5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!
こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます! 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる! 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです! (NG) あなたの名前は <?= $name ?> ですね! ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>
高木浩光@自宅の日記 - 榎並利博著「共通番号(国民ID)のすべて」を読んだが
■ 榎並利博著「共通番号(国民ID)のすべて」を読んだが 前回の日記で参照した、消えた富士通総研のコラムの著者、榎並利博氏の著書「共通番号(国民ID)のすべて」(2010年12月発行)を読んでみたところ、消えたコラムと同様の問題のあるものだった。いくつかかいつまんでそれを示す。 たとえばp.24、ここは「住基ネット反対論拠の崩壊」という節の一部で「代替手段(名寄せ)がある」という見出しの部分。見出しから想像するに、「どのみち住所氏名等で名寄せできるのだから、番号による名寄せの危険を挙げる反対論など馬鹿げている」という主張かと思ったら、そうではなかった。ここに書かれていることは、 実はどのような優秀なプログラムを作成しても、技術的に「名寄せ」は不可能なのである。しかし、その事実が正しく取り上げられず、報道されなかったことは非常に残念である。他の例でも同じであるが、実際に被害が起きてはじめてや
普通のネットサーフィンでも1ヶ月で大量のウィルスに感染した人の話
ノートPCが安かったので衝動買いしてしまったパソコンを触った事もない古い友人のM子さん。 『なんか最近パソコンが変なの』というのお聞きして見に行く事に(仕事ではなくプライベート)。 触ってみると明らかに変だった。 購入からわずか2ヶ月で、そのノートPCはもう他人のものとなっていた。 アンチウィルスソフトが邪魔なので消した 普通に聞けば『ええええええ』という話だけど、初心者にアンチウィルスソフトの恩恵はわからないと思う。ってか学校で教えて欲しい。 OSはWindowsXPで、購入した時は普通に動いていた。 ただインターネット自体が重く、ある日友人から『アンチウィルスソフトは重いから消したら良い』という的確で的を射たアドバイスを元に、標準で入っていたウィルスバスターを削除。恐らくこの友人の端末もヤバイと思う。 当然、常駐監視がなくなるので、快適すぎるインターネットライフが始まる。 M子さんはと
サイバー攻撃で「北海道の停電可能」 露専門家が組織犯罪に警鐘 (1/2ページ) - MSN産経ニュース
来日したロシア最大手のインターネット・セキュリティー専門会社、カスペルスキーラブスの創業者で、最高経営責任者(CEO)のユージン・カスペルスキー氏は産経新聞と会見し、国家や地方自治体を標的にしたサイバー攻撃が活発化している実態を明らかにした。その攻撃能力は「北海道」規模の地方自治体を停電させ、その機能をまひさせる水準にまで達しているとし、早急に対策をとるよう警鐘を鳴らした。 カスペルスキー氏によると、インターネットを使った国家、地方自治体へのサイバー攻撃は、この1年ほどの間に4件行われた。 標的となったのは、旧ソ連を構成したバルト諸国のエストニア。次いで、ロシア南部の地方自治体(クラスノダール地方とアストラハニ州)、米国に依存する太平洋のミニ国家マーシャル諸島、今年8月に南オセチア自治州の独立をめぐりロシアと武力衝突した旧ソ連構成国のグルジアだ。 反ロシアの政策を鮮明にするエストニアとグル
高木浩光@自宅の日記 - グーグル社がゲートのある敷地内に進入して撮影した事例 その2
これは「誤って入った」というものではなかろう。撮影されている通路は一筆書きのできない経路であり、積極的な意思を持って全部の道を辿ったようにしか見えない。 このようなゲートがあるところに入って撮影するという神経がよくわからない。撮影作業員はいったいどんな指示を受けていたのだろうか。迷路に入り込んだマイクロマウスのように、ひたすら路側づたいに走れとでも言われたのだろうか。 ただし、病院と特別養護老人ホームの承諾を得て撮影した可能性がないとは限らず、病院への確認はしていない。 高槻市公園墓地の事例 上の事例の周辺地域をぼんやりと見ていたら、他にも墓地に進入している事例を見つけた。 立て札に何と書かれているかは残念ながら読み取れず、確認はまだしていない。 30日追記:高槻市公園墓地管理事務所に電話で聞いた。ここの道路は「敷地内道路」であり、たとえば自動車が事故を起こしても駐車場内と同様に警察は対応
[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!:第1回 HTTPのしくみを復習しよう|gihyo.jp … 技術評論社
こんにちはこんにちは ! ! はまちや2です! 今日からぼくと一緒にWebプログラミングのセキュリティについて、ちょっぴり勉強してみませんか!今回はHTTPがどんなやりとりをしているのか、簡単におさらいしてみましょう!
![[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!:第1回 HTTPのしくみを復習しよう|gihyo.jp … 技術評論社](https://cdn-ak-scissors.b.st-hatena.com/image/square/29c83b78ddd1366ab14d60f762747032e7fc5f2e/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2008%2F202_hamachiya.png)
高木浩光@自宅の日記 - 通信プラットフォーム研究会 傍聴録 (Google社の発言あり)
■ 通信プラットフォーム研究会 傍聴録 (Google社の発言あり) 通信プラットフォーム研究会が一般公開されているのを最近になって知り、先週7日に開かれた第6回会合を傍聴してきたので、討議の様子を書き留めておく。 それまでの会合の議事録を事前に読んで行ったのだが、これほど大きな会合(たくさんの人に発言権があり、たくさんの人が傍聴するもの)とは予期していなかった。構成員だけに発言権があると思っていた(各回のヒアリング対象が「オブザーバー」として発言することもあると理解していた)が、そうではなく、「オブザーバー」(傍聴者のことではない)全員に発言権がある形式だった。「オブザーバー」の今回の出席者は、配布資料の座席表によると以下の通り。 ヤフー、モバイル・コンテンツ・フォーラム事務局、マイクロソフト、東日本旅客道、日本インターネットプロバイダー協会、テレコムサービス協会、情報通信ネットワーク産
rumblefish - 怒っていいよマジで。
(追記:9番目のコメントに捕捉説明があります。必要に応じて参照してください) 昨日我慢できなくなってtwitterで喋ったやつのコピペ。 >NHKニュースですらエスカレーター報道むちゃくちゃだ。 >設計重量や人の乗り方じゃなくて、過負荷で最初に起こることが逆走なのが問題だろ。「専門家」すらコメントで安全装置に触れないとか何事。 >いいかげんすぎてちょっと腹立ったなぁ。 WFエスカレーター事故ね。 昨日のNHKニュース9では、この件に6分も使っていながら、安全装置に触れていない。 人が乗りすぎたせいだ、というところと、エスカレーター自体は国の基準を満たしているという事、専門家曰く、設計性能が発揮できるよう秩序をもって運用すべき、という事、最後に、エスカレーターに乗れる量が決まっているのを知るべき、周知すべきという内容だった。 もうね・・・ あのね。 日本中のビルや地下駅・地下街にどんだけ
個人だから甘いのかな - ぼくはまちちゃん!
あらあら予告inがXSSやられちゃったらしいですね! 使い古された手法? いまどきエスケープ処理すらしてなくてダサい? 関連の記事に対して、はてなブックマークでも色々言われていたり、 http://b.hatena.ne.jp/t/%E4%BA%88%E5%91%8A.in?threshold=1 ニュースサイトでも、こんな煽り記事を書かれていたりするけれど… 今回の件についてIT企業に勤めるエンジニアに聞いてみると、 「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの?」 と語る。 予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」 http://news.livedoor.com/article/detail/3759632/ それってどうだろうね。 GoogleやAmazo
犯行予告の収集・通報サイト - 予告in
02/18 08:27 夏目漱石 / 02/18 08:27 **** / 02/18 08:27 こんにちは。****殺す / 02/17 10:46 ****殺す 千葉県松戸市*** / 02/17 10:46 ****殺す 千葉県松戸市*** / 02/17 10:46 千葉県松戸市**** / 02/17 10:46 **さん殺すぞ 千葉県松戸市** / 02/17 08:42 ****殺す / 02/17 08:42 もう一発 コーラン燃やしつつム / 02/16 09:56 じゃあ****殺す / 02/15 12:10 これは確実にセーフだろwwwwwwww / 02/14 08:01 wwwwwwwwwwwwwww / 02/13 08:14 ****殺す / 02/13 08:13 >>375 **** / 02/11 15:07 今夜ぶたくんを殺しに行く / 02/11
各サイトのパスワードをたった一つのマスターパスワードだけですべて管理できるすごいブックマークレット「SuperGenPass」
ブックマークレットとは、ページのアドレスをお気に入りに入れる代わりにJavaScriptのプログラムコードを入れておくことで、それを選んだ時にちょっとした機能がすぐに実行できるという便利なもの。 で、今回の「SuperGenPass」は単一のマスターパスワードさえ覚えておけば、各サイトごとにすべて違うパスワードを極めて簡単に利用できるというかなりすごいブックマークレットで、別途ソフトウェアや拡張機能をインストールする必要なし、覚えておくのはたった一つのパスワード、なおかつ各サイトごとに違うパスワードを設定できるというスグレモノとなっています。 設定方法や使い方は以下から。 SuperGenPass: A Free Bookmarklet Password Generator. http://supergenpass.com/ まず「Browser compatibility ?」で使用して
高木浩光@自宅の日記 - 「日本のインターネットが終了する日」あとがき
■ 「日本のインターネットが終了する日」あとがき 10日の日記「日本のインターネットが終了する日」には、書ききれなかったことがある。また、頂いた反応を踏まえて追記しておきたいこともある。 青少年は結局どうすればいいのか はてなブックマークのコメントに、「本当に知らなければいけない人には理解されないかと思うとね・・・哀しくなってくる」という声があった。リンク元のどこだったかには、「肝心の子供たちにはどう説明したらいいんだ」というような声もあったと思う。 契約者固有IDの送信を止める設定をしてしまえば、モバゲータウンや魔法のiらんどなどが使えなくなってしまう。設定をアクセス先毎に変更しながら使うという方法もあり得るが、子供たちにそれをさせるのは無理な話だろう。保護者としては、確実に安全に使える設定を施した上で電話を子供に渡したいはずだ。「住所氏名は入れちゃ駄目」というのは、これまでも子供たちに
警察から電話が…! - ぼくはまちちゃん!
大変です! たいへん! こんにちは!! さっきtwitterにも書いたんだけど、警察から電話がありました! どうしよう!!! とりあえず、せっかくなのでこっちの日記にも書いておきますね!! そう、ぼく予告.outを、自慢のD905iでも読み書きできるようにしよーって思って、久しぶりに携帯を見てみたんだよ! そしたら、いつもはモバゲーのマキとか、ジャンカラとか、逆援希望とかのメールばかりなのに、珍しいことに留守電が! はやる気持ちを抑えつつも、再生してみたら、宮城県警でした! びっくり! なんでぼくに警察から電話が! しかもミヤギの! あ! そうか! 予告.outがすてきだからってことで表彰してくれるのかもしれない! あるいは一日署長の依頼かも? そんな感じでわくわくしながら、電話してみたよ! 警察: はいこちら警察本部ですー はまち: あのうそちらのサイバー?なんとかさんから、ぼくあてにお
パッチから exploit を自動生成する技術 - Radium Software
Brumley, Poosankam, Song & Zheng. Automatic Patch-Based Exploit Generation is Possible: Techniques and Implications. カーネギーメロン大学の研究者による,パッチから exploit を自動生成する技術の論文。パッチによって変更される箇所を解析することにより,パッチ適用前のプログラムに存在していた脆弱性を見つけ出す,というもの。 実際にこの技術を Microsoft の5つのプログラムに対して適用してみたところ,そのいずれからも exploit を生成することができた。しかも,そのうち3つは,公には脆弱性が知られていないものだったという。 この技術によって生成することができるのは,あくまでも「パッチ適用前のプログラムに対する exploit」であって,ひとたびパッチが当てられて
USB memory を使うなと言うが… | okkyの日記 | スラド
どうやら、どこかの馬鹿たれがお客様の所で USBメモリを落としたらしい。幸いお客様が拾ってくれたので、最悪の事態は免れているようだが…。 よく、こういう状態になると、 ・USBメモリ、利用禁止 という話になる。現にうちでもそうなっている。その気持ちは判らなくもないが…この指示には2つ問題がある。 1) そもそも現在の世の中、輸送しなくてはいけないデータ量が莫大である そんな中で、あれもだめ、これも駄目、と駄目駄目尽くしをすればセキュリティが守られる、と考えているようだが、その発想こそが守ることは可能だが、仕事はできなくなるような状態を作り、結果としてルールはルール・実態は実態などという腐った状態を作り上げるのだ。 駄目駄目ルールを作る前に、一体どれぐらいの情報を持ち歩く必要があるのか、なぜ持ち歩く必要があるのか(大抵の場合、自宅に仕事を持ち帰らないと終わらないぐらい、一人ひとりに仕事を割り
子供の安全より補助金と露出が大事な自治体や学校って何 - 雑種路線でいこう
世も末ですね、この手の感性って何でしょう。だいたい物流管理のために開発されたアクティブタグを子供の登下校管理に使おうなんて馬鹿なこと誰が思いついたんだか不思議でしょうがないのです。最も到達距離の長い400MHz帯アクティブタグでも20mしか飛ばない以上、センサーのあるところでしか位置を識別できないんですよ。登下校監視だけなら監視カメラ+顔認証で充分だし、下校中の位置監視や誘拐時の対応をしようとすると携帯電話の方がずっと有用で副作用もないのです。まだ子供に携帯を持たせたくなければ、機能を制限するなり携帯電話技術を利用した廉価な位置特定端末をつくればいい訳で。 ベンダー担当者「児童につけたタグが発する電波を受信して、児童の位置や行動がわかります。」、当方「むしろ誘拐などの犯罪を幇助しませんか?」、ベンダー担当者「はい、その通りです。自分の子供にはタグをつけさせないので大丈夫です」、当方「そんな
コメント: PHPは駄目な言語なのか? - スラッシュドット・ジャパン
趣味でやっている人のことは、まあ、いいとして(踏み台にされる可能性はあるけど)、仕事でPHPを使うときの注意を書いておこう。 コーディング規約を守る。組織にコーディング規約がないなら、Zend Framework PHP標準コーディング規約 [zend.com]を使う。オレ流コーディングスタイルは禁止。 内部コードにはEUC-JPかUTF-8を使う。入出力もできるだけShift JISを避ける。Shift JISを使う場合には2byte目に0x5Cを含む文字の動作を忘れずに確認する。 開発環境の警告レベルをE_STRICTにする。本番環境ではdisplay_errorsをオフにする。 register_globals、magic_quotesはオフにする。 type hintingを積極的に使う。 スコープの長い配列をクラスでラップする。 プレゼンテーションとロジックを分割すること。プレゼ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。
isocchi.com
ウェブ魚拓を拒否する | デジタルマガジン