フォーム自動入力(x-autocompletetype)の実験
※ご注意: ウイルスバスターがインストールされている環境だと、この記事は読めないようです (→参考画像) (x-autocompletetypeとは?) Webサイトのフォームにワンクリックで個人情報を自動入力してくれる便利機能。ブラウザに、あらかじめ名前やメールアドレスや住所やクレジットカード番号などの情報を設定しておく。 アンケートサイトとかに超便利 入力が苦手なオカンも便利 とにかくべんり Google Chrome のみ対応してる (2012年4月4日時点)。 便利すぎて今後、他のブラウザも追随必至。 (ユーザーが自動入力を使うには) Google Chrome 設定 → 個人設定 → 自動入力設定の管理 → 住所氏名メールアドレス等を入れておく (Webページ側での自動入力の設定) inputにx-autocompletetype属性をつけて、値を email とか sname
高木浩光@自宅の日記 - ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。
■ ID番号は秘密ではない。秘密でないが隠すのが望ましい。なぜか。 俺、実は今日が誕生日なんだ……。 僕らはいったいいつから誕生日を隠さなくちゃいけなくなったんだろう。はてなにもmixiにもGREE*1にもニセの生年月日で登録した*2自分がいる。Facebookの友達にも生年月日を明かさない設定にしている。プライバシーやセキュリティを啓発する立場の者が生年月日を明かすだなんて、匿名主義者達の嘲笑の的にされかねない。そして気付いてみれば、誕生日を祝ってくれるのは、両親とほんの数人の身近な友人だけになっていた。 先月、スマホアプリのプライバシー騒動の件で立て続けてにいくつもの取材を受けた*3が、決まって聞かれるのは、「利用者が気をつけるべきことは何でしょうか」という問いであった。 これに対して私が答えたのはこうだ。「利用者が何か気をつけなくてはならないようではいけない」と。つまり、事業者が解決
5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!
こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます! 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる! 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです! (NG) あなたの名前は <?= $name ?> ですね! ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>
mixi足あと廃止に寄せて - 最速転職研究会 | コメント mixiって今ほとんどがモバイルでアクセスされてたはずだけど、スマホ以外のガラケーでもこの問題が起きるの?
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
高木浩光@自宅の日記 - 「ウイルス作成罪」と岡崎図書館事件(日記予定)
■ 「ウイルス作成罪」と岡崎図書館事件(日記予定) 「岡崎図書館事件(15)」として「ウイルス作成罪」(不正指令電磁的記録作成等の罪)の件について書こうと思っていたところ、ちょうど今日、法務省の検討状況の続報が出た。 法務省、ウイルス作成罪新設へ 来年、法案を提出意向, 共同通信, 2010年12月22日 法務省は22日、インターネットを通じたハイテク犯罪防止のため、コンピューターウイルスの作成、保管などに対する刑事罰の新設や、電子データの差し押さえをしやすくする刑法や刑事訴訟法などの改正案を来年の通常国会に提出する方針を固めた。民主党法務部門会議で明らかにした。 ウイルス作成罪の件は頓挫しているとの噂を耳にしたばかりだったので、安堵した。 私は、ウイルス罪新設刑法改正は早く成立させるべきだと思っているが、ただし、これまでに提出されてきた法案のままでは危険であり、目的要件を修正することが必
高木浩光@自宅の日記 - やはり起きていた刑事的萎縮効果による技術停滞 岡崎図書館事件(13)
■ やはり起きていた刑事的萎縮効果による技術停滞 岡崎図書館事件(13) 12月12日の夕方、Twitterの#librahack界隈で以下のサイトが発掘された。 杉並区立図書館 新着図書 更新情報 (非公式), http://www.naotaka.com/library/ 更新停止のお知らせ 突然ですが、2010年6月22日をもちまして、「杉並区立図書館 新着図書 更新情報 (非公式)」の更新を停止させていただきます。 当ページをご利用の皆様にはご迷惑をおかけしますが、ご理解のほど、よろしくお願いいたします。 6月22日といえば、librahack.jp が公開された翌々日だ。東京の杉並区立図書館といえば、使われている図書館システムは三菱電機ISのMELIL/CS(新型)だ。 このサイトの公開された当時に書かれたサービス説明が、以下にある。 杉並区立図書館の、「その日の新着図書」がわか
Librahackメモ | Librahack : 容疑者から見た岡崎図書館事件
出来事の詳細 3/13 新着図書データベースを作るためクローリング&スクレイピングプログラムを作成した ちょうどその頃、市場調査を行うためにECサイトのスクレイピングプログラムを作っていた。そのついでに、前々から構想していたLibra新着図書Webサービスを作ろうと思った。市場調査プログラムの一部をカスタマイズして、新着図書データベース作成プログラムを作った。この時、市場調査プログラムと新着図書データベース作成プログラムは同じプログラム内にあり、パラメータでアクションを指定して振り分けていた。 Webサービスを作ろうと思った動機は「なぜプログラムを作ったか」の通り。 Webサービスの概要は「どんなプログラムを作ろうとしていたか」の通り。 普段読む本を入手する流れ:1. Amazonの各カテゴリの売れ筋をチェックしてレビューを確認し読むかどうか決める(または、書評ブログや新聞などのメディアで
高木浩光@自宅の日記 - 三菱電機ISに求められているものは何か 岡崎図書館事件(10)
■ 三菱電機ISに求められているものは何か 岡崎図書館事件(10) 今日の読売新聞朝刊社会面に次の記事が出ていた。 図書館システム不具合…三菱電機系 情報流出・蔵書検索が「サイバー攻撃」か?, 読売新聞2010年11月29日朝刊社会面 図書館利用者100人以上の個人情報が流出したほか、蔵書を検索しただけで「サイバー攻撃」と誤解された男性が偽計業務妨害容疑で逮捕され、その後、システムに原因があったことも分かった。同社は近く調査結果を公表し、関係者に謝罪する。 (略)MDISは06年には不具合を改良し、その後に納入した図書館には改良版を提供していたが、今回、岡崎市から障害の相談を受けた際には「システムに原因はない」と回答。このため図書館は警察に被害届を出していた。MDISは「保守担当者がシステムをよく理解していなかった」として、逮捕された男性への謝罪の意を表明する方針。 三菱電機ISが近く発表
asahi.com(朝日新聞社):流出「公安テロ情報」出版 第三書館、実名や顔写真掲載 - 社会
警視庁などの内部資料とみられる国際テロ関係の情報がネット上に流出した問題で、流出データを収録した本が出版された。警察官や捜査協力者の住所や氏名、顔写真などがそのまま掲載されている。出版した第三書館(東京都新宿区)は「警察の情報管理のルーズさを問題提起したかった」としている。 タイトルは「流出『公安テロ情報』全データ」(469ページ)で、25日発行。データは編集部が作成した項目に整理されているが「内容には手を加えてはいない」という。 第三書館によると、書籍取り次ぎ大手には「個人情報が含まれている」として書店への配本を拒まれたが、一部書店からは直接注文が入っているという。ネットでは購入できるサイトもある。 第三書館の北川明社長は、「流出により日本の情報機関の信用が失墜した。イスラムを敵視する当局の姿勢も浮き彫りになった」と説明。個人情報を掲載する是非や著作権については「すでに流出している
w3cもケータイ認証には困惑している件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 以前Twitterでもツイートしてたんだけど一部誤解があったのでこちらでまとめてみる。 Global Authoring Practices for the Mobile Web (Luca Passani) http://www.passani.it/gap/ 上記をもって「w3cが個体識別番号に駄目出し」としていたんだけど、多少事情が違った。 実は上記には元になる対象文書がある。それがw3cのベストプラクティスだ。 Mobile Web Best Practices 1.0 http://
痛いニュース(ノ∀`) : 【尖閣】 流出動画、投稿者は逮捕の可能性が濃厚 - ライブドアブログ
【尖閣】 流出動画、投稿者は逮捕の可能性が濃厚 1 名前: プリンスI世(静岡県):2010/11/05(金) 21:35:57.77 ID:ESxebvh/0 ?PLT 不正持ち出し?PC侵入?投稿者に刑事責任も 尖閣諸島沖の漁船衝突事件の状況を海上保安庁が撮影したものとみられるビデオ映像が、インターネットの動画投稿サイト「ユーチューブ」に流出した問題で、海保や検察による内部調査の結果次第では、動画サイトにビデオ映像を投稿した人物が刑事責任を問われる可能性が出てくる。 海保によると、内部から映像が流出していた場合、海保には陸上での犯罪に関する 捜査権がないため、警察に捜査を委ねることになる可能性が高いという。 警察や検察の関係者によると、流出したビデオが海保などから不正に持ち出されていた 場合は、窃盗罪などにあたる可能性がある。電子データ化された映像を保管したパソコン に不
高木浩光@自宅の日記 - 三菱電機IS曰く「2005年に想定した設計・構築、製品に欠陥とは考えていない」
■ 三菱電機IS曰く「2005年に想定した設計・構築、製品に欠陥とは考えていない」 8月11日の日記に書いた件がその後どうなったか確認してみた。 いくつかの図書館では、/robots.txt が修正されたことにより、検索サイトで正常に閲覧できるようになった。 以前は、8月11日の日記に書いたように、三菱電機ISの図書館システム採用の図書館の多くが、/robots.txt によってすべてのクローラを排除していたため、図1の「ビフォー」のように異常な検索結果になっていた。 なぜそんな設定をしていたのかは、このシステムでは以前からアクセス障害が発生していたためであり、朝日新聞が次のように伝えている。 ソフト会社、図書館側に不具合伝えず アクセス障害問題, 朝日新聞, 2010年8月21日 MDISは06年、不具合を解消した新ソフトを開発。東京都渋谷区など全国約45カ所に納入した。しかし、一部では
文字コードに起因する脆弱性とその対策
4. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • その他 – 1990年にPascalコンパイラをCabezonを開発、オープンソースで公開 「大学時代のPascal演習がCabezonでした」という方にお目にかかること
構造化テキストの間違ったエスケープ手法について : 404 Blog Not Found
2010年09月22日21:30 カテゴリLightweight Languages 構造化テキストの間違ったエスケープ手法について 昨晩のtwitter XSS祭りは、ふだんもtwitter.comは使わない私には遠くの祭り囃子だったのですが、せっかくの自戒の機会なので。 Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について 正しいアプローチは、全てのルールを同時に適用することです。 これは残念ながら(おそらく)必要条件であっても十分条件ではありません。 こういう(かなりええかげんな)正規表現でtweetをparseしていたとします。 re_http = '(?:https?://[\\x21-\\x7e]+)'; re_user = '(?:[@][0-9A-Za-z_]{1,15})'; re_hash
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
前職の会社でIT責任者をしておりました。 退職後に不正アクセス防止法で訴えられました。…
http://www.mdis.co.jp/news/press/2010/1130.html
TechCrunch | Startup and Technology News
IDEA * IDEA
高木浩光@自宅の日記 - Anonymous FTPで公開されていたGlobal.asaが示すもの 岡崎図書館事件(6)