11/30『岡崎市立中央図書館事件』に関する三菱電機インフォメーションシステムズ記者会見:津田大介さんによるtsudaりまとめ #librahack '三菱電機の子会社が全国の公立図書館に納入している図書館システムで不具合が起こり、個人情報が流出。 また、蔵書を検索しただけで「サイバー攻撃」と誤解された男性が偽計業務妨害容疑で逮捕された事件に関する三菱電機インフォメーションシステムズの記者会見。 津田さんによる実況ツイート 図書館システム不具合…三菱電機系|YOMIURI ONLINE 続きを読む
.NETエンタープライズWebアプリケーション開発技術大全 Webアプリケーションの状態管理(3/4) - @IT
.NETエンタープライズ Webアプリケーション開発技術大全 Webアプリケーションの状態管理 マイクロソフト コンサルティング本部 赤間 信幸 2004/05/20 2.4 Webファームを利用する場合の暗号化鍵の設定 ASP.NETランタイムがクライアントブラウザに送出するViewStateデータには、改ざん検出機能が備わっている。これは、悪意のあるユーザによるViewStateデータの書き換えを防ぐためのもので、具体的にはWebサーバが持つ暗号化鍵を利用した、鍵付きハッシュ値の付与により実現されている。このため、Webファームを構成する場合には、すべてのWebサーバで暗号化鍵を揃えておく必要がある。 ハッシュ値や鍵付きハッシュ値に馴染みのない方も多いと思われるので、まずこれらについて以下に簡単に説明する。 ハッシュ値とは一種のチェックサムのようなもので、元データをある特殊な計算関数に
セッション管理
セッションとは Webアプリケーションにおけるセッションとは、「ユーザーのアクセスに対してユーザー毎に変数を保持する」、「複数のページ間で、変数の共有を可能にする」とあります。Webサイトを訪れた訪問者が行う一連の行動や、その行動を通じてやり取りされる情報などがセッションにあたります。 PHPでは、セッションを理解することが重要なポイントになるので、ここではセッション管理の仕組みを分かりやすく解説していきます。 クッキーの章でも解説しましたが、Webデータのやり取りには、HTTPプロトコルというWebブラウザとWebサーバ間で交わされるインターネットプロトコルが使用されています。HTTPプロトコルには、状態を保持する機能がなく、ユーザー(ブラウザ)が連続的に複数回のアクセス(Webページの表示)をしても、サーバ側はそれを特定のユーザーの連続したアクセスと認識せず、複数のユーザーが複数回
セキュリティで保護されたWebページ コンテンツのみを表示しますか? – かめめねっと
この表示みたことありませんか? httpsで始まるURLで他のファイルを参照する時は、参照されるファイルのURLを絶対パスで記述してはいけません。相対パスで記述します。 絶対パス・・・「http://cameme.net/img/img.jpg」 相対パス・・・「../img/img.jpg」 絶対パスでは、http:// から書き込んであるので、https のページに行くと当然勝手にsは付かないので、s付いていないURLがこのページの中にあるよ。と警告が出てしまうんです。 ちなみに、CSS(スタイルシート)内でも画像などで絶対パスしている場合でも警告が出てしまいます。 絶対パスと相対パスの違いは、例えば、住所を東京都○○区~と自分の家まで言う方法が絶対パスでアルとすると、相対パス的な言い方は、「かめの家は、うささんの家の3軒隣です」という感じです。(うーん、むしろわかりにくいかなぁ) 要
相対パスを「//」で始める書き方 - ありがとう。また会おう。
画像とかのパスを//で始めるのは何か問題があるのかな - Webtech Walker 迂闊にも知りませんでした・・・ こういう書き方できるんだ・・・ しかも、少し前に前職の某後輩に「そんなことできねぇよ」って自信120%で答えた記憶が・・・orz で、それで終わっては技術屋として名が廃るので調べてみました。 どうやらRFC的にはこの書き方OKらしい。 以下の十分に定義された基底 URI http://a/b/c/d;p?q を持つ表現において、相対的参照はその目標 URI を以下のように変形する。 (中略) "//g" = "http://g" とのことなので。 この例わかりにくいけど、aとgを具体的にexample.comとかドメイン名に置き換えればわかりやすいかと。 で。 いくらRFC的に正しくても、実際のブラウザで動作しなければ意味がない。 特に携帯ブラウザが怪しいと思うので、いく
Ywcafe.net
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: Accident Lawyers All Inclusive Vacation Packages Cheap Air Tickets Top 10 Luxury Cars High Speed Internet Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy
Twitterアカウントが作れない。 | Junnama Online
ハーモニー・アイさんのお勉強会に参加。NVDAとTwitterがテーマ。 NVDAについては、Parallels+Vistaへのインストールが時間がかかってかかってしょうがなく、インストールできたが音が出ない状態で何も書けないのだけど、改めて試してみたい。 さてTwitter。 zenichさんがTwitterって何? 何が面白いの? というお話をされて(これも中々話しでは伝わりづらいのですが)、じゃぁ実際に使ってみましょうということになった。 ところが... アカウントが作れないのです。視覚障碍者だけじゃない。高齢者の皆さん、それでもネットはそこそこ使われている方々だし、逆に参加されている視覚障碍者の皆さんなんて非常にネットリテラシーの高い方々なんだが。 問題はこれ。CAPTCHA。とにかく一発二発で成功しない。視覚障碍者の方にはサウンドがある。でも「何言ってんのかわかんない」。 結局2
メールに困惑・・・私が非常識? | 生活・身近な話題 | 発言小町
職場のAさんから私の携帯にメールが来ました。 ほぼそのまま再現します。 to:見覚えのないアドレス1 to:見覚えのないアドレス2 to:見覚えのないアドレス3 to:見覚えのないアドレス4 to:私のアドレス sub:アドレス変えたよ 本文:迷惑メールが多いのでアドレス変えました! よろしくね☆ ものすごく気分悪くなりました。自分の迷惑メールには対策するくせに、私のメールアドレスを見知らぬ人たちにばら撒くのは全く気にならないの?他のアドレスの人たちは相互にアドレス知ってる同士かもしれないが私にとっては見知らぬ他人なのに。 私のアドレスは気に入っているので10年以上変えていませんでした。家族とごく少数の友人と仕事上連絡をとる必要がある数人にしか教えたことがありません。メール受信制限をかけているので、迷惑メールは全く来ませんでした。 私のアドレスを他人に知られて迷惑であることをAさんに話した
ファーミング - Wikipedia
ファーミング(pharming)とはDomain Name System(DNS)の設定を書き換えインターネットの閲覧者を偽のウェブサイトに誘導することで不正に個人情報を得る、又は得ようとする行為のこと。「ネット詐欺」のひとつでフィッシング詐欺の類似手法。 DNSとはインターネット上のアドレスを、人間が読みやすい形式のURLから機械が扱いやすい形式のIPアドレスへと変換する仕組みで、この設定を書き換えられると、偽のウェブサイトに導かれる。偽のDNSへの誘導という手口もある。 偽のウェブサイトに誘導することで不正な情報を得ようとする点では、フィッシング詐欺に似ているが、より自動化された詐欺手法である。 フィッシング詐欺では、積極的に無差別送信された迷惑メールによって一連の詐欺行為が開始されるが、ファーミングでは不正なスクリプトをWebページに仕掛けることで自動化されているため、被害規模も大き
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
「秘密の質問と答え」を再設定できない | Okumura's Blog
ペイリン副大統領候補のYahoo!アカウントがクラックされ,メールが暴露された。ここによれば,原因は「秘密の質問と答え」にあった。ペイリンさんは秘密の質問として「夫と出会ったところ」を設定していたが,答えはGoogleで検索すると簡単にわかったそうだ。これ以外に,生年月日や郵便番号も簡単に調べられて,クラッカーはペイリンさんのパスワードをリセットすることができた。 これは自分も危ないのではないか。ずいぶん昔のことなので覚えていないが,安易な「秘密の質問」を設定した可能性もある。変更するためのページを探したが,見つからない。ヘルプを調べたら,「設定後の確認や変更はできません」とのことだ。これは困った。さっそくYahoo!に苦情を書いた。
セッション・ハイジャックとは | 情報セキュリティ用語解説 | 情報セキュリティブログ | 日立システムアンドサービス
セッション(WWWにおけるアクセス単位のこと)を管理するセッションIDやセッション・クッキー(セッション管理に使用するためのクッキー)を盗むことにより、悪意の者が、別のユーザーになりすまし、そのユーザーが使用するマシンとは別のコンピューターからインターネットにアクセスするという不正アクセスの手口、またはそうした危険性そのものを指す。 例えば、セッションIDが類推可能な規則的な文字列であったり、セキュアでない通信経路で盗聴されたりすると、悪意の者にセッション自体を横取りされる可能性がある。セッションが盗まれると、そのセッションを利用していたユーザーになりすましたアクセスが行えるため、個人情報が盗まれたり、コンピュータに侵入されたりする危険性がある。チエ:これは不正アクセスの手口として注意が呼びかけられている「Webアプリケーションの脆弱性」を突く攻撃の一つね。 イッセイ:Web管理者として
http://www.nttv6.net/files/DKA-20080723.pdf
DNS DNS Cache Poisoningの概要と対処 (Dan KaminskyによるDNS脆弱性指摘に関して) 23rd Jul 2008 Updated 19th Aug 2008 NTT情報流通プラットフォーム研究所 豊野 剛 toyono@nttv6.net Information Sharing Platform Labs. NTT 1 はじめに はじめに • この文書の目的 – 2008年7月22日に漏洩,8月7日に公開されたDNS脆 弱性攻撃手法に関して概略的に述べたものです • 問題点と影響度 • 対処方法 – 攻撃手法に関しては説明していません – BlackHat2008の資料が公開されたため附記 (8/7) • 多くのWebサイト上で技術的な解説がされています • 各種の攻撃ツールが出回っています Information Sharing Platfor
【2ch】ニュー速クオリティ:インターネット終了のお知らせ。DNSの脆弱性の実証コードがリリースされる。僅か数分で汚染可能
1 力保美達(福島県)2008/07/25(金) 11:29:15.07 ID:6KHoBSxHP ?PLT(12000) ポイント特典 Dan Kaminsky氏のDNSキャッシュポイズニング脆弱性に対してパッチを当てる緊急性が何段階か跳ね上がっている。 このセキュリティホールを利用する、対象の名前サーバのキャッシュに悪意のあるDNSレコードを埋め込むことを 可能にする脆弱性実証コードが、無料で配布されている攻撃・侵入テストツールであるMetasploitに追加された。 Metasploitを作ったHD Moore氏によれば、この脆弱性実証コードの作成には|)ruidの研究者と協力しており、 この脆弱性実証コードを支援するためにDNSサービスも作成されたという。 このコードはここで提供されており、深刻なキャッシュポイズニング攻撃を行うことを可能にするDNSプロトコルと 一般
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
bayashi.jp
はてなハイク サービス終了のお知らせ
http://www.ipa.go.jp/security/awareness/vendor/programming/a02_01.html
[ThinkIT] 第1回:Webアプリケーション開発者が知っておくべきセキュリティ (2/3)
: _
スパムメール配信元リスト (2008年4月処理分) - 迷惑スパムメール大嫌い!