Bitly、不正アクセスの疑いでパスワード変更他を呼び掛け
米Bitlyは5月8日(現地時間)、同名の短縮URLサービス「Bitly」に不正アクセスが試みられた疑いがあるとして、ユーザーにAPIキーとOAuthトークンの変更、パスワードのリセット、FacebookおよびTwitterアカウントとの再接続を呼び掛けた。 現段階ではアカウントへの不正な接続は確認されていないが、ユーザーの安全のために念のためFacebookとTwitterアカウントとのリンクを断つなどの処置を行ったとしている。 ユーザーに求められている設定変更の方法は以下の通り。 アカウントにログインし、[Your Settings]→[Advanced]タブを開く [Advanced]タブの下の方にある[Legacy API key]の「Show legacy API key」をクリックし、[Reset]を選択(下図参照) 新しいAPIをコピーし、すべてのアプリケーションでのAPIを
IPAの「安全なSQLの呼び出し方」が安全になっていた
Last Updated on: 2018年8月4日IPAは「安全なSQLの呼び出し方」(PDF)を以下のURLから公開しています。 http://www.ipa.go.jp/security/vuln/websecurity.html 「安全なSQLの呼び出し方」は危険である、とするエントリを書こうかと思い、内容を確認するとそうでもありませんでした。 訂正:ツイッターで徳丸氏に確認したところ、徳丸氏もエスケープを含めたSQLインジェクション対策が必要であると考えられていた、ことを確認しました。徳丸氏にはセキュリティ専門家として大変不名誉な記述であった事を訂正し、深くお詫びいたします。内容についての修正は、識別子エスケープについてブログに書くとの事でしたのでブログの内容を確認してから修正します。 別冊の「安全なSQLの呼び出し方」は基本中の基本である「正確なテキストの組み立て」によるセキュ
geo - Googleマップ禁止令が出たのなら、地理院地図をGoogleマップで使えばいいじゃない - Qiita [キータ]
2013.11.03 追記 電子国土Web.NEXT という名称で試験公開されていたものが、「地理院地図」「地理院タイル」として正式公開されました。 地理院地図の公開について | 国土地理院 地理院タイルを用いた開発 | 地理院地図 地理院タイルは 従来版タイル と仕様が異なります。従来版タイルは 2013年度中に提供終了予定 との事ですし、新しい地理院タイルの方が大幅に仕様が簡略化されたので、こちらを使った方が良いです。 このエントリも「電子国土」を「地理院地図(地理院タイル)」に修正しました。 2013.10.17 追記 コメントで頂いていますが、現在は、 「日本向けにローカライズされた」 Googleマップ側でも表記が修正されたようで、当初「問題がある」と言われていた地域は問題が解消されているように見えます。 ただし、下記のように Google Maps API で「region=J
![geo - Googleマップ禁止令が出たのなら、地理院地図をGoogleマップで使えばいいじゃない - Qiita [キータ]](https://cdn-ak-scissors.b.st-hatena.com/image/square/6bb70fe9ae74851da11b40abb676c0376eba86e0/backend=imagemagick;height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fqiita-user-contents.imgix.net%252Fhttps%25253A%25252F%25252Fcdn.qiita.com%25252Fassets%25252Fpublic%25252Farticle-ogp-background-afbab5eb44e0b055cce1258705637a91.png%253Fixlib%253Drb-4.0.0%2526w%253D1200%2526blend64%253DaHR0cHM6Ly9xaWl0YS11c2VyLXByb2ZpbGUtaW1hZ2VzLmltZ2l4Lm5ldC9odHRwcyUzQSUyRiUyRnFpaXRhLWltYWdlLXN0b3JlLnMzLmFtYXpvbmF3cy5jb20lMkYwJTJGODIyNyUyRnByb2ZpbGUtaW1hZ2VzJTJGMTQ3MzY4MDk1MD9peGxpYj1yYi00LjAuMCZhcj0xJTNBMSZmaXQ9Y3JvcCZtYXNrPWVsbGlwc2UmYmc9RkZGRkZGJmZtPXBuZzMyJnM9MDc2Y2U4ZTIzNTVhZTVhODIwZDFjNWNhZDdhOWIzOTQ%2526blend-x%253D120%2526blend-y%253D467%2526blend-w%253D82%2526blend-h%253D82%2526blend-mode%253Dnormal%2526s%253D78a9e04b5b8c0ce9b0e3608a13278263%3Fixlib%3Drb-4.0.0%26w%3D1200%26fm%3Djpg%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-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%26mark-x%3D120%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTgzOCZoPTU4JnR4dD0lNDBhbWF5MDc3JnR4dC1jb2xvcj0lMjMxRTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9MzYmdHh0LXBhZD0wJnM9N2I0ODNlNThiYjhiMTgyODIzZWI1ZWE3OGY3MTZkYmI%26blend-x%3D242%26blend-y%3D480%26blend-w%3D838%26blend-h%3D46%26blend-fit%3Dcrop%26blend-crop%3Dleft%252Cbottom%26blend-mode%3Dnormal%26s%3Da94cae669a36cfe010593ed019e4dde8)
HTML5関連のセキュリティ情報 - 葉っぱ日記
HTML5に関連したセキュリティの話題で、とりあえずこれまでに話した資料の一覧や、考察した記事。今後もっと増える予定です。「このAPI使う上で気を付けることないの?」みたいなリクエストもあればぜひ言って下さいませ。 JavaScript Security beyond HTML5 (2013-09-20 Developers Summit Kansai 2013) HTML5セキュリティ その1:基礎編、XSS編 (2013-06-13 OWASP Night 6th) Web::Security beyond HTML5 (2012-09-28 YAPC::Asia 2012) HTML5時代のWebセキュリティ (2012-09-15 第5回愛媛情報セキュリティ勉強会) Same-Origin Policy とは何なのか。 - 葉っぱ日記 XMLHttpRequestを使ったCSRF対
RFCとなった「OAuth 2.0」――その要点は?
RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
はてなブックマーク開発ブログ
はてなブックマークのブックマーク数が多い順に記事を紹介する「はてなブックマーク数ランキング」。6月30日(月)~7月6日(日)〔2025年7月第1週〕のトップ30です*1。 順位 タイトル 1位 幸福とは何か:中国ディストピア漫画で知る底辺層のリアル|上海在住のえいちゃん 2位 人生単位で見て買ってよかったもの 3位 「アゴダ悪質転売」の裏にいるもうひとつの悪者 4位 あまり知られてない労基を動かす方法 5位 面白いほど貯まる、信頼貯金の貯め方7選 #ポエム - Qiita 6位 AIは「賢いフリ」をしていた──ハーバード大などが暴いたLLMの決定的弱点「ポチョムキン理解」とは? | XenoSpectrum 7位 「進捗どうですか?」が怖くなくなる思考法 - 「作業ログ」から「未来の地図」へ 8位 ケント・ベック氏講演録:『グッドハートの法則は楽観的すぎた〜開発生産性の罠と未来〜』 -
いまさらですけど「OAuthなら安心」という誤解について
Twitter の BASIC 認証が廃止され OAuth が標準の認証方法になりましたね。 BASIC 認証と OAuth ものすごく簡単に言うと、 BASIC 認証というのは毎回 ID とパスワードを使う認証方法なので 外部のサービスを利用するには その運営者に ID とパスワードを預けることになる。 それに対して OAuth というのは Twitter から専用のアクセストークンというものが提供され アプリケーションはそのトークンを使って Twitter にアクセスするので 外部サービス運営者にパスワードを渡す必要がない。 そのサービスの利用をやめたい場合も サービス側に申請する必要はなく、 Twitter のサイト上で「許可を取り消す」というボタンを押すだけ。 これは安心。 安心じゃない 確かに、ID とパスワードを渡すということは 相手がその気になれば何でもできるということ。 ア
Twitter、BASIC認証を6月末に終了 OAuthとxAuthのみに
米Twitterは、TwitterのAPIのBASIC認証を6月末に終了する。OAuthかxAuthのみにし、セキュリティを強化する狙い。BASIC認証を採用しているサービスに、OAuthかxAuthへの移行を呼び掛けている。 BASIC認証は、ユーザー名・パスワードを入力する認証方式だが、APIを使ってサービスを構築しているサードパーティにID・パスワードが渡るという問題がある。 Twitterでは、ID・パスワードを渡さずにトークンでAPI認証できるOAuthと、OAuthの簡易版で、デスクトップアプリなどでも利用できる「xAuth」も提供しており、BASIC認証のサービス提供者に移行を呼び掛けている。
APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
http://mixi.jp/issue_ticket.pl は OpenID server だったよ - 知らないけどきっとそう。
mixiのURLにOpenIDっぽいパラメータがくっついてる件 http://blog.fkoji.com/2007/08051128.html OpenID大好きなので、少し調べてみました 結論から言うと、news.mixi.jp とか video.mixi.jp とかの、mixi.jp と別ドメインにセッションを引き渡すために使ってるぽい このあたりの話のあと、cookieのdomain指定をやめたのかもしれない http://kaede.to/~canada/doc/mixi-and-cookie リクエストのやりとりはこんな感じ ログインしてcookieもらう(domain指定なしなので mixi.jp にしか渡されない) POST /login.pl HTTP/1.1 Host: mixi.jp HTTP/1.x 200 OK Set-Cookie: BF_SESSION=***
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www.oracle.com/webfolder/technetwork/jp/javamagazine/JavaMag-JF13-Enterprise-bien.pdf
https://jp.techcrunch.com/2013/11/23/20131122twitter-enables-perfect-forward-secrecy-across-sites-to-protect-user-data-against-future-decryption/
