RFC6648として、アプリケーションプロトコル内での"X-"接頭辞と同様の構造の廃止というのが上がっていました。 HTTPなど多くのプロトコルでは、非標準パラメーターに”X-”接頭辞を付けることで、標準パラメーターと区別していましたが、メリットがないという…

PayPal もバグ報奨金プログラムを開始しました。GoogleやFirefoxなどがやっているあれです。 対象となる脆弱性は、XSS、CSRF、SQLインジェクション、認証のバイパスとのこと。報告したらいくらぐらいもらえるんでしょうね？ For Security Researchers - PayP…

フランスのexploit販売会社のVupenによると、ターゲットの制御を得ることができるようなゼロデイ攻撃の価格は下記のようになっているとのこと。 Adobe Reader $5,000-$30,000 Mac OSX $20,000-$50,000 Android $30,000-$60,000 Flash,Java Plugin $40,000-$1…

はらロールは神戸のお店。豆乳を使ったクリームとスポンジ生地がとても美味しいです。ルレ・レーブを思い出す美味しさ！リピートしたい。 左から、オリジナルのはらロール、きなこ、フルーツ、抹茶。抹茶美味しい。 東京駅地下グランスタの特設会場に出てい…

「めんどうくさいWebセキュリティ」という本を出します。内容はタイトルの通り、日々めんどうくさくなっているWebのセキュリティについて整理した一冊です。著者はMichal Zalewski氏で、私は日本語版の監修を務めました。 本書の発売を記念して、同時期に出…

「md5crypt() でパスワードを守るのはもう安全じゃないよ」と、作者のPoul-Henning Kamp氏が声明を出しています。 md5cryptパスワードスクランブラーは、1995年に作成されて、当時は十分に強力な保護機能を発揮していましたが、もはや現在は十分ではないので…

”10.0.0.1.xip.io”とするだけで、”10.0.0.1”に名前解決してくれるんだぜぇ〜？ワイルドだろ〜。 他にもこんな感じで。 10.0.0.1.xip.io → 10.0.0.1 www.10.0.0.1.xip.io → 10.0.0.1 mysite.10.0.0.1.xip.io → 10.0.0.1 foo.bar.10.0.0.1.xip.io → 10.0.0.1 x…

2012年07月06日（金）に東京商工会議所の情報セキュリティセミナー技術編にIPAの人として登壇予定です。 内容は2012年版10大脅威や新しいタイプの攻撃あたりの予定です。 1日のセミナーですが、午前と午後で申し込みがわかれているようです。 情報セキュリテ…

一気にニュースになっていますが、LinkedInのパスワード（saltなしのSHA-1ハッシュ）が漏えいして、単純なパスワードの多くがクラックされている可能性があるとのことです。 ユーザーの方はパスワードの変更かリセットをしておきましょう。 Linkedin Blog

セブから帰り、白浜から帰った翌週からロシアのモスクワで行われた「PHDays2012」というセキュリティカンファレンスに行っていました。初ロシア。 セブに行くためパスポートを旅行会社などに預けられないため、ビザ取るのも自分で大使館に行ったりしたので結…