▽徳丸浩の日記
●12/31 22:16
2024年12月31日火曜日ISO-2022-JPの自動判定によるｸﾛｽｻｲﾄ･ｽｸﾘﾌﾟﾃｨﾝｸﾞ(XSS)ｻﾏﾘISO-2022-JPという文字ｴﾝｺｰﾃﾞｨﾝｸﾞの自動判定を悪用したｸﾛｽｻｲﾄ･ｽｸﾘﾌﾟﾃｨﾝｸﾞ(XSS)攻撃について説明する｡これは､文字ｴﾝｺｰﾃﾞｨﾝｸﾞを適切に指定していないｳｪﾌﾞｺﾝﾃﾝﾂに対して､文字ｴﾝｺｰﾃﾞｨﾝｸﾞをISO-2022-JPと誤認させることでﾊﾞｯｸｽﾗｯｼｭが円記号と解釈されることによりｴｽｹｰﾌﾟ処理を回避する攻撃である｡本稿で紹介する攻撃は､従来からのｾｷｭﾘﾃｨﾍﾞｽﾄﾌﾟﾗｸﾃｨｽである｢文字ｴﾝｺｰﾃﾞｨﾝｸﾞの明示｣に従っていれば影響を受けることはない｡はじめにｸﾛｽｻｲﾄ･ｽｸﾘﾌﾟﾃｨﾝｸﾞ対策として､記号文字のｴｽｹｰﾌﾟ処理に加えて､ｺﾝﾃﾝﾂの文字ｴﾝｺｰﾃﾞｨﾝｸﾞをﾚｽﾎﾟﾝｽﾍｯﾀﾞやmetaﾀｸﾞで明示しましょうと言われてきました（参照）｡

▽無線にゃん
●12/30 05:12
単一周波数ﾈｯﾄﾜｰｸ（SFN）ﾆｭｰｽｺﾒﾝﾄ[2012-04-20]ﾆｭｰｽｺﾒﾝﾄ[ﾄﾞｺﾓ吉澤新社長が就任会見]ﾆｭｰｽｺﾒﾝﾄ[2015-03-09]子にゃんこ保護･･･の続報111215ﾄﾞｺﾓｹｰﾀｲを買い換えたよ＆ﾒｲﾝ回線ほぼ移行ﾆｭｰｽｺﾒﾝﾄ[2015-05-27]ﾛｼｱがｲﾝﾀｰﾈｯﾄ遮断､できるの？優先携帯電話がつながらない？VoLTELTE整備加速のひみつ？認証ｼｽﾃﾑのお仕事その課金に意味があるのかAndroidのSDKを入れてみた

▽JVNRSS Feed - Update Entry
●12/29 16:43
最終更新日：2024/12/24JVNVU#98102314:Apache Tomcatにおける複数の脆弱性 [2024/12/24 10:00]（更新）JVNVU#92980681:ﾄﾚﾝﾄﾞﾏｲｸﾛ製Deep Security Agent（Windows版）におけるﾌｧｲﾙ検索ﾊﾟｽの制御不備の脆弱性 [2024/12/24 09:30]

▽高木浩光＠自宅の日記
●12/29 07:39
2024年12月28日■ ｢充実に向けた視点｣事務局ﾋｱﾘﾝｸﾞ対象者の意見書をClaudeで比較してみた前回の参考資料1-2｢事務局ﾋｱﾘﾝｸﾞの各参加者提出資料｣を丸ごとClaudeに読み込ませて､｢これらから得られる結論をどうぞ｣とやってみようとしたのだが､length limitに2%ｵｰﾊﾞｰで､できなかった｡ならば一部をｶｯﾄするしかないなと､MCF意見（認定個人情報保護団体の話しかない様子）とJIAA意見（海外動向の紹介のみで意見なしの様子）をｶｯﾄして再投入したところ､読み込みはできたものの､いくつか質問すると､どの文章が誰の意見かを取り違えるほどに混乱した回答が出てしまった｡この規模だと､現在のLLMではまだ丸ごとの把握は無理なようだ｡*1というわけで､恣意的になってしまうが､各意見書を個別に比較して質問していくしかない｡（Claude 3.5 Sonnet Norm

▽ScanNetSecurity
●12/27 21:17
ｲﾝｼﾃﾞﾝﾄ･事故 2024.12.27 Fri 8:05日新火災海上保険の顧客情報漏えいの可能性 ～ 東京損保鑑定へﾗﾝｻﾑｳｪｱ攻撃日新火災海上保険株式会社は12月17日､同社業務委託先へのﾗﾝｻﾑｳｪｱ攻撃に伴う情報漏えい等の可能性について発表した｡2024.12.25 Wed 8:05日本ﾌﾟﾙｰﾌﾎﾟｲﾝﾄ株式会社（Proofpoint, Inc.）もっと見る製品･ｻｰﾋﾞｽ･業界動向 2024.12.25 Wed 8:00Gartner Magic Quadrant にﾒｰﾙｾｷｭﾘﾃｨｶﾃｺﾞﾘ復活Magic Quadrantから長らく｢Eﾒｰﾙｾｷｭﾘﾃｨ｣のｶﾃｺﾞﾘは外れていたが､本年から｢Eﾒｰﾙｾｷｭﾘﾃｨﾌﾟﾗｯﾄﾌｫｰﾑ｣として再びｶﾃｺﾞﾘｰが設けられた｡近年のﾒｰﾙを起因とするﾌｨｯｼﾝｸﾞやBEC被害など､Eﾒｰﾙｾｷｭﾘﾃｨの重要性が再評価されたと推定さ