スパムメール対策をしよう
スパムメールの対策方法 スパムメールをブロックする無料スパムフィルター・アドレス収集プログラムに収集されにくいエンティティ表記など インターネットで様々なサービスへの登録や掲示板やホームページでのメールアドレス公開を行うと必ずと言っていいほど届くのが迷惑な広告メールや迷惑メール。一般にスパム(spam)と呼ばれるこのインターネット版ダイレクトメールは一方的に送りつけられてくるため防ぐのが難しいのが現状です。 しかしある程度の自衛はちょっとした心がけで行うことができますし、送りつけられるのを防ぐことは出来なくともスパムメールを自動で判断し、ゴミ箱に捨ててくれるスパムフィルターというツールでスパムの被害を軽減することが出来ます。 ではまず自分で出来る自衛手段から解説していきます。 スパムメールに返事をしない スパムメールは基本的に無差別に送りつけられてきますが、それに返事をしてしまうとますます
サーバ監視/ネットワーク監視サービス
インターネットで公開されているサーバーやネットワーク機器を24時間無料監視するサービスです。 より安定した監視を行うため、監視回線二重化&監視サーバー二重化を行っています。 2021/08/31 NEW 弊社を偽装したメールが確認されております。メールの送信元やメールに記載されているURLを十分にご確認ください。 弊社からログインを促すメールを送信することはございません。 無料サーバー監視/ネットワーク監視サービス ご案内 インターネット経由でご登録のサーバやネットワーク機器を死活監視するサービスです。 監視間隔は5分毎となり、監視品質を高めるため2つのキャリア回線で交互に監視しています。 サービス概要 インターネットに接続されているサーバやネットワーク機器の死活チェックを無料(Free)で行うサービスです。 当サイトでご登録いただく必要はございますが、ソフトウエアのインストールを行う必要
ブラウザから利用できる匿名プロキシサイトリスト - GIGAZINE
ページにアクセスすると、いろいろな情報が相手に伝わります。例えば下記のページにアクセスすれば、どういった情報が相手に伝わっているのかが分かります。 診断くん http://gigazine.net/cgi-bin/envchk080.cgi 「REMOTE_HOST」を見ればどこからアクセスしているのかが分かるので、会社から見ているのか、学校から見ているのか、あるいはマンガ喫茶から見ているのか、などがわかります。 こういう情報を相手に知られたくない場合、直接アクセスせず、代理でアクセスしてくれる「プロキシサーバ」を使えば、自分の情報が直接見ようとしているページに伝わることはなくなります。例えば、職場や学校からネットをする際に使えば、相手ページに職場や学校からアクセスしていることがばれないようになるというわけ。 が、いちいちプロキシサーバの設定をするのは面倒だとか、そもそも既にプロキシサーバ
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
[徳力] Winnyウィルス問題を、政府が本気で解決したいならできること
マスコミと情報収集家が悪化させる「Winny問題」:ITproを読んで。 ITProに、Winny問題がいかにマスコミの報道とそれによる野次馬の増加で悪いスパイラルになっているかという解説記事が掲載されていました。 実際、impressの記事によるとWinnyのノード数は12月に約30万ノードだったのが、3月10日には54万ノードにほぼ倍増しているそうで、一連の情報漏えい事件が利用者を増やす結果になっていることが見て取れます。 先日、「Winnyに関する議論が噛み合わない5つの理由」なんて記事を書きましたが、自分なりの問題解決策を書かずに投げっぱなしにしてしまったので、改めてWinnyウィルス問題を解決するための方法を自分なりに考えてみたいと思います。 ちなみに以下の案は、あくまで安部官房長官に「Winnyを使わないで」とテレビで発言させるぐらいなら、ここまでやればという趣旨の国家レベルで
![[徳力] Winnyウィルス問題を、政府が本気で解決したいならできること](https://cdn-ak-scissors.b.st-hatena.com/image/square/fce58eaae20f5139f86296e5fcd2a0ebbb3e80cc/height=288;version=1;width=512/http%3A%2F%2Fblog.tokuriki.com%2Fwp%2Fwp-content%2Fuploads%2F2015%2F09%2Fdefault.png)
akiyan.com : 新たなXSS(CSS)脆弱性、EBCSS
新たなXSS(CSS)脆弱性、EBCSS 2006-03-30 かなりヤバめなXSS的攻撃方法が見つかりました。詳細は以下のリンク先をご覧下さい。 文字コード(SJIS)とHTMLエンコードとCross-Site Scriptingの微妙な関係 文字コードとHTMLエンコードとCross-Site Scriptingの微妙な関係 (EUCの場合、UTF-8の場合) 何がヤバいのかというと、この攻撃方法に対する根本的対策がほとんどのサイトで行われていないと思われるからです。 今までCross-Site Scripting脆弱性への対策はHTMLで使われる文字列を実体参照に変換するのが基本でした。しかし、マルチバイト文字列の仕様を突いて半端な文字列を送信しクオート文字を無効化(escape)することで、実体参照に変換されていてもスクリプトの実行が可能なケースがあることが判明したのです。 ちなみ
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
MSIE はファイルの内容を解析する | 水無月ばけらのえび日記
(1)Webブラウザが受信ファイルの内容を解析して見分けている (2)HTTPレスポンスの「Content-Type」ヘッダーに指定された情報に基づき見分けている (3)HTTPリクエストの「Cookie」ヘッダーに指定された推定しづらい長さの文字列に基づき見分けている 仕様的には(2)が正解であるべきなのですが、それだけで済めば苦労はないですね。XP SP2 の IE6 からは、セキュリティの設定で「拡張子ではなく、内容によってファィルを開くこと」を無効にできるようになりましたが、デフォルトでは有効ですからファイルの内容解析が優先されてしまいます。 このあたりをちゃんと理解していないと、「image/jpegなのにXSS」という悲劇が起きたりしますので危険です。過去に実際にあったケースしては、 ユーザが任意の画像を添付できるサービス通常は HTML は添付できないスクリプトを含む HTM
MTA のアクセス制御
MTA の各種のアクセス制御手法について思いつくままにメモしたもの。ほとんどは spam 対策だが、こうすれば spam を撃退できる、というガイドではない。絶大な効果があるものから、ほとんど効果がないどころか多大な副作用をもたらすものまで、さまざまな手法をとにかく列挙する。筆者は spam 対策については「やりすぎるぐらいならば何もしない方がマシ」という立場を取っているので、メリットよりもデメリットを重視する。なお、分量はわずかだが DoS 対策や内部ユーザによる abuse を防止する手法についても触れる(この文書は spam 対策技術のメモではなく MTA のアクセス制御手法のメモである)。 ローカル配送された後にユーザごとで選別する方法についてはほとんど取り上げない。携帯電話向け spam についても触れない。特定の MTA や対策ツールにかたよった記述はほとんどしないし、特に必要
脆弱なWebアプリケーションから脱却する5つのコツ
ショッピングサイトのように多くの個人情報を扱うWebサイトを運営しているのであれば、Webアプリケーションの脆弱性について早急に対策を取るべきだ。Webアプリケーションの安全性を高めるために考えられる対策として5つの方法を提案したい。 Webアプリケーションと個人情報 多くの個人情報を扱うWebアプリケーションの1つに、ショッピングサイトがある。ショッピングサイト上には、利用者の名前や住所、電話番号などの個人情報が蓄積されている。それだけではなく、購入履歴やアンケートといった、他人には知られたくないような情報が登録されていることも多い。通常これらの情報は、データベース(DB)で管理されていることがほとんどだと思うが、WebアプリケーションにSQLインジェクションの脆弱性が存在すると、DB内の個人情報を一気に抜き取られてしまう。Webアプリケーションの脆弱性にはさまざまなものがあるが、個人情
Wired News - EFFも後押しする米海軍発の匿名化システム『トーア』(上) - : Hotwired
EFFも後押しする米海軍発の匿名化システム『トーア』(上) 2005年5月19日 コメント: トラックバック (0) Kim Zetter 2005年05月19日 プライバシー保護ツールは、ときとして奇妙な協力関係を生み出すことがある。 その一例が、『トーア』(Tor)と呼ばれるインターネット通信の匿名性確保のためのシステムだ。トーアはもともと、米国政府の職員がオンラインで身元を隠すことができるよう、米海軍調査研究所(NRL)が出資して開発していたものだ。それが現在では、市民的自由の擁護を訴える団体、電子フロンティア財団(EFF)が資金の一部を出し、開発を後押ししている。 トーアを使うと、ウェブページの閲覧やチャット、インスタント・メッセージをすべて匿名で行なえるようになる。トーアの仕組みは、送信者から受信者までデータを届ける間に、無作為に選ばれた3台のサーバー(ノード)を経由させるという
Hotwired Japan - ネット上の匿名性を保護する『Anonym.OS』
ネット上の匿名性を保護する『Anonym.OS』 2006年1月18日 コメント: トラックバック (0) Quinn Norton 2006年01月18日 ワシントンDC発――プライバシーに敏感なコンピューターオタクにとって理想のマシン――それは完全に匿名性を保持できる安全なコンピューターで、しかもおばあちゃんでも、手渡された直後に地元のスターバックスコーヒーに持っていって使えるくらい簡単なものだ。 この考えかたを基本理念として、『カオス理論セキュリティー・リサーチ』(kaos.theory security research)のメンバーたちは、暗号化された安全なオペレーティング・システム(OS)をブータブルCD[システムの起動が可能なCD]で提供する活動をはじめた。これを使えば、一般の人々でもセキュリティーの専門家と同じレベルのプライバシー保護を簡単なユーザーインターフェースで利用でき
高木浩光氏による「安全なWebアプリ開発の鉄則2005」(pdf)
1 安全なWebアプリ開発の鉄則2005 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 http://staff.aist.go.jp/takagi.hiromitsu/ Internet Week 2005 チュートリアル 2005年12月8日 配布資料 2 目次 • Webアプリの基本的な構成 – セッションIDによるセッション追跡 – セッションIDの配置 • セッション追跡に対する攻撃と防御 – セッションハイジャック – セッションライディング(CSRF:クロス サイトリクエストフォージェリ) – セッション固定化 • セッション追跡方式の欠陥 – 推測可能なセッション追跡パラメタ – 予測可能なセッションID – 稚拙な暗号の使用 • 権限確認の欠陥 – アクセス制御の欠如 – ユーザ識別の欠如 • 画面設計の問題 • 万が一に備えた適切な実装 •
fladdict.net blog: MIXIを使った、トラフィックの個人追跡システム
というのが可能だと考え付いて、ちょっと愕然とした。 自分のサイトに、隠しiframeでMIXIの自ページを読み込ませておくの。 そうすると、自分のサイトを訪れたログイン中のMIXI会員は、足跡がついちゃうの。あとは定期的に足跡キャッシュする。誰がウチのサイトを見てるかバレバレ(注:実装してないよ)。 一見、アホネタだけど。これ凄いシリアスな問題だよな。だってさ、エロサイトとかにそういう仕組みがあったら、最悪の場合一瞬で個人情報特定されるぜ?サイトのクッキーと、MIXIのアカウントとかが結びつけられた日には、何がおこるかわかったもんじゃないですよ。 100万超過の巨大コミュニティとなった今、MIXIの持っていた知り合いとの人間関係を担保とした安全性ってのは、もうとっくに崩壊してる。さらにザバサーチのようにネット上に分散する情報をかき集めれば、かなりの精度で個人情報が筒抜けになる危険性も増して
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
安全なWebアプリ開発の鉄則 2004