[B! security] makotoworldのブックマーク

最近のネットデマについて - 最速転職研究会

ソースをろくに確認せずに取り敢えず拡散する自分の発言の責任が希薄になるように計算されたテンプレート詳細はリンク先で真偽不明ですが取り敢えず拡散自己責任で元情報が訂正されても、拡散した誤情報は消えない「あなたのGmailをすべて盗まれる」問題 http://b.hatena.ne.jp/entry/jp.techcrunch.com/archives/20101120whoa-google-thats-a-pretty-big-security-hole/ http://topsy.com/jp.techcrunch.com/archives/20101120whoa-google-thats-a-pretty-big-security-hole/ http://disqus.com/guest/84d6bff45c2112e083c425e39f954f5e/ http://t

makotoworld 2010/12/07

security

リンク

iPhone 構成ユーティリティ 2.1 (Mac)

一般情報 iPhone 構成ユーティリティ 2.1 (Mac) iPhone 構成ユーティリティを使って、構成プロファイルを作成、暗号化、インストールしたり、プロビジョニングプロファイルと認証済みアプリケーションを追跡およびインストールしたり、コンソールログなどのデバイス情報を取り込んだりする作業を簡単に行うことができます。構成プロファイルは XML ファイルで、デバイスのセキュリティポリシーと制限、VPN 構成情報、Wi-Fi 設定、メールとカレンダーのアカウント、iPhone と iPod touch をエンタープライズシステムで使用するための認証資格情報が含まれています。 iPhone 構成ユーティリティの使用方法については、﹁iPhone および iPod touch エンタープライズ配備ガイド﹂を参照してください︵http://www.apple.com/jp/support/

makotoworld 2010/07/15

色々便利ですよこれ。

リンク

法と技術とクローラと私 - 最速転職研究会

こんにちは、趣味や業務で大手ポータルサイトのサービスで稼働しているいくつかのクローラの開発とメンテナンスを行っているmalaです。さて先日、岡崎市立中央図書館Webサイトをクロールしていた人が逮捕、勾留、実名報道されるという事件がありました。関連URL: http://librahack.jp/ 電話してみた的な話 http://www.nantoka.com/~kei/diary/?20100622S1 http://blog.rocaz.net/2010/06/945.html http://blog.rocaz.net/2010/07/951.html この件につきまして法的なことはともかくとして技術者視点での私見を書きたいと思います。法的なことは差し置いて書きますが、それは法的なことを軽んじているわけではなく、法律の制定やら運用やらは、その法律によって影響が出る全ての人々の常識

makotoworld 2010/07/08

リンク

高木浩光＠自宅の日記 - はてブiPhoneアプリでログインしてはいけない

■ はてブiPhoneアプリでログインしてはいけない昨日、iPhone OS用の、はてなブックマークアプリがリリースされたのだが、はてなブックマーク for iPhone(アプリ版)を公開しました, はてなブックマーク日記 - 機能変更、お知らせなど, 2010年2月22日これは、下の図のように、最初のトップ画面（左）は専用アプリが表示しているものの、どれかをタップして画面を進めると、それはアプリに埋め込まれた「内蔵ブラウザ」（Safari部品）によって表示されるようになっている（中央、右）。

makotoworld 2010/02/24

リンク

XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会

適当 XSSがある=なんでもやり放題ではないブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。個人情報を預かってるサイトは、重要個人情報についてはHTTPSじゃないと参照できなかったり、そもそも表示しなかったり(パスワードやカード番号等)、決済用のパスワードや暗証番号を入れないと操作できなかったりする。参考までに http://blog.bulknews.net/mt/archives/001274.html (2004年のアメブロ脆弱性の話) http://d.hatena.ne.jp/yamaz/20090114 (信頼できないデータを取り扱うドメインを分ける話) 管理用と別ドメインに分けたにも関わらず、script実行できることに対してDISられ

makotoworld 2010/02/23

security

リンク

高木浩光＠自宅の日記 - はてなのかんたんログインがオッピロゲだった件

■ はてなのかんたんログインがオッピロゲだった件かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの﹁iモードID﹂などの契約者固有IDを用いた、いわゆる﹁かんたんログイン﹂機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。実際に動いてすぐ使える﹁PHPによるかんたんログインサンプル﹂を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日ソフ

makotoworld 2010/02/22

security

リンク

PHPで誰でも簡単Webサービス製作！でなんか作って公開した奴ちょっと来い - 甘味志向＠はてな

タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー（Twitter）でも、よく「○○ったー」みたいなサービスがばんばん登場してますね！おかげでますますツイッターが面白い感じになってて、いい流れですね！でも･･･ちょっと気になることが･･･最近「もうプログラマには頼らない！簡単プログラミング！」だとか･･･「PHPで誰でも簡単Webサービス作成！」だとか･･･はてなブックマークのホッテントリで見かけますよね･･･プログラミングする人が増えるのは素敵です！レッツ･プログラミングなう！なんですけど･･･ちゃんとセキュリティのこと考えてますか･･･！？『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしｗｗ』いいんですいいんです！別にそう思ってるならどうでもいいんです！

makotoworld 2010/02/21

security

リンク

ASP.Net 4: Change the Default Encoder

Free course demos allow you to see course content, watch world-class instructors in action, and evaluate course difficulty.

makotoworld 2010/02/19

security
web

リンク

SQLインジェクションとは何か？その正体とクラッキング対策。

世間では、今Gumblar祭りが勃発中であり、SQLインジェクションがニュースに出てくることは少なくなったが、だからと言ってSQLインジェクションの脅威がなくなったわけではない。SQLインジェクションはGumblarを仕掛ける手段としても利用されることがあり、Webアプリケーションを提供する全ての人にとって、対策を講じなければいけない驚異であることに変わりはない。SQLインジェクションという攻撃手法が認識され、大いに悪用されているにも係わらず、その本質に迫って解説している記事は少ないように思う。従来のWeb屋だけでなく、今やアプリケーション開発の主戦場はWebであると言っても過言ではなく、そういう意味ではSQLインジェクションについて理解することは、全てのプログラマにとっての嗜みであると言えるだろう。というわけで、今日は改めてSQLインジェクションについて語ってみようと思う。 SQLイン

makotoworld 2010/01/14

security
sql

リンク

ちょっとセキュアな「いつもの」パスワード - ぼくはまちちゃん！

こんにちはこんにちは！！最近はメールでもなんでもWEB上の便利なサービスが増えてきましたね…！でも、いろいろ登録しすぎて、いよいよぼくもパスワードが管理できなくなってきました…！えっ！もしかして面倒だから、ぜんぶ同じパスワード使ってたりするるんでしょうか…！だめです！だめだめ！それはだめ。全部のサイトで同じパスワードにするのってものすごく危険ですよ！！！これはほんと！だって、もしなにかあって、どれかひとつのパスワードがばれちゃったら全部芋づるだから…！登録したWEBサイトの管理者の中に悪い人がいる可能性もあるし。 (個人運営のサイトはもちろん、たとえ大きな企業のサイトでもバイトちゃんが見れたりとか…) でもだからといって全部別のものにすると覚えられないんだよね。たとえば自分宛にメールしておくとか… Dropboxのような共有フォルダにパスワードのメモいれとくとか… パス

makotoworld 2009/11/18

リンク

サーバにDoS耐性を付ける - stanaka's blog

ウェブサービスでは、アクセスが集中して、サイトが落ちる、というのは、よくある話です。純粋に人気が出てアクセス集中するなら、サーバ管理側の責任と言われても、しかたないと思います。しかし、botやF5アタックによる突発的な集中アクセスで、落ちてしまう、というのは、運営側としても、あまり納得がいくものではありません。そのような突発的なアクセスに対応するために、大量のアクセスをしてくるクライアントを検出し、優先度を落すか、アクセス禁止にする方法などがあります。というわけで、Apacheモジュールでそれを検出するためのmod_dosdetectorを開発しました。(ちなみにコア部分の開発期間は、Apacheモジュールって、どう書くんだっけ、という状態から、3日でした。) mod_dosdetectorは、Apacheモジュールとして動作し、クライアントのIPアドレスごとにアクセス頻度を測定し、設

makotoworld 2009/11/16

リンク

はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知

はてなグループの終了日を2020年1月31日(金)に決定しました以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記はてなグループ日記のエクスポートデータは2020年2月28

makotoworld 2009/10/27

リンク

ファイアウォール構築(iptables) - Fedoraで自宅サーバー構築

Linuxサーバー上にファイアウォールを構築する。ここでは、Linuxのパケットフィルタリング機能であるiptablesを使用して、Web等外部に公開するサービス以外のポートへのアクセスをブロックするようにする。 ※通常はルーター側にもファイアウォール機能があるため、Linuxサーバー上でファイアウォールを構築後にポートを開放する場合は、ルーター側とLinuxサーバー側の2箇所でポート開放を行う必要があることに注意【想定するネットワーク環境】 [root@fedora ~]# vi iptables.sh　←　ファイアウォール設定スクリプト作成 #!/bin/bash #---------------------------------------# # 設定開始 # #---------------------------------------# # インタフェース名定義 LAN=

makotoworld 2009/10/02

リンク

世界の国別 IPv4 アドレス割り当てリスト

ところがこのリスト、RIR statistics exchange formatにも書いてあるように、﹁開始IPアドレスから何個﹂という表現になっているので、そのままではサブネットマスクや CIDR の表現としては使えないレコードがあります。例えば、 192.168.0.0 から 768 個 768 個を表すサブネットマスクはない。したがって、192.168.0.0/255.255.254.0 と 192.168.2.0/255.255.255.0 の二つに分けなければならない。 192.168.3.0 から 512 個 512 個なのでサブネットマスクは 255.255.254.0 だが、ホストアドレス部が 0 になっていないため、単純に 192.168.3.0/255.255.254.0 とすることができない。したがって、192.168.3.0/255.255.255

makotoworld 2009/10/02

リンク

TechCrunch | Startup and Technology News

Tech sovereignty has become a looming priority for a number of nations these days, and now, with the demand for compute power at its highest level yet, a startup working… It’s not the sexiest of subject matters, but someone needs to talk about it: The CFO tech stack — software used by the chief financial officers of the world — is ripe for disruption. That’s according to Jonathan Sanders, CEO and

makotoworld 2009/09/04

security

リンク

高木浩光＠自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合

■ やはり退化していた日本のWeb開発者﹁ニコニコ動画×iPhoneOS﹂の場合一年前、﹁退化してゆく日本のWeb開発者﹂という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日︵略︶こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。︵略︶iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。︵略︶契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ

makotoworld 2009/08/03

security

リンク

携帯電話向けWebアプリのセッション管理はどうなっているか - ockeghem's blog

最近購入したPHP×携帯サイト実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引にも﹁セッション﹂や﹁session﹂という語は出てこない。サンプルプログラムのCD-ROM上で session を検索しても出てこないので、セッションはどこでも使っていないのだろう。そうは言っても、本書にはブログやSNSなど認証が必要なアプリケーションも登場する。本書で採用している認証方式はこうだ。携帯電話の個体識別番号を用いた、いわゆる﹁かんたんログイン﹂のみを使う認証状態をセッション管理機構で維持しない。全てのページで毎回認証するそのため、﹁iモードID﹂など、ユーザに確認せずに自動的に送信されるIDを用いるつまり、全て

makotoworld 2009/07/15

リンク

» セキュアなサーバを作るために最低限やっておくこと: エスキュービズムラボ Blog

Recent Entries セキュアなサーバを作るために最低限やっておくこと Yahooキーワード抽出APIライブラリテスト駆動開発（test driven development: TDD）のすすめ GoogleAnalyticsAPI on EC-CUBE 土日で作るコンパイラ OPEN ERPに挑戦３ OPEN ERPに挑戦２ OPEN ERPに挑戦 ERPはたくさんあれど・・・ OpenGLで3D、やってみよう Recent Comments No Responses. Recent Trackbacks テスト駆動開発（test driven development: TDD）のすすめ 06/11 » Yahooキーワード抽出... みなさんはサーバを管理するときに、何を一番気にしますか？人によって程度の差はあるのでしょうが、誰もが気になるのが「セキュリティ」でしょ

makotoworld 2009/06/20

リンク

フランスのハッカーがTwitterの管理パネルにアクセス

文‥Dancho Danchev︵Special to ZDNet.com︶翻訳校正‥石橋啓一郎 2009-05-01 11:47 [UPDATE] 今回のTwitter管理アカウントのハッキングは、Twitterの従業員の1人に対するソーシャルエンジニアリング攻撃の結果によるもののようだ。これは、2009年1月に起こった攻撃に似ている。以下は、時系列での出来事の説明になる。米国時間4月29日、フランスのハッカーがTwitterの管理パネルへのアクセスを入手したと主張した。この男性が示した、米国大統領Barack Obama氏、Britney Spears氏、Ashton Kutcher氏、LilyAllen氏に属するアカウントの内部データを含むスクリーンショットや、Twitterの裏側にあるさまざまな部分の詳しい話から判断すると、この話は本当のように見える。 Hacker Croll

makotoworld 2009/05/01

リンク

情報処理推進機構：情報セキュリティ：脆弱性対策：安全なウェブサイトの作り方

「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。「安全なウェブサイトの作り方」改訂第7版の内容第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション、OSコマンド・インジェクションやクロスサイト・スクリプティング等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す

makotoworld 2009/03/27

リンク

はてなブックマーク

タグ

関連タグで絞り込む (32)

securityに関するmakotoworldのブックマーク (38)

お知らせ

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

今週のはてなブックマーク数ランキング（2024年7月第1週）

月間はてなブックマーク数ランキング（2024年6月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス