20:16 | mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確に... 続きを読む

• d:id:mala
• テクノロジー

公開: 2011年6月26日22時50分頃とあるシステムで徳丸本のストレッチングを採用することにしたという話がありましたが、その実装が佳境に入ってきました。私は指示だけ出して、実装はお任せ……と思っていたのですが、基本的な部分を作ってもらったところでバト... 続きを読む

• bakera.jp
• テクノロジー

「定期的にパスワードを変更」すべきか否か、セキュリティの話でたびたび繰り返されるテーマです。だいたいの話は徳丸浩さんが昨年書かれたエントリで完結してると思います。（私も定期的に変更するのはあまり意味が無いと思ってます）ところで、↑のエントリの... 続きを読む

• d:id:pochi-p
• テクノロジー

2008年2月に パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記を書いた時の反応は、賛否両論という感じだったが、その後、twitterでのつぶやきなどを見るに、「パスワードは定期変更しなくてもいいんじゃない?」という意見は、セキュリティの専... 続きを読む

• d:id:ockeghem
• テクノロジー

■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものに... 続きを読む

• takagi-hiromitsu.jp
• テクノロジー

そもそもこのサービスにとってCAPTCHAが何の意味をなすのか疑問*1だが、それはともかく、この部分のHTMLソースを見ると、画像のURLに答えが書かれている。（図2の「gifcat/call.php?SID=948545」） これでは何の意味もない。 これの目的がもし、他サイトからの... 続きを読む

• takagi-hiromitsu.jp
• テクノロジー

SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、 脆弱性発見後の適切な対策まで ●SQLの暗黙の型変換はワナがいっぱい このエントリでは、SQLにおいて「暗黙の型変換」を使うべきでない理由... 続きを読む

• www.tokumaru.org
• テクノロジー

セキュリティ大垣さんの書かれた：不正な文字エンコーディングを利用した攻撃は、文字エンコーディングを厳格に取り扱い、文字エンコーディングをバリデーションすれば無くなります。これを怠ると、システムのどこで問題が発生するか予想できなくなります。つま... 続きを読む

• d:id:IwamotoTakashi
• テクノロジー

この記事の執筆者はNik Cubrilovic。なお、この翻訳は原文の3割程度を省略してある。 Twitterの文書漏えい事件は、Twitter社員の個人のメールアカウントが乗っ取られたことに端を発した。TwitterのCEO、Evan Williamsは「Twitterシステムそのものから情報が流出... 続きを読む

• jp.techcrunch.com
• テクノロジー

最近、サーバのSSHサービスに対し、不正なアクセスを試みた形跡が増加してきました。ブルートフォース攻撃も若干見受けられるので、何か対策を行わないといけなと思いDenyhostsを導入しました。思ったよりも簡単に導入が出来たので、攻撃対策をしたい方は導入を... 続きを読む

• d:id:con_mame
• テクノロジー