XSS脆弱性があった場合にそのサービスで使っているパスワードを盗むことが可能かどうかについて書く。 XSSを通してパスワードを盗むことができるのか？ 「現在のパスワードを表示する機能」があるなら出来る(そういう機能があるサービスはおかしい) メールアド... 続きを読む

• g:subtech:id:mala
• テクノロジー

scrapiでは「カスタマイズ」ページから自分のサイトのHTMLを自由に編集する事ができます。javascriptやflashでも制限なく書けます。それはセキュリティ上大丈夫なのか、という話。ログインや記事の編集などは www.scrapi.jp ドメイン上で行うようになっています... 続きを読む

• d:id:wanpark
• テクノロジー

「HTML5は優先順位を間違った。もういちどセキュリティの設計からやり直すべきだ」と語るJavaScript大家のDouglas Crockford氏 「HTML5の最大の問題は、優先順位を間違ったことだ。機能について議論する前に、セキュリティの扱いについて検討すべきだった」こう... 続きを読む

• www.publickey1.jp
• テクノロジー

自分でもう一度整理するために、他のサイトに倣って現在挙げられているCSRF対策法とその効果を列挙してみる。ざっと書いたので多分ツッコミどころ満載だと思うがとりあえず公開。現在思いつく最善解は一番下に書いた。あとは順不同。 POSTを用いる 推奨: とりあ... 続きを読む

• kaede.to:canada
• テクノロジー

インシデントと戦うCSIRT：国内で活動する先進企業のシーサート事例 (1/3) 企業がセキュリティインシデントへ適切に対応する枠組みが「シーサート」である。国内で既に活動している先進企業のシーサートの事例から、シーサートを構築するためのヒントを探ってみ... 続きを読む

• www.itmedia.co.jp
• テクノロジー

OpenID, Security, Event後にも先にもセキュリティがメインテーマの集いでお話する事が無さそうな id:ZIGOROu です。他のスピーカが全員スーツで来る中、一人私服で来ると言う緊張感の無さ*1でしたが、実際は激しく緊張してましたｗ7/5 Developers DAY - 事件は... 続きを読む

• d:id:ZIGOROu
• テクノロジー

ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係 by 金床 ---------------------------------- はじめに ---------------------------------- 筆者はウェブアプリケーション開発者であると同時にセキュリティ技術にも興味があ... 続きを読む

• www.jumperz.net
• テクノロジー

●かんたんログイン手法の脆弱性に対する責任は誰にあるのか id:ikepyonの日記経由で、NTTドコモのサイトに以下のセキュリティ・ガイドラインが掲示されていることを知った。 iモードブラウザ機能の多様化により、機種によってiモードサイトにおいてもJavaScrip... 続きを読む

• www.tokumaru.org
• テクノロジー

皆さんこんにちは、はせがわようすけです。第4回「［気になる］JSONPの守り方」はJSONPについて説明しましたので、今回は「JSON」についてもセキュリティ上注意すべき点について説明します。 JSONは、XMLHttpRequestで受け取り、JavaScript上でevalするという使... 続きを読む

• www.atmarkit.co.jp
• テクノロジー

上野宣 2009/10/23 ■命名・「やられWebアプリケーション」（仮） 構築したWebアプリケーションがセキュアかどうかを確かめる方法として、疑似的に攻撃を行うことで問題を発見する「脆弱性診断」があります。脆弱性診断は専門業者が実施することがほとんどだと... 続きを読む

• www.atmarkit.co.jp
• テクノロジー

UbuntuやMac OSXを使っていると、権限の高いオペレーションを実行しようとしたときに、ユーザのパスワードを要求するダイアログが起動します。毎回ハイハイと思いつつ入力しているのですが、ふと考えるとこのセキュリティモデルというかユーザビリティー的に大... 続きを読む

• chasen.org:taku
• テクノロジー

Rubyの場合 Rubyの場合は、Ruby1.9にて文字エンコーディングの取り扱いが大幅に改善され、RubyでCGIプログラムを記述した場合早期に文字エンコーディングの検証が入るようになっています。たとえば、以下のような、クエリ文字列を受け取って表示するだけの簡単... 続きを読む

• www.tokumaru.org
• テクノロジー

セキュリティ研究者のDan Kaminsky氏が，Domain Name System（DNS）の根本的な脆弱性とその深刻さの度合いについて詳細を明らかにした。 Kaminsky氏は，ラスベガスで開催されたセキュリティ会議「Black Hat」において米国時間8月6日に行ったプレゼンテーション... 続きを読む

• itpro.nikkeibp.co.jp
• テクノロジー

なぜPHPアプリにセキュリティホールが多いのか?：第25回　PHPのアキレス腱にて、大垣靖男氏がPHPのSession Adoption問題について取り上げている。大垣氏は度々この問題を取り上げているが、今のところ氏の主張に同調する人を見かけない。それもそのはずで、大垣... 続きを読む

• d:id:ockeghem
• テクノロジー

CSRF - クロスサイトリクエストフォージェリSpecIII - CSRF - クロスサイトリクエストフォージェリから引用させて頂きます。CSRFの概略CSRFはCross Site Request Forgeriesの略です。恥ずかしながら私は最近こういったこういった攻撃方法があることを知りました... 続きを読む

• d:id:hoshikuzu
• テクノロジー

25C3カンファレンスで、MD5の衝突と200台のPS3のクラスターを利用して偽のCA証明書の偽造に成功したという報告が行われた。これは、現行のすべてのブラウザのSSLを破ってしまったことを意味する。 米国と欧州のハッカーのグループが、200台からなるPlayStation ... 続きを読む

• japan.zdnet.com
• テクノロジー

Posted by nene2001 at 14:55 / Tag(Edit): mobile cookie session / 0 Comments: Post / View / 0 TrackBack / Google Maps 携帯電話のCookie周りについて考えてたら、色々まとまらなくなったので、タイトルあいまいで全部ここに書く。 恥ずかしながら携帯Cook... 続きを読む

• kokogiko.net
• テクノロジー

経路のセキュリティと同時にセキュアなセッション管理を - SSL/TLS でクッキーを使うときは secure 属性を付けるのを基本とする - 情報処理振興事業協会 セキュリティセンター 2003年 8月 8日 概要 独立行政法人産業技術総合研究所から発行されたテクニカルレポ... 続きを読む

• www.ipa.go.jp
• テクノロジー

米大手オークションサイトeBayが、メールアドレスをユーザーIDとして使用している利用者に、できるだけ早くメールアドレス以外のユーザーIDを設定するよう強く求めている。 　これはメールアドレスをユーザーIDとしている利用者に対して、eBayを騙る詐欺師らが... 続きを読む

• internet.watch.impress...
• テクノロジー

最近PostgreSQL、MySQL両方にSJISエンコーディングを利用している際のエスケープ方法の問題を修正がリリースされています。この件は単純に「データベースシステムにセキュリティ上の脆弱性があった」と言う問題ではなく「アプリケーションの作り方を変える必要... 続きを読む

• blog.ohgaki.net
• テクノロジー