クロスサイトリクエストフォージェリ (cross-site request forgery) は、Webアプリケーションの脆弱性の一つ[1]もしくはそれを利用した攻撃。略称はCSRF（シーサーフ (sea-surf) と読まれる事もある[2][3]）、またはXSRF。リクエスト強要[4]、セッションライディング (session riding[3]) とも呼ばれる。1990年代はイメタグ攻撃とも呼ばれていた[要出典]。脆弱性をツリー型に分類するCWEではCSRFをデータ認証の不十分な検証 (CWE-345) による脆弱性のひとつとして分類している (CWE-352)[5]。 なおCSRFの正式名称はクロスサイトスクリプティング (XSS) と似ているが、XSSは不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類されており[5]、全く異なる種類の

クロスサイトスクリプティング（英: cross-site scripting）とは、Webアプリケーションの脆弱性[1]もしくはそれを利用した攻撃。脆弱性をツリー型に分類するCWEではこの攻撃を不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類している (CWE-79)[2]。略称はXSS。かつてはCSSという略称も使われていたが、Cascading Style Sheetsと紛らわしいのでこの略称はあまり使われなくなった[1]。 「クロスサイト（サイト横断）」という名称は歴史的なもので、初期に発見されたXSSでは脆弱性のあるサイトと攻撃者のサイトを「サイト横断的」に利用して攻撃を実行することから名づけられたものだが[3][4]、XSSの定義は新しいタイプの攻撃が見つかるたびに拡張され、サイト横断的なものでなくともXSSと呼ぶようになった[3]

Scaffoldで生成したアプリケーションは出発点にすぎず、自立した完成品のアプリケーションではありません。このため、開発者がプロジェクトに適した形になるように手を加える必要があります。しかし、毎回似たような修正を行うのであれば、生成した時点でその修正が反映されている方が、より生産性も向上します。そこで本稿では、Scaffoldをカスタマイズする方法を紹介します。

要約 ATOKPad for mac が、外部ディスプレイや AirPlay でモニタ出力をした後に HotKeyを二回押下しても ATOKPadが表示されなくなる現象を直したい 内容 要約通りですが、ATOKPad for mac をすぐに表示できるメモ帳として永年使っているのですが、特に AirPlay でモニタ出力した後などに ATOK Pad が HotKey（私の場合は control に設定）を押下しても表示されなくなる（厳密にはどこかで表示されている）現象がたびたび起きていました。 で、いつもどうやって直しているのか忘れるので、メモっておきます。 設定が消えても良い人は ~/Library/Preferences/com.justsystems.ATOKPad.plist を消し、mac を再起動するか、後述する cfprefsd デーモンを再起動すれば直ります。 が、その代

[ C++で開発 ] OpenSSLのインストール OpenSSLは、Secure Socket Layer(略称：SSL)のv2/v3とTransport Layer Security(略称：TLS)のv1の実装です。Apacheライセンスで提供されています。 このページはです。これ以後の新しい情報はOpenSSL本家のページをご覧下さい。 セキュリティ脆弱性情報 OpenSSL: News, Project Newsflashのページより"Ｓｅｃｕｒｉｔｙ Advisory"を参照 入手 OpenSSLはソース公開のソフトウェアなので、ソースコードを入手してビルドするのが基本となります。2009年4月30日現在Ver.0.9.8系列はリビジョンk、Ver.0.9.7系列はリビジョンm が最新です。 OpenSSLのホームページ Windows バイナリを入手 有志がソースをビルドしてバ

はじめに インターネットが普及し、様々な情報がやり取りされる現在のネットワーク状況において、ここ数年、特に注目されている技術に暗号があります。例えば、SSL（Secure Sockets Layer）はHTTPにて広く使われている暗号通信方式であり、私たちは普段、URLの先頭が「https」となっているWebサイトをよく見かけます。また、かの有名なP2P（Peer to Peer）ソフトであるWinnyも、Crack対策のため、通信内容を暗号化して送受信していました。 今後、ネットワークと暗号はますます身近になり、またその研究も進むことでしょう。しかし、暗号はそもそもコンピュータやネットワークとはまったく別の学問であり、その歴史も深く、専門の学者によって日々研究が進められているものです。暗号に対する安全性や理論の証明、そしてネットワーク通信にどのように応用できるかなど、暗号と一言にいっても

当ひまグで昨年10月5日頃より公開していたFirefoxの拡張機能Sageの私製改造版「Sage++ (Higmmer's Edition)」(現在公開自粛中。以下、Sage++と称す)に関連し、去る2007年1月18日に以下のエントリを公表致しました。 フレッシュリーダーの脆弱性に関連してSage++のこと 上記エントリについて、様々な方よりご批判、お叱りの声を頂いております。つきましては、ユーザーの方々、第一発見者及びJPCERT/CCの関係者の方々、並びに多くの皆様にご心配ご迷惑をおかけしていることに対して深くお詫び申し上げます。誠に申し訳ありません。 何を申し上げても見苦しい言い訳との謗りは免れないものと存じますが、この際、今後の対応方針及び上記エントリの公表に至った経緯、並びにSage/Sage++の危険性に関して説明させて頂きたく存じます。 1. 今後の対応方針について 今回の

iPhoneの一般修理店は予約なしでも来店できる？ 基本的には飛び込みで修理に行ってもOK iPhoneを置いていたソファにうっかりと腰かけてしまい、パネルを割ってしまった、こんな時はスマホの一般修理店へ行きましょう。画面割れは、スマホやタブレットの故障原因として非常に多いものです。予約なしで突然お店に行っても平気かしらと、不安に思う方々もいらっしゃるかもしれません。結論としては特に問題はなく、予約なしで訪問しても画面割れの修理はお願いできます。 ただし他のサービス業のお店同様、予約なしの場合、お店が混雑していると順番待ちをしなければいけないです。特に繁盛しているスマホ修理のお店だと、行列が店内で出来ており、予約なしだと、自分の順番が巡ってくるまで長時間待たされる可能性があります。平日の朝、昼なら利用客が少ない場合が多く、飛び込みでも比較スムーズに修理が頼めます。 予約は入れた方が時短に、

■ 「逆」にしたERBが登場 27日の「（略）とかERBとか、逆だったらよかったのに」の件、大岩さんが、逆にしたERB改造版を作ってくれた。 自動quoteつきERBの実験, おおいわのこめんと (2005-12-29) さて、使い勝手はどうだろうか。 ■ 要約版：「サニタイズ言うなキャンペーン」とは 27日の日記「『サニタイズ言うなキャンペーン』とは何か」は、いろいろ盛り込みすぎたせいか思ったよりわかりにくいものになって いるらしいので、結論から順に整理しなおしてみる。 結論: まず「サニタイズ」という言葉を使うのを避けてみてはどうか。正しく説明することの困難から逃げようとしないで。 例外1: 万が一に脆弱性があるかもしれないことを想定しての保険として、CGIの入力段階でパラメタを洗浄することを、サニタイズと言うのはかまわない。 例外2: 既存のシステムに応急手当としてCGIの入力段階で

最近「クロスサイトスクリプティング脆弱性により個人情報が盗まれる」といった話題を頻繁に耳にする。Webサイトを閲覧するだけで，ユーザの個人情報が盗み出されたり，コンピュータ上のファイルが破壊されたり，バックドアが仕掛けられたり，といったさまざまな被害を引き起こすセキュリティ問題である。 クロスサイトスクリプティングとは図1のような多少入り組んだ攻撃手法である。 ユーザが悪意あるWebサイトを閲覧したときに， 出力されるWebページに悪意あるスクリプトが埋め込まれており， まだそのスクリプトは効果を発揮せずに標的Webサイトへ転送され， 標的Webサイトの「スクリプトを排除しない欠陥」を介して，スクリプトが効果を発揮する形でブラウザへ戻ってきて， スクリプトがブラウザで実行され，クッキーが漏洩したり，ファイルが破壊したりといった被害が発生する， といった攻撃である。(4)のように，外部から与