IPアドレス・クッキー・JavaScript・UAなどを使わずユーザーを個別に追跡する方法
by Vernon Swanepoel ウェブサイトのユーザーがどれぐらいページを見てくれているのか、訪問頻度はどれぐらいなのかといった情報を追跡するのにはクッキー(Cookie)やJavaScriptなどが使用されますが、そうやって追跡されるのがイヤだということでCookieを受け入れないように設定したり、JavaScriptをオフにしているという人もいるはず。しかし、それでもユーザーを個別に追跡する方法があります。 Lucb1e.com :: Cookieless Cookies http://lucb1e.com/rp/cookielesscookies/ これはオランダ在住でコード・セキュリティ・ネットワークを愛しているというlucb1eさんが明らかにしたもの。手法としては新しいものではなく、多数のサイトで使われているにもかかわらず、そのことを認識している人はほとんどいないというも
トヨタ自動車のWebサイトが改ざん、1週間以上不正プログラムが実行される状態に
トヨタ自動車は2013年6月18日、同社Webサイトが不正アクセスを受け、改ざんされていたことを明らかにした。 トヨタ自動車は2013年6月18日、同社Webサイトが不正アクセスを受け、改ざんされていたことを明らかにした。改ざんされたページにアクセスした場合、マルウェアに感染した可能性があることから、同社ではウイルス対策ソフトを最新の状態にアップデートし、感染の確認と駆除を行うよう推奨している。 サイトが改ざんされていたのは、6月5日18時26分から6月14日21時47分までの間。「http://www2.toyota.co.jp/jp/news/」以下のコンテンツ、具体的にはニュースやIR情報、CSR情報などに関するコンテンツが改ざんされ、不正なプログラムが自動的に実行される状態になっていた。同社では当該サーバの運用を停止し、セキュリティ対策を施した上で7月上旬に復旧させる予定という。
多発するWeb改ざんに備えてinotifywaitによる改ざん検知を導入した
Webサイトの改ざん事件が多発しています。Webサイトに対する基本的なセキュリティ施策を実施していればまず被害にあうことはないとは思うものの、全ての手口が公開されているわけではないので、何となく「嫌な感じ」もします。 【参考】 Web サイト改ざんに関する注意喚起(JPCERT/CC) 2013年6月の呼びかけ 「 ウェブサイトが改ざんされないように対策を! 」(IPA) @Police ウェブサイト改ざん事案の多発に係る注意喚起について(pdf) 5月から多発しているHP改ざんインシデントをまとめてみた。 - piyolog 当方のサイト(会社、個人)は、一通りのセキュリティ施策は実施しているつもりですが、絶対に改ざんされないかというと、改ざんされることは想定しておかなければならないと考えています。 当方のセキュリティ施策の例 FTPをやめ、sshのみで管理運用 sshのパスワード認証を
勝手に査読:Webアプリにおける11の脆弱性の常識と対策
「Webアプリにおける11の脆弱性の常識と対策」という記事を久しぶりに読みました。出た当事も思いましたが、基本的な誤りが多く、読者が誤解しそうです。このため、編集部から頼まれたわけではありませんが、「勝手に査読」してみようと思います。 細かい点に突っ込んでいくとキリがないので、大きな問題のみ指摘したいと思います。 ※2013年2月25日追記 このエントリに対して、編集部が元記事を修正くださいました。徳丸も修正に協力いたしましたが、十分正確な内容ではないことをお含みおきください。 ※追記終わり 同記事の想定読者は誰か査読にあたり、この記事の想定読者を明確にしておいた方がよいですね。記事の冒頭には、連載の説明があります。 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用する
マシなインターネットを作る:malaさんインタビュー
こんにちは。今回はmalaさんのインタビューをお届けします。 malaさんはNHN Japanのエンジニアとして多くのウェブサービスの設計に関わるだけでなく、セキュリティやプライバシの観点から見たアーキテクチャについて、ブログでさまざまな情報や問題提起を発信されています。 特に昨年末に公開されたブログ記事「はてな使ったら負けかなと思っている2011」は、インターネットはどこへ行くかという私のもやっとした問題意識にピッタリとハマる素晴らしい文章でした。あの記事を読んで、これはぜひ一度お会いして、インターネットの現状やエンジニアの役割について、お話を聞いてみたい、と思ったのが今回の企画の発端です。未読の方は、まずそちらからどうぞ。 なお、インタビューは三月末に行われました。無職期間中に公開する予定で、ずいぶん時間がかかってしまいました。文中、私の所属する企業の話も出てきますが、例によってここは
徳丸本に載っていないWebアプリケーションセキュリティ
The document discusses an SSRF attack on Amazon EC2 Instance Metadata Service (IMDS) version 1. It describes how IMDSv1 could be accessed from outside the instance by exploiting vulnerabilities in a web application firewall (WAF). The attack allowed accessing credentials of an IAM role that had permissions to an S3 bucket storing personal information. To mitigate such risks, Amazon introduced IMDS
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
