やっぱ LINE はダメだこりゃ

セキュリティ技術が弱いことは誤解 - LINEがブログで暗号化技術を説明 | マイナビニュース

この記事は愚かにも元になってる LINE の記事を示していないので，実際のところは何が書かれているのかわからないのだが，この記事で判断する限り

ダメだ，こりゃ！

という感じである。どうやら彼らは暗号アルゴリズムが強いこととセキュリティが強いことを（意図的か天然かは分からないが）混同しているようであ

〈security fix〉 GnuPG 1.4.17 released -- Baldanders.info
http://www.baldanders.info/spiegel/log2/000708.shtml

眠れそうだったのに，メールで起こされた

End-to-End を試してみた

噂の Chrome の OpenPGP 拡張 “End-to-End” をコンパイルしてくださった方がいるのでちょろんと試してみた。

「最新のChromeではパッケージ化した拡張機能はサイドロードできなくなっているため、パッケージ化されていない拡張での配布です。署名も一応しておきました。リリース版ではないので、使用方法などは自分で調べることができない人は多分使うべきではないと思いますので、割愛し

「管理できていないウェブサイトは閉鎖の検討を」

「　また IPA の脆弱性届出窓口(※)にも、危険な脆弱性を含む古いバージョンの CMS を利用しているウェブサイトに対する届出が、累計 241 件届け出られています。しかし、このうちウェブ運営者に連絡が取れない、または連絡後 30 日以上経過しても脆弱性解消の目処が立っていないウェブサイトは 6 月 19 日現在、50 件と全体の 2 割を占めます。古いバージョンの CMS を使用しているウェブ

LINE は secure か？

「通信データの暗号化について、詳細はセキュリティ保持のため明らかにできないとしたが、「国際最高水準の暗号技術を使用して複数の学術研究者と専門家の検証を経て適用された技術」で暗号化されており、暗号化後のデータ形式も「LINE独自のデータ形式」を使用しているため、「たとえ第三者が傍受をしても、暗号化前の原文の意味や内容を理解することができる方法はない」としている。」
（「LINE、改めて傍受を否定　「

「IP電話アプリ「050 plus」Android版に脆弱性、4月に対策済」

「今回公開された情報によれば、「050 plus」に情報の一部をシステムログへ出力する問題があり、ログ情報を取得する権限があるアプリをユーザーがインストールすると、「050 plus」のログ情報の一部がそのアプリに取得される可能性があった。ネットワーク経由でリモートから攻撃される可能性もあったが、ユーザー自身の手でログ取得を目的としたアプリをインストールするなど、攻撃を成立させるためには複雑な条件

Keepass2Android が TOTP に対応した ...らしい

（画像は「OATHによるワンタイムパスワードの仕様 - 2」より拝借）

Keepass2Android がアップデートされた。

* added plug-in support: See settings for how to get plug-ins! published QR plug-in and InputStick plugin
* added TOTP support (use wi

サポート切れの Web Diary Professional の脆弱性

「試しに、WDPを使用している可能性を示す特定のキーワードを使ってGoogle検索してみると、2014年4月の時点で約500,000件もヒットしました。もちろん、検索結果すべてが同ツールを使用しているとは限らず、また重複の可能性もあります。しかし、検索結果の上位に来たWebサイトを確認したかぎり、ほとんどはWDPを使用しており、重複もわずかでした。
調査の結果、WDPを使用しているWebサイトのう

日本はカモネギ（その2）

今度は「ニコニコ」で不正ログイン--IDとパスの使い回しに注意 - CNET Japan
ニコニコ「不正ログイン」、8日間で約22万件--ドワンゴが公表 - CNET Japan
LINEで乗っ取り被害--mixi、ニコニコの「不正ログイン」と同じ手口か - CNET Japan

「試行を含む不正ログインが認められた期間は、5月27日～6月4日。不正ログイン件数は21万9926アカウントで、不正

ネットでの脅迫行為

ちょっと引用が長いけど、大事な部分なのでご容赦。

「　feedlyのTwitter公式アカウントによれば、feedlyに対する攻撃は日本時間の6月11日18時4分に開始され、半日後の6月12日7時7分にサービスの全面復旧が公式に発表された。ただし、登録されている約4000万フィードがアップデートされるにはまだ「数時間が必要」で、攻撃再開に備えた監視活動も行っていると説明している。そして「コミュニ

「CC評価のセキュリティアーキテクチャに関する説明会」

著作権ライセンスで CC といえば Creative Commons ですが，エンジニアの世界で CC といえば Common Criteria（ISO/IEC 15408）を指します。ちうわけで， IPA がなにやら説明会を催すようです。

情報処理推進機構：情報セキュリティ：CC評価のセキュリティアーキテクチャに関する説明会（2014年7月8日開催）

というわけで，エンジニアの皆さんは是非ど

今週のセキュリティ・アップデート

さて，今週はセキュリティ・アップデート週間ですよ。 IPA から alert が出てるのは以下の3つ。

複数のジャストシステム製品同梱の「オンラインアップデートプログラム」に任意のコード実行可能な脆弱性について（JVN#50129191）：IPA 独立行政法人 情報処理推進機構
Microsoft 製品の脆弱性対策について(2014年6月)：IPA 独立行政法人 情報処理推進機構
Adobe F