2019年6月5日のtwitterセキュリティクラスタ

サービスが終わって売りに出されている汎用jpドメインと地方自治体のドメインについて

サークルKサンクスや
加古川総合文化センター(兵庫)
筑西市民病院(茨城) の
ドメインが売りに出されてる
汎用jpは不要になっても当分維持しないと検索エンジンやリンクから流れてくるトラフィックを狙う人たちの餌食になる
自治体はlg.jp使えばいいのにね
onamae.com/campaign/aucti…

自治体はlg.jpを使ってくれとNISCや総務省が言って随分になるけれども、いまだにそうしないところが少なくない
URLが短い方が見栄えが良いとかいうが今やほとんど検索エンジンからの流入なのでドメインが長くても気にする人は減っただろう
最大の問題は自治体担当者のリテラシの低さ

@tetsutalow そのlgとかのサブドメインに収容されたサイトが旧ドメイン名をですね…
予算付けて手放さないで欲しいのですが…

@seen8th そうですね。でもそれ以前に最初からlg.jp使っておけば心置きなく開放できるだろバカって話です
リンク切れ対応のための維持が理想ですが、単に開放しても検索エンジンから消えるのが早いので

ちょっと気になったので各都道府県のホームページが『~lg.jp』化されてるか調べてみたら、47都道府県中『~lg.jp』化されてるのは25こでした。
lg.jpドメイン名は、地方公共団体を対象としたドメイン名 pic.twitter.com/mOndFzA4UO

@tetsutalow 4ヶ月前の情報で申し訳ないですが、各都道府県のページで~lg.jp化されているかを調べてみた結果です。ご参考にしていただければ幸いです。
twitter.com/taku888infinit…

circleksunkus\.jp ドメイン名のオークション、現在 298,200円
onamae.com/auc/jp/detail/…

その他に気になったことはこのあたり。

EdgeはCSP Policyの一部が不正だとすべて破棄する挙動になってる。
そのため`report-uri`のURLのパラメータが任意のものにできるなら、CSP Policyを無効化できるバグ “Bypassing CSP…” portswigger.net/blog/bypassing…

Apple 社が OAuth / OpenID Connect とは似て非なるものを実装したようだ。意図的なのかそれとも単なる標準仕様の理解不足による実装不具合なのか。いずれにしても世の中混乱するだろうな。

アクセス警告方式とはつまり…
・利用者のアクセス先がどこであるかを「盗聴」して
・警告サーバが正規のアクセス先を「なりすまし」
・本来のコンテンツを警告画面に「改ざん」すること

そしてそれは「SSL(TLS)で防御する対象そのもの」 pic.twitter.com/kemmt288Fn

もはやGDPR基準(recital 26)に従わない匿名加工などあり得ないだろうから、心配はなかろう。それにしても6年前の総括は結局せずか。
sankei.com/economy/news/1…
「野口氏は「匿名加工情報を事業者間で交換すれば、輸送品質や観光流動の分析に役に立ち、サービスの価値も上がる」とし、」

攻撃のデモ動画に対して英語でコメントがついた。なぜGETリクエストなのに、リクエストボディがあるのか? → Apacheは受け付けますが → 受け付けることがおかしい、Apacheは拒絶すべきだ …
いや、脆弱性による攻撃が成立するという動画なのだから、「拒絶すべき」は関係ないでしょ

おかしいっていうやつがおかしい案件だ。ボディつきGETは仕様上許可されている(ただしどういう挙動をするかはアプリケーション依存であって、ボディを拒絶するサーバもある旨が注記されている) tools.ietf.org/html/rfc7231#s… twitter.com/ockeghem/statu…

GETでリクエストボディ、身近なところではslackのAPIが受け付けますね。 https://t.co/ESITqXkXh2

イエラエさんと一緒に車セキュリティやろうと思います。いぇいいぇい。

ierae.co.jp/news/press_201…

nri-secure.co.jp/news/2019/0605…

まさか山ちゃんと蒼井優の結婚と被るとは、、これではニュース効果は期待できない。。。

NTTファイナンスMyLinkのフィッシングサイトですが、新たに下記ドメインでも同IPに立ち上がっていることを確認しました。
NTTグループカードおよびMyLinkご利用の皆様、当サイトにご注意ください。

myliink[.]vip
142.11.196[.]196

#phishing #フィッシング詐欺 #NTTファイナンス pic.twitter.com/gR4LZxlMXN

DNS Rebinding。
やり方はわかってたけど、今までやったことなかったのでやってみた。
Aレコードに2つのIPアドレスを設定するだけで結構簡単で、あっさりできた。

JPCERT/CC Weekly Report 2019-06-05を公開。セキュリティ関連情報は4件。ひとくちメモは、JPCERT/CC と IPA が公開した「情報セキュリティ早期警戒パートナーシップガイドライン2019年版」についてです。^YK jpcert.or.jp/wr/2019/wr1921…

セキュリティ通信ニュース更新しました!|インテル製CPUに脆弱性が発覚、macOSやWindowsのアップデートを

securitynews.so-net.ne.jp/news/sec_30029…

【新着記事】3種類のサーバー証明書「DV」「OV」「EV」の違いは?bizcompass.jp/original/re-ma…サイトをHTTPS化するにあたって「サーバー証明書」が必要になります。DV/OV/EVという3種類に分類されますが、それぞれどのような違いがあるのでしょうか。@kitagawa_takuji pic.twitter.com/s9mnneAF21

企業におけるセキュリティインシデント–27%はパッチの未適用が原因 japan.zdnet.com/article/351379…

[ITmedia エンタープライズ]Yahoo! IDユーザーの行動を点数化し、事業者とマッチングする「Yahoo!スコア」発表 bit.ly/2WnWoxS

[ITmedia エンタープライズ]Google Playの人気アプリに迷惑広告の不正プラグイン、4億件超がインストール bit.ly/2Koy6MY

[ITmedia エンタープライズ]Firefox、「第三者によるトラッキング」防止機能を初期設定から有効に bit.ly/2WiYWbT

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>