今すぐ聞く
下の音波をクリックしてドラッグし、任意のポイントにスキップします。 あなたもすることができます 直接聞く Soundcloudで。
ダグ・アーモスとポール・ダックリンと。
イントロとアウトロの音楽 エディスマッジ.
あなたは私たちに聞くことができます Soundcloud, Apple Podcasts, Googleポッドキャスト, Spotifyは, 縫い合わせます そして、その良いポッドキャストが見つかるところならどこでも。 または単にドロップします RSSフィードのURL お気に入りのポッドキャッチャーに。
トランスクリプトを読む
ダグ。 より多くの恐喝詐欺、より多くの暗号の盗難、およびバグ修正のバグ修正。
NakedSecurityポッドキャストでさらに詳しく。
【ミュージックモデム】
皆さん、ポッドキャストへようこそ。
私はダグ・アーモスです。彼はポール・ダックリンです。
ポール、どうしますか?
アヒル。 ダグラス、ありがとうございます。
ダグ。 少し技術的な歴史からショーを始めたいと思います。今週、2007年に第XNUMX世代のiPhoneが米国でリリースされたことをお知らせします。
ほとんどのハイエンド携帯電話が200年間のワイヤレスサービス契約で500ドルで販売されていたとき、iPhoneはXNUMX年間の契約でXNUMXドルから始まりました。
また、当時の多くの電話よりも接続速度が遅く、2.5Gに対して3GまたはEDGEでした。
それでも、リリースからXNUMXか月半後、AppleはXNUMX万台のiPhoneを販売しました。
米国だけで。
アヒル。 はい、2ドット5エッジの厄介なディテールを忘れてしまいました!
「まじめじゃないの?」と思ったのを覚えています。
私はその時オーストラリアにいました、そして彼らは*高価*でした。
それはまだEDGEデバイスにぶら下がっていた時代だったと思います…私はそれをJAMJARと呼び続けていますが、実際にはJASJARまたはJASJAMなどと呼ばれていました。
それらのスライディングキーボードWindowsCEデバイスのXNUMXつ。
私はそれを愛した世界で唯一の人でした…まあ、誰かがそうしなければならないと思いました。
独自のソフトウェアを作成することもできます。コードをコンパイルしてそこに配置するだけです。このAppStoreのことは、たった2.5GGで、非常に高価だと思ったのを覚えていますか?
それは決して追いつかないでしょう。
まあ、それ以来、世界は同じではありませんでした、それは確かです!
ダグ。 ありません!
さて、世界が同じではないと言えば、私たちはより多くの詐欺を持っています。
これは…なぜ私はこの詐欺についてFTCから読んでみませんか?
FTC(米国連邦取引委員会)によると、犯罪者は通常、次のように機能します。
「詐欺師は、LGBTQ +の出会い系アプリで潜在的なロマンチックなパートナーを装い、あなたとチャットし、露骨な写真をすばやく送信し、見返りに同様の写真を要求します。
写真を送ると恐喝が始まります。
彼らは、あなたが通常ギフトカードで支払わない限り、あなたの会話や写真をあなたの友人、家族、または雇用主と共有すると脅迫します。
他の詐欺師は、LGBTQ +として閉鎖されているか、まだ完全に外に出ていない人々を脅かしています。 彼らは、露骨な写真や会話を公開することによってあなたの人生を台無しにするだろうと主張して、あなたに支払いをするか、外出するように圧力をかけるかもしれません。
彼らの角度がどうであれ、彼らはあなたのお金のXNUMXつを求めています。」
ここのいい人たちでしょ?
アヒル。 はい、。 これは本当にひどいですね。
そして、この話で特に私を惹きつけたのはこれです…
数年前、あなたが覚えているように、この種の大きなものは、「セックストーション」または「ポルノ詐欺」として知られるようになったものでした。 、同時にウェブカメラをオンにしました。 コンピューターにマルウェアを埋め込んだため、これを行うことができました。 ここにいくつかの証拠があります」、そして彼らはあなたの電話番号またはあなたのパスワードまたはあなたの自宅の住所を持っています。
もちろん、彼らはあなたにビデオを見せません。なぜなら彼らはそれを持っていないからです。
「私たちにお金を送ってください」と彼らは言います。
まったく同じ話ですが、その場合、私たちは人々のところに行き、「嘘のパックはすべて、それを忘れてください」と言うことができました。
残念ながら、これは正反対ですよね?
彼らは写真を*持っている*…残念ながら、あなたはそれを彼らに送った、多分「まあ、私はこの人を信頼できると確信している」と思った。
あるいは、彼らはギャブの贈り物を受け取ったばかりで、伝統的なロマンス詐欺師と同じように、あなたに話しかけます…彼らは恐喝のための露骨な写真を望んでいません。長期的には、彼らは数週間、数ヶ月、数年もお金のためにあなたを搾乳することができます。
しかし、「慌てる必要はありません。実際に写真を持っていないので恐喝することはできません」と人々に伝えることができる、ある種の性的関連の恐喝詐欺があるのは注意が必要です…
…そして、残念ながら、写真を持っているので、まったく逆の例もあります。
しかし、あなたがまだしてはいけないことのXNUMXつは、お金を払うことです。なぜなら、彼らがその写真を削除するかどうかをどうやって知ることができるからです。
さらに悪いことに、実際に「信頼できる詐欺師」という言葉を使うとは信じられませんが、どうやってわかりますか?
彼らの意図が写真を削除することであったとしても、彼らがデータ侵害を受けていないことをどうやって知ることができますか?
彼らはすでにデータを失っていた可能性があります。
泥棒と詐欺師が互いに脱落することの間の不名誉は十分に一般的だからです。
Contiのランサムウェアギャングが…アフィリエイトがグループの中心にいる人々と一緒に脱落したために、大量の情報を漏らしているのを見ました。
そして、多くのサイバー詐欺師は、それ自体が不十分な運用セキュリティを持っています。
過去に、すべての秘密を保持していると思われるシステムがとにかく広く開かれていたために、詐欺師が破産したり、マルウェアの秘密を漏らしたりするケースは何度もありました。
ダグ。 はい。
もちろん、人々の生活の中で非常に個人的で不確実な時期に、彼らが最終的に会ったことのない誰かを信頼したとき…そしてこれが起こります。
これが私たちのヒントのXNUMXつです。 恐喝金を払わないでください。
もう一つのヒント: 逆画像検索には、お気に入りの検索エンジンを使用することを検討してください。
アヒル。 はい、多くの人があらゆる種類の詐欺にそれを勧めています。
詐欺師があなたがおそらく好きになると彼らが事前に判断した誰かのオンラインデートのプロフィールを選ぶことによってあなたの信頼を得るのは非常に一般的です。
彼らは実際にあなたにぴったりの人を見つけに行き、その人のプロフィールをはぎ取り、その人のふりをして蒸し込みます。
ロマンチックな策略に関しては、どちらが彼らを非常に良いスタートに導きますか?
したがって、逆画像検索を実行し、他の誰かのプロファイルが表示された場合:ビンゴ! あなたは彼らを倒しました!
悪いニュースは、それを使って人々について何かを証明することはできないということです…
…つまり、逆検索を行っても何も表示されない場合でも、話している相手がその写真の元の所有者であるとは限りません。
しかし、Naked Securityの人々は、次のようにコメントしています。 逆画像検索を行いました。 すぐに洗い流されました。 逆検索は私にとって本当にうまくいきました。」
あなたは非常に、非常に最初のハードルで料理人をつまずかせるかもしれません。
ダグ。 はい、私たちが行った最初のポッドキャストエピソードのXNUMXつでこれを共有したと思います…
私たちはスキーハウスを借りようとしていました、そして私たちが借りようとしていた場所は少し良すぎて値段の割には真実ではありませんでした。
そして妻がその人に電話してそれについて尋ねると、明らかに世界の反対側の真夜中に誰かを起こした。
彼女がそうしているときに、私はその画像を逆画像検索に落としました。それはデンバーのリッツカールトンホテルかそのようなものでした。
それは私たちが借りようとしていた場所にさえ近くありませんでした。
つまり、これは単なるロマンス詐欺を超えて機能します。魚のような匂いがするものなら何でも機能し、それに関連する画像があります。
アヒル。 はい。
ダグ。 わかった。 そして、ヒントがあります。 共有する前に注意してください。
アヒル。 はい、それは私たちの小さなジングルのXNUMXつです。
覚えやすいです。
そして、実際、それはこれらの性的恐喝詐欺だけに当てはまるわけではありませんが、あなたが言うように、そのような場合には特に厄介で邪悪な響きです。
よくわからない人がいる場合は、すべての場合に当てはまります。後で元に戻すことはできないため、情報を提供しないでください。
データを渡したら、それらを信頼する必要はありません…彼らのコンピュータ、サイバーセキュリティに対する彼ら自身の態度などすべてを信頼する必要があります。
ダグ。 これは、次のヒントとうまく調和しています。 疑わしい場合は、それを配らないでください。
アヒル。 はい、「被害者非難のように聞こえます」と言う人がいることは知っています。
しかし、データを渡したら、それを*要求*することはできますが、それ以上のことはできません。
共有するのは簡単ですが、後でコールバックするのは不可能です。
ダグ。 さて、あなたが住んでいる国に基づいてそのような詐欺を報告する方法についての記事にいくつかのリソースがあります。これは非常に便利です。
アヒル。 はい、米国、英国、欧州連合、カナダ、オーストラリア、ニュージーランドのオンライン詐欺報告URLを掲載しています。
アメリカのものは https://reportfraud.ftc.gov.
そしてもちろん、FTCは本質的に米国の消費者権利団体です。
私はそのサイトにとても嬉しく驚きました–ナビゲートするのはとても簡単でした。
必要なだけ情報を入力できます。
明らかに、後で事件についていく場合は、彼らがあなたに連絡できるようにするための情報を共有する必要があります。つまり、完全に匿名のままにすることは困難です。
しかし、あなたがただ言いたいのなら、「ほら、私はこの詐欺を持っています、私は百万人の一人でなければなりません」…
…誰も何も言わなければ、本質的に、統計的に、何も起こりませんでした。
報告して、「このURLを取得し、この電話番号を取得し、この情報を取得しました」と言うだけで、好きなだけ提供できます。
そして、このようなことを報告してもおそらく違いはないように感じることもありますが、明らかに、メールアドレスと連絡先の詳細を提供しないと、役に立ったかどうかを示す返信がないためです。ただそれを信じなければなりません。
そして私の意見は次のとおりです。私はそれがどのように害を及ぼす可能性があるのかわかりません、そしてそれは少し良いことをするかもしれません。
当局が誰かに対して訴訟を起こすのに役立つかもしれません。いくつかの裏付けとなる報告がなければ、特に厄介な犯罪について実際に何かをするために必要な法的基準に到達するのが非常に難しいと感じたかもしれません。
ダグ。 OK、つまり: FTCはLGBTQ+と恐喝詐欺について警告します:共有する前に注意してください」はnakedsecurity.sophos.comにあります。
そして、意識していると言えば、ある種の暗号の盗難に気づいていないXNUMX週間はいつになるのでしょうか?
さらに100億ドルが空中に消えた、ポール!
アヒル。 それが修辞的な質問だとは思いませんでした。
「今週じゃない、ダグ」とチャイムを鳴らそうとしていました。
実は、現在の米ドルからイーサへの為替レートを見ると、これも書く価値があるのではないかと思います。 ダグ?
それは100億ドルではありませんでした…「わかりません、80万ドル、90千万ドル–ベッドから出て書く価値はほとんどありません」と彼は言いました。
非常に皮肉なことに。
はい、これはさらに別の分散型ファイナンス、またはDe-Fi、企業の災害でした。
あなたは彼らのウェブサイトに行くことを知らないでしょう。
会社はハーモニーと呼ばれています-彼らは本質的にブロックチェーンのスマートコントラクト会社です...あなたはウェブサイトにアクセスします、そしてそれはまだ彼らがどれほど素晴らしいかでいっぱいです。
彼らのウェブサイトから彼らの公式ブログに行くと、そこに「LostFundsInvestigationReport」という話があります。
しかし、それは*これらの*失われた資金ではありません。 それは*それらの*失われた資金です。
それは5月のことです…誰かがやめたのは、XNUMX万ドルのハックのような「たった」ものだったと思います。
そして、それは彼らのブログの最後の話です。
公平を期すために、彼らはTwitterでそれについての情報を持っており、Medium.comのどこかに、彼らがほとんど知らないように見えることを詳述したブログ記事を公開しています。
彼らは一元的にロックされたたくさんの資金を持っていたようです、車輪を動かすために必要な資金、そしてそれらのものを出し入れできるようにするために、彼らはいわゆる「マルチ署名」または「マルチシグ」を使用していました" アプローチ。
これらの特定の資金の転送を承認するには、XNUMXつの秘密鍵では不十分です。
承認されたのはXNUMX人で、そのうちXNUMX人は一緒に参加する必要があり、各秘密鍵は半分に分割されて保存されていたようです。
その人はロックを解除するためのパスワードを持っていて、キーサーバーからいくつかのキーマテリアルを取得する必要がありました。明らかに、各秘密キーは異なるキーサーバー上にありました。
それで、それがどのように起こったのかわかりません…誰かが共謀しましたか? または、誰かが本当に賢いと思って、「ねえ、私はあなたと私の鍵を共有します、そしてあなたは予備のバックアップとしてあなたの鍵を私と共有しますか?」と言いましたか?
とにかく、詐欺師はXNUMXつではなくXNUMXつの秘密鍵を取得できたので、複数の人物のふりをすることができ、この大量の資金のロックを解除して自分自身に転送することができました。
そして、それは合計で約80万ドル以上のEtherに相当します。
そして、ハーモニーは、XNUMX月に前回のリッピングがあったときと同じように、最近誰もがやっていることをやったようです。
「親愛なるホワイトハットさん、親愛なるラブリークルック、あなたが資金を返送すれば、私たちはそれを脆弱性報奨金として書き留めます。 私たちは歴史を書き直し、あなたが起訴されないようにします。 そして、それはすべて研究の名の下にあったと言いますが、私たちにお金を返してください。」
そして、あなたは「ああ、すごい、それは絶望のスマックだ」と思いますが、私は彼らが試みなければならないのはそれだけだと思います。
ダグ。 そして、私は彼らが盗まれたものの1%を提供しているのが好きです。
そして、ケーキの上のアイシングは、資金が返還されたときに彼らが「刑事告発なしで主張する」ということです。これは保証するのが難しいようです。
アヒル。 はい、私は彼らが言うことができるのはそれだけだと思いますよね?
まあ、確かにイギリスでは、私的訴追と呼ばれるものを持つことができます-それらは国によってもたらされる必要はありません。
したがって、個人として刑事訴追を行うことができます。 または慈善団体として、または州が起訴したくない場合は公共団体として。
しかし、あなたは反対のことはしません。あなたは犯罪の犠牲者であり、あなたはこう言います。 彼は頭がおかしくなった。 彼は私の車に衝突したが、彼はそれを修理した。 彼を起訴しないでください。」
州はおそらく「あなたは何を知っていますか? 実際にはあなた次第ではありません。」
とにかく、うまくいかなかったようです。
それが誰であれ、彼らが最初に物を集めたアカウントから、17,000イーサ(20万ドルの恥ずかしがり屋の何か)のようなものをすでに転送しました。
だから、これはすべてゴツゴツしたように見えます。 [笑い]
なぜ笑っているのかわからない、ダグ。
ダグ。 これはただ起こり続けます!
これらのアカウントをロックダウンするためのより良い方法が必要です。
つまり、XNUMXつのパーティからXNUMXつのパーティに共同署名する必要があります。
さて、それはこの問題を修正しますか、それともこれは起こり続けますか?
アヒル。 「ねえ、XNUMXつでは不十分でした。 XNUMXつに行きます。」
ええと、私にはわかりません…それはそれを良くするのか、同じにするのか、それとも悪くするのですか?
重要なのは、詐欺師がどのようにして、そしてなぜ詐欺師がこれらXNUMXつの鍵を入手できたかに依存するということです。
彼らはXNUMX人をターゲットにしただけで、XNUMX人で幸運に恵まれ、XNUMX人で失敗しました。その場合、XNUMX人のうちXNUMX人ではなくXNUMX人のうちXNUMX人にすることで、基準が引き上げられると主張できます。もう少し。
しかし、システム自体、つまり実際にキーを調整した方法で、詐欺師がXNUMXつを取得した理由はどうでしたか?任意の数のキーに単一障害点があった場合はどうでしょうか。
そして、それは私たちが知らないことなので、XNUMXからXNUMXに変更してください…それは必ずしも問題を解決するわけではありません。
誰かがあなたの電話を盗んであなたのロックコードを推測し、あなたがXNUMX桁の数字を持っている場合とまったく同じように、あなたはこう思います。 それははるかに安全になります!」
しかし、詐欺師があなたのロックコードを取得した理由が、あなたが家から締め出された場合に備えて、それを一枚の紙に書き留めてメールボックスに残す習慣があるからです…彼らは戻って取得します20桁、5000桁、XNUMX桁のロックコード。
ダグ。 さて、まあ、私たちはそれを監視します。
そして、これがこれらの物語の最後ではないことを私に教えてくれます。
これは呼ばれます: Harmony Blockchainは、秘密鍵がハッキングされたために100億ドル近くを失っています、nakedsecurity.sophos.comで。
そして今、OpenSSLのバグ修正のためのバグ修正があります。
アヒル。 はい、ポッドキャストでOpenSSLについて何度か話しましたが、これは主に、OpenSSLが最も人気のあるサードパーティの暗号化ライブラリのXNUMXつであるためです。
したがって、多くのソフトウェアがそれを使用します。
そして問題は、バグがあると、更新が必要なオペレーティングシステムがたくさんあることです(特に多くのLinuxが同梱されています)。
また、Windowsや世界のmacOSシステムなど、独自の暗号化ライブラリを備えたプラットフォームでも、アプリケーションフォルダにコンパイルまたは持ち込まれたOpenSSLの独自のコピーを持ち込むアプリがある場合があります。
あなたも行ってそれらを更新する必要があります。
幸いなことに、これは非常に危険なバグではありませんが、ソフトウェア開発者にとっては、トロフィーコードを取り巻く細部に悪魔がいることを思い出させる、一種の厄介なバグです。
このバグは、以前のバグ修正で修正されたバグの別のバージョンです。実際には、OpenSSLと一緒に出荷されるスクリプトに含まれており、一部のオペレーティングシステムで使用され、システムの「認証局」証明書の特別な検索可能なハッシュ、インデックスが作成されます。 。
つまり、これはあなたが実行する特別なスクリプトです c_rehash、「証明書の再ハッシュ」の略。
また、証明書を発行した人の名前が記載された証明書のリストを含むディレクトリを取得し、ハッシュに基づいたリストに変換します。これは、検索とインデックス作成に非常に便利です。
そのため、一部のオペレーティングシステムでは、便宜上、このスクリプトを定期的に実行しています。
そして、魔法の特殊文字を含む奇妙な名前の証明書を作成できれば、の「ドル記号の丸括弧」のようになります。 Follina または、の「ドル記号の波状ブラケット」 ログ4シェル…基本的に、ファイル名をディスクから取り出し、コマンドシェルのコマンドライン引数として盲目的に使用します。
UnixシェルコマンドまたはWindowsシェルコマンドを書いた人。 一部の文字には、「ドル記号の丸括弧」、ファイルを上書きする「大なり記号」、出力を別のコマンドに送信して実行するように指示する「パイプ」文字など、特別な超能力があることを知っています。
したがって、必要に応じて、暗号化ライブラリの一部ではない補助スクリプトの詳細に注意を払わなかったのです。
基本的に、これは多くの人がおそらく考えたことのない単なるスクリプトですが、OpenSSLによって提供されました。 多くのオペレーティングシステムに同梱されています。 実行可能になったシステムの場所にポップしました。 そして、あなたが「有用な暗号化ハウスキーピング」と呼ぶかもしれないもののためにシステムによって使用されます。
だからあなたが望むバージョンは 3.0.4または 1.1.1p (P-for-Papa)。
ただし、これを記録している間、OpenSSL 3.0.5の必要性について大きな騒ぎが起こっています。これは、まったく別のバグです。特別に高速化されたRSA暗号化計算でのバッファオーバーフローは、おそらく修正が必要です。 。
したがって、これを聞くまでに、OpenSSL 3を使用している場合は、さらに別の更新がある可能性があります。
Dougの良い面は、これらのことに気付いたとき、OpenSSLチームが問題に取り組み、パッチをすぐにプッシュするように見えることです。
ダグ。 よかった。
それを監視し、3.0.5を監視します。
アヒル。 はい!
明確にするために、3.0.5の場合、一致する1.1.1q(Q-forQuebec)はありません。これは、このバグがOpenSSL3で導入された新しいコードであるためです。
そして、疑問に思っているのなら…iPhoneにiPhone 2がなかったように、OpenSSL2もありませんでした。
ダグ。 OK、次のようなアドバイスがあります。 できるだけ早くOpenSSLを更新してください、明らかに。
アヒル。 はい。
これは暗号化ライブラリではなくスクリプトに含まれていますが、オペレーティングシステムにOpenSSLパッケージが含まれている場合、このバグのあるスクリプトはほぼ確実に含まれるため、更新することをお勧めします。
そして、それはおそらく、あなたの最悪の関心を持っている誰かが、本当に望むのであれば、おそらくリモートでさえ、おそらくそれを手に入れることができる場所にインストールされるでしょう。
ダグ。 OK、それで: 引退を検討してください c_rehash 使用している場合はユーティリティ。
アヒル。 はい、そのc_rehashは、実際には他のプログラムを安全に実行しないレガシーperlスクリプトです。
これで、OpenSSLアプリ自体の組み込み部分を実際に使用できます。 openssl rehash.
それについてもっと知りたい場合は、入力するだけです openssl rehash -help.
ダグ。 大丈夫。
そして、私たちは何度も何度も言いました: 入力と出力をサニタイズします。
アヒル。 絶対に。
他の人から受け取った入力は、受け取ったとおりに安全に使用できると思い込まないでください。
また、他の場所から受け取ったデータや他の場所から読み込んだデータを処理し、それを他の人に渡す場合は、適切な処理を行って、それらを渡していないことを確認してください。最初に情報を失った。
明らかに、あなたは彼らが彼らのインプットをチェックすることを望むでしょう、しかしあなたがあなたのアウトプットもチェックするならば、それはただ保証を二重に確実にします!
ダグ。 わかった。 そして最後に: 特定の種類のバグのコードを確認するときは、複数のエラーに注意してください。
アヒル。 はい、それは人々に思い出させる価値があると思いました。
Perlがコマンド置換と呼ばれるものを実行したバグがXNUMXつあったため、「これらの引数を使用してこの外部コマンドを実行し、出力を取得して、新しいコマンドの一部として出力を使用します。」
そのコマンドに引数を送信する際に問題が発生し、パッチが適用されました。入力を適切にチェックする特別な関数が作成されました。
しかし、誰も本当に注意深く調べて、「このユーティリティを書いた人は、もともと他の場所で同様のプログラムによるトリックを使用しましたか?」と言った人はいないようです。
言い換えれば、おそらくそれらは同じコード内の他の場所のシステム関数にシェルアウトします…そしてもっと注意深く見れば、あなたはそれを見つけたでしょう。
外部プログラムを使ってハッシュ計算をするところもあれば、外部関数を使ってファイルコピーをするところもあります。
XNUMXつはチェックされて修正されましたが、もうXNUMXつは見つかりませんでした。
ダグ。 よし、いいアドバイスだ!
その記事は呼ばれます: OpenSSLは、以前のバグ修正に対してバグ修正を発行します、nakedsecurity.sophos.comで。
そして、今日のショーに太陽がゆっくりと沈み始めているので、先ほど説明したOpenSSLの記事について読者のXNUMX人から話を聞いてみましょう。
リーダーのラリーは、XKCDWebコミックにリンクしています。 ママの搾取…私はあなたにそれを見つけに行くように勧めます。
ウェブコミックを口頭で説明しようとするのは、ポッドキャストにとって本当に素晴らしい飼料ではないことに気づきました。 https://xkcd.com/327 自分で見てください。
アヒル。 ダグ、あなたがする必要があるのは、多くのリスナーが「誰かがこれにコメントしてくれることを正直に望んでいる」と思うからです…私はそうだった!
それは約 リトルボビーテーブル!
ダグ。 わかった…
アヒル。 それ自体が一種のインターネットミームになっています。
ダグ。 シーンが開きます。
お母さんは息子の学校から「こんにちは、これはあなたの息子の学校です。 コンピューターに問題があります。」
そして彼女は、「ああ、親愛なる、彼は何かを壊したのですか?」と言います。
そして彼らは言います「ある意味であなたは本当にあなたの息子に名前を付けましたか Robert'); DROP TABLE Students;--? "
「ああ、そうだ。 リトルボビーテーブル、私たちは彼を呼びます。」
そして彼らはこう言います。「まあ、今年の学生の記録は失われました。 私はあなたの幸せを願います。"
そして彼女は、「そして、データベース入力をサニタイズすることを学んだことを願っています」と述べています。
非常に良い。
アヒル。 ちょっとやんちゃなママ…覚えておいてください、私たちはあなたの入力*とあなたの出力*をサニタイズすると言っているので、賢いパンツになるためだけにバグを引き起こすために邪魔をしないでください。
しかし、彼女は正しい。
与えられた古いデータを取得し、それを使用してコマンド文字列を作成し、すべて問題がないと想定するべきではありません。
誰もがルールに従ってプレイするわけではないからです。
ダグ。 それは2007年からです、そしてそれはまだ持ちこたえています!
投稿したい興味深いストーリー、コメント、質問がある場合は、ポッドキャストで読んでください。
メールできます tips@sophos.com; あなたは私たちの記事のいずれかにコメントすることができます。 または、ソーシャルで私たちを襲うことができます: @nakedsecurity.
それが今日の私たちのショーです。
聞いてくれてありがとう…ポール・ダックリン、私はダグ・アーモスです。次回まで思い出させてくれます…
どちらも。 …安全を確保してください!
【ミュージックモデム】
