ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech Blog)
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリストの戸田 薫です。 今回は、私たちが普段からヤフーのシステムに対する入力にどのような注意を払っているのか、そのいくつかをご紹介致します。 入力とは? Webサイトを運営している場合、どのような入力があるでしょうか? たとえば、Webサービスには、以下の入力があります。 Cookie URL GET/POSTのデータ ファイルのアップロード その他リクエストヘッダ そのほかにもいくつもあります。 環境変数 設定ファイル クローラが取得したデータ パートナー企業のAPIから取得したデータ(XMLやJSONなど) パートナー企業の入稿用 F
Inside Yahoo!メール 第2話「分析!迷惑メール」 (Yahoo! JAPAN Tech Blog)
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、ソーシャルネット開発部の島貫 和也です。 本連載では、今まであまり触れられてこなかったYahoo!メールの迷惑メール対策と、電子メールに関連する情報をご紹介しています。今回は前回に引き続き、Yahoo!メールで実施している Botnet の分析と対策について、その取り組みの一部をご紹介させていただきます。 ご注意 出典元の説明のため、いくつか外部リンクがあります。リンク先については保証しておりませんのでご了承ください。 この記事の性質上、迷惑メールの性質や送信手法について触れている箇所がありますが、電子メールやコンピュータの不正利用を助長する意図のものではありません。読み物としてお楽しみください。 はじめに 前回の記事
Inside Yahoo!メール 第1話「迷惑メールとBotnet」
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、ソーシャルネット開発部の島貫和也です。Yahoo!メールの配送システムおよび迷惑メール対策を担当しています。 Yahoo!メールはプロバイダ(Yahoo! BB)のメールサービスでもありますが、フリーメールとしての側面もあるため、非常にさまざまな方に多様な形態で利用されています。このようなサービスでは、迷惑メールなどの不正利用を前提とした対策が必要不可欠といえます。 本連載では、今まであまり触れられてこなかったYahoo!メールの迷惑メール対策と、電子メールに関連する情報を数回に分けてご紹介したいと思います。 ご注意 出典元の説明のため、いくつか外部リンクがあります。リンク先については保証しておりませんのでご了承くださ
Yahoo!ショッピングにおけるログ設計と監視
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、ショッピング事業部開発部の吉野と申します。 今回は「アプリケーションログの設計と監視」について、実際にYahoo!ショッピングで採用している方法を少し交えながらお話しさせていただきます。 1.ログ設計のポイント ログ設計は、以下のポイントに注意して行うとよいでしょう。 ・ログ出力のポイントが押さえられているか ⇒セッションの始まりと終わり、処理の過程、例外処理の中など。 フローチャートのような処理フロー図があれば、そこにログ出力ポイントを書き込むとわかりやすくなります。 ・出力する情報に過不足はないか ⇒「いつ(システム時間)」「だれが(プロセスID・IPアドレスなど)」 「どこで(パスなど)」「なにをした(実行コマン
開発と運用の分離
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、システム統括部の駒田です。 昨今、内部統制やJ-SOXといった言葉を良く耳にしますが、 ヤフーもご他聞に漏れず、粛々と対応を進めて参りました。 今回は、その対応の一環として行った、 「開発と運用の分離」に関してのエントリーをさせていただきます。 例えばですが... 開発成果物であるソースコードをテスト終了後に改ざんし、 不正に利益を得る様なエンジニアが存在していた場合、 それはヤフーにとって、一般のお客様に対する裏切りであり、 信用の失墜となってしまいます。 このような事態を回避するため、 当開発部では開発者と運用者とを明確に分離し、 開発者はリリースモジュールに触れる事が出来ない。 運用者はソースコードに触れる事が出
ヤフーがyimg.jpを使う本当のワケ - 最速配信研究会(@yamaz)
ヤフーの画像はなぜyimg.jpドメインなのか? サイト高速化の手法とヤフーの失敗例 でヤフーがなぜドメインを変えて画像サーバを運用しているかが書かれている.「静的なコンテンツに対してクッキーフリードメインを使うことによって速度向上を狙う」というのが理由とあって,これはこれでもちろん正しいのだけれど,これはどちらかというと副次的な理由で本当の理由は違う. クッキーフリードメインを使うことで悪意あるFlashコンテンツなどから自社ドメインのクッキーを守るためというのが本当の理由で,これはあちこちで使われているテクニックだ.Flashコンテンツは外部の業者さんに作ってもらったり,広告の入稿素材として入ってくるので,信頼できないデータとして取り扱う必要があり,万一まずいデータがアップされることがあっても大丈夫にしておく必要がある. 最近ユーザからの任意のコンテンツを受けつけて同一ドメインで配信し
ITmedia エンタープライズ:Yahoo! Messengerで会話中に、ウイルス感染の恐れ
Yahoo! Messengerでの会話中に、ウイルス感染を引き起こすWebサイトへのリンクを含む発言が、ランダムに現れるという。 フィンランドのセキュリティ企業F-Secureが、Yahoo! Messenger経由でウイルスに感染する恐れがあると報告している。 F-Secureによると、問題のウイルスは「AutoIt.D」と「Agent.AXN」。Yahoo! Messengerでの会話中に、ウイルス感染を引き起こすWebサイトへのリンクを含む発言が、ランダムに現れるという。発言は、英語ほか複数の言語で発見されており、「こんな変な人見たことある?」「私の新しいWebサイトはこちら」「無料MP3ファイルのダウンロード」などのほか、「ウイルス除去にはこのツールを」といったものもある。いずれも、「http://www/geocities.co.jp/」で始まるWebサイトへのリンクが張られて
Yahoo!メール、フィッシング詐欺対策の一環で「Y!」マークを表示
ヤフーは、Yahoo!メールにおいてYahoo! JAPANのサービスから送信されたメールに対し、送信元を保証するマークの表示を4月27日より開始すると発表した。これはフィッシング詐欺対策の一環として実施されるもので、現時点では「Yahoo!オークション」の落札通知や評価通知などの自動通知メールに対応する。 具体的には、Yahoo! JAPANより送信されたメールをウェブ版の「Yahoo!メール」で確認する際に、受信メール一覧画面上に紫色の「Y!」マークが表示される。Yahoo! JAPANを装って送信されたメールを受信した場合は「Y!」マークが表示されないため、送信元を詐称したメールと、正しいメールとの判別が容易になる。今後は各サービスへの対応も予定している。
ヤフー、メールのセキュリティ機能をパッケージ化
ヤフーは3月1日、「Yahoo!メール」のオプションサービスとして、セキュリティ関連サービスを統合した「セキュリティーパック」を提供開始した。月額利用料は税込みで290円。5月31日までは利用料が無料となる。 セキュリティーパックは、ウイルスチェックや迷惑メール対策などの機能に加え、これまでISPサービスの「Yahoo! BB」会員のみに提供されていた、メールアドレスが最大10個まで持てる「セーフティーアドレス」機能や、メールボックスの容量が100Mバイトから2Gバイトになるサービスなどをパッケージ化したものだ。 ウイルスチェックは、ユーザーのPCにてインストールや更新をする必要はなく、サーバ側で管理する。Yahoo!メールの外部メール機能を使って自宅や会社のメールをYahoo!メールに取り込めば、外部メールのウイルスチェックも可能だ。現在このサービスは、単独機能として月額210円で提供さ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「ヤフオクの利用期限が切れた」とカード番号を詐取するフィッシング