FireFox3.0.8リリース:Firefox 3.0 セキュリティアドバイザリ(情報元のブックマーク数)
ってことで、予定より早くFireFox3.0.8がリリースされています。2つの脆弱性に対応との事。とりあえずアップデートアップデート!
Firefox 3.0.8 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.8
MFSA 2009-13 XUL ツリー要素を通じた任意のコード実行 MFSA 2009-12 XSL トランスフォーメーションの脆弱性
傷害:ナンパ無視の女性顔切られる 2人組の男逃走 大阪 - 毎日jp(毎日新聞)(情報元のブックマーク数)
ひどすぎる、かわいそうすぎる・・・20時50分だよ・・・怖くて通れない。
29日午後8時50分ごろ、大阪市北区角田町の大型商業施設「ヘップファイブ」前で、ネイルサロン店の女性従業員(21)が若い男に顔を数発殴られ、ナイフのような刃物(刃渡り約10センチ)で左ほおを約3センチ切りつけられた。女性は病院に運ばれたが軽傷。大阪府警曽根崎署によると、女性は男から「遊ぼうや」と声をかけられて無視したところ、いきなり襲われたという。同署は傷害事件として、男と、一緒にいた別の男の2人を追っている。
http://mainichi.jp/select/jiken/news/20090330k0000m040134000c.html
同署によると、女性は友人(21)とともに「ヘップファイブ」北側通用口前の階段に座っていた。2人の男が近付き、うち1人が声をかけてきたが、無視したところ、その男が友人の顔を手でさわったうえ、「お前らなめとったらあかんぞ」と逆上して女性を殴り、刃物で切りつけたという。もう1人は無言で見ていただけで、2人一緒に逃走した。
パターンアップ-5.929.00
Trendmicroのパターンがアップしました。
パターン番号:5.929.00
イエローアラートJP/US:JP 2009年03月度パッチ、AdobeのZero-DayとMS09-002のExploit、FlashPlayer、ExcelのZero-Day警告/US 特筆無し アップデート理由:定期アップデート 新規対応 特筆なし 亜種対応 MS08-067 WORM_DOWNAD.AD
発注者のためのWebシステム/Webアプリケーション セキュリティ要件書|脆弱性診断.jp(情報元のブックマーク数)
株式会社アイアクトと株式会社トライコーダが発注者のためのWebシステムセキュリティ要件書をCCで出しています。これはすごい!!!
まっちゃ139で以前グループディスカッションの際に上野さんがおっしゃっていたやつですね。すごい!
セキュリティの問題を修正する場合、開発後のフェーズになるほど高いコストが必要になってきます。
http://脆弱性診断.jp/specifications/index.html
要件定義や設計段階での不備は、後の全フェーズに影響するので、セキュリティの問題を設計段階までには解消しておくすることが重要です。セキュリティ対策を適切なコストで確実に行うためにも、Webシステムの要件定義書には機能要件や性能要件などに加えて、セキュリティ要件を必ず盛り込むようにしましょう。
アイアクト++、トライコーダ++、、、あれ?”ライコーダ”?!?!?!?
セキュリティ教育を専門とするライコーダとの協力で文書化を行い、アイアクトが運営するWebアプリケーションの脆弱性に特化した情報サイト「脆弱性診断.jp」上で公開する。なおクリエイティブコモンズライセンスの下で提供され、無償であるほか、二次加工・配布や商用利用が可能となっている。
アイアクト、Webサイトのセキュリティ要件仕様書を無償公開
まずは、ドラフト(たたき台)を出して、それからみんなで、良いものを作っていけばいいと思うんですが、修正とか議論する場とかがあればうれしいな>うさぎデザイン
受け入れの時、ここに挙げられている項目が要求された通りになっているかどうかをチェックする必要があると思うんだけど、チェックは誰がどういう形で行えば良いのかなあ?
発注者のためのWebシステム/Webアプリケーション セキュリティ要件書 - 極楽せきゅあ日記
とはいえ、ほとんどはいわゆるブラックボックステストでチェックできるのかな?だとすると、発注側でも要件確認テストを行うスキルさえあれば良いということなのかな。
これからバージョン管理とか色々よろしくお願いします。楽しみです。
実用的な教育メニュー
開発者、発注者向けの「安全なWebサイト構築のための設計ガイドライン」を始めとした各教育講座は、単に知識として習得していただくことが目的ではなく、業務に活かしていただくことを目的とした教育です。
http://www.tricorder.jp/education.html高い教育レベルとわかりやすい講座
教育用コンテンツやドキュメントは、IT初心者向け書籍なども多数執筆している著者が監修しているので、高い教育レベルを保ちながら、わかりやすい講座内容となっています。
TIPタソのBlogにも書かれていますが、色々あったけどちょっとまとめてみた系らしい。いい感じでまとまってる
これまで発注者側が使えるセキュリティ要件に近いものとして、
Webアプリケーション開発に伴うセキュリティ要件をまとめた「発注者のためのWebシステム/Webアプリケーションセキュリティ要件書」をクリエイティブコモンズライセンスにより無償で公開 〜 株式会社トライコーダ - うさぎ文学日記
JNSAの『「Webシステム セキュリティ要求仕様(RFP)」編 β版』や、
IPAの『安全なウェブサイトの作り方 改訂第3版』、
産業技術総合研究所 情報セキュリティ研究センター 高木浩光氏による『安全なWebアプリ開発の鉄則2006』
などがありましたが、発注者が使いやすい形のものはなかったため、
今回作成し公開することにしました。
本ドキュメントは公共性が高いと考え、
クリエイティブコモンズライセンスの下で提供し、
二次加工・配布、商用利用を可能にしております。
さまざまな用途でご活用頂ければと存じます。
またご意見など頂ければ幸いです。
転職先のお知らせ - Blog::koyhoge(情報元のブックマーク数)
ぉーーーー
id:koyhogeさんテックスタイルか!!!おめでとうございます!
それはさておき、転職先は
転職先のお知らせ - Blog::koyhoge::Tech
株式会社テックスタイル
になりました。おかだっち(okdt)こと岡田良太郎さんの会社ですね。群衆の叡智サミットとかいろいろやっているところです。いろいろ新しいことができそうなので、こちらにjoinさせて頂くことになりました。
攻撃数の増減から分析:法人口座を狙うボットネットのフィッシング詐欺 - ITmedia エンタープライズ(情報元のブックマーク数)
fast-fluxっていうボットネットが多数を占めたとのこと。Rock Phishが移行したかららしい。
攻撃手法では、ボットネット「fast-flux」(43%)と正規サイトの改ざん(39%)が多数を占めた。同社では過去1年間に2回の大きな増減の変化があったことについて、フィッシング詐欺犯罪集団の通称「Rock Phish」が攻撃インフラに使用するボットネットを大規模に進化させたことが背景にあると指摘。
法人口座を狙うボットネットのフィッシング詐欺 - ITmedia エンタープライズ
Rock Phishグループは2004年からフィッシング詐欺行為を始めたとみられ、同社では昨年観測した13万5000件以上のフィッシング攻撃の半数以上に同組織が関与したと推測。同組織は以前からボットネットを使用していたとみられるが、昨年8月にかけての最初の減少では複数ドメインで複数のIPアドレスを使い回すことができるfast-flux型のボットネット「Asprox」への切り替えによるものだという。さらに、昨年12月の2回目の減少では新たなfast-flux型ボットネット「MS-Redirect」(RSA内での通称)に移行したとRSAでは分析している。
MS++!Mozilla++!あれ、、、記事はMozilaになってるやw
また、MicrosoftやMozila FoundationなどWebブラウザ製品の提供元にも情報を提供。例えばInternet Explorer(IE) 7やIE 8にはフィッシング詐欺サイトの検出機能が搭載されているが、提供情報が短時間に反映され、ユーザーのフィッシング詐欺被害の拡大を抑止しているとRSAでは説明している。
法人口座を狙うボットネットのフィッシング詐欺 - ITmedia エンタープライズ
製造現場もパッケージで:SAPジャパン、製造現場向け新実行系ソフトを提供 - ITmedia エンタープライズ(情報元のブックマーク数)
SAPがMESを出すとのこと。すげぇ!!!これはすごすぎ。
SAPジャパンはグローバル展開する日本の製造企業向けに、製造現場の機械などと連携するMES(Manufacturing Executionn System)と呼ぶ実行系ソフトウェアの新製品を6月から提供するとアイティメディアの取材で明らかにした。また、分散している製造現場のシステム間をつなぎ、生産などに関する全体の状況をポータル上で一元的に把握できるソフトウェアの新版を3月末に発売することも併せて明らかにしている。「要件が複雑でパッケージの利用が難しい」といわれる製造現場システムの常識を覆す考えだ。
SAPジャパン、製造現場向け新実行系ソフトを提供 - ITmedia エンタープライズ
MESで操業管理したものが、直接ERPで管理で物が動くとすごくなりそう。
従来製造業のMESは「手づくり」が主流だったが、手づくりでは製造業の海外展開などにより新興国などにすばやく工場を設立するのが難しいといった問題もあった。
SAPジャパン、製造現場向け新実行系ソフトを提供 - ITmedia エンタープライズ
一方、1つの工場内だけでなく、世界に分散する工場の情報を一元管理するソフトウェアの新版「SAP MII(Manufacturing Integration and Intelligence)」も発売する。
公開授業@札幌 - 極楽せきゅあ日記(情報元のブックマーク数)
なんか、うちの中の人が呼ばれちゃったのかな?面白そうだったなぁ・・・・
個人的におもしろかったのは、実はあまり準備せずに臨んだ「対談」ですね。クロストークって感じでしたが、昼ご飯の時に「P2Pに絡んだネタなら広がる展開がいろいろあっておもしろいんじゃないか?」ということになって、急遽いろいろ仕込んで決めたんですよね(笑)。いやーそんなもんですこういう企画なんてw。
公開授業@札幌 - 極楽せきゅあ日記
でも、商用サービスを実際に展開している、まさにその中の人に、ツッコミを入れることができたというところが面白かったっすね(笑)。
海外で「POSSIBLE_VUNDO-9」の勢力衰えず、国内では10位圏外へ:Security NEXT(情報元のブックマーク数)
Threat Encyclopedia - Trend Micro USAが増加らしい。へぇ。
トレンドマイクロは、国内同社サポートセンターへ寄せられたウイルス感染報告や、ウイルストラッキングセンターが1週間に検知した情報を取りまとめた。
【セキュリティ ニュース】海外で「POSSIBLE_VUNDO-9」の勢力衰えず、国内では10位圏外へ(1ページ目 / 全1ページ):Security NEXT
先週海外を中心に国内でも増加傾向を見せた「POSSIBLE_VUNDO-9」だが、海外で引き続き「MAL_OTORUN2」を押さえてトップだった。一方国内では10位圏外から姿を消しており、国内外で感染状況に差が現れた。
国内では、「MAL_OTORUN2」「WORM_DOWNAD.AD」が2強となっているが、「TROJ_VUNDO.ANL」「MAL_HIFRM」などがじりじりと順位を上げてきている。
_ [ネットワーク][勉強会] 京都IPv6勉強会(まっちゃだいふくの日記★とれんどふりーく★):TATSUYA.info [Diary](2009-03-29)(情報元のブックマーク数)
IPv6って、なんとなく使えるんだ!!!!
IPv6はなんとなく使ってるけど、全然ちゃんと分かってないからなぁ。
http://tatsuya.info/tdiary/?date=20090329#p02
今度のCCNAの更新に併せてIPv6もまともに勉強しなきゃなぁ。
先週の土曜日は福岡勉強会でした(情報元のブックマーク数)
わんくま勉強会@福岡って、aip使ったんだ!!!!!!!杉山さんとか間に立ったのかな?
福岡勉強会でした。
先週の土曜日は福岡勉強会でした
今回の会場は特定非営利活動法人高度IT人材アカデミー(aip)という、NPOの協力で行いました。
http://www.npo-aip.or.jp/
aipさんは福岡の方で非常に楽しそうなことをしており、aipカフェという会員なら誰でも利用出来る会場を無償で提供しておられます。
本当に色々な人たちと出会うと、パワーも考えも、色々もらえます、みなさんも是非色々なコミュニティな勉強会とか、合同勉強会とか(そこかい!w)参加してみてください!
今後もこの会場を利用させていただく予定になっておりますので、是非みなさんもこのようないろいろなコミュニティなどで、たくさんの人と出会い、考え、楽しくITについて語り合ってみませんか。
先週の土曜日は福岡勉強会でした
ワンルームっぽい感じなんですねw
AIP Cafeって、ワンルームマンションの一室なんですね。場所がかなりわかりづらいのですが、大名と言う場所はとてもイイ感じの店(ファッション/食事)が多く、アートっぽい雰囲気のあるとてもおしゃれなまちでした。天神駅からも近いし、なかなかいい場所ですね。
わんくま同盟 福岡勉強会 #06
セキュアヴェイル、必要な機能だけを購入できるSaaS型メールセキュリティサービス(情報元のブックマーク数)
セキュアベェイルがSaaS型のメールセキュリティサービスを開始とのこと。
ウイルスやスパム、アーカイブなどを提供するそうです。IPSのホスティングもオプションで可能とのこと!へぇ!
株式会社セキュアヴェイルは3月30日、SaaS型のメールセキュリティサービス「Secure Message for SaaS」を4月1日より販売開始すると発表した。セキュアヴェイルのデータセンター「セキュアデリゲーションセンター」を利用し、迷惑メール(スパム)対策、ウイルス対策、アーカイブ、ログ分析といった各機能を提供する。サービス開始は5月1日の予定。
セキュアヴェイル、必要な機能だけを購入できるSaaS型メールセキュリティサービス
Secure Message for SaaSは、企業が設置するメール用のセキュリティゲートウェイに代わって、ウイルスのチェックやスパムフィルタリングなどの機能を提供するセキュリティサービス。ユーザー企業が自社でセキュリティゲートウェイを運用する場合と比べて、初期費用や運用コストなどを抑えられるという。また、必要な機能、容量を選択することで価格を抑えられるほか、オプションとしてメールサーバー、Webサーバー、ファイアウォール、IPSなどのホスティングも可能とのこと。
Tool: XSS Rays(情報元のブックマーク数)
XSS Scannerツールだそうです。Javascriptで書かれているそうですよ。
"I’ve developed a new XSS scanner tool that’s written in Javascript called XSS Rays for Microsoft. They have given me permission to release the tool as open source which is awesome because it can be used for other open source applications. I recommend you use it as part of the web development process to make sure you’ve filtered XSS correctly on your application.
Tool: XSS Rays
Tomorrow is a new day:マイ○ロソフトのせいで休日出勤 - livedoor Blog(ブログ)(情報元のブックマーク数)
MSのパッチが原因で言語仕様を変えられてしまって大変、、、らしい。そんなのあったんだ。
今日、重大な不具合が発覚してしまい、その原因を調べるとマイ○ロソフトのセキュリティパッチが原因であることがわかりました。 そのせいで、明日(といっても10時間後)には、緊急アクション会議が開かれます。
Tomorrow is a new day:マイ○ロソフトのせいで休日出勤 - livedoor Blog(ブログ)
セキュリティを強化するのはいいのですが、言語仕様まで変えるとは…。
とりあえずリリース前に発覚したので、影響を比較的小さくできたのは不幸中の幸いかと。
Google Calendar に学校や会社の予定を一括インポートしよう!:クジラ飛行机「文系サラリーマンのための仕事に役立つプログラミング入門」(情報元のブックマーク数)
仕事のスケジュールを情報漏洩する方法です(違
今回は、学校や仕事の行事の予定を一括で Google Calendar に登録する方法を紹介します。Google Calendar は便利で、Web に一般公開したり、特定の人にだけ公開したりという使い方も可能です。
Google Calendar に学校や会社の予定を一括インポートしよう! | 日経 xTECH(クロステック)
