セキュリティっぽいいろいろ ― 2009/08/13 22:18
WordPressの更新版リリース、パスワードリセットの脆弱性に対処 - ITmedia News
2009.08.13 木曜日 - UnderForge of Lack
サードパーティ製 Flash コンテンツにコンピュータ上のデータを格納することを許可します。
をOFFにしました。
既に記録されている情報については、Webサイトの記憶領域設定パネルで削除できます。
(追記2:一部のFlashゲームなどで問題が発生する場合がありますので、対処はよく調べてからにしましょう)
とは言っても、JavaScriptなしでブラウザの閲覧履歴を盗むとか方法はいくつもありますからねぇ……
正直、広告なし無料のブログパーツやカウンターの中にはそれを目的としてるものがあっても不思議はないわけで、Flash Cookie切ったからといって他がザルでは意味がないのですよねぇ。いろんな意味で頭の痛いところです。
-追記-
ユーザーが制御できない「秘密cookie」、半数強のサイトが利用 - ITmedia エンタープライズ
Java SE 6 update 16 が公開されました - UnderForge of Lack
アップデートならこの前したよって見逃してました……(自動アップデートチェックしないように設定しているので見逃しはヤバイw)。
それにしてもどうして設定を引き継いでくれないのでしょう。毎回設定(アドオンとかタスクトレイとかクイックスタートとか)や古いJRE(C:\Documents and Settings\[ユーザ名]\Application Data\Sun\Java\jrex.x.x_xx)を削除するのが面倒です。
この問題を悪用された場合、攻撃者が細工を施したURLを使ってセキュリティチェックをかわし、管理用パスワードをリセットできてしまう恐れがある。リセット後の新しいパスワードはアカウント所有者にメールで送信される。リセットされるだけなら、周囲に被害が及ばないからどうでもいいやと思ってましたけど、パスワードをメールで送るので、この前のTwitterのような漏洩や改竄もあり得るのですね……。
リモートからのアクセスに悪用することはできないが、非常に厄介な問題だとして、ブログでは全ユーザーにバージョン2.8.4への更新を呼び掛けている。
2009.08.13 木曜日 - UnderForge of Lack
Global Storage Settings panel私は以前、Flash Cookie=セキュリティと思えないなどと書いてたのですけど、行動追跡に利用されてるっぽくて気持ち悪いのでグローバルストレージ設定パネルで
サードパーティ製のFlashコンテンツにコンピュータ上のデータを格納する事を許可します
がデフォルトでONになっていますので、OFFにしてください。
サードパーティ製 Flash コンテンツにコンピュータ上のデータを格納することを許可します。
をOFFにしました。
既に記録されている情報については、Webサイトの記憶領域設定パネルで削除できます。
(追記2:一部のFlashゲームなどで問題が発生する場合がありますので、対処はよく調べてからにしましょう)
とは言っても、JavaScriptなしでブラウザの閲覧履歴を盗むとか方法はいくつもありますからねぇ……
正直、広告なし無料のブログパーツやカウンターの中にはそれを目的としてるものがあっても不思議はないわけで、Flash Cookie切ったからといって他がザルでは意味がないのですよねぇ。いろんな意味で頭の痛いところです。
-追記-
ユーザーが制御できない「秘密cookie」、半数強のサイトが利用 - ITmedia エンタープライズ
中にはユーザーが削除したHTTP cookieを、Flash cookieを使って復活させているケースもあった。
(中略)
SANS Internet Storm Centerはサイトやニュースレターでこの論文について触れ、Flash cookieをブロックできるアドオンとして、Firefox向けの「Better Privacy」を紹介している。
Java SE 6 update 16 が公開されました - UnderForge of Lack
アップデートならこの前したよって見逃してました……(自動アップデートチェックしないように設定しているので見逃しはヤバイw)。
それにしてもどうして設定を引き継いでくれないのでしょう。毎回設定(アドオンとかタスクトレイとかクイックスタートとか)や古いJRE(C:\Documents and Settings\[ユーザ名]\Application Data\Sun\Java\jrex.x.x_xx)を削除するのが面倒です。
コメント
_ MM ― 2009/08/14 01:05
_ puppet ― 2009/08/14 05:38
MM様
BetterPrivacyは少しだけ使ってたことがあります。
結局、NoScriptでFlashをブロックしてるので、そこまでする事もないだろうと使わなくなりました。
むしろ、他のブラウザを使った時にCookieをもらってしまうので、Flash側で制限かけておくのが正解のような気がします。
(他のブラウザを使わなければいいだけともw)
|Javaはうざいので、必要な時だけインストール→再起(ry
以前はそうしてましたけど、使用後アンインストールするのが面倒で真面目にUpdateするようになりました。
最近は使わない(見ないであきらめる)方向で検討中だったり……
なにしろ、Update 14~16の間は一度も使わずUpdateしただけでしたし orz
BetterPrivacyは少しだけ使ってたことがあります。
結局、NoScriptでFlashをブロックしてるので、そこまでする事もないだろうと使わなくなりました。
むしろ、他のブラウザを使った時にCookieをもらってしまうので、Flash側で制限かけておくのが正解のような気がします。
(他のブラウザを使わなければいいだけともw)
|Javaはうざいので、必要な時だけインストール→再起(ry
以前はそうしてましたけど、使用後アンインストールするのが面倒で真面目にUpdateするようになりました。
最近は使わない(見ないであきらめる)方向で検討中だったり……
なにしろ、Update 14~16の間は一度も使わずUpdateしただけでしたし orz
コメントをどうぞ
※メールアドレスとURLの入力は必須ではありません。 入力されたメールアドレスは記事に反映されず、ブログの管理者のみが参照できます。
※投稿には管理者が設定した質問に答える必要があります。
トラックバック
このエントリのトラックバックURL: http://puppet.asablo.jp/blog/2009/08/13/4509514/tb
※なお、送られたトラックバックはブログの管理者が確認するまで公開されません。
早速「BetterPrivacy」を突っ込みましたが・・・
うちのは「何かぶら下がる→再起動でサヨウナラ」を繰り返していたようです(苦笑
「Stop Autoplay」も役立ってますが、ブログに貼ってある動画の場合、
NSで許可してから青枠をクリックしないと見れない罠が orz
Javaはうざいので、必要な時だけインストール→再起(ry
(´・ω・`)
ほとんど使わないので・・・