はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
HTMLのscriptタグ内にデータを埋め込む際のエスケープ処理モジュール書いた - blog.nomadscafe.jp
追記 CPANリリースしました http://search.cpan.org/dist/JavaScript-Value-Escape/ /追記 malaさんの「HTMLのscriptタグ内に出力されるJavaScriptのエスケープ処理に起因するXSSがとても多い件について」にちょろっとでているgistのコードをモジュールにしました。 JavaScript::Value::Escape - https://github.com/kazeburo/JavaScript-Value-Escape JavaScript::Value::EscapはHTMLのscriptタグ内にデータを埋め込む際に、少々過剰にエスケープを行うものです。このモジュールではq!”!, q!’!, q!&!, q!>!, q!<!, q!/!, q!\!, qq!\r! と qq!\n! を\u00xxなどに変換しま
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Geekなぺーじ : メタ情報によるXSS
先日、なかなか強烈なXSS攻撃手法が公開されていました。 DNSへの問い合わせ結果にJavaScriptを埋め込んでしまおうというものです。 SkullSecurity: Stuffing Javascript into DNS names DarkReading: Researcher Details New Class Of Cross-Site Scripting Attack nCircle: Meta-Information Cross Site Scripting (PDF) 自動生成されるWebページ中に、DNSによる名前解決結果がエスケープされない状態で含まれていると、JavaScriptが実行されてしまうという仕掛けです。 「hogehoge.example.com」が本来ならば「198.1.100.3」というようなIPアドレスが結果として返るところを、DNSに細工を行っ
高木浩光@自宅の日記 - 三菱図書館システムMELIL旧型の欠陥、アニメ化 - 岡崎図書館事件(7)
■ 三菱図書館システムMELIL旧型の欠陥、アニメ化 - 岡崎図書館事件(7) 21日の日記で示したMELIL/CS(旧型)の構造上の欠陥について、その仕組みをアニメーションで表現してみる。 まず、Webアクセスの仕組み。ブラウザとWebサーバはHTTPで通信するが、アクセスごとにHTTP接続は切断される*1。以下のアニメ1はその様子を表している。 このように、アクセスが終わると接続が切断されて、次のアクセスで再び接続するのであるが、ブラウザごとに毎回同じ「セッションオブジェクト」に繋がるよう、「セッションID」と呼ばれる受付番号を用いて制御されている。 なお、赤い線は、その接続が使用中であることを表している。 次に、「3層アーキテクチャ」と呼ばれる、データベースと連携したWebアプリケーションの実現方式について。3層アーキテクチャでは、Webアプリケーションが、Webサーバからデータベー
bit.lyにログインしているとメールアドレスを抜かれる
bit.lyにログインしているとメールアドレスを抜かれる ※修正されたようで今は抜けなくなっています (2010/08/10 10:00) account name: - mail: - api key: - » このページをツイッターで紹介する » はてなブックマークでのコメント » ぼくはまちちゃん! » はまちや2(Blog) » はまちや2(twitter) Powered by BEARS SERVER PROJECT: ついったーとHamachiya2はまちや2のtumblr [hmcy]ドリームメーカー:簡単・無料・フリーのノベルゲームが作成できるWebサイトソーシャルゲーム速報簡単!節約!おいしい!お料理レシピのもぐもぐ予告.out - 予告ができる掲示板ぼく専用mxximixiシークレットバトンはまちやブックマークオナホールピンクローター私立恵比寿中学(エビ中)ファンクラ
crossdomain.xml と CSRF 脆弱性について - 2nd life (移転しました)
crossdomain.xml を安易に設置すると CSRF 脆弱性を引き起こす可能性があります。というのも、ここ数が月、それなりの数の crossdomain.xml による CSRF 脆弱性を発見し(現在、それらのサイトでは対策がなされています)、まだまだ Web プログラマに脆弱性を引き起こす可能性がある、という考え方が浸透してないんじゃないか、と思ったので。 先月、Life is beautiful: ウェブサービスAPIにおける『成りすまし問題』に関する一考察にも crossdomain.xml について書かれてたのですが、その後もいくつかのサービスで crossdomain.xml を許可ドメインすべてにしているサービスがあったので、注意喚起としてエントリーに書き起こします。 自分も一年半ぐらい前は、crossdomain.xml を許可ドメインすべて ('*') にして設置し
初心者Webアプリケーション開発者がチェックすべき情報源 - ハニーポッターの部屋
初心者Webアプリケーション開発者がチェックすべき情報源を集めてみた。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。 @ikepyonさんのご指摘により「LASDEC ウェブ健康診断」を追記した。 はてなブックマークの関連リンクによさそうな情報源があったので追記しました。それから、カテゴリを作りました。 ■Webサイト構築 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/websecurity.html 安全なウェブサイトの作り方(全92ページ、2.09MB) セキュリティ実装 チェックリスト(Excel形式、33KB) 安全なSQLの呼び出し方(全40ページ、714KB) ■Webアプリケーション開発 セキュア・プログラミング講座 http://www.ipa.go.jp/security/awareness/ve
Kozupon.com - SwitchingHubの特性を利用して盗聴する!
2005年4月、個人情報保護法施行。 これを機に、個人及び企業の顧客情報及び個人情報の扱いが重要視されたことは俺がここで言うまでもない。顧客情報を扱う企業は、その管理体制の強化とその顧客本人の顧客情報の開示要求があった場合は開示の義務もある。さらには、個人情報の第三者間の受け渡し及び売買の禁止等も義務付けられているようだ。 こうなってくると、その個人の情報をゲットするにはいよいよ「盗む!」しか方法が無くなってくる。 話は少し変わるが、最近の犯罪でATM強盗を見ると大胆にもATMごと盗んでいく(;-_-;)。この犯罪を考えると、機密情報を盗むのは手っ取り早いのは会社のPCごと、はたまたサーバごと盗むのが一番手っ取り早い(笑)。既に、PCごと盗まれている企業は多いのではないだろうか? その犯罪が外国人が多いとしたら、単に日本人は馬鹿なので馬鹿にされてるのである。最近個人的に思うのだが、
第6回 先行バイトの埋め込み | gihyo.jp
今回は、「先行バイトの埋め込み」という攻撃方法について紹介します。 ご存じのとおり、ほとんどの符号化方式(文字エンコーディング)においては、ひらがなや漢字などASCII以外のほとんどの文字は、1文字が複数バイトにて構成されています。たとえば、ひらがなの「あ」は、Shift_JISにおいては0x82 0xA0という2バイト、UTF-8においては0xE3 0x81 0x82という3バイトで表現されます。 攻撃者がマルチバイト文字の先行バイト部分だけを与えることにより、本来存在している後続の文字を無効にしてしまうのが、今回紹介する「先行バイトの埋め込み」という攻撃方法です。 先行バイト埋め込みの具体例 では、具体的な例を見ていきましょう。 たとえば、Shift_JISで書かれたHTMLとして、次のようなものがあったとします。 name: <input type=text value="" />
aguse.jp: ウェブ調査
あやしいサイトや知らないサイトを訪れる前に、URLを入力するだけでサイト背景情報を調査したり、迷惑メールの送付経路を表示したりすることが出来ます。
高木浩光@自宅の日記 - こたえはきっとソースの中に 〜 ドコモのCAPTCHAモドキ
そもそもこのサービスにとってCAPTCHAが何の意味をなすのか疑問*1だが、それはともかく、この部分のHTMLソースを見ると、画像のURLに答えが書かれている。(図2の「gifcat/call.php?SID=948545」) これでは何の意味もない。 これの目的がもし、他サイトからのリンクで検索させられる事態を防ぐためであるなら、画像なんか表示せず、直接INPUTフィールドに値を埋め込むようにしておけばいい話だ。*2 <input name="attestationkey" value="948545" type="hidden"> ちなみに、図2で示される画像のURLに直接アクセスしてみると、図3のように、リロードする毎に(同じ番号の)違う画像が現れる。何回か繰り返してみると、1つの数字あたり4種ほどの画像が用意されているだけだとわかる。 背景のノイズのようなものも、動的に生成されてい
セキュリティ専門家でも間違える!文字エンコーディング問題は難しいのか?
(Last Updated On: 2018年8月13日)一見徳丸さんのブログは分かりやすいように思えますが、それは単純な実験により分かりやすいように見えるだけで複数の間違いがあります。 その間違いとは 意図の取り違い – 誤読 言語の仕様と実装の理解不足 HTTPやPHP仕様の理解不足 セキュリティ対策をすべき場所の理解不足 です。(※0) 徳丸さんは非常勤とは言え、国の出先機関の研究員であるし、その出先機関は職務放棄とも言える文書(「例えば、PHPを使用しない」と勧める文書)を公開している(いた?)のでしっかり反論しておく必用がありますね。IPAのあの文書は職務放棄と言える文書だと思っています。これについても後で意見を述べます。 意図の取り違い – 誤読 最初の間違いは私のブログのエントリ「何故かあたり前にならない文字エンコーディングバリデーション」に対する理解です。特にPHPユーザに
何故かあたり前にならない文字エンコーディングバリデーション - ikepyonのだめ人間日記
http://blog.ohgaki.net/char_encoding_must_be_validated まあ、当たり前にはならないでしょう。どう考えても不正な文字エンコーディングを受け付ける言語やらフレームワーク、DB、ブラウザが悪いと思う。不正な文字エンコーディングをチェックするというのはバッドノウハウだと思うし。そんなことに対応するのは大変すぎるからねぇ。 アプリ開発者を啓蒙するより、PHPとか直したほうが早いと思うんだけど。 XSSやSQLインジェクションが発生しないようにエスケープ処理やバインド機能を使うというのは、プログラムの基本に立ち返って、どんなデータが渡されても正確に処理を実行するために必要なことなので、当たり前といえると思う。 でも、不正な文字エンコーディングのチェックはプログラミング手法ではなく、それを受け取って変に解釈してしまうDBやらブラウザなどが直せないから
高木浩光@自宅の日記 - EV SSLを緑色だというだけで信用してはいけない実例
■ EV SSLを緑色だというだけで信用してはいけない実例 EV SSLに関して以前から懸念されていたことが既に現実になっていた。一時期、EV証明書を発行する一部のCA事業者が、EV SSLの宣伝で「緑色になったら安全」などといいかげんな広告を打っていて、誤った理解が広まりかねないと心配されていたわけだが、「緑色になったら安全」という理解がなぜ駄目なのか、その理由の一つは、いわゆる「共用SSL」サービスにEV SSLが使われかねないという懸念だった。 そして、その実例が既に存在していたことに気付いた。図1は私が作ったWebページである。 アドレスバーは緑色になっているが、ここに入力されたデータは私宛にメールで送信*1されてくる。(このページは既に閉鎖している。) 悪意ある者がこうしたページを作成*2し、何らかの方法でこのページに人々を誘導*3すれば、フィッシングの被害が出るおそれがある。
高木浩光@自宅の日記 - 津田大介氏の杜撰な評論 その1, 追記(30日)
■ 津田大介氏の杜撰な評論 その1 Twitterを「Winny」で検索していたところ、コンテンツ学会企画の津田大介氏の講演(「コンテンツビジネスと著作権-最新動向(仮)」)があったようで、数人の人がそれをTwitter中継しているのを見かけた*1。それらの内容からすると、津田氏はWinnyに対して浅薄な理解しかしていないように見受けられたので、どういう理解をしているのだろうかと、「Winny 津田大介」でWeb検索してみたところ、今年の1月に出鱈目な著作権問題評論を展開していたのを見つけた。 津田大介:著作権っていまモーリーさんが仰ったみたいに、実は著作権ってすごくそういうときに「悪用」って言ったらおかしいけど、利用されやすいんですね。たとえば、明確に日本の法律でコンピューターウイルスを作成したのって、どういう罪に問われるんだろうって時に、結構微妙なんですよ。 モーリー:ふーん。 津田大
高木浩光@自宅の日記 - エコポイント申請画面が共用SSLサイト上にある件
■ エコポイント申請画面が共用SSLサイト上にある件 「エコポイント」の情報システムがわずか3週間で完成した理由, 有賀貞一, NIKKEI NET, 2009年8月26日 こうした問題を解決するために、エコポイント事務局と関係省庁が選択したのが、米セールスフォース・ドットコムの基盤サービス「Force.com」だった。セールスフォースはこのForce.comを「クラウドコンピューティングプラットフォーム」と表現している。利用者はサーバーなどのインフラを持つことなく、この基盤上で独自のシステムを構築できる。 という記事を読んで、「エコポイント」のサイトを初めて訪れたのだが、これはまずい。 「エコポイント」公式サイトの運営者は、「グリーン家電エコポイント事務局」となっていて、プライバシーポリシーでも個人情報取扱責任者が「グリーン家電エコポイント事務局」として書かれている。しかし、国民の視点か
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ma<s>atokinugawaの日記
Reverse engineering Charange 2008 -イベント情報:NetAgent Co., Ltd.
TechCrunch | Startup and Technology News
