はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
XHR XSS の話. - ほむらちゃほむほむ
概要 CORS が「幾つかのブラウザの先行実装」の状況から「古いブラウザではサポートされない機能」に変わりつつある頃合いなので,XHR2 が XSS の起点になりますよってお話. そもそも XHR XSS って何よ 簡単に言うとXHR2 による XSS のことのつもり.身近なところだと,jQuery Mobile がやらかしたり,大阪府警がやらかしたりした. 具体例1 jQuery Mobile jQuery Mobile については,jQuery MobileのXSSについての解説 で解説されるとおり. かいつまんで言うと,jQuery Mobile に location.hash の変更( hashchange イベント発火)時に,location.hash を URL とみなして読込んで,ページ内容を変更という機能があって,その読込先 URL にクロスドメインの制約がなかったので X
- このブログは非公開に設定されています。
ブログ このブログは非公開に設定されています。 (Access forbidden) 他のブログを探す ブログランキング(共通のジャンル) 1 ちゃんねるZ 2 放送事故★お宝エロ画像村まとめ 3 マブい女画像集 女優・モデル・アイドル 4 AV女優2chまとめ 5 エロ画像すももちゃんねる ヘルプ インフォメーション リクエスト 利用規約 障害情報 FC2ブログについて FC2の豊富な機能 スマホからもブログ投稿 有料プラン アルバム機能 おすすめブログ テンプレート一覧 マガブロ マガブロとは? マガブロランキング マガブロの書き方 マガブロアフィリエイト サポート ヘルプ インフォメーション リクエスト 利用規約 障害情報 アプリでもブログ投稿 FC2トップ お問い合わせ 会社概要 プライバシーポリシー 著作権ガイドライン 広告掲載 Copyright(c)1999 FC2, Inc
Facebookに自分の情報を請求したら1200ページのPDFファイルが届いた
現代のネット社会そのものと言ってもいいほど発達したソーシャルネットワークサービス(SNS)ですが、同時に個人情報の保護について問題視する声も大きくなっています。世界最大級のSNS「Facebook」がまさかここまでの情報を記録しているとは……と驚いてしまうような内容が明らかになりました。 オーストリア・ウィーン在住のマックス・シュレムさんは、ある日、Facebookはいったいどれくらい自分について知っているのか、ということに興味がわき、Facebookに対して情報の開示を請求しました。 ソーシャルネットワークでは自分のデータをバックアップするためにダウンロードできるようになっていますが、EUの評議会が定めた個人情報に関する決定「Directive 95/46/EC」では、適法性を保証するため、企業が保有している非公開データについても開示を請求できます。 そこで、マックスさんはアイルランドの
はてなブックマークボタンを外しました
この数日間問題になっている「はてなブックマークボタン」ですが、当日記およびHASHコンサルティングオフィシャルブログにも、当該ボタンがついていました。何が問題であるかは以下が詳しいですが、要は、はてなの管理下でない当サイトで、はてなのブログパーツが読者の皆様のトラッキングをしていることが問題です。 参考: はてなブックマークボタンは2011年9月1日より行動情報の取得をしている ブログパーツやソーシャルボタンの類でアクセスログが残るのは当然だけどトラッキングされるのは当たり前にはなっていない はてなブックマークボタンのトラッキング問題で高木浩光先生が決別ツイートをするに至った経緯まとめ 私は、2006年11月に、はてなダイアリーで日記を書き始めて以来、一貫してはてなのサービスを利用してきましたので、当ブログにも「はてなのボタンもつけとかなきゃな」程度のノリでボタンをつけておりました。その時
コレもヒドいダダ漏れ。サイボウズで会社名と社員名がダダ漏れな件について - それマグで!
あるブログで見かけました。。サイボウズ利用者の皆さんは公開大好きです。 サイボウズの旧版を放置している会社の社員情報バレバレです。 検索してみよう。 次のリンクをクリック→サイボウズ ログイン 名前 パスワード filetype:cgi いっぱい出てきた。 (スクリーンショット 2012-03-07 21.17.53) (スクリーンショット 2012-03-07 21.19.03) (スクリーンショット 2012-03-07 21.19.48) 「◯◯部の◯◯さんお願いします」って言えば簡単にテレアポ営業出来るんじゃないですかね。ってかかれてたけど、全くそのとおりだと思いました。 テレアポさん頑張って。 情報って怖いです、Googleさん怖いです。 あわせてオススメ、Desknets (スクリーンショット 2012-03-07 21.18.17) desknets グループ 氏名 file
ブログパーツやソーシャルボタンの類でアクセスログが残るのは当然だけどトラッキングされるのは当たり前にはなっていない - 最速転職研究会
わたくしは立場上、実装がダメなことにはとやかく言いますがポリシーについてはとやかく言わないことをポリシーとしており、また個人的にも所属組織的にも付き合いがある企業様を痛烈に批判するというのはブーメランとか槍とか鉄砲玉とかソーシャルメディアガイドラインとか飛んできたりしてリスキーではあるのですが、どう見てもアウトだろこれ、と考えるに至りまして筆を取らせていただく次第です。 これ http://d.hatena.ne.jp/kanose/20120306/hbmbutton http://blog.dtpwiki.jp/dtp/2011/09/post-9367.html どう見てもアウトだろ。理由は単純で、そういう目的で設置されたボタンではないし、はてなブックマークボタンが設置されているサイトは、はてなの管理してないサイトなのではてなの裁量でやってはいけないからです。いつから「はてな」は「は
MicroAdの広告をご覧のお客様へ
MicroAd行動ターゲティング広告とは MicroAd行動ターゲティング広告は、“お客様にとって有益な情報は何か”ということを考え、最適な情報(広告)を選び出すサービスです。 お客様が求めていらっしゃる、あるいは探していらっしゃる情報を、的確にお届けしおすすめすることで、便利で快適なネットサービスのご利用をサポートいたします。 お得な情報やお役に立つ情報など、有益な情報をお客様にお届けできるよう、MicroAdは努めて参ります。 株式会社マイクロアドは、加盟している「一般社団法人 日本インタラクティブ広告協会(JIAA)」が定めるガイドラインに遵守し、弊社プライバシーポリシーに基づき、広告をご覧のお客様に対して、適切な広告を表示することを目的とした「行動ターゲティング広告」を提供しております。尚、株式会社マイクロアドは、当協会(JIAA)会員として、MicroAd広告ネットワーク企業に対
GitHubのセキュリティホールがふさがったのでSSH Keyを確認しよう - ただのにっき(2012-03-08)
■ GitHubのセキュリティホールがふさがったのでSSH Keyを確認しよう 先日、Railsアプリにありがちなセキュリティホールがあることが判明したGitHub。詳細は@sora_hによる「github の mass assignment 脆弱性が突かれた件」が非常によくまとまっているので参照のこと。脆弱性の内容そのものもだけど、開発者として脆弱性指摘をどのように受容、対応すべきかを考えさせられる事例だった。 で、これはようするに赤の他人が任意のリポジトリへのコミット権を取得できてしまうという事例だったのだけど、脆弱性の内容をみる限りその他のさまざまな入力もスルーされていた可能性がある。ということで、その対策が(おそらく)なされたのだろう、今朝になってGitHubから「SSH Keyの確認をせよ」というメールがいっせいにユーザに配信された。3日で修正とか、GitHubの中の人もずいぶん
「ニフティrクラウドユーザーブログ」は、移転しました。
「ニフティクラウドユーザーブログ」は、移転しました。 自動でページを移動しない場合は、下記のリンクをクリックし、 新しい「ニフティクラウドユーザーブログ」をご覧ください。 今後とも「ニフティクラウドユーザーブログ」をよろしくお願いいたします。 > ニフティクラウドユーザーブログ
GoogleがSafariの設定を迂回してトラッキングしていたとされる件について - 最速転職研究会
※この記事の完成度は85%ぐらいなので後で追記します。 http://webpolicy.org/2012/02/17/safari-trackers/ http://online.wsj.com/article/SB10001424052970204880404577225380456599176.html http://blogs.wsj.com/digits/2012/02/16/how-google-tracked-safari-users/ 合わせて読みたい。 http://trac.webkit.org/changeset/92142 https://bugs.webkit.org/show_bug.cgi?id=35824 一番上のJonathan Mayer氏の記事については純粋に技術的なレポートなので、特におかしなことは書かれていない。元はといえばSafariのCooki
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
CSRFで逮捕者が出たらしい話 | 水無月ばけらのえび日記
公開: 2012年2月7日1時35分頃 こんなお話が……「アニメサイト運営でトラブル ウイルス作成罪初適用、男逮捕 (www.itmedia.co.jp)」。 各紙の報道によると、男は「さっさと閉鎖しろ。さもないと、お前の両親を殺して家を燃やす」という文言を自分が運営しているサイトに書き込むプログラムを作成し、あるサイトに埋め込んだ。 男は神奈川県の男性と共同でアニメサイトを運営していたが、運営方法をめぐって男性とトラブルになっていた。男は男性にメールを送り、不正プログラムを埋め込んだサイトに誘導。アクセスした男性が脅迫的な文言を自分のサイトに書き込んだように見せかけた上で、府警に「脅迫された」などと相談していたという。 府警が発信記録などを調べたところ、不正プログラムがサイトに埋め込まれていたことが分かり、犯行が発覚。まず不正プログラムをサイトに埋め込んだ不正指令電磁的記録供用の疑いで2
PHP 5.3.10 緊急リリース: hashDoS対策でエンバグ - Opensource days
Suhosinなどで有名なStefan Esser氏からの指摘で、PHP 5.3.9でhashDoS対策として導入された設定オプションmax_input_vars関連の処理に不備により、リモートから任意のコードを実行される可能性がある深刻なバグが発生していることが明らかになりました。昨日、この問題を修正した PHP 5.3.10が緊急リリースされています。 問題の場所は、max_input_varsによるリクエスト変数の最大値を超える変数が入力された時に、その変数が配列(例: foo[] )であると、ポインタが初期化されない状態となってしまうというもので、比較的シンプルなバグです。 詳細な解説はTheXploit | Critical PHP Remote Vulnerability Introduced in Fix for PHP Hashtable Collision DOSにありま
スマートフォンアプリケーションでSSLを使わないのは脆弱性か
このエントリでは、スマートフォンアプリケーションの通信暗号化の必要性について議論します。 はじめに 先日、スマートフォンアプリケーションのセキュリティに関するセミナーを聴講しました(2月8日追記。講演者からの依頼によりセミナーのサイトへのリンクをもうけました)。この際に、スマートフォンアプリケーションの脅威に対する共通認識がまだないという課題を改めて感じました。その課題を痛感できたという点で、セミナーは私にとっては有益でした。 このため、当ブログではスマートフォンアプリケーションの話題をあまり取り上げていませんでしたが、今後は、とりあげようと思います。まずは、スマートフォンアプリケーションでは暗号化を必須とするべきかという話題です。この話題は、前記セミナーでもとりあげられていました。 暗号化の目的は何か まず、暗号化の必要性を論じるためには、暗号化の目的を明確にする必要があります。前記セミ
Critical PHP Remote Vulnerability Introduced in Fix for PHP Hashtable Collision DOS
Critical PHP Remote Vulnerability Introduced in Fix for PHP Hashtable Collision DOS One Security Fix Introduces Another Today, Stefan Esser (@i0n1c) reported a critical remotely exploitable vulnerability in PHP 5.3.9 (update assigned CVE-2012-0830). The funny thing is that this vulnerability was introduced in the fix for the hash collision DOS (CVE-2011-4885) reported in December. The Vulnerable F
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
パスワードにストレッチングは必要か。
ECナビさんのBlogを発端とした、パスワードの暗号強度を高めるためにストレッチングは行うべきかという専門家の方のつぶやきのまとめ。途中からパスワードの定期変更は不要なのかについても派生していっていますが、一緒にまとめました。
ModSecurityをソースからビルドしてhashdos対策に活用する
このエントリではModSecurityをソースからビルドする方法を説明した後、hashdos専用のチューニングを施す流れを説明します。 はじめに既にModSecurityについては、CentOS+yumおよびUbuntu+apt-getにより導入する方法を説明しています。このエントリでは、ModSecurityをソースからビルドする方法を説明します。 ModSecurityのビルドは依存関係が複雑であり、バージョンによってビルド方法が変わるなど、面倒な面があります。このエントリでは、CentOSとUbuntuの場合について、実際的なビルド方法を説明します。 準備するもの ModSecurityは以下のプロダクトに依存しています(ModSecurity HandbookP27)。ビルドに先立って準備しておく必要があります。 Apache Portable Runtime(APR) APR-U
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
まとめよう、あつまろう - Togetter
