前回のエントリSQLのバインド機構は「エスケープ処理された値」をはめ込むのか - ockeghem(徳丸浩)の日記に対応して、mi1kmanさんのブクマ経由で、訂正が出ていることを知った。訂正内容1ページ目を下記のように変更いたしました（2個所）。バインド値はエスケ... 続きを読む

• d:id:ockeghem
• テクノロジー

米Googleは7日、「Gmail」に保存されているメールを他人に盗み読まれていないかどうかを確認するための「セッション管理機能」を導入し始めたと発表した。 　この機能が導入されると、受信箱の下部に、GmailアカウントがどのIPアドレスからいくつ開かれているか... 続きを読む

• internet.watch.impress...
• テクノロジー

すっかり間があいてしまいました。ごめんなさい。今回のテーマは Unicode 文字列の比較です。文字列の比較には、プログラミング言語によっては s1 = s2 のように簡単な演算子で比較できる場合もありますし、strcmp や StrComp のような関数を呼び出す必要がある... 続きを読む

• d:id:hasegawayosuke
• テクノロジー

A security warning posted on the Debian security list today warns that SSH keys generated on Debian based systems (including Ubuntu) have a highly predictable random number generator. This corroborates what we’ve been seeing here at GitHub. ... 続きを読む

• github.com
• テクノロジー

「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ」(詳細 PDF)が出てた。カカクコムに代表されるような「ごめんなさい、これからは気をつけます、詳しくは言えません」というお詫びではなくて、時系列付きの経過報告が半分近くを占めるという異例の... 続きを読む

• trombik.mine.nu:cherry
• テクノロジー

この度、弊社WEBサーバーへの不正アクセスにより、お客様の大切な個人情報が流出する事態が生じ、多くのお客様に多大なるご迷惑、ご心配をおかけ致しましたことを深くお詫び申し上げます。弊社では、今回の事態を厳粛に受け止め、お客様の信頼回復に社員一同、... 続きを読む

• www.soundhouse.co.jp
• アニメとゲーム

_ [Rails] Rails のセキュリティガイド QuarkRuby: Ruby on Rails Security Guide では、Rails でアプリを開発する際にセキュリティ面で気を付けなければいけないことを簡潔にまとめています。 いま社内向けに Rails のセキュリティガイドラインをまとめている... 続きを読む

• dontstopmusic.no-ip.org
• テクノロジー

Is your website vulnerable to XSS attacks? Download Acunetix Web Vulnerability Scanner and find out today! Hackers are on the lookout for Cross Site Scripting (XSS) vulnerabilities in YOUR web applications: Shopping carts, forms, login pages,... 続きを読む

• www.acunetix.com
• テクノロジー

Five Fucking Years About time. And a bit longer than Ten Fucking Days. Danga sponsored development of this patch (twice?) many years ago. Glad to see it finalllly go in. 続きを読む

• brad.livejournal.com
• テクノロジー

続きを読む

1章 ウェブアプリケーションセキュリティの基礎 ・HTMLによる制限は回避可能である ・裏側で何が行われているのか ・パケットスニッファ ・プロキシツール ・ウェブブラウザの存在そのものが偽装できる ・リクエストの書き換えでHTMLの制限を回避する ・JavaScr... 続きを読む

• www.jumperz.net
• テクノロジー

Well, we are finally done with the XSS book (XSS Attacks - Cross Site Scripting Attacks Exploits and Defense). It’s off at the presses, and should be on the shelves in a few week’s time. We were authorized to throw up a sample chapter and t... 続きを読む

• ha.ckers.org
• テクノロジー

Winnyネットワークはやっぱり真っ黒，NTTコミュニケーションズの小山氏に聞く 小山覚氏 NTTコミュニケーションズ 企画戦略部門　部門長（セキュリティ技術担当） 記事一覧へ >> ボットネット研究で知られるNTTコミュニケーションズの小山覚氏。小山氏の新しい研... 続きを読む

• itpro.nikkeibp.co.jp
• テクノロジー

(4月9日追記)このエントリは、書いた私がわかっていないことが露呈する内容になっています。正しくは、ActiveX と Javascript がオフになることを前提として、SSL 接続されるべきページで錠アイコンが閉じており、検証済みホスト名がそのページの所有者であるこ... 続きを読む

• d:id:tociyuki
• テクノロジー

« キーワード抽出のススメ (Lingua::JA::Summarize がアップデート) | メイン | Japanize 拡張機能バージョン 0.8 リリースのおしらせ » 2007年03月28日 Re: SessionSafe: Implementing XSS Immune Session Handling SessionSafe というウェブアプリケーション... 続きを読む

• labs.cybozu.co.jp
• テクノロジー

間抜けなことに、フィッシングに引っかかってパスワードを盗まれてしまった。amazon@teamservice.comというアドレスからThis is your final warning about the safety of your Amazon account. If you do not update your billing informations your access on ... 続きを読む

• blog.goo.ne.jp:ikedanobuo
• テクノロジー

当ひまグで昨年10月5日頃より公開していたFirefoxの拡張機能Sageの私製改造版「Sage++ (Higmmer's Edition)」(現在公開自粛中。以下、Sage++と称す)に関連し、去る2007年1月18日に以下のエントリを公表致しました。 フレッシュリーダーの脆弱性に関連してSage++... 続きを読む

• himag.blog26.fc2.com
• テクノロジー

なんか読売だかのサイトで 「仙台経済新聞がスタートする」 って書いてあって、それで 「正式に開始するまでサイトは見れないようになっている」 って書いてあって、そこに書いてあったURLを入れてみたら BASIC認証がかかっていて、IDとパスワードを入れないと ... 続きを読む

• slashdot.jp:omoti
• アニメとゲーム

最近、FreshReaderに脆弱性があったということで、いくつか調べて直したり、赤松さんと連絡取り合ったり、それからはてな使ってないのにユーザー様とか書かれて不愉快な気分になったりしてたんですが。 この記事はひどすぎると思う。 フレッシュリーダーの脆弱... 続きを読む

• la.ma.la
• テクノロジー

サーバー型RSSリーダー「フレッシュリーダー」に「任意の JavaScriptが実行される脆弱性」が存在することが発見されたそうです。これに対策したバージョン1.0.07010600が本日付けでリリースされています。 詳しくは以下のリンクを参照。 [20070118] フレッシュ... 続きを読む

• himag.blog26.fc2.com
• テクノロジー

It’s your worst nightmare – someone reads parts of your Google emails, views your docs, modifies your spreadsheets, checks out your reading habits on the Google personalized homepage or Google Reader, and goes through your search history. Y... 続きを読む

• blog.outer-court.com
• テクノロジー

« E4X-XSS 脆弱性について | メイン | 「スーパー技術者争奪戦」 » 2007年01月12日 JSONP - データ提供者側のセキュリティについて JSONP のセキュリティは、ともすればインクルードする側についての議論になりがちであり、その影でインクルードされる側のリス... 続きを読む

• labs.cybozu.co.jp
• テクノロジー

« 安全な JSON, 危険な JSON (Cross-site Including?) | メイン | JSONP - データ提供者側のセキュリティについて » 2007年01月10日 E4X-XSS 脆弱性について Firefox でサポートされている JavaScript 拡張 E4X (ECMA-357) では、JavaScript 内に XML とほぼ同... 続きを読む

• labs.cybozu.co.jp
• テクノロジー

QASec.com - Software Security Testing in Quality Assurance and Development Writing Software Security Test Cases Putting security test cases into your test plan By Robert Auger 1/5/2007 Part of software testing involves replicating customer us... 続きを読む

• www.qasec.com
• テクノロジー

Adobe Acrobat Reader Plugin - Multiple Vulnerabilities Title: Adobe Acrobat Reader Plugin - Multiple Vulnerabilities Original Discovery and Research:: Stefano Di Paola Contribution: Giorgio Fedon (IE Dos, UXSS Analysis) Elia Florio (Poc and C... 続きを読む

• www.wisec.it
• テクノロジー

[WEB SECURITY] Universal XSS with PDF files: highly dangerous From: "pdp (architect)" <pdp.gnucitizen@xxxxxxxxxxxxxx> Subject: [WEB SECURITY] Universal XSS with PDF files: highly dangerous Date: Wed, 3 Jan 2007 02:20:01 +0000 I will be very q... 続きを読む

• www.webappsec.org
• テクノロジー

※講演資料を掲載しました。 独立行政法人 情報処理推進機構（IPA）は、安全なインターネットの利用をめざして、最近、IPAが届出を受けた脆弱性関連情報を基に、届出の多かった脆弱性や攻撃を受けた場合の影響度が大きい脆弱性を取り上げ、その解決策を紹介する... 続きを読む

• www.ipa.go.jp
• テクノロジー

メールアドレス   個人情報などの取扱いについて お客様の個人情報は、求人情報が掲載された際にお送りするメール等のサービスをご利用いただくために利用いたします。 ここで登録した情報については事前の同意なしに一切公開されることはありません 詳細は「プ... 続きを読む

• www.find-job.net
• テクノロジー

【講演1】 脆弱性の届出情報の深刻度評価についてCVSS のお話。「IPA が受付けた脆弱性をCVSSを用いて分析した結果を紹介します」ということで、具体的にこんな事例がこうなった、という話を期待していたのですが……。残念ながら統計データだけで、具体的な事... 続きを読む

• bakera.jp
• テクノロジー

UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。 続きを読む

• openmya.hacker.jp
• テクノロジー