnerability / Exploit
Linux Kernel でIPv6のフラグメントしたパケットをうけるとフィルタをスルーするみたいです。
Ce probleme resulte d'erreurs presentes aux niveaux des fonctions Netfilter "ip6_packet_match()" et "match()" qui ne valident pas correctement certains paquets IPv6 fragmentes, ce qui pourrait etre exploite par des attaquants distants afin de passer outre les regles de filtrage des paquets.
ITmedia Biz.ID:第1回 会議の何が問題なのか?
数値で表されるとびっくりしますね。
社員100名の会社で、会議のコストは年間2億円!
迷会議の代表ですね。その場では議論をするのではなく結果を共有して合意を取るとか会議スタイルを変えた方が良いんでしょうねぇ・・・それだけ事前に準備が出来るか・・・ですね。
会議が迷走する
- 議論をしているうちに、そもそも議題が何であるのかが分からなくなり、やがて関係のない議題が絡まって、自分の話したいことを勝手に話し始めてしまいます。
会議が決まらない
- 結論があいまいで参加者の間でコンセンサスができていないために、次回の会議でまた同じ議題が取り上げられたり、認識の齟齬をめぐるトラブルが生じたりします。
会議で決まったことが実行されない
- 誰が誰にどのようなToDoを振ったのか、その期限がいつなのか、ということが明確にされないために、ToDoが実行されないままになり、次回の会議で同じようなToDoが再び発行されることになります。
会議が長い
- 会議が迷走したり、結論がなかなか出なかったりで、会議は予定時間を大幅に超えてしまいます。集中力がなくなるので、ますます会議の生産性が落ちてしまいます。
会議中に議事録を見ながら会議を進めるという形で、迷走をなくすという形ですね。時間配分も出来るので良さそうです。
議事録ドリブンでは、会議中に議事録を書いてしまい、会議終了時点では参加者全員の合意がとれた議事録が完成しているという状態を作ってしまいます。
議事録(アジェンダ)から議事録(ToDo)まで全部議事録というかたちでやってしまうのか。
次の会議までの間に、議事録に書かれた結論やToDo(やるべきこと)に基づいて、各メンバーはタスクをこなしていき、次の会議のアジェンダを議事録として共同で作っていくのです。こうして次の会議が始まるときには、共同で作られた未完成の議事録がある程度できあがっています。これがプロジェクトの議事録ドリブンです。
ゴールを共有することで、終わりが見える。終わりが見えることで、まったり進行を止められますよね。ゴールは重要です。さて、インフラ管理のゴールとは?
議事録ドリブンの会議では、議事録の最初に会議のゴールを書くことからスタートします。
ゴールを共有する文化が根付いていないところで、これを行うのには困難を伴いますが、一度やってしまえば効果は一目瞭然です。
わたしもみえましたwww
余談:「ドリブン」が「ドンブリ」に見えてしかたがありませんw
Amazon.co.jp: ユーザ中心ウェブサイト戦略 仮説検証アプローチによるユーザビリティサイエンスの実践: 本: 株式会社ビービット 武井 由紀子,遠藤 直紀
これは、おもしろそうです。あれとあわせて買っておくか。
ユーザビリティテストで業界一の実績をもつ著者がすべてのノウハウを公開。ウェブビジネス成功のカギはユーザ行動特性の理解にある。
ユーザ中心ウェブサイト戦略 仮説検証アプローチによるユーザビリティサイエンスの実践
- 作者: 株式会社ビービット武井由紀子,遠藤直紀
- 出版社/メーカー: ソフトバンククリエイティブ
- 発売日: 2006/09/27
- メディア: 単行本
- 購入: 14人 クリック: 313回
- この商品を含むブログ (47件) を見る
SAP、貿易管理パッケージの新版を出荷:ITpro
貿易パッケージって4社しか日本で入れてないんだ・・・
操作性の向上とともに、欧米の輸出入プロセスにおける機能強化と、規制品目輸出における少額特例に対応した機能の追加を図った。2002年に前バージョンを発売し、日本では4社が導入済みである。
Web2.0のサービスが新たなセキュリティリスクに:日経パソコンオンライン
ホーガン氏はWeb2.0という言葉で語られるサービス群に伴うリスクについても触れた。「Web2.0という考えが出てきて、従来のWebサイトではできなかったことが可能になった。それ自体はいいこと。しかし、新たなセキュリティ上の問題が出てくる可能性がある」(同氏)。一つはAjaxなど、 Web2.0に関連する技術が持っている問題であるという。例えばAjaxを使ったWebサービスには、ユーザーの操作を予測して、必要になりそうなデータやコードをあらかじめダウンロードしておくといった挙動をとるものがある。こうした今までのWebサービスにない動きが悪用される可能性があるというのだ。
Targeted Attackは金銭目的というか、儲かるのでやるので、巧妙に動作するものが増えてきているそうですね。
さらにホーガン氏は、不正プログラム作者の動機が愉快犯、功名心から金儲けへと変化してきたというここ数年の傾向に触れた。ユーザーに気づかれずに金銭的利益を得るため、不正プログラムは感染しても目立たないように活動する。
ぇーーーーーーーーーっ!!!JavascriptでXSS対策?!
某所で、某内容をIPAに報告して、今日修正完了と帰ってきたのですが・・・
ソース見たら、JavascriptでXSS対策していますよ!いいのか?!
input1 = input1.replace("<", "<");
NECとタカラトミー、ノートPCとガジェットをセットにした「作戦司令室セット TYPE-NO1」
こじま先生はかってしまうのだろうか(w
作戦司令室セットは、Mobile Sempron 3200+(1.6GHz)を搭載したLavie Gに、USB接続のLED表示板「グリッターパネル」と動画演出付きでPCをシャットダウンする「エマージェンシーボタン」、壁紙/スクリーンセーバー/ デスクトップテーマなどを収録したCD、カスタマイズ用ステッカー、グリッターパネルを設置できる組み立て式設置台の6点で構成される。
すごいかもw、でも、XP Home Editionw
PCの主な仕様は、1,280×800ドット(WXGA)表示対応15.4型液晶、1GBメモリ、80GB HDD、±R DL対応DVDスーパーマルチドライブ、FeliCaポート、IEEE 802.11a/b/g対応無線LAN、OSにWindows XP Home Editionを搭載する。バッテリはニッケル水素を採用。
MSKB; IE7の使用上のトラブル関連 : 投稿 : HotFix Report BBS
InternetExplorer 7.0使用上のトラブル関連KBだそうです。
MSKB; IE7のインストール/アンインストール関連 : 投稿 : HotFix Report BBS
InternetExplorer 7.0 のインストールとアンインストール関連のKBだそうです。
Netcraft: Microsoft Approved as ICANN Registrar
Microsoftがドメインを売買できるICANN Registrarになるみたいです。Googleは昨年ICANN Registrar担って居るみたいです。
Microsoft's could use its new status to sell domain names for its Office Live small business hosting service, which is scheduled to come out of beta on Nov. 15 and provides a free domain name with each account. This would probably save Microsoft money on each domain sold, as wholesalers like Melbourne IT typically charge a small mark-up over the base fees from the central registry
業界団体がDBセキュリティのガイドラインを公開,「国内初,ビジネス利用も可」:ITpro
データベースのセキュリティ対策のガイドラインが発表されています。
データベースのセキュリティ対策に関する指針や考え方をまとめた「データベースセキュリティガイドライン」を発表した。「こういったガイドラインは国内初」(DBSCの事務局長を務めるラック代表取締役社長の三輪信雄氏)。
FirefoxとThunderbirdの新版「1.5.0.8」が公開,セキュリティ・ホールを修正:ITpro
FireFox 1.5.0.7とThunderbird 1.5.0.7に脆弱性があるそうです。
「MFSA 2006-65」はメモリー破壊に関するセキュリティ・ホール,「MFSA 2006-66」はRSA署名の偽造を許すセキュリティ・ホール,「MFSA 2006-67」はスクリプト・オブジェクトの改変を許すセキュリティ・ホールである。
「MFSA 2006-65」と「MFSA 2006-67」については,悪用されるとFirefox/Thunderbirdを不正終了させられたり,任意のプログラムを実行されたりする恐れがあるという。ただしこれらについては,JavaScriptを無効にしていればセキュリティ・ホールを突く攻撃を回避できる(Thunderbirdについては,デフォルトでJavaScriptは無効に設定されている)。
ウイルスバスター2007 Windowsのログオフに長い時間がかかる
リソースを解放できずに、デッドロック状態となるそうです。Avast!もコレが原因か?!
ログオフ時に、Microsoft Windows またはプリンタ ドライバやウイルス スキャナなどのサードパーティ製プログラムが停止してリソースを解放しない場合に、この問題が発生することがあります。
Webアプリケーション利用時のシステム障害を予防するソフトウェア運用管理方式を開発 サービスを停止させることなくメモリ不足となる現象を解消
根本的解決じゃなくて、運用側で逃げる手順を開発だそうです。うーん、新しい技術なのか?!
Webアプリケーションにおけるメモリリークに対しては、これまで、複数台のサーバ上で同一のWebアプリケーションを実行し、定期的に一台のサーバの Webアプリケーションの処理を他のサーバに切り替え、サーバを再起動する方法によって、Webアプリケーションの不要メモリを解放し、メモリリークによる障害発生を予防していました。
切り替えて本番系を定期的に再起動することで、メモリリークを解消するそうです。
Webアプリケーション(現用系)と同一のWebアプリケーション(代替系)を起動し、ユーザからの新しいサービス要求の処理を代替系のWebアプリケーションで実行するように切り替えます。現用系Webアプリケーションは、切り替え後、停止・破棄します。これによって、Webアプリケーションを継続稼動しながら、現用系Webアプリケーションを実行して蓄積された不要メモリを解放することが可能となりました。
Samsung電子、1GBのSIMカードを発表 (MYCOMジャーナル)
1GBのSIM?!サムソンが開発したそうです。すげー証明書どころか、OSまで入りそうな勢い。
http://www.samsung.com/PressCenter/PressRelease/PressRelease.asp?seq=20061108_0000299147
最適化ウイルスパターンファイルリリースのお知らせ
パターンファイルの最適化させるパターンを配布するそうです。差分アップデートも出来るようです。
近年、ウイルスの増加に伴い、ウイルスパターンファイルのファイルサイズも増加の傾向にあります。弊社は、ウイルスパターンファイルのサイズ増加によるネットワークやディスク領域の圧迫を軽減するために、最適化ウイルスパターンファイルをご提供することにいたしました。
最適化ウイルスパターンファイルを採用することにより従来のウイルスパターンファイルに比べファイルサイズの縮小を実現しております。
パターンアップ-3.909.00
Trendmicroのパターンがアップしました。
パターン番号:3.909.00
イエローアラート:無し アップデート理由:TROJ_DLOADER.ETM緊急対応 新規対応 緊急対応 TROJ_DLOADER.ETM 亜種対応 特筆なし