スラッシュドット・ジャパン | Safari 3.1.2 for Windows、“Carpet Bomb”に対処
Safari 3.1.2をリリースして、じゅうたん爆弾攻撃に対応したそうです。
ついに登場:Safariのセキュリティ問題、コンセプト実証コードが公開 - ITmedia エンタープライズ - まっちゃだいふくの日記★とれんどふりーく★とかマイクロソフト セキュリティ アドバイザリ (953818): Apple製SafariがWindowsプラットフォーム上で使用された場合の複合的な脅威 - まっちゃだいふくの日記★とれんどふりーく★とか
Appleが19日(米現地時間)、Sarari 3.1.2 for Windowsをリリースした。Windows XP/Vistaに対応。4件の脆弱性が修正されるが、このうちの1件は、“Carpet Bomb”問題(この件に関するMicrosoftのセキュリティアドバイザリ)に対処するものである。なお、3.1.2は現在のところWindows版のみで、Mac版はない。
関連URL
- InfoSec Handlers Diary Blog - Safari 3.1.2 for Windows released to address vulnerabilities
- JVNVU#127185: Windows 版 Safari が Internet Explorer のゾーン設定にもとづきダウンロードしたファイルを自動的に実行する問題
- Windows版Safariのアップデートが公開 - ITmedia エンタープライズ
- http://www.securityfocus.com/brief/760?ref=rss
- http://www.us-cert.gov/current/index.html#apple_releases_safari_v3_1
- http://www.securityfocus.com/bid/29835
- MSFN - Where people go to know
- Security Advisory SA30775 - Apple Safari for Windows Multiple Vulnerabilities - Secunia
- Windows版「Safari 3.1.2」が公開、指摘されていた脆弱性を修正
- アップル、Windows版Safariをアップデート--「じゅうたん爆撃」問題を修正 - ZDNet Japan
- アップル、Windows版Safariをアップデート--「じゅうたん爆撃」問題を修正 - CNET Japan
- Windows版Safariのアップデートが公開 - ITmedia エンタープライズ
サーバ仮想化における大きなジレンマはバックアップにあり − @IT
ほんとにVMwareのバックアップ設計は難しい。
VMware ESXにおける仮想サーバ環境のバックアップ手法には、基本的に各仮想サーバでバックアップ・エージェントを動作させる方法と、VMDKという形式の1 ファイルに見える各仮想サーバを、そのままバックアップする方法の2つがある。前者は差分バックアップができるし、ファイル単位でのリストアも可能だが、各仮想サーバでバックアップ・プロセスが動くため、大きな負荷がかかる。VMDKファイルをバックアップする方法は一見簡単だが、差分バックアップができず、毎回仮想サーバの全データをバックアップすることになってしまう。また、ファイル単位でのリストアもできない。
VMware Consolidated Backupで独自にカタログを作成してファイル単位、サーバ単位両方でリストア可能になるとの事
NetBackupでは、まずVCBに対応することで、仮想サーバに負荷をかけないバックアップを実現している。さらに、ファイル単位のバックアップの仮想サーバ単位のバックアップの場合は、これに含まれるファイルのカタログを取得することにより、仮想サーバ全体、ファイル単位のいずれの方法でもリストアができるという。
NTTビズリンク、月額1575円からのオンラインPCバックアップサービス
オンラインでバックアップってのは良さそうですねぇ。
「情報は1冊のノートにまとめなさい」(Nakamura Blog)
一元管理することは必要ですよねぇ、うーん、読もうこの本。
情報は1冊のノートにまとめなさい 100円でつくる万能「情報整理ノート」 (Nanaブックス)
- 作者: 奥野宣之
- 出版社/メーカー: ナナ・コーポレート・コミュニケーション
- 発売日: 2008/03/12
- メディア: 単行本(ソフトカバー)
- 購入: 28人 クリック: 855回
- この商品を含むブログ (377件) を見る
「これは!」と思った点は
- 情報は100円ノートに一元化する
- なんでも書く
- 時系列に書く
- なんでも貼り付ける
ってところです。非常にシンプル。
日記やスケジュールも書くことが勧められていますが、これらはブログや Google カレンダーを使った方が便利かな。スケジュールは印刷して貼り付ければいい。この辺りは自分に合わせてアレンジすればいい。
Trend Micro Control Manager 5.0 公開およびサポートサービス開始のお知らせ
仮想化環境に対応した集中管理ソフト 「Trend Micro Control Manager(TM) 5.0 アドバンス」を発表 〜WebSAM、JP1、Systemwalkerとリアルタイムに管理情報を連携〜 - まっちゃだいふくの日記★とれんどふりーく★のリリースがされています。
そういえば、Trend Micro Control Manager4.0はどこに行ったんだろ・・・
■製品名
Trend Micro Control Manager 5.0
そんなに大規模な改修というわけではないようだが、VMwareに対応は大きいし、x64 Editionに対応もうれしい
主な新機能:
- Java仮想マシンに依存しないWeb管理コンソール
- カスタマイズ可能なレポートテンプレート
- Windows Server 2003 Standard/Enterprise x64 Edition に対応
- VMware ESX Server 3.xに対応
こういう下の製品への影響は、もっとアナウンスすべきだと思うな。
Firefox3でも暗号化サイトアクセス時アドレスバーを黄色くするハック - 適宜覚書はてな異本
「初バグ」の悪用はない――Mozillaが語るFirefox 3のセキュリティ - ITmedia エンタープライズ
FireFox3では、Googleのブラックリストを使って、危険なうぇbサイトへのアクセスを制限するらしいです。
Firefoxはバージョン3で、アドオンをチェックして最新版が使われるようにする機能など、多数のセキュリティ関連の新機能を追加した。だが最も大きいのは、Googleと協力してWebサイトのブラックリストを導入したことだ。ユーザーが偶然不正なサイトにアクセスすることがないように、ブラックリストのアプローチを採用したとスナイダー氏は語った。
「この場合、ホワイトリストは適さない。Webは巨大で、すべてのWebサイトのカタログを維持し、それに含まれないものを遮断しようとするのは、機能的に不可能だ」と同氏は言う。「それにホワイトリストは、マルウェア作者が広告ネットワークに入り込んだり、サイトの脆弱性を悪用したりなどして合法的なWebサイトを標的にする場合には、致命的な欠点がある」
Firefox 3はGoogleのフィッシング・マルウェアデータベースを利用して、ユーザーがアクセスしようとしているサイトをロード前にチェックするという。ローカルデータベースはおよそ30分おきにアップデートされる。
「ソフトウェア・プロダクト・オブ・ザ・イヤー 2008」募集開始
去年は顔チェキの中のソフトが表彰された、IPA主催ソフトウェア・プロダクト・オブ・ザ・イヤー 2008の募集を開始したそうです。
情報処理推進機構(IPA)は20日、優れたソフトウェアを表彰する「ソフトウェア・プロダクト・オブ・ザ・イヤー 2008」の募集を開始した。
ソフトウェア・プロダクト・オブ・ザ・イヤーは、ソフトウェア開発者などを称えることで、開発意欲を高め、良質なソフトウェアの供給を促進する目的で1989年に創設され、今年で20周年を迎える賞。2007年には沖電気工業の「組込用顔画像処理ミドルウェア FSE」がグランプリを受賞している。
2008年の募集対象は、2007年から2008年までの過去1年程度の期間内において、国内で広く利用され、流通しているソフトウェア。「産業・企業・行政」「家庭・個人」「安心・安全」「システム・基盤」の4部門があり、パッケージプロダクトだけでなく、組み込み系ソフトウェアやオープンソースソフトウェア、ASPやSaaSとして提供されるものも含む。
Firefox3で入れた拡張機能(add-ons)のまとめ - うさぎ文学日記
Copy URL +が良さそうなので、使ってみるテスト。
あと、Firefox3.0 b4 導入録 小ネタ集: 電網探題で検索バーから開くページは新しいタブで開くとか
Firefox3.0 b4 導入録 小ネタ2: 電網探題でmailto:クリックでメーラーを起動しないを設定
http://drupal.0829.info/blog/44で「タイトルと URL をタグを付けてコピー」する機能を設定
Copy URL +
コンテキストメニューに「タイトルとURLをコピー」などを追加。「Firefox で参考サイトの情報をタグ付きでコピーする | Drupal.0829.info」を参考に、タグ付きでコピーできるようにカスタマイズしている。ブログ書く人には便利かな。
このあとmincemaker さん、id:sen-uさん経由で、MakeLinkが良いということで、MakeLinkにした
こりゃーーー便利だ!
Firefox3で入れた拡張機能(add-ons)のまとめ - うさぎ文学日記: - まっちゃだいふくの日記★とれんどふりーく★の件、私もid:sen-uさん、mincemakerさんのお勧めで変えてみました。
http://d.hatena.ne.jp/ripjyr/20080621/1214031811
ドットを使わない (hoshikuzuさん)(a threadless kite - 糸の切れた凧(2008-06-20))
これは、厳しい・・・本気で厳しいかも。
XSS の evasionネタ。 ドットが使えない場合に、代わりに with を使う。たとえば、 javascript:with(String)eval(fromCharCode(0x61,0x6c,0x65,0x72,0x74,0x28,0x64,0x6f,0x63,0x75,0x6d,0x65,0x6e,0x74,0x2e,0x63,0x6f,0x6f,0x6b,0x69,0x65,0x29)) で Cookie がアラート表示される。
2004年以降、セキュリティへの関心が高まる − @IT自分戦略研究所
読者調査なITエンジニアの保有スキル動向や転職意向に関しては定点観測結果だそうです。
データベースやネットワークがたしなみですかw。それもない(以下略
Windowsシステム管理に続くのはデータベース、ネットワーク、Javaである。それぞれ分野は違うが、これらはITスキルの基本であり、多くのITエンジニアが「たしなみ」として保有しているもののようだ。
セキュリティ++セキュリティ++。普段から情報収集してセキュリティの知見を高めようと努力しているITエンジニアだそうです。
では今後スキルアップしたい分野はどうだろうか(図2)。近年の傾向ではセキュリティがトップに躍り出たと考えていいだろう。ただセキュリティのスキルといっても具体的に何をマスターすればいいか、どこまで防御すれば安全か、その判断基準は難しいところだが、上場企業を中心に内部統制が一般化するなど必要性が高まっているのは確かだ。何が脅威となるか、普段からまめに情報収集してセキュリティの知見を高めようと努力しているITエンジニアの姿が浮かぶ。
Panda Security、誰でも簡単にマルウェアが作れるツールの脅威を警告 - japan.internet.com Webテクノロジー
Pandaが簡単ウイルス作成ツールの脅威を警告しています
標的型攻撃もツールで簡単に作れる!ってことですからね。
セキュリティ関連のソフトウェアとコンサルティングを手がける Panda Security が、最新式のワーム作成ツール『Constructor/Wormer』の脅威を監視している。これはマルウェア ネットワークがスクリプト キディー (技術がないのにツールに頼って興味本位の攻撃をする者) を使いやすいツールで釣り、意のままに操ろうとするもので、Panda Security ではこうした手法についても注視している。
このツールの黒幕は、データベースや銀行情報を狙うサイバー犯罪者だ。
簡単にマルウェアを作成できるアプリケーションを公表するという手口は、特に新しいものではない。しかし、Panda Security によると、今回の手法は従来のものとは違うという。同社はソフトウェアのほか、技術セキュリティに関するコンサルティングサービスの提供を業務としている。
パターンアップ-5.355.00
Trendmicroのパターンがアップしました。
パターン番号:5.355.00
イエローアラート:なし アップデート理由:WORM_SANKEZU.A緊急対応 新規対応 緊急対応 WORM_SANKEZU.A 亜種対応 特筆無し
Copy URL+よりオススメ Make Link - Firefoxアドオン - うさぎ文学日記
Firefox3で入れた拡張機能(add-ons)のまとめ - うさぎ文学日記: - まっちゃだいふくの日記★とれんどふりーく★の件、私もid:sen-uさん、mincemakerさんのお勧めで変えてみました。
id:umqさんオススメで使ってみました。 Copy URL+と同じことができ、設定も設定画面でできて便利です。
http://d.hatena.ne.jp/sen-u/20080621/p3
日本のセキュリティチーム (Japan Security Team) : アドバイザリ 953818 更新 - Safariのsecurity update提供開始
SafariのアップデートでMicrosoftのセキュリティアラートをやっとクローズできたましたね!!!よかったよかった
すでに、ニュース等で報じられていますが、Safaiのsecurity updateが公開され、アドバイザリで言及していた、
http://blogs.technet.com/jpsecurity/archive/2008/06/21/3075225.aspx
複合的な脅威のSafari側が対処されたことになります。
それに伴い、セキュリティ アドバイザリ 953818 を更新しました。
Safaribのsecurity updateに関する詳細は、About the security content of Safari 3.1.2 for Windows を見てください。
これを書いている時点では、残念ながら日本語情報は見つけることができませんでした。
日本語版アドバイザリを更新するに当たり、日本語環境で更新があるのか一応確認してみましたが、
Apple Software Updateを通じて、日本語環境でもsecurity updateが配布されているようです。
しかしながら、この更新プログラムをそのままインストールすると、Quick Timeなどのいくつかの新しいソフトウェアもインストールされるみたいですね。
特に必要としてい場合は、チェックを外してから 「n項目をインストール」ボタンをクリックすると、使用許諾書が表示され同意すると、
インストールされるようです。
asahi.com(朝日新聞社):火星に氷「やっぱりあった」 NASAなど、写真分析で - サイエンス
やっぱり火星には氷?(固体)が存在して、昇華?蒸発?したため、NASAは水と判断したそうです。
米航空宇宙局(NASA)とアリゾナ大などは20日、火星探査機フェニックスが撮影した写真の分析から、火星極域の地表近くに氷が存在することを確認した、と発表した。今回の発見で、かつて温暖だった火星には地球型生命に不可欠な液体の水が存在し、微生物などが生きられる環境だった可能性が高まった。 確認の決め手は、ロボットアームの先のスコップが火星の土をすくい取った跡の写真。15、16日に撮影された写真では、さいころ大の白っぽく光る塊が写っていたが、19日の写真では消えていた。
http://www.asahi.com/science/update/0621/TKY200806210088.html?ref=rss