  |
はてなキーワード: フィッシングとは
[はてブ]2006年12/31までに指摘されたはてブに関する問題まとめ
はてなブックマーク - [はてブ]2006年12/31までに指摘されたはてブに関する問題まとめ
その他の参考
今日のCNETの記事へのブクマの集まり具合からもわかるとおり、夏以降にリリースされる新はてブへの期待は高まっている。その期待の中には、現はてブにおける既存の問題がどれくらいクリアされるのだろうかという期待も含まれている。ということで、2006年12/31までに指摘された、はてブに関して、問題と指摘された事項まとめてみた(観測範囲の都合上、全部はフォローしきれていない点はご容赦いただきたい)。現在までに、これらの問題に対しては多くの方が考察済みで、問題とは言い難いものもあるし、システム的にはどうしようもないユーザの姿勢に依る問題もある。また、現在までにシステムとして対応済みのものも含まれている。
今夏に新はてなブックマーク登場--その進化と情熱:インタビュー - CNET Japan
http://japan.cnet.com/interview/story/0,2000055954,20372715,00.htm
■システムに関する問題
■人気エントリに関する問題
■コメントに関する問題
■お気に入りに関する問題
■その他の問題
「ウェブを変える10の破壊的トレンド」著者 渡辺氏のインタビュー記事 世界にコンピュータが5つしかない時代がくる があまりにひどい。インタビューイの渡辺氏の発言が事実誤認だらけだというのもだが、それをスルーしている小川氏も本気でこれに同意してるとしたら見識を疑いたくなる。
2004年7月にJETRO経由でニューヨークにいきまして、IT部のディレクターという仕事をしていました。(略)たとえば、まだフィッシングという言葉がなかった時代に、クレジットカードの情報漏えいなどのプライバシーやセキュリティの情報を追いかけていました。
2004年7月にフィッシングという言葉が無かった? 日本語記事ですら 「電子メールのフィッシング攻撃が拡大,2003年の被害額は推定12億ドル」,米Gartnerの調査:ITpro というのがあるんだが。
日本にも優秀なエンジニアがいると思うんですけど、これは(Ruby on Railsの)松本さんがおっしゃってたんですけど
本を書くにあたって、なるべく事実に基づいて、事例を載せた本を出そうと思ったんです。ネットをみれば書いてある話なんですけど
いやー、本を書くならせめて裏をとろうよ。ネットの情報だけじゃなくさ。
たまたま生活圏がそうだったというだけなんでは。都市部のWi-Fi普及率は日本も米国も大差ないんじゃないかな。
新幹線の予約をしようとして、JRのサイトに登録しようとしたら、まずは専用のメンバーズクレジットカードを作れ、というんです。びっくりして、全部のJR系を試したら、JR東日本以外はみんなクレジットカードを作らないとサイトの会員になれない。
いやいや、JRのクレジットカードなんて作らなくても、少なくともJR東日本では新幹線の予約は手持ちの好きなカードで出来てますよ。帰国後の経験が浅い渡辺氏が勘違いするのはしょうがないにしても、記事にする前にインタビューア・編集部が裏を取ってフォローしようよ。
そもそもそれが可能になったのはソフトウェアデリバリの制約から開放されたASPないしSaaSでの特徴であって、欧米企業でもパッケージソフトやハードウェアをベータのままリリースするということは、少なくとも建前上は無いんだが…。
米国のケータイはしゃべる専用、単機能の文化なんだと思います。(略) ただ、iPhoneが出て、変わってきたかも知れないとは思います。アメリカでは革命的なんじゃないですかね。
この方、もともと日本の携帯電話を売り込みにいってたそうだけど、その人の知識がこれというのはちょっとどうなんだろう。Nokia や Samsung や Motorola や SonyEricsson の携帯電話にふれたことが無いんだろうか。Blackberry と言うサービス・端末を使っているビジネスマンと話したことは無いんだろうか。
世界にコンピュータは5つあればいい、とSunのCTOが言ったらしいですけど(Microsoft、Google、Yahoo!、Amazon、 Salesforceなど、クラウドコンピューティングの世界を指す)、IBMあたりはこの兆候にちゃんと気づいていると思うんですけど、日本メーカーは分かってないのかも、と危ぐしたりしています。
これを締めの言葉にするあたりで残念感が溢れすぎている。こういう方が公費で海外に長期滞在して帰ってきて講演して本を書くというのがIT企業人に受け入れられるなら、確かに日本のIT業界は危機敵状況にあるのかもしれない。
はてブの整理をしてたら、去年の夏くらいにちょっと話題になったミクシーラボ(ミクシィではない)というサイトがあった。
むちゃくちゃなサービスで、mixiユーザーじゃなくても中が覗けた。
本来のサービス目的は、足跡をつけないで他人の日記が読めるって事だったみたいだけど、mixiのユーザー名とパスワードを入力する必要があったから、さんざんフィッシングサイトだろうと叩かれていた。
はてブで一気に一位になって、2??3日後にアカウント剥奪されてあっという間につぶれた。
http://b.hatena.ne.jp/entry/http://mixilabo.com/
当たり前といえば当たり前か。
で、久しぶりに見てみると、また変なサービス開始してるしwwwwバカかコイツwww
と思ったけど、ソース公開してた。いただきます。
実は前のミクシマイザーってサービスのとき、問い合わせフォームから、
と送ったら、
「mixi敵に回したくないんでカンベンしてください。」
と返ってきた。
「そのうち面白いことやるんで」とも書いてあった。コレのことなのか???
で、楽しみにしてたスクリプトを読んでみると、思ったよりあっさり書いてあった。
Perlで掲示板の改造くらいしかしない俺は、サイトを取ってくるようなモジュールがあることすら知らなかった。
ていうか、このスクリプトちょっと改造したら、前のミクシマイザーもできちゃうんじゃないか?
http://b.hatena.ne.jp/entry/http://girlsgirls.girls-loves.net/
すさまじい人海戦術。というか、機械化してアカウントとって攻撃をかけてるんだろうな。こんなやつもいることだし http://q.hatena.ne.jp/1188819240。あーあ、やだやだ。
このエントリーをブックマークしているユーザー (3) RSS * 2007年12月27日 hooiut423 hooiut423 セフレ, 18禁, ハメ撮り CommentsAdd Star * 2007年12月26日 gfj8ikyu87 gfj8ikyu87 セフレ, 18禁, ハメ撮り CommentsAdd Star * 2007年11月03日 anti-spam anti-spam spam CommentsAdd Star 利用規約違反を通知する はてなダイアリー このエントリーを含む日記 (70) * koujin54の日記 koujin54 - 2007年12月26日 * gokiuji8の日記 gokiuji8 - 2007年12月26日 * kougoku21の日記 kougoku21 - 2007年12月26日 * yougod541の日記 yougod541 - 2007年12月26日 * jgijgiの日記 jgijgi - 2007年12月26日 * trick541の日記 trick541 - 2007年12月26日 * trigun98の日記 trigun98 - 2007年12月26日 * mick5487の日記 mick5487 - 2007年12月26日 * 無料動画 joe874 - 2007年12月26日 * meet124の日記 meet124 - 2007年12月26日 * non5212の日記 non5212 - 2007年12月26日 * gok515の日記 gok515 - 2007年12月26日 * beep541の日記 beep541 - 2007年12月26日 * lock841の日記 lock841 - 2007年12月26日 * joe815の日記 joe815 - 2007年12月26日 * mick459の日記 mick459 - 2007年12月26日 * teck54の日記 teck54 - 2007年12月26日 * cocododo8の日記 cocododo8 - 2007年12月26日 * talkbombの日記 talkbomb - 2007年12月26日 * wilipoonの日記 wilipoon - 2007年12月26日 * keep411の日記 keep411 - 2007年12月26日 * cocopopの日記 cocopop - 2007年12月26日 * ikki845の日記 ikki845 - 2007年12月26日 * hayami41の日記 hayami41 - 2007年12月26日 * bikan10の日記 bikan10 - 2007年12月26日 * nonbiger5の日記 nonbiger5 - 2007年12月26日 * jigjig3の日記 jigjig3 - 2007年12月26日 * mitsu0gtの日記 mitsu0gt - 2007年12月26日 * geegeegの日記 geegeeg - 2007年12月26日 * keep510の日記 keep510 - 2007年12月26日 * asakura02の日記 asakura02 - 2007年12月26日 * nyaoto85の日記 nyaoto85 - 2007年12月25日 * nikotan14の日記 nikotan14 - 2007年12月25日 * noire4545の日記 noire4545 - 2007年12月25日 * hanaten21の日記 hanaten21 - 2007年12月25日 * god444の日記 god444 - 2007年12月25日 * dogcatdogcatの日記 dogcatdogcat - 2007年12月25日 * babaroawhiteの日記 babaroawhite - 2007年12月25日 * mintiafine5の日記 mintiafine5 - 2007年12月25日 * gogogogoteenの日記 gogogogoteen - 2007年12月25日 * dinosqooooの日記 dinosqoooo - 2007年12月25日 * leave8931の日記 leave8931 - 2007年12月25日 * higeboobooの日記 higebooboo - 2007年12月25日 * nobunaganoyabouの日記 nobunaganoyabou - 2007年12月25日 * pingooomの日記 pingooom - 2007年12月25日 * cain0005の日記 cain0005 - 2007年12月25日 * kirapenpenの日記 kirapenpen - 2007年12月25日 * mirai2424の日記 mirai2424 - 2007年12月25日 * vacation365の日記 vacation365 - 2007年12月25日 * painappuuuuの日記 painappuuuu - 2007年12月25日 * pencil5ptの日記 pencil5pt - 2007年12月25日 * takasitakasiの日記 takasitakasi - 2007年12月25日 * smkingの日記 smking - 2007年12月25日 * antena100ponの日記 antena100pon - 2007年12月25日 * mrblack010101の日記 mrblack010101 - 2007年12月25日 * charinnko45の日記 charinnko45 - 2007年12月25日 * insyuunten007の日記 insyuunten007 - 2007年12月25日 * manngooooooの日記 manngoooooo - 2007年12月25日 * pokepoke59の日記 pokepoke59 - 2007年12月25日 * jgijgiの日記 jgijgi - 2007年12月25日 * trick541の日記 trick541 - 2007年12月25日 * trigun98の日記 trigun98 - 2007年12月25日 * mick5487の日記 mick5487 - 2007年12月25日 * 無料動画 joe874 - 2007年12月25日 * meet124の日記 meet124 - 2007年12月25日 * non5212の日記 non5212 - 2007年12月25日 * gok515の日記 gok515 - 2007年12月25日 * beep541の日記 beep541 - 2007年12月25日 * manngooooooの日記 manngoooooo - 2007年12月23日 * insyuunten007の日記 insyuunten007 - 2007年12月20日 ||<<
自前鯖ってどうなの?
すごく便利そうだけど24時間起動のマシンが自宅にあるかとおもうと
ちょっと勘弁してほしいなとか思ったりする。
グローバルIPを取ったりするのかとおもうとなえなえだよ。
自分が非公開にするまで誰も対応してくれないじゃない。
長期旅行とかいけなくなるし、よほどのことがないとできないなーとか思ったりする。
増田さんは自前で外向けもってたりするんですか?
大概理解した。管理の甘いサーバはサーバサイドスクリプトでのっとり、それが出来なきゃindex.htmlおいてのっとり表示orフィッシング、最悪○○.txtや○○.jpgでhtmlおいてクライアントサイドスクリプトで嫌がらせorトロイつーとこですか。
うん。そういう感じ。
置き土産のフィッシングサイトがレンタルサーバーの規約に違反して公開停止の措置をうけました。
よぼぼん。
GDで1.0倍とか掛けるのはよさそうな手だね。
他になにか手があるかな、
認証APIあたりをつかって匿名アップローダーにするとかしか思いつかないや。
googleあたりでフォルダ名あたりから辿ってアタックしているんだろうね。
そこらへんはBBSあたりへの手口と一緒かも。
アップローダー。結局どれもずるずるなんだよね。
どうしたもんか。
ハックしてくるひとのために勝手口に鍵を掛けてないドアを用意して、
入れるようにしておいて、中にはいったらお茶でも出してまっててやりたい。
大概理解した。管理の甘いサーバはサーバサイドスクリプトでのっとり、それが出来なきゃindex.htmlおいてのっとり表示orフィッシング、最悪○○.txtや○○.jpgでhtmlおいてクライアントサイドスクリプトで嫌がらせorトロイつーとこですか。
どうも、その「ずるずるのアップローダー」はターゲットらしい。いろいろやられてる所が散見されました。
やっぱりIEのおせっかい仕様がガンだなぁ。firefoxだとcontent-typeを無視しないから、画像として表示しようとして、表示できなくて終わりだけど、IEだと中身がHTMLだとHTMLとして解釈しちゃうんだよな。
根本対策は、いったん画像をコンバートしてから保存するようにして、画像として処理できないデータは破棄するしかないのかな。GDとかImageMagicで1.0倍に変換とかしたらうまくいったりしないのかな?あとはアップロード時にはCAPTCHA使うとか。
でも、その「ずるずるあっぷろだ」をやめて、世界的にはマイナー、ただしユーザはそこそこいるアップローダにしたら、とりあえず大丈夫な気がする。
この攻撃、のっとったサーバかボットネットか何かから、手当たり次第に特定環境を機械的に攻めてるだけじゃないかな?だから、狙われないマイナーな奴使うのも一つの手だと思うよ。
何はともあれサイト復旧がんばってください。
ごめんね紛らわしいかきかたした。
ヘッダって書いたのはバイナリヘッダね。
ファイルの先頭数バイトとファイナルにファイル情報数バイト入ってたりするじゃない。
あそこらへんに画像情報ヘッダ埋め込まれて、実態はスクリプトファイル。
ごめんね、急いで書いたから適当に書いちゃった。
アップロードを試みられたファイルを適当に名前だけのっけておくね。
jpgなんて拡張子でphp割り当ててないから動くわけもないんだけどさ、
どうもあれこれしようとした形跡はあった。
phpスクリプトをよしんば動かせたとしても、権限がないから設定を書き換えたりはできないんだけど、もし権限があったらgif画像でスクリプト動いてたんだろうね。
で、実質あまり被害が広がったとも思えないけど、txtでフィッシングサイトの置き場にされてあえなくアボン。
アップローダーとか画像アップ用のスクリプトを安全に運用するすべはないもんかのー
.174 UPLOAD data_w2box/index.htm.jpg
.251 UPLOAD data_w2box/tac6.php.jpg
.217 UPLOAD data_w2box/c99.php.jpg
72.9 UPLOAD data_w2box/d.html.JPG
4.33 UPLOAD data_w2box/mad.gif
44.6 UPLOAD data_w2box/sniper_sa.php.jpg
.246 UPLOAD data_w2box/c99built16.php.jpg
.196 UPLOAD data_w2box/cmd.jpg
4.15 UPLOAD data_w2box/shell.php.jpg
72.9 UPLOAD data_w2box/pouya2.html.JPG
.157 UPLOAD data_w2box/mefisto.txt
.119 UPLOAD data_w2box/pv2.php.jpg
78.8 UPLOAD data_w2box/rv.php.jpg
.101 UPLOAD data_w2box/hack.jpg
1.15 UPLOAD data_w2box/index.jpg
4.83 UPLOAD data_w2box/qqq.jpg
4.83 UPLOAD data_w2box/hacked sssssubay.jpg
1.15 UPLOAD data_w2box/hacked.jpg
1.15 UPLOAD data_w2box/hackedturan.jpg
1.15 UPLOAD data_w2box/hacked turan.jpg
.180 UPLOAD data_w2box/c99.jpg
.180 UPLOAD data_w2box/root.jpg
8.11 UPLOAD data_w2box/se.php.jpg
7.59 UPLOAD data_w2box/putrio.php.jpg
.144 UPLOAD data_w2box/r57.txt
.144 UPLOAD data_w2box/ugur.txt
.128 UPLOAD data_w2box/hacked_sssssubay.jpg
0.14 UPLOAD data_w2box/verification.txt
6.97 UPLOAD data_w2box/test.php.jpg
.224 UPLOAD data_w2box/tool.txt
72.9 UPLOAD data_w2box/hacked.txt
つか、こいつわかりやすい名前つけるよな。。
ちなみに最後のやつがPayPalのフィッシングサイトだそうで、
サーバー管理にひっかかった。
というか、ソーシャル系、マルウェア系が無いね。最近はこっちでない?
でも、気が付くと、最近はそんな記事をあまり見てない気がする。けど、収まったわけではないんだよね?たぶん。
とりあえず、スパムの増加を見るに、ボットネットは相変わらず勢力を拡大してるんだろうな。やっぱあれだろうか、開発環境の整備によるバグ減少とか、ターゲット型への移行により、発覚・話題化の抑制に成功してるって事だろうか。
あと、オフィス系の穴探しが活発化してる所を見ると、やっぱりターゲット先は企業、官公庁なんだろうか。いや、逆に、セキュリティがしっかりしているから表出していると見るべきか。そうなると、最近話題に上がらない家庭向けの方がメインか。しかし、こちらはあらかたシェアを握ったという気もする。ん?ということはある意味、安定期?
いずれにしろ、このボットネットはどうにかしなきゃならんだろうな。しかし、エンドユーザが直接的に不利益をこうむってないのがね。「べつにかまわない」とか言われると困るというか、なんだか、ボット使いとの間の洗脳合戦みたいで、ソーシャルに疲れる。いっそ、プロバイダの利用規約で、ボットの通信が行われていると特定されたら、故意ではないにしろ、一種の不正利用に準じているとみなし、通信の制限を課すとかいう利用規約にしちゃうとかどうだろう。
そうそう、ボットネット関連で最近気になるのは、ルータとかアプライアンス的機器のファームウェアだな。
つい最近もいくつか記事や穴の話があった気がするが、失念。ちゃんと、はてブぐらいはすべきだった。
世の中、こういったネットワーク接続した機器のファームって、どれくらいの人が気にかけてるんだろう。ほとんどいない気がする。ということは、こういった機器、たとえばルータとかって、ものすごくおいしい市場な気がする。反面、そういう機器って負荷がかかったときの安定性とか、実際どこまでの能力があるのかわからん。誰か、実際にクラックして記事にするとかすると面白そうなのにな。
実際、今のところは能力とかハード面で開発環境が整ってないから出てきてない(よね?)だけで、今後、そういった機器が高性能化・汎用化すれば、早晩、ターゲットになるだろうけど、そうなると回収騒ぎとか出るんだろうか、やっぱり。
まぁ、自動アップデートとか、フォールトトレラントとか、ケイタイで経験をつんでそうだから、そこらへんから技術が流れればよいね。ってか、日本でケイタイウィルスが出るのはいつごろになるのかな?
そうそう、日本で遅いといえばフィッシングサイトだよね。eBayとかは結構見掛るのに、日本はほとんど話題になってないね。あ、でも、ヤフオクだけははやってるらしいね。てか、フィッシングサイトじゃなくメールか。なんにしろ、そこそこ儲けちゃってるらしいよね。
あー、そうか、被害者側から見て能動じゃなく、受動的な方が引っかかりやすいのか?日本人は?
そいや、ヤフオク以外のオークションサイトとかはどうなんだろう。やっぱり被害がでてるんかね?その辺の情報知りたいけど、あんまり話題になってない気がする。
いずれにしろ、この手の情報は、海外の事例は見掛るのに、日本の情報があんまり目だってない気がする。見るところがわるいんかな?
と、つらつら書いてみちゃったりする独り言。
だれか、日本のソーシャル系手口の今がわかる所、ボットネットの現状や種類がわかる所、素人も楽しく読める未来のクラック技術、たとえばマルチコアCPUの情報漏えいとか、分散技術のクラックの穴とか、そんな話題のお勧めページ知ってたら教えて。
その質問だと答えは「リンクを貼っただけで関係があると誤解する人はゼロには成らない。リンク許諾制をやめて、リンクは勝手に貼られるのだと明記すれば、リンクを貼ってある事を理由に許可を得ているから安心できる業者だと思わせる錯誤を減らす事が出来るだろう」だ。
そもそも「誤解してしまうリテラシーの無い閲覧者が多く居るよね」という前提があるのに「リンク許諾制をやめればリテラシーのない人はゼロになるのか」という質問が、論理として飛躍しているよ。そもそも「可能性がゼロになるってこと」ってひろみちゅも無断リンク禁止反対派も言ってないと思うけど? (詭弁テクニックとして書いたとは解釈しないで、単純に混乱して質問したのだと思うことにする)
あと仮に「もちろんゼロには成らないと思うよ。啓蒙が完璧に浸透するのはまだ無理という意味で。ひろみちゅリテラシーの啓蒙がすすんで結果的に「悪質な業者に利用される」のはかなり減るだろうけど」という答えだとしたら、どう思います?
いや、リンクを許諾制にしていることのみが「悪質な業者に利用される」原因ならばこの指摘は正しいけど、本当にそうなの?
この文脈において、リンク以外の悪質業者のテクニックについて問題にしている人っているの?
もちろんあなたが新しい論点として「リンクが有っても関係ないという話題だけじゃなく、他の悪質なテクニックについても議論すべきだ」というのであれば、それは無断リンクの議論とは別の話として考えるけど。(ひろみちゅが、いろいろある脆弱性の中から公的な組織の無断リンク禁止問題を取り上げているのは、まずそこだけにフォーカスして他の問題は棚に上げているってことは理解できるよね? まぁ実際にはフィッシングやら偽サイトの問題の方を率先してとりあげているんだけど)
たとえば www.hatema.jp とかとって、そこにログイン画面作ってフィッシングサイトを作る。
捨てアカとって、JavaScriptつかってリンクがそこへ飛ぶ様にしておくエントリを書く。
http://anond.hatelabo.jp/20061227145016
使いやすいからJsってだけで、悪意をもって振舞えば別にJavaScriptつかわないでも現状のもと実現できるよね。
まちちゃんの可愛いところはマグロの解体ショーを人前で実践してくれるところ。
切り身のトロがメバチマグロなのか黒マグロなのか気にせずにショーとして楽しめるところ。
そもそも今回はJsなんか使われてないよね?
クライアント側に何をするのかより、サーバー側になにをするのかだと思うんだ。
鍵をいくつもつけまくるのは確かに抑止力にはなる。だけど不便じゃない?
いろんなブログパーツがあるけどはてなでは自由に使えないじゃない?
<a href="javascript:alert('こんにちはこんにちは!');">マグロの解体ショー</a>
こんな簡単なスクリプトからcss/expression()まで弾くぐらいJsをガチガチにブロックしている理由はさすがに少し技術的な固執じゃないかなと思う。スタイルシートをタグに適用するのも禁止とか……。
そのわりに肝心なアカウント認証の部分が緩いからこういうことになるんじゃないかな。
ドアには普通の鍵でいいから金庫の鍵だけはもうすこししっかりしてねという所感。
特にブログなんて公開するためのものだから、お店のドアが鍵だらけっていうのもどうなのかな。
金庫室って書いた鍵の緩いニセのドアを設けてそこを開けたお客さんをマークしておくとかすればいいと思うんだ。
戯言。
というかいっそJavaSript許して欲しくない?
ガチガチに固める理由がわからない。
お金絡むからなのかな?
だとしたらSSLまわりをもちっと強化したらいいんじゃないだろうか。
JavaScriptを侮っていないか?AJAXが何をやっているか知っているか?
ぼくはまちちゃん!(Hatena) - 【クリスマス特別企画】mixiの「足あと」をはてなで体験してみようね!!がなにをやった?
別ににコメントを残す先、ブックマークする先はどこでもよいんだぞ。〜.jsがCGIで、動的生成されてても構わないんだぞ。
たとえば www.hatema.jp とかとって、そこにログイン画面作ってフィッシングサイトを作る。
捨てアカとって、JavaScriptつかってリンクがそこへ飛ぶ様にしておくエントリを書く。
別アカ幾つかとって、はまちやの手法でフィッシングサイトへ飛ぶそのエントリをホットエントリ入りさせる。
ホットエントリ入りしている人のエントリにフィッシングサイトへの誘導エントリをSPAMする。
そりゃ、多くは引っかからないかも知れない。でも、数%が引っかかってもそこそこの人が被害に合うだろう。
SSL?気にしない人は気にしない。
そんな人は見捨てればいい?そんなはてなが良いのか、きみは?
