最低限知っておくべきwebサイトのセキュリティ - zenpouの日記
Webサイトを構築する上で新人向けの説明用に必要な前提知識をまとめる。 以前同じタイトルで書いた事があるけど、今回はもっと初歩から解説します。 普通のセキュリティといえば、ドアの戸締りとかガスの元栓を締めたりする事ですが Webサイトのセキュリティといえば、Webサイトのサービスを災害から守ったり、 悪意のある利用者からの不正な利用や、誤操作によるデータの破壊や流出等から 守る事です。 Webサービスでは以下の様な箇所のセキュリティを意識する必要があります。 Webサイトのアプリケーション アプリケーションを設置しているサーバ サーバを設置している場所 サーバをネットワークに接続するインフラ環境 サーバやアプリケーションを保守する管理者の端末 利用者のブラウザ 今回は、Webサービスについて主に解説しますので、それ以外の項目について先に簡単に説明します。 アプリケーションを設置しているサー
最低限知っておくべきwebサイトのセキュリティ - zenpouの日記
というわけで、思いつく奴をさらさらっと書いてみる パラメータを信頼するな。ユーザー側の情報はすべてユーザーが書き換え可能。 アプリケーションを作る時にgetリクエストの場合、URLの後ろに?nantoka_id=10&kantoka=5とか つく事がありますが、これはurlの中身を書き換える事で簡単にパラメータの変更ができます。 postだって、htmlのフォームの内容を書き換えれば、簡単にパラメータの変更が出来ます。 簡単に言うと、user_idを弄る事で他のユーザーの情報にアクセス出来てしまうとかが想定されます。 セッション情報と付き合わせる事やプログラムごとにログインユーザーの権限を確認する。 idを連番ではなく推測されない十分な長さのランダムな文字列に変えるなど、対応しましょう。 ユーザーが入力した内容を表示する際、フィルタリングするべし。 掲示板などでユーザーが入力したhtmlを
はてなブログ | 無料ブログを作成しよう
猛暑を乗り切った服・小物・その他 とにかく2025年の夏は暑かった。 と、毎年言っている気がするけど、今年は特別暑かったのではないか。これが地球温暖化なのだと見せつけられているような気がする。スノーボーダーとしてはそれに全力で抗う必要があるんだけど、自分の態度がまだ追いついていない。 生…
IFrameとFragment Identifier使ったクロスドメイン通信について - snippets from shinichitomita’s journal
なぜかちょっと盛り上がり気味な記事 XhrIframeProxy(dojo) ○? ○ △? 中? マウスクリック音有り iframe内iframe ○? ○ △? 中? マウスクリック音有り http://d.hatena.ne.jp/nopnop/20080408/1207669947 この2つはFragment Identifierと多重IFrameを利用しているという点では同じなのかなあ。 正直、これらは何を内部でおこなっているか分かりにくいと思う。JSONPのような簡潔さはない。 説明を試みてみる。理解するためにまず押さえておくことがいくつかある。 まずひとつ目に、フレーム(ウィンドウ)に含まれるドキュメントを示す location の値はそのフレーム外部から書き換えることができる。こんなかんじ。 <iframe id="ifr" src="http://www.example.
サーバーサイド技術を使わないクロスドメイン通信補足 - os0x.blog
クロスドメイン通信方法のまとめ - nopnopの日記の補足です。 ブックマークコメントでちょろっと書いたけど、nopnopさんが書いている以外の方法としてwindowのname属性を使う方法とHTML5のpostMessageがあります。 window.name これは単純な方法(その分、クロスブラウザであり割と古いブラウザでも動作する(追記:)と、思ったけどIEの動作は微妙かもしれない)で、例えばwindow.open('http://example.com/','hogehoge');といったJavaScriptでウィンドウ(タブ)を開くと、hogehogeというウィンドウが開かれます。インラインフレームなどにも同様にwindowにnameをつけることができます。この名前はwindowを作る側が設定することが出来て、作られる側はドメインなどに関係なく設定されたnameを読み取ることが
Latest topics > Firefox 3で安全にアドオンを配布するための方法のまとめ - outsider reflex
Latest topics > Firefox 3で安全にアドオンを配布するための方法のまとめ 宣伝。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能! « ユニコーンガンダム 腕 Main ボーイズ・オン・ザ・ラン8 » Firefox 3で安全にアドオンを配布するための方法のまとめ - Dec 25, 2007 第8回Mozilla拡張機能勉強会のプレゼン資料を公開した。 以下、内容を改めて整理してみる。 update.rdfの確実性の保証 まず、Firefox 3ではセキュアな方法で自動更新が行われないアドオンはインストールできなくなる。ここでいう「セキュアな自動更新」とは、「インストールされたアドオンについて、自動更新でダウンロードしてきた新バージョン
非常識なお問い合わせフォーム | 水無月ばけらのえび日記
「監修 日本常識力検定協会 いまさら人には聞けない 大人の常識力トレーニングDS (www.amazon.co.jp)」がちょっと気になったので、日本常識力検定協会のサイト (www.josikiryoku.com)を見てみたのですが、お問い合わせフォーム (www.josikiryoku.com)が凄いです。 まず、郵便番号、住所、電話番号の入力が必須です。返答にこれら全てが必要とは思えないのですが、これらの情報をどのように利用するのかは何処にも書かれていません。また、トップページには「セキュリティSSL対応」と書いてあるにもかかわらず、フォームはSSL保護なし。いちおう送信先は HTTPS のようですが、全く別のドメインになっているという……。ついでに言うと、スクリプト無効環境では送信できないというおまけ付きです。
sta la sta - たった1行のJavaScriptコードでInternet Explorerをクラッシュさせる方法
注意! IEを使用中の方は、リンク先の記事内にクラッシュコードのあるサンプルページへのリンクがあるので、クリックしないようにくれぐれもお気をつけ下さい! 「you can find the code here」の「here」にあります。クラッシュをテストしたい方は別ですが。 http://www.modernlifeisrubbish.co.uk/how-to-crash-internet-explorer.asp 普段、ネットサーフィンでIEを使用している方にとっては、あまり嬉しくない話だろう。 こちらの記事の方がIEとFireFoxの両方で動作するJavaScriptコードを書く仕事をしている最中に、偶然にも、IEをクラッシュさせるコードを見つけてしまったそうな。 そのコードは複雑怪奇なものではなく、以下のようなたった1行のコードのようだ。 記事内に、上記コードを仕組んだサンプルページ
ベイズでウイルス検出 - 星澤裕二メモ
セキュリティもみじでの園田さんの発表からヒントを得て、POPFileにPEDUMPの出力を判定させるという実験をしてみた。PEDUMPは、Portable Executable(PE)形式のバイナリファイルに関する情報を出力するツールである。下はPEDUMPでメモ帳(NOTEPAD.EXE)のファイルの内容を表示させたところ。 PEDUMPの出力をメールに貼り付けて送信し、POPFileにウイルスかどうかの判定をしてもらう。トレーニングのために\WINDOWS\system32や\Program Files\Microsoft Office\OFFICE11フォルダ内のexeやdllのファイル情報も送っている。今のところ、80%以上の精度で識別できている。特に亜種の場合は間違いが少ない。もう少しトレーニングすれば、さらに良い結果が得られるかも知れない。 今回はPOPFileとPEDUMPで
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
