[Computer]ダークファイバやBGP4――、楽天がインフラ技術を明らかに:ITpro(from まっちゃだいふくの日記★とれんどふりーく★)(小谷@京都の日記(2007-11-27))
小谷君が、ダークファイバやBGP4――、楽天がインフラ技術を明らかに:ITpro - まっちゃだいふくの日記★とれんどふりーく★に反応してくれました♪
最近ちょっとだけ増えてますね。複数のISPを繋いでAS貰ってBGPって。
自分のところが、強くなってピアにならないように注意しないといけないんでしたっけ。
Private Peerを張っているかどうかは知りません。JPIXとかJPNAPとかには接続してないみたいなんです。
SunbeltBLOG: New fake codec -- Windows and Mac -- codechq
SecuriTeam"! - Symantec Backup Exec Job Engine Denial of Service
BackupEXECの JOBエンジンに複数のDoSを受ける脆弱性だそうです。パケットを受けるだけでCPUとメモリを食べるそうです。
1) A NULL-pointer dereference error in the Backup Exec Job Engine service (bengine.exe) when handling exceptions can be exploited to crash the service by sending a specially crafted packet to default port 5633/TCP.
2) Two integer overflow errors within the Backup Exec Job Engine service can be exploited to e.g. cause the service to enter an infinite loop and exhaust all available memory or consume large amounts of CPU resource by sending a specially crafted packet to default port 5633/TCP.
Microsoft FTP Client Multiple Bufferoverflow Vulnerability
MicrosoftのFTPクライアント機能にバッファオーバフローの脆弱性が存在するそうです。
A remote attacker can craft packet with payload in the
"mget", "ls", "dir", "username" and "password"
commands as demonstrated below. When victim execute
POC or specially crafted packets, ftp client will
crash possible arbitrary code execution in contest of
logged in user. This vulnerability is hard to exploit
since it requires social engineering and shellcode has
to be injected as argument in vulnerable commands.The vulnerability is caused due to an error in the
Windows FTP client in validating commands like "mget",
"dir", "user", password and "ls"
BEA AquaLogic Interaction Plumtree Portal Information Disclosure - Advisories - Secunia
BEA AquaLogicに情報が見えてしまう脆弱性が存在するそうです。
Adrian Pastor and Jan Fry have reported some weaknesses in BEA AquaLogic Interaction, which can be exploited by malicious people to disclose sensitive information.
1) Input passed to the "in_tx_fulltext" parameter in portal/server.pt is not properly sanitised when performing a search. This can be exploited to enumerate valid usernames in the Plumtree portal.
2) The Plumtree portal includes the hostname of the server in an HTML comment within every page.
The weaknesses are reported in version 6.0. Other versions may also be affected
IIJグループ、「心斎橋データセンター」を開設 | プレスリリース | IIJ
心斎橋にIIJのデータセンターを立てたそうです。立地はいいなぁ。
心斎橋データセンターは、IIJの14番目(*)のデータセンターとして、関西圏でも特に需要が高い大阪市内に開設いたします。「アウトソーシングオンデマンド型データセンター」として、コロケーションのみならず運用・監視などのメニューを開設当初より多数ご用意します。データセンターをプラットフォームとしてその上にIIJグループのサービスを組み合わせることで、ネットワークシステムの構築からアウトソーシングまで、トータルなネットワークソリューションをご提供いたします。また、経済活動の中心地である大阪において、特に大阪市内に立地するという利便性と、ビル免震による高い耐震性を兼ね備えており、アウトソーシング目的での利用はもちろん、ディザスタリカバリサイトとしてもご活用いただくことが可能です。
はてなダイアリーXSS対策 - はてなダイアリーのヘルプ
はてなダイアリーXSS対策って、こんなのあるんだ>id:hasegawayosuke
はてなダイアリーの本文、ページのヘッダやフッタでstyleタグ、style属性をお使いいただけるようになりました。これまでははてなの許可した一部のプロパティしかご利用いただけませんでしたが、styleタグやstyle属性を使用することで、より細かいデザインの指定が行えるようになります。
名前にまつわるライフハックいろいろ | IDEA*IDEA
名前を覚えられないので、これは使えるw(ってここで、言うなってw)
■ ひさしぶりに会った人の名前を忘れたとき
こうしたシーンもよくあります。困ったことに。
- 「あ、そうだ!名刺変わったんだよ」
そう言って名刺を渡す。変わってなくてもおかまいなし。で、「お前の名刺もくれない?」- 「そういえばさ、メアド変わってない?なんだっけ?」
そういって名前のヒントをもらう。
- 「えーと、どちらさま?」(眉をしかめて)
おおげさに直球。「えー!○○だよ」と言われたらすかさず「知っているよ、冗談、冗談」と切り返す。ちょっと苦しい。
- 「あー、ロドリゲス!(適当な外人名で)」
「誰だよ!」とつっこまれてその場はなごやかに。でも本名が最後までわからないケースも。
- 「これ、僕の友達です」
上述と同じ。友達を紹介してまた名前を聞き出す。
MSが検疫機能「NAP」の運用検証プログラムを開始 - ITmedia エンタープライズ
NAPがついに、運用検証を始めたそうです。
マイクロソフトは11月28日、次期WindowsサーバOS、Windows Server 2008に搭載されるネットワーク検疫機能「NAP(Network Access Protection)」に対応した機器間の相互運用性を検証するためのパートナープログラム「NAP パートナープログラム」を開始した。対応機器を提供するパートナー企業と共同で動作検証を行い、結果を公開することで、NAPの企業導入を支援・促進するのが狙い。
色々な検疫方式ごとに足そうご運用をおこなうそうです。
Ciscoさんは、既に終わっている前提かな・・・
検証に当たっては、パートナー各社が提供するIEEE 802.1x、DHCP、VPN、IPSecといった検疫制御方式ごとのネットワーク機器と、アンチウイルスなどのNAP対応アプリケーションの相互運用を行う。また検証内容を基に、検証済み製品情報、相互接続の結果、ほかの検疫ソリューションとNAPの混在環境における検証情報、ユーザー企業の導入シナリオに沿ったNAPの展開方法、導入事例といった各種情報が順次公開予定。
11月28日プログラム開始時点で、ネットワーク機器ベンダーではアラクサラネットワークス、アルバネットワークス、F5ネットワークスジャパン、京セラコミュニケーションシステム(米Lockdown Networks製品)、ソフトベンダーではシトリックス・システムズ・ジャパン、シマンテック、システムインテグレーターでは伊藤忠テクノソリューションズ、三井情報、ユニアデックスなど計16社が参加している。
Exploit Haunts WinRAR - TrendLabs | Malware Blog - by Trend Micro
WinRARのExpoitでウイルスが出ているそうです。
Further analysis by TrendLabs researchers reveal that the said exploit (detected as TROJ_RDROPPER.A) arrives as a malicious .RAR file. Once the said file successfully exploits the WinRAR flaw, it proceeds to drop the file %User Temp%WINRAR.EXE, which is detected by Trend Micro as BKDR_DARKMOON.AH. The dropped backdoor, in turn, opens a random port and allows remote code execution by a malicious user.
WinRAR 3.61で対応しているそうです。
Trend Micro strongly recommends WinRAR users that they upgrade to the latest version of the program (3.61) to avoid possible infection. Users of Trend Micro products are also advised to update their patterns.
Tomcatの仕様が変わってる・・・(かつのりの日記2)
うちもこの前、mod_jkをバージョンアップした際に、障害おきましたね。
サイバー大学、ソフトバンク3G携帯に授業動画を無料ストリーミング配信:RBB TODAY (ブロードバンド情報サイト) 2007/11/28
吉村作治のピラミッド・ミステリーを説くは見たいなぁ・・・でも私のはAUw
サイバー大学は28日、ソフトバンクモバイルの第3世代携帯電話を利用した授業配信の検証を開始した。
同検証は、携帯電話向け大学ウェブサイトにおいて、吉村作治学長によるオリジナルの体験授業「ピラミッド・ミステリーを解く」と孫正義ソフトバンク社長の特別メッセージビデオを提供するというもの。授業の動画はストリーミング方式で配信され、ソフトバンクモバイルが無料で提供するS!アプリ「S!番組プレイヤー」で視聴が可能だ。
セキュリティリスクはOSからアプリ、サーバからクライアントへ - 米SANS報告 | エンタープライズ | マイコミジャーナル
ワームは減って、ブラウザでクライアント側でウイルスに引っかかる手法(メールとかでダウンロードとか
全体の傾向としてOSそのものの脆弱性を利用したウイルス/ワーム等の攻撃が減っている一方で、その上で動作するアプリケーション、例えばアンチウイルスソフトやWebブラウザ、メディアプレイヤーなどの脆弱性を利用した攻撃が増えているという。従来のサーバをターゲットとした攻撃と比較すると、ユーザーのWebブラウジングのようなクライアント側の能動的な行動がセキュリティリスク増大につながっている様子が見て取れる。また、他の調査報告でも警告されているように、攻撃者は企業の重要なデータを盗むために、あらゆる手段を駆使し始めていることも述べられている。
147銀行の4分の1にフィッシング対策で問題あり、URLを表示せず:ITpro
トーマツによる、銀行のインターネットバンキングのフィッシング対策状況をまとめたそうです。
1/4しか問題が存在しないそうです。優秀じゃないかなぁ。
監査法人トーマツは11月29日、国内147銀行のインターネット・バンキング・サイトにおけるフィッシング対策の現状について調査した結果を発表した。結果として、約4分の1のサイトに問題があることが分かった。
フィッシングは、偽造サイトにユーザーを誘導してIDやパスワードなどを盗もうとする行為。偽造サイトかどうかを確認するには、サイトのURLをよくチェックしなければならないが、トーマツの調査によると、24%のサイトにおいてURLを表示するアドレス・バーが隠されてしまうことが分かった。悪意を持つ第三者が、アドレス・バーを隠した形で偽造サイトを作ると、ユーザーは疑いなく個人情報を盗られてしまう危険性が高い。
SSL取得は標準だけど使用は標準なのかなぁ?!。
セキュリティを一から見直すべきサイトもあるそうですねぇ・・・・・147銀行ご協力でやったのかな?!?!
サイトの正当性を証明する「SSL証明書」は全行が取得していた。ただし、マイクロソフトなどがフィッシング対策として推進している「EV SSL証明書」を取得しているのは2%(3行)にとどまった。またログイン時に、ID/パスワード以外の認証方法を併用している銀行は8%だった。
調査は8月20〜31日に実施。「クロスサイト・スクリプティングのぜい弱性を持つとみられる銀行が2〜3行、パスワード入力フィールドで文字が伏字にならない銀行も1行見つかった」(山本シニアマネジャー)というように、セキュリティ対策を一から見直すべきサイトも散見されたという。
Google News向けSitemaps、複数のURLをまとめられるように機能拡張 | ネット | マイコミジャーナル
ひとつのSitemapsファイルに複数のURLを入れることが出来るらしく、サブドメイン単位のSitemapsもひとつにまとめられるそうです。
Googleは27日(米国時間)、Google News向けのSitemapsの機能を拡張し、ひとつのSitemapsファイルで複数のURLを登録できるようになったと発表した。同じニュース提供者でさえあれば、異なるURLのリストをひとつのSitemapsファイルに含められる。
たとえばこれまでenterprisenews.example.co.jp、networknews.example.co.jp、 pcnews.example.co.jpなど複数のURLでニュースを提供していた場合、それぞれ個別のSitemapsファイルを用意する必要があったが、これからは一つのファイルに集約できる。
速報 - KDDI、月額6,930円のPC向けデータ定額プランを発表 | 携帯 | マイコミジャーナル
AUのPCデータ通信に定額プランが出たそうです。こりゃ交換だ!
KDDIは29日、PC向けのデータ通信定額プラン「WINシングル定額」を発表した。コンパクトフラッシュ型データ通信カード「W05K」(京セラ製)専用のプランで、12月下旬の同機種発売と同時に提供開始する。
料金は「フルサポートコース」(2年以内の解約には解除料が必要)の場合月額最大6,930円で、PCやPDAから下り最大3.1Mbps、上り最大1.8Mbpsの高速通信が可能となる。通信プロトコルや使用するソフトの種類による制限はないが、周囲の回線の混雑度や一定時間あたりの通信量によっては、速度制限や切断が行われる場合があるという。
Googleが数カ月以内にオンライン・ストレージ・サービス開始,Microsoftの「SkyDrive」に対抗:ITpro
Googleがオンラインストレージ。これであんな情報やこんな情報まで・・・暗号化して保存しましょうね。
オンライン検索/広告大手の米Googleは,オンライン・ストレージ市場への参入を準備している。どうも米Microsoftのサービス「Windows Live SkyDrive」に対抗するつもりらしい。Googleが提供するサービスには「Platypus」や「My Stuff」という開発コード名が付いており,「GDrive」や「Google Drive」と呼ばれることもある。インターネット上に流れている複数の情報によると,数カ月以内に開始されるという。
無料で提供されたら、、、使うよなぁ。じゃ、FireFoxの暗号化するモジュール出そうだなぁw
Googleがどのような価格体系を適用するのか不明だが,Webメール・サービス「Gmail」やオンライン写真保存サービス「PicasaWeb」と同様,基本な記憶容量のサービス・プランは無料で提供するに違いない。
MicrosoftのサービスはWindowsのドライブみたいに見えるのかぁ、これ強いなぁ。Google大変です(まぁWebDAV使えばいいだけですがw)
Microsoftのサービスは,Windowsのデスクトップと一体化し,標準的なWindowsのファイル・システム用アイコンを使うので,ローカル環境とオンライン・ストレージ間のファイル移動がドラッグ&ドロップだけで済む。この点でGoogleの新サービスを差別化できる。ユーザーになりそうな人々は,Windowsデスクトップ上でファイルをドラッグ&ドロップする操作に慣れている。こうしたユーザー・インタフェースの採用により, Windows Live SkyDriveは急速に普及する可能性がある。
「部下に任せるマネジャ」と「任せられるSE」:馬場史郎のITプロに贈る“今日の一言”:ITpro
うちのマネージャ、、、うん。そうだ。
彼らがシステム開発のくわしいことや技術的な細かいことについて,部下の仕事をいちいちチェックしたり指示することができるだろうか?いろいろな製品や,システムや,アプリケーションを知り,またすべての顧客のマネジャや担当者の性格などを理解できるのだろうか?
筆者の経験では,システムや製品や顧客の数が増えれば増えるほど,それは至難の技である。あえて言えば不可能に近い。事実,読者の近くにも次のようなSEマネジャが結構いるはずだ。
(1)自分がわからないシステムや製品や業界でも,格好をつけて知ったかぶりでSEに指示するSEマネジャ。
(2)担当顧客が1,2件なら顧客に顔を出したりSEに仕事の指示をしたりするが,5件,10件となると頭が回らなくなって多くの顧客やSEを放ったらかすSEマネジャ。