2019年3月6日のtwitterセキュリティクラスタ

中学生がリンク貼って補導された件の続き

@FakeUnicode @kosamari Even Netscape 4 a decade before Chrome let the user kill a JS iloop.

@miyagawa @kosamari @FakeUnicode @knobchouck Yikes. May be in Japan this year, could be expert witness if it would help.

for ( ; ; ) { window.alert(“”); } の危険性について JavaScript の専門家として真面目に証言する Brendan Eich とか、歴史に残る1シーンとなることが確実だし最高に見てみたいとは思わんかね?

ひろみちゅ先生は通常営業で、そこにインターネット流言被害者や証拠捏造元検察官などのバラエティ豊かな面子が参戦していたが、ここにきてJavaScriptの生みの親が「今年は日本に行くかも知れないので必要なら専門家として証言するよ」とか言ってて、さすがに少しは面子を出し惜しみしろ感が出てきた。

有言実行で作ってしまった:
「みんなで逮捕されようプロジェクト」
github.com/hamukazu/lets-…

が、しかしイタズラ半分でリンク書いた人がお縄になってニュースにもなっている中で、その作成者および公開者と思われる Twitter アカウントがこう言っているのも謎ではありますね pic.twitter.com/fD1Qr6T9Dg

アラートダイアログの無限ループが実際にどういう動作をするのか知りたかったのでテストしてみた。左上から反時計回りに、Chrome(72.0.3626.121)、FireFox(65.0.2)、Edge(44.17763.1.0)、IE11(11.110.11)、ソースコード。Windows10上でのテスト。いずれも数回OKボタンを押した後の状態。 pic.twitter.com/ZpheRHKz8N

“何回閉じても無駄ですよ〜”と無限にアラートを出す10の方法 qiita.com/relu/items/1bf… #Qiita
こういう時事ネタ取り込んだ皮肉たっぷりのやつ大好き

情報を発信すれば自己責任だということは重々承知しております。現状では兵庫県警と裁判所が事件として扱っていますが、今後検察や裁判で冤罪と認めた際に、お許しを頂けたら三名の方に直接謝罪に伺います。これが僕の気持ちです。表現を不快に思われた方々に深くお詫び申し上げます。スマイリーキクチ

「SNSへの書き込み」だけで少女を補導。その問題の本質とは?(本田雅一)
engt.co/2UiEVSw

「この程度で補導されるのか」と批判も

「IT業界の萎縮を招きかねない」 “ブラクラURL書き込みで中学生補導”、弁護士に問題点を聞いた – ねとらぼ nlab.itmedia.co.jp/nl/articles/19… @itm_nlab

いたずらスクリプトのURL貼った女子中学生の補導、海外でも波紋 japan.zdnet.com/article/351337…

その他に気になったことはこのあたり。

AWS、侵入テスト申請やめるってよ – とある診断員の備忘録
tigerszk.hatenablog.com/entry/2019/03/…
確認した内容をブログに書いてみました。

11月のSecurity-JAWSの勉強会が記事になりました!

IoTをセキュアに保つのは気合いじゃなくてメカニズム ascii.jp/elem/000/001/8… #jawsug #secjaws #secjaws11

JPCERT/CC WEEKLY REPORT 2019-03-06を公開。セキュリティ関連情報は4件。ひとくちメモは、日本スマートフォンセキュリティ協会が公開した「IoTセキュリティチェックシート 第二版」についてです。^YK jpcert.or.jp/wr/2019/wr1909…

投機実行による新しい脆弱性。arxiv March/1/2019
SPOILER: Speculative Load Hazards Boost Rowhammer and Cache Attacks
arxiv.org/abs/1903.00446

Spoで始まるルールがある?
Spectre (CVE-2017-5753, CVE-2017-5715, CVE-2018-3639)
Portsmash(CVE-2018-5407)
Spoiler

“The researchers also examined Arm and AMD processor cores, but found they did not exhibit similar behavior.”Intelだけっすか…(´・_・`) / “SPOILER alert, literally: Intel CPUs afflicted with simple data-spewing spec-exec vulnerability • The Register” htn.to/Sfc5UDMASi

【第4回】情報セキュリティ事故対応アワード|セキュリティ|IT製品の事例・解説記事 news.mynavi.jp/itsearch/artic…

設定を間違えるってportsを開けているということか?

仮想化ソフトウェアDocker 仮想通貨モネロのクリプトジャック被害に遭遇か
jp.cointelegraph.com/news/majority-…

MSに続いてこれはもしやGoogleもとい、AlphabetもSIEM参入か(笑)

Alphabet aims for Splunk in security startup’s coming-out party – MarketWatch marketwatch.com/story/alphabet…

LINEをかたり偽ログイン画面に誘導するフィッシングメールが増えているようです。bit.ly/2TlND5S

「Wireshark 3.0.0」が正式リリース ~定番のネットワーク解析ソフト/プロトコル対応の拡充、ディセクターの改善、「Npcap」の採用などが目玉 forest.watch.impress.co.jp/docs/news/1173… pic.twitter.com/6U4INVOiBV

ランダムな文字列っぽい「ji32k7au4a83」というパスワードが大量のユーザーに使われていた理由とは?
gigaz.in/2SFK0Tf

Intel製CPUに見つかった新たな脆弱性「SPOILER」はまたもシリコンレベルでの再設計による修正が必要
gigaz.in/2SM3tBM

[ITmedia エンタープライズ]Docker関連の脆弱性、仮想通貨「Monero」の採掘に悪用か bit.ly/2SLc9s1

[ITmedia NEWS]ダウンロード違法化拡大“賛成派水増し疑惑”に文科相「恣意的な操作は一切ない」 漫画家などの懸念は「重く受け止め、慎重に検討」 bit.ly/2C5Fhoy

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>