• 人気のコメント(0)
  • 全てのコメント
Cald Cald ホストでわけた共用型SSLサービスは難しいのか。ワイルドカード型の証明書使えばいいと。

2011/07/03 リンク

rockstyle rockstyle さくらインターネット

2010/06/18 リンク

kazuhooku kazuhooku 「Webセキュリティの基本で、same-origin policyの「origin」はホスト名で区分されるもの」

2010/05/13 リンク

kmachu kmachu 「サーバ証明書を一枚で済ませたいならワイルドカード型の証明書を使えばよい」「same-origin policyの「origin」はホスト名で区分されるものであって、パス名では区分されない」

2010/05/10 リンク

kamataro kamataro CookieのPath属性を付けてもiframeで回避可能な件の説明。

2010/05/07 リンク

hogem hogem cookieの話

2010/05/07 リンク

drumsco drumsco cookie のコンテキストパスはセキュリティー的な効果は期待できないらしい

2010/05/06 リンク

superrush4x superrush4x 共有SSLでSet-Cookieに「path=」指定しても、XSS+iframe等で取得可能。

2010/05/05 リンク

nobby81 nobby81 で、どのような対策を取れば宜しいでしょうか。

2010/05/03 リンク

mitsuki_engawa mitsuki_engawa 「same-origin policyの『origin』はホスト名で区分される*5ものであって、パス名では区分されない」

2010/05/02 リンク

tsupo tsupo Webセキュリティの基本で、same-origin policyの「origin」はホスト名で区分されるものであって、パス名では区分されない / さくらインターネットの場合、「初期ドメイン」方式へ移行するよう利用者に呼びかけるべき

2010/05/02 リンク

JORG JORG 経路が暗号化されるだけという無意味な事に一定のニーズが存在してしまっているつー事だと思ってる。この場合での危険性の意味は、安全でない事に安全だと思ってしまう事か。さくらは分かってるけど不誠実ってことか

2010/05/02 リンク

t-tanaka t-tanaka 「Set-Cookie: における「path=...」指定は、じつはセキュリティ上何の効果もない」 ・・・。しらんかった。つくづく思うが,<IFRAME>ってセキュリティ問題の巣窟だなあ。

2010/05/02 リンク

kokogiko kokogiko ほええ。なるほど。

2010/05/02 リンク

mkoji530 mkoji530 iphone

2010/05/02 リンク

itochan itochan >*1 このような不正直な表現をする事業者を信頼できるだろうか。  勉強大事

2010/05/02 リンク

kaoru_s kaoru_s なるほど。しかしGW中も休まず高木先生はすごいなあ。

2010/05/02 リンク

doumoto doumoto で、どうしたらいいんだろうか。貧乏人は共用SSLしか使えないし。(´ー`)y-~~。

2010/05/01 リンク

tach_ymn tach_ymn cookieのパス指定が無意味な件。+ホスト名で利用者を分けている共有SSLでさらに問題が発生。

2010/05/01 リンク

terazzo terazzo なるほどリクエスト上のCookieの送信だけパスで制限しても意味ないのか。/逆にSet-Cookieされることも想定するべき(Session Fixaiton対策とか)か。こっちはパスすら関係ないし。

2010/05/01 リンク

TakamoriTarou TakamoriTarou むむむ…。これは…。共有SSLは通常のSSLと同じと考えてはいけないと言うことか。うーむ。正直実戦経験がないのでよく理解しきれないが、実験してみたい。

2010/05/01 リンク

MinazukiBakera MinazukiBakera cookieのpath指定が無意味な件。例の件に関して、Cookieにパス指定をしても駄目だという話でもありますね。

2010/05/01 リンク

kogawam kogawam 今そこにある危機ということですな

2010/05/01 リンク

zorio zorio 「これはWebセキュリティの基本で、same-origin policyの「origin」はホスト名で区分される*5ものであって、パス名では区分されないことを忘れてはいけない。」

2010/05/01 リンク

juner juner 必読。QT:共用SSLサーバの危険性が理解されていない

2010/05/01 リンク

vsa vsa 「ごく限定的な影響」というのはどういうつもりなのか疑問*1だが、この注意書きをちゃんと載せているあたりは、さすがはさくらインターネットと言える*2。しかし、「安全な設定」として紹介されている以下の記述は誤

2010/05/01 リンク

    関連記事

    高木浩光@自宅の日記 - 共用SSLサーバの危険性が理解されていない

    ■ 共用SSLサーバ危険性が理解されていない さくらインターネット公式FAQに次の記述があるのに気づい...

    ブックマークしたユーザー

    • ionis2014/07/30 ionis
    • blogger3232013/11/04 blogger323
    • rawwell2012/06/16 rawwell
    • termin22012/02/03 termin2
    • tzccinct2011/10/16 tzccinct
    • justoneplanet2011/10/14 justoneplanet
    • Kenji_s2011/10/13 Kenji_s
    • Peter_402011/07/04 Peter_40
    • Cald2011/07/03 Cald
    • TokyoIncidents2011/01/07 TokyoIncidents
    • masakielastic22010/12/26 masakielastic2
    • yamaeda2010/11/10 yamaeda
    • saikyosen182010/09/22 saikyosen18
    • urapico2010/08/26 urapico
    • toguo2010/07/05 toguo
    • fgshun2010/06/21 fgshun
    • yoshitabh5d2010/06/21 yoshitabh5d
    • rockstyle2010/06/18 rockstyle
    すべてのユーザーの
    詳細を表示します

    いま人気の記事

    いま人気の記事 - 暮らし

    新着記事 - 暮らし

    同じサイトの新着

    • 高木浩光@自宅の日記 - 虚偽の郵便番号と誕生日(住所ではない), おまえが入力したのは金のパスワードかい?それとも銀のパスワードかい?, 日記の移転..

      1 userstakagi-hiromitsu.jp

      ■ 虚偽の郵便番号と誕生日(住所ではない) 先週、はてなからこういう内容のメールが届いた。 はてな登録情報の住所追加、正しい情報登録のお願いについて ■ はてな登録情報の住所追加、正しい情報登録のお願いについて この度、はてなでは、ユーザー様にはてなをご利用いただくにあたって、必要な登録情報項目として「住所」を追加し、「氏名」「生年月日」「性別」についても正しい登録をおこなっていただき、皆様に安心してはてなをご利用いただくための「はてな住所登録、正しい情報登録キャンペーン」を実施します。 (略) 〜 住所登録、正しい情報登録のお願いならびにキャンペーン実施概要 〜 (略) 2)抽選で150名様に「はてなポイント付き住所確認はがき」をお送りします 住所登録をおこなっていただいたユーザー様の中からランダムに抽出をおこない、150名様に「はてなポイント付き住所確認はがき」を発送いたします。発送対
    • 高木浩光@自宅の日記 - 魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ

      4 userstakagi-hiromitsu.jp

      ■ 魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ 前回の日記(6月11日23時46分公開)の件はその後、以下のように展開した。 6月12日 他人PCで仮想通貨獲得 了解得ず「採掘」初立件 神奈川県警など,*1 毎日新聞, 6月12日朝刊 仮想通貨マイニング(Coinhive)で家宅捜索を受けた話, モロ@ドークツ, 6月12日9時43分 Coinhive設置で家宅捜索受けたデザイナー、経緯をブログ公開 「他の人に同じ経験して欲しくない」, ITmedia, 6月12日12時17分 仮想通貨「無断採掘」疑い サイト運営者を書類送検,*2 共同通信, 6月12日20時45分 Police to press charges over cryptocurrency 'mining' of computers without consent, The M
    • 高木浩光@自宅の日記 - 魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ

      877 userstakagi-hiromitsu.jp

      ■ 魔女狩り商法に翻弄された田舎警察 Coinhive事件 大本営報道はまさに現代の魔女狩りだ 前回の日記(6月11日23時46分公開)の件はその後、以下のように展開した。 6月12日 他人PCで仮想通貨獲得 了解得ず「採掘」初立件 神奈川県警など,*1 毎日新聞, 6月12日朝刊 仮想通貨マイニング(Coinhive)で家宅捜索を受けた話, モロ@ドークツ, 6月12日9時43分 Coinhive設置で家宅捜索受けたデザイナー、経緯をブログ公開 「他の人に同じ経験して欲しくない」, ITmedia, 6月12日12時17分 仮想通貨「無断採掘」疑い サイト運営者を書類送検,*2 共同通信, 6月12日20時45分 Police to press charges over cryptocurrency 'mining' of computers without consent, The M
    • 高木浩光@自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」

      1 userstakagi-hiromitsu.jp

      ■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 [解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー(30)は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 (略)昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。(略) 略式命令を受けたウェブデザイナー

    金原あすかと高岡蒼甫の浮気動画:So-netブログ

    1 users http://fagjadf.blog.so-net.ne.jp/

    Google Japan Blog: Google Code Jam 2010でプログラミングの腕を競ってみませんか?

    2 users https://japan.googleblog.com/