Kelly (via Dav Anmed. B42L8!)
“昔のtumblrならポルノ捨てるよりiOS捨ててたやろうしタンブリスタもその判断に痺れたはず。”
さらにこちらでは
Chrome拡張攻撃の手口
Black Hatのプレゼンテーションで両氏は1つの拡張機能に問題があることを示し、それによって別の拡張機能への攻撃が可能になることを示した。この技術を人気パスワード保存サービスのLastPass(同名の企業が提供)に対して実証。LastPassに脆弱性はなかったにもかかわらず、ある拡張機能に存在するXSSの脆弱性を突いて被害者のLastPassアカウントのパスワードを盗み出し、完全に制御して見せた。この技術にはセッションcookieを盗み、被害者による同サービスへのアクセスを乗っ取る過程が含まれる。
「RSSリーダー、メール着信通知、メモ取りツールなど、どこかの場所から取り入れた情報をユーザーに表示するものは事実上全てこの危険にさらされる。被害者のHDDについてはアクセスすることにもその内容にも気を留めない。XSSは、攻撃者が求めている以上のものを全て与えてしまう」とヨハンセン氏は解説する。
さらに悪いことに、「BeEF」というブラウザ活用フレームワークがサイバー犯罪集団による攻撃の自動化支援に使われる可能性もある。BeEFはセキュリティ専門家が使っている正規のオープンソースツールだが、脆弱性のある拡張に挿入して被害者のChromebookのバックグラウンドに常駐させ、攻撃者の思うままに悪質なJavaScriptを実行させることが可能だという。
サードパーティー開発者の責任問題は、サードパーティー開発者が設定するChrome拡張のパーミッションにある。パーミッションでは拡張機能がGoogle DocsやサードパーティーのWebサイトといったWebベースのリポジトリにアクセスしてデータを利用できるようにする。例えば銀行用の拡張機能なら、銀行のサーバにアクセスして情報を取得する必要がある。RSSフィードリーダーの拡張機能の場合、ほぼあらゆるドメインにアクセスできるパーミッションが必要になるため、大きな問題になるかもしれないと研究者は言う。WhiteHatの研究者が説明した技術を使えば、攻撃者がリポジトリをハッキングしてデータを盗み出すことも可能になる。
脆弱性を修正して不必要なパーミッションを排除する責任はサードパーティーの拡張機能開発者にあるかもしれない。Googleのリポジトリにはコード検証プロセスが存在しないため、拡張機能に要求されるパーミッションが多過ぎるかどうかを判断するのはユーザーの裁量に委ねられる。
「つまりわれわれは開発者のセキュリティに対する配慮についてのみならず、実行のためにオープンなパーミッションを要する一部の拡張機能についても心配しなければならない。パーミッションが極めて幅広くオープンな拡張も出回っている」とヨハンソン氏。
山口の5人惨殺事件のまとめ
容疑者元々いい人
↓
親を介護するため村へ
↓
村から仕事を全部押し付けられる
道具やら維持費やらで村に容疑者の金も使われる
↓
さすがに疲れる
↓
村人からいじめられる
↓
村人に刺される
↓
精神を病む
↓
容疑者の犬もいじめられる
↓
ブチギレ
Twitter / soft_HAT (via toronei)
毎日自分を小さく律することが、大きな困難にも負けない耐性を育てます。部屋の片付けでも、壊れているものを修理に出す作業でもかまいません。自分の身近にある、少し面倒くさいと感じる問題を毎日少しずつ解決するようにしましょう(築山節)
— ブレイクスルーな言葉 (@breakthrough_jp) from Twitter: http://twitter.com/breakthrough_jp
—————————————
Edited by 空心 web: http://cooshin.com / facebook: http://facebook.com/cooshin
結婚は顔を赤くするほど嬉しいものでもなければ、恥ずかしいものでもないよ。それどころか、結婚をして一人の人間が二人になると、一人でいた時よりも人間の品格が堕落する場合が多い。(夏目漱石)
— ブレイクスルーな言葉 (@breakthrough_jp) from Twitter: http://twitter.com/breakthrough_jp
—————————————
Edited by 空心 web: http://cooshin.com / facebook: http://facebook.com/cooshin