自由研究の季節 夏です。今年もまた自由研究の季節がやってきました。何年か前にパスワード定期変更云々という夏休みの自由研究をやりました。このエントリは総当たりに対する防御の視点で書かれたものです。 今回は「総当たり対策」以外の視点でパスワード…

以前当ブログでは、LINE電話の問題をネタにしてエイプリルフール記事を書きました。 その際LINEをモデルとした『通話アプリＬ』にて認証SMSをマルウェア経由で盗まれるシナリオを書きました。 『通話アプリＬ』登録時に藤田口关さんのスマホで認証SMSを受け…

架空声優の藤田口关（ふじたこうしょう）さんのご家族が、振り込め詐欺被害にあったそうです。 藤田口关さんは架空音声合成ソフト「ネ刃音ミクDEYO（ねはねみくデヨー）」の中の人として有名な方ですが、今回犯人は「ネ刃音ミクDEYO」で作成した合成音声を使…

LINE電話の番号通知機能が、色々騒ぎになっています。そして公式発表が出ました。「本来の電話番号の持ち主に気づかれずに、第三者が電話番号をなりすましたり、偽装をし、悪用をする可能性・発生の頻度は極めて低く、現実的には極めて困難だと考えられます…

Gmailのパスワードが戻せない！ みなさんGoogleアカウントを使ってますか？ IDとパスワードを入力してGmailとか使うと便利ですよね♪ ただしGoogleで設定していたパスワードを変更した時、ちょっと面倒な問題があります。 なんと、Googleさんは「以前使用した…

前置き Facebookでは様々な設定項目があり、プライバシー情報を個別に公開／非公開にしたり、検索可否を指定する事が出来ます。きちんと設定すれば、「メールアドレスで検索して氏名を特定」はされないらしいです。 私もそう聞いていたのですが、確認してみ…

前提 母親がオレオレ詐欺の被害者になりました。 http://kenrei1.blog50.fc2.com/blog-entry-32.html 何か↑が「すごい」「巧妙だ」「これは騙される」とか騒がれてるようなので、その対策を書いてみます。 このタイプなら対策は簡単な部類です。 年末年始は…

前置き この前Twitterでこんなやりとりをしました。 もういっそ電話帳の端末外部への送信はアドレス帳系のサービス以外禁止！とかにしちゃえば良いのにまーでもSNSの電話帳インポート機能ってユーザーからの要望もあって付けてるんだろうし、無くすのは難し…

こっそりタイトル募集中。*1 既存のAndroidアプリを改造し、「ネットワークアクセスなどの権限剥奪」や「画像などのリソース差し替え」するためのソフトってあるらしいですね。 「AppNetBlocker」「App Shield」「Permissions Denied」「Permission Remover…

JSSECさんのサイトで公開されてるpdf『Android アプリのセキュア設計・セキュアコーディングガイド』【6月1日版】を読んでみて、気になった所をメールで送ってみました。パブコメの応募期間を考えると、次の版はおそらく【8月x日版】以降になりそうです。次…

※エミュレーターでの検証なので、実機と動作が違う可能性があります。 ※確認したのはエミュレーターの1.6・2.1・2.2・2.3.1・2.3.3・4.0.3のみで、試していないバージョンの動作が特殊である可能性があります。 ※開発者向けの情報です。利用者はあまり気にす…

※ちょっと釣りタイトル気味ですが真面目な話です。 これからするのは、ちょっとセキュリティ屋さんやスマホアプリ開発現場の人達の頭が痛くなるかもしれないお話です。*1 定番のSQLインジェクション対策といえば「prepared-queryを利用し、パラメータはbind…

このエントリの見方 長いので手早く読みたい方は、前置きとリンクしている高木さんのエントリを確認し、結論とまとめに飛び、シーケンス図を確認し、補足とおまけを後回しにしながら必要な所だけ順番に見るといいかもしれません。時間と根気がある方は順番に…

「定期的にパスワードを変更」すべきか否か、セキュリティの話でたびたび繰り返されるテーマです。 だいたいの話は徳丸浩さんが昨年書かれたエントリで完結してると思います。 （私も定期的に変更するのはあまり意味が無いと思ってます）ところで、↑のエント…

2006年11月28日から、私かれこれ２年近く頑張ってたの。 私は７回にわたって彼に忠告したのよ。 「そのままじゃ駄目よ！」って。 ……でも全然直す気無いの、彼。 この前「2008年8月半ばに直すつもりだよ。待たせてゴメンね」ってやっと言ってくれたの。 でも…