SPAセキュリティ超入門 | ドクセル
スライド概要 SPA(Single Page Application)の普及が一層進んでおり、従来型のMPAを知らないウェブ開発者も生まれつつあるようです。SPA対応のフレームワークでは基本的な脆弱性については対策機能が用意されていますが、それにも関わらず、脆弱性診断等で基本的な脆弱性が指摘されるケースはむしろ増えつつあります。 本セッションでは、LaravelとReactで開発したアプリケーションをモデルとして、SQLインジェクション、クロスサイトスクリプティング、認可制御不備等の脆弱性の実例を紹介しながら、現実的な対策について紹介します。LaravelやReact以外のフレームワーク利用者にも役立つ説明を心がけます。 PHPカンファレンス2022での講演資料です。 PHPカンファレンスでの動画URL https://www.youtube.com/watch?v=jZ6sWyGxcCs
Amazon、ドローン型セキュリティカメラを249ドルで発売へ
米Amazon.com傘下のRingは9月24日(現地時間)、自律型ドローンのセキュリティカメラ「Ring Always Home Cam」を発表した。価格は249ドル(約2万6000円)。米連邦通信委員会(FCC)の承認を得られ次第発売する計画だ。 顧客から、数台のセキュリティカメラを設置しても家全体が見えないというフィードバックが多かったことから開発したという。 Ring Always Home Camは、予め覚えさせた屋内のルートを飛びながら録画する。プライバシーに配慮し、飛行中にのみ録画し、飛行中は一定の音を発するので、人がいれば録画していることに気づけるようになっている。また、手動で制御はできず、決めたルート以外から録画することもない。それでもルート上に障害物があれば、回避する。 Ringのホームセキュリティシステム「Ring Alarm」と連携させれば、例えば窓に設置したアラー
高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに
「高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」」というエントリーによってTポイントツールバーは「騙す気満々の誘導」であると指摘、その2日後にTポイントツールバーのダウンロードが一旦停止されたり、ほかにも「ダウンロード刑罰化で夢の選り取り見取り検挙が可能に」「ローソンと付き合うには友達を捨てる覚悟が必要」「武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て」「やはり欠陥だった武雄市の個人情報保護条例」というように、次々とセキュリティに関して絶大な影響を与え続けてきた独立行政法人産業技術総合研究所の高木浩光(通称:ひろみちゅ)氏によるCEDEC2012の講演が、非常に秀逸な内容となっており、ゲームに限らず、スマートフォンまでも含めてそもそも「個人情報」とは一体何か?ということから、個人情報の現在の扱い、プライバシーに関して今後あるべき方向に至るまで、縦横
つい無防備になってない? 公衆無線LANを安全に使うための4つのコツ | ライフハッカー・ジャパン
パソコンも、もはや「ケイタイ」する時代。日本でもWi-Fiスポットが徐々に増え、外出先でも手軽にインターネット接続できる環境が整ってきましたが、さらに先を行く米国では、7月1日から、スターバックス(Starbucks)が米国内の全店舗で、Wi-Fiを無料で利用できるようになったとか。どこでもインターネットにアクセスできるのは、便利なことこの上ないですが、セキュリティリスクにも十分配慮する必要がありますね。そこで、こちらでは、公衆無線LANを安全に使うための方法についてご紹介しましょう。 ほどんどのワイヤレスルーターには、インターネットからユーザを守るファイアウォールがありますが、これによって、自分が完全に保護されていると考えるのは誤り。同じネットワークに接続している他のユーザからは保護されていません。多くのホットスポットでは、ネットワークに接続しやすいように暗号化されておらず、これによって
グーグル、Webアプリケーション脆弱性スキャナ「Skipfish」を公開 - @IT
2010/03/23 米グーグルは3月19日、Webアプリケーションの脆弱性を検査するスキャナ「Skipfish」を公開した。Apache License 2.0の下、オープンソースソフトウェアとして無償で公開されている。 Skipfishは、Webアプリケーションの脆弱性を自動的に検出するツールだ。Nessusなど、ポートスキャンやバッファオーバーフローの有無などを検査するツールとは異なり、Webアプリケーションに特有のセキュリティホールを検査するもので、Webアプリケーションの開発者やサービス提供者向けに公開されている。 具体的には、SQLインジェクションやコマンドインジェクションといった、外部からの不正侵入の原因となりうるWebアプリケーションの脆弱性を検査し、レポートする。また、同じくグーグルがオープンソースで公開している、プロキシサーバ型の脆弱性検査ツール「Ratproxy」のロ
ネットで誹謗中傷を書かれた時に、法的に個人を特定する方法 | nanapi[ナナピ]
ネットで誹謗中傷を書かれた時に、法的に個人を特定する方法 に関するライフレシピをご紹介します。nanapi [ナナピ]は、みんなで作る暮らしのレシピサイトです。はじめに インターネットは便利ですが、誰でも情報発信ができる以上、個人情報を書かれたり、悪質でひどい誹謗中傷を書かれたりするリスクがあります。 今のネット社会では、少しくらいの批判に反応するのは効率的ではありません。しかし、自分の生活や家族、大切な人にまで害を及ぼすような誹謗中傷をされたり脅迫をされた時は法的な処置をとらざえるを得ない時があります。 そこで、ネットで誹謗中傷が書かれた時の対応法を紹介します。 最初にやること まず、一番最初に何をやらないといけないか。それは 「書いた人の発信者情報をゲットする」 というところです。 それはたいていの場合、IPアドレスと呼ばれるものです。IPアドレスとは、インターネットに書き込む時に記録
PHPの設定をセキュリティの観点から改善·PHP Security Consortium MOONGIFT
PHPは広く数多のWebサーバでインストールされ、使われている。設定ファイルは殆どそのままで使われていることが多いのではないだろうか。だが4.2より前のバージョンではregister_globalsのデフォルトがOnになっていたなど、利便性とセキュアであることとの関係で潜在的な問題はあるかも知れない。 php.iniのセキュリティチェックに 見直すのはPHPの設定ファイルであるphp.iniだが、多数の設定があるのでぱっと見では設定の善し悪しが分かりづらいかも知れない。そこで使うのがPHP Security Consortiumだ。 今回紹介するオープンソース・ソフトウェアはPHP Security Consortium、PHPのセキュリティ設定を見直すソフトウェアだ。 PHP Security ConsortiumはPHPで作られたソフトウェアで、phpinfo()から得られる情報を使っ
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
» セキュアなサーバを作るために最低限やっておくこと: エスキュービズム ラボ Blog
Recent Entries セキュアなサーバを作るために最低限やっておくこと Yahooキーワード抽出APIライブラリ テスト駆動開発 (test driven development: TDD) のすすめ GoogleAnalyticsAPI on EC-CUBE 土日で作るコンパイラ OPEN ERPに挑戦3 OPEN ERPに挑戦2 OPEN ERPに挑戦 ERPはたくさんあれど・・・ OpenGLで3D、やってみよう Recent Comments No Responses. Recent Trackbacks テスト駆動開発 (test driven development: TDD) のすすめ 06/11 » Yahooキーワード抽出... みなさんはサーバを管理するときに、何を一番気にしますか? 人によって程度の差はあるのでしょうが、誰もが気になるのが「セキュリティ」でしょ
知っておきたいSSLサーバ証明書の取得まで - livedoor ディレクター Blog(ブログ)
こんにちわ。モバイルディレクターの飯田瞬です。 ウェブディレクターの中には、SSL サーバ証明書が必要なウェブサイトの構築を担当した人は少なくないと思います。 今回は SSL サーバ証明書を取得するにあたり、ディレクターが知っておいた方が幸せになれる必要最低限な事項を簡潔にまとめてみました。 割愛している部分もかなりありますが、詳細まで突っ込むと1エントリーでは収まりきらないため、何卒ご理解いただければと思います... 【01】SSLサーバ証明書って何だろう? SSL を一言でまとめると、住所やカード番号などを暗号化して第三者が傍受してもデータの改ざんや盗聴を防ぐといった技術が SSL です。 SSL サーバ証明書というのは、その SSL の暗号化技術を利用するサーバの身元を、第三者である認証局が保証することを示すものです。この証明書の中には SSL でクライアントとサーバ間の通信を暗号化
妹認証 - 妹がBOTからプログラムを守る
妹認証とは 妹認証は、PHP用のCAPTCHAモジュールです。他のCAPTCHAモジュールとは違い、 非常に斬新なCAPTCHAです。妹認証のコンセプトは「人間的対話による認証」です。 これはネタではありません。極めて真面目なBOT対策用モジュールです これは相手が人間かどうなのかを判断する目的で開発されました。 が、一部ネタも混じっていることを白状しまs 質問文と回答文に日本語を完全にサポートします。 質問文はPHP+GD+TTFフォントで画像出力を実現しています。 また、難読化の設定も存在します。(未完成です) また、PHP初級者でもかなり簡単に設置できます。 質問文を含め「妹」はパッケージとして自由に変更可能です。 標準でバンドルされている「れいにゃ」パッケージを元に、 自分のオリジナルキャラクターのパッケージを作るのもいいと思います。 「妹」に限らず「姉」や「弟」・・・・・・・・・
Windows必携の無償セキュリティツール10選 - builder by ZDNet Japan
Windowsコンピュータの保護やウイルス除去、管理に用いることができる、Windowsユーザーにとって必携の無償セキュリティツールを10個紹介しよう。 #1:Secunia Personal Software Inspector トップを飾るのはSecunia Personal Software Inspectorだ。このツールはおそらく、Windowsマシン上で実行できる無償アプリケーションの中で最も役に立ち、かつ最も重要なものである。 このツールを用いることで、PC上にインストールされているすべてのアプリケーションをスキャンし、セキュリティパッチ/アップデートが必要なアプリケーションを特定することができる。 このツールはまず、あなたのコンピュータに格納されているファイルを検査し(検査するファイルは主に、拡張子が.exeと.dll、.ocxのいずれかのものである)、特定のソフトウェアビ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ブログが続かないわけ | ログイン処理が簡単と言い切れるか 〜 フィッシング対策も忘れずに