GoogleはJavaScriptで隠匿したメールアドレスを読み取り、検索結果に表示している? | スラド IT
メールアドレスをウェブページに公開する場合、アドレスをHTMLでそのまま書いてしまうとスパム業者の格好の的となってしまう。これを避けるには、アドレスをgifやjpegなどの画像で表示させたり、分断して記述したアドレスをウェブページでは一続きに表示させるようなJavaScriptを使用することが有効であるとされてきた。projecthoneypot.orgではスパム対策として、このようなJavaScriptを自動生成してくれるツールも公開している。 しかし、GoogleはこのようなJavaScriptからメールアドレスを構築し、ウェブページのサマリーにアドレスを表示してしまうようになったとの報告が本家/.にて取り上げられている。 元記事であるbaxil.livejournal.comによると、HTML上ではJavaScriptで改変して記述してあるアドレスが、検索結果できちんとアドレスとして
Apache DoSアタック対策 - luminのコードメモ
2009/6/17 にSlowloris というツールにより低帯域でApacheをDoSアタックできる脆弱性が発見された。 ApacheはWebサーバのシェアの50%近くを占めるため。影響は大きいはずなのだが。あまり騒がれていない、よくDoSアタックを食らうサイトでは必ず対策が必要だと思うのだが、対策は進んでいるのだろうか? 対策は単純ではないので、最新版のApacheでも対策はとられていない。根本に近いところなので容易ではないと思うが、攻撃に対しての対策は可能なので、OnePointWallのルールとして作ってみた。 IoTセキュリティとゲームセキュリティの会社|ネットエージェント株式会社 脆弱性があるといわれているhttpd Apache 1.x Apache 2.x dhttpd GoAhead WebServer Squid (unconfirmed) WebSense "bloc
高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
■ 「NoScript」をやめて「RequestPolicy」にした セキュリティ屋が、Firefoxユーザに「NoScript」の使用を推奨することがしばしばあるが、私は賛同しない。 JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開, INTERNET Watch, 2008年11月4日 *1 技術メモ − 安全なWebブラウザの使い方, JPCERT/CC, 2008年11月4日 IV. 各 Web ブラウザに共通する設定上の注意事項 1. スクリプト等の実行を制限する JavaScript 等のスクリプトや(略)は(略)Ajax に代表されるインタラクティブなインターフェースが実現できるなど、高い利便性が得られます。反面、PC 上の重要なファイルを削除・変更するなど、悪意を持った処理が行われる可能性もあります。従って無制限にスクリプト等を実行できるようにしておくのは
高木浩光@自宅の日記 - 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
SSH公開鍵認証の設定 - LukeSilvia’s diary
初めてやってのでメモしておきます。リモートサーバーへのSSH接続の際に、パスワード認証を禁止し、公開鍵認証にする設定です。公開鍵認証の方がこちらも楽な上に、パスワードの漏洩なども回避できます。 では設定開始。今回は、クライアントがWindowsXP, サーバーがLinux(CentOS4.4)です。 クライアント側でやること 公開鍵、秘密鍵のペアを作成 既に他のサーバーの公開鍵認証等に使っている鍵ペアがあれば、それを使ってもおk。ない場合は生成する。 鍵の生成 Windows系 WinSCPに付属のPuTTYgenを用いた。以下が参考になる。 RSA公開鍵と秘密鍵の作成(Windows編) ─ gentoo Linuxで自宅サーバ 鍵を生成したら、公開鍵を「id_rsa.pub」、秘密鍵を「id_rsa.ppk」として保存。 保存先とは「C:\Documents and Settings\
404 Not Found
実名などの個人情報を公開することは大変危険です。 実名さえ分かれば、住所や電話番号などを調べることが可能なのです。 TELECOREというテレコア株式会社が運営する個人情報紹介サービスをご存知ですか。 このサイトを利用すれば、あなたの住所や電話番号を調べることができてしまうかもしれません。 私の住所や電話番号は簡単に検索することができてしまいました。 TELECORE(テレコア)無料電話番号検索サービス ■TELECOREで個人情報を検索する方法 「無料検索ログオン」と書かれたボタンをクリックすると、個人情報を検索するページへ移動します。 このサイトで個人情報を調べる方法は、大きく分けて3つあります。 1. 都道府県と市区町村を入力し、苗字を入力し、検索ボタンを押す。 2. 都道府県と市区町村を入力し、苗字と名前を入力し、検索ボタンを押す。 3.
Twitter XSS 騒動 - Yaks
(2009/04/12 6:40 pm 追記しました) (2009/04/12 7:24 pm 再度追記しました) 先ほどから Twitter上にて XSS のよる被害が出ています。 既に海外のブログなどでも取り上げられています。 HOWTO: Remove StalkDaily.com Auto-Tweets From Your Infected Twitter Profile (Twittercsm) Warning: Twitter Hit By StalkDaily Worm (TechCrunch) 既に XSS の部分は改修されて大分収まったようですが、念のために書いておきます。 内容としては、 1. StalkDaily.com を宣伝するつぶやきが勝手に投稿される 2. プロフィールの Web が改ざんされる 3. 改ざんされたユーザーのページを見ると、自分のプロフィールも
第4回 Flash、JSONでのクロスドメインアクセス | gihyo.jp
Flashを用いたクロスドメインアクセス 前回までは、クロスドメインアクセスを行うための方法として、リバースProxyを使う方法とJSONPを使う方法を紹介しましたが、どちらの方法も少し変わった方法だったと思います。なにか無理やりのように感じた方もいるのではないでしょうか。今回紹介するFlashを使った方法では前回までの方法とは違い、自然な形でクロスドメインアクセスを行うことができます。 Flashでは、呼び出される側で設定を行うことでクロスドメインアクセスが可能になります。 設定といっても非常に簡単で、呼び出される側のWebサーバにcrossdomain.xmlというファイルを設置するだけです。このときのURLは http://www.example.com/crossdomain.xml となります。 ファイルの内容は以下のようになります。 crossdomain.xmlの内容 <cr
Google Chrome、ハッキングコンテストで唯一の生き残りブラウザに
Mac版Safariはコンテスト開始後数分で侵入され、IE 8、Firefoxも初日のうちにハッキングされた。 カナダのバンクーバーで3月18~20日に開催されたハッキングコンテストPwn2Own 2009で、参加者らはGoogleのChrome以外の主要Webブラウザすべてのハッキングに成功した。このコンテストはカナダのセキュリティ企業dragostech.comが2007年から毎年開催しているもので、今年はWebブラウザと携帯端末のセキュリティ侵入のテクニックが競われた。 ターゲットとなったWebブラウザは、Windows 7搭載のソニーのVAIOにインストールされたInternet Explorer(IE)8、Firefox、Chromeと、Mac OS X搭載のMacBookにインストールされたSafariとFirefox。Webブラウザの脆弱性を突くコード(エクスプロイトコード)
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
皆さんこんにちは、川口です。コラムの第6回「IPSは“魔法の箱”か」でまっちゃ139で講演をしたお話を書きましたが、今度は関東でやっている「まっちゃ445」にお招きいただき、お話ししてきました。 まっちゃ445は募集開始から定員が埋まるまでがとても速く、今まで参加したことがなかったのですが、今回は運良く(?)講師側ということでキャンセル待ちにならずに参加することができました。ロックオンの福田さんがオープンソースのECサイト構築システム「EC-CUBE」に脆弱(ぜいじゃく)性が発見された際のインシデントハンドリングのお話をされていました。EC-CUBEにSQLインジェクションとクロスサイトスクリプティング(以下、XSS)が発見されたあとの対応のお話です。JSOCで日々インシデントにかかわっているいる自分としてはとても興味深い内容でした。 日本のエンジニアのセキュリティ意識は過剰? 今回のよう
「初恋の人からの手紙」をリバースエンジニアリングする ( ラボブログ )
スパイスラボ神部です。 どうやら、初恋の人からの手紙 - あなたの恋愛を分析して、初恋の人から甘酸っぱい手紙をお届けします というサイトが大人気で、時々サーバにつながりにくくなっているようですね。 そんな「初恋の人からの手紙」にある特徴があるような気がしますのでこんなものを作ってみました。 -初恋の人からの手紙・リバースエンジニアリング リバースエンジニアリング的なものなので実際のものとは違った結果かも知れませんので、ご利用や結果については自己責任でお願いします。 -初恋の人からの手紙が好きだ! - Favorites! しくみ これの仕組みは簡単です。 1.必要な変数のある部分を ereg などでひっかける。 2.必要な変数(とくに数値)を次のような行で取り出す。 $age = mb_ereg_replace('[^0-9]', '', $line); これだけです。 ということで、
「相手の顔が見える」ネット攻撃の怖さ
先日,携帯電話で利用するBluetooth対応のヘッドセットを購入した。ご存じの方も多いだろうが,利用を開始する前には,ヘッドセットが出している電波を携帯電話で受信して,その機器を登録する「ペアリング」と呼ぶ作業が必要である。 このペアリング作業を自宅で開始すると,携帯電話の画面には2台のBluetooth機器を検出したと表示された。2台の機種名を表示させてみると,1台は買い求めたばかりのヘッドセット。もう1台はS社の携帯電話端末だった。我が家にはS社の携帯電話はない。つまり,近所の住人が利用中の機器を検出したということだ。 最近の携帯電話は,ほとんどがBluetooth機能をサポートしている。当然,ご近所さんがBluetooth対応携帯電話を利用している確率も高くなっているわけで,検出したこと自体には何の不思議もない。マウスくらいしか用途がなかった時代からBluetooth機器を利用して
“セキュアなWebアプリ”に立ちはだかる課題
“セキュアなWebアプリ”に立ちはだかる課題:セキュリティ、そろそろ本音で語らないか(4)(1/3 ページ) SQLインジェクションによる情報漏えい事件がクローズアップされています。対策は簡単なこと……と言われ続けているのですが、なぜWebアプリケーションの脆弱性は無くならないのでしょうか。第4回ではその理由に迫ります(編集部) 私は前職で、Webアプリケーションの脆弱(ぜいじゃく)性による個人情報の漏えいの脅威を広く知ってもらうために実在のサイトの脆弱性を公開する、ということをしていました。最初のレポートが2001年10月で、恐らく日本で最初ではないかと記憶しています。 それから何年もたちましたが、相変わらずWebアプリケーションの脆弱性はなくならず、いまもさまざまな対策ソリューションが発表されています。 Webアプリケーションの脆弱性対策は、おおむね以下のように分類できます。 開発時に
第7回■文字エンコーディングが生み出すぜい弱性を知る
文字コードに関する問題は大別すると文字集合の問題と文字エンコーディングの問題に分類できる。前回は文字集合の取り扱いに起因するぜい弱性について説明したので、今回は文字エンコーディングに起因するぜい弱性について説明しよう。 文字エンコーディングに依存する問題をさらに分類すると2種類ある。(1)文字エンコーディングとして不正なデータを用いると攻撃が成立してしまう点と,(2)文字エンコーディングの処理が不十分なためにぜい弱性が生じることがある点だ。 不正な文字エンコーディング(1)――冗長なUTF-8符号化問題 まず,(1)の不正な文字エンコーディングの代表として,冗長なUTF-8符号化問題から説明しよう。前々回に解説したUTF-8のビット・パターン(表1に再掲)を見ると,コード・ポイントの範囲ごとにビット・パターンが割り当てられているが,ビット・パターン上は,より多くのバイト数を使っても同じコー
高木浩光@自宅の日記 - Bluetoothで山手線の乗降パターンを追跡してみた , ユビキタス社会の歩き方(6) Bluetoothの「デバイスの公開」「検出可能にする」..
■ Bluetoothで山手線の乗降パターンを追跡してみた この日記を書き始めてからもう6年になろうとしている。書き始めたきっかけは、RFIDタグのプライバシー問題が理解されないことに焦りを感じたからだった。当時の空気では、RFIDタグは5年後くらいに普及し、しだいにRFIDの埋め込まれた日用品で溢れかえるようになり、10年後くらいにプライバシー問題が顕在化すると目されていた。しかし、6年経った現在、私の靴にRFIDタグは埋め込まれていない。 当時の議論で描かれていたRFIDタグの問題は、無線LANやBluetoothにも共通することであり(MACアドレスがユニークIDとなる)、それらの方が先に普及するかもしれないという予感はあったが、現時点でも、無線LAN機器を持ち歩いている人はごく一部の人に限られている。しかし、Bluetoothはどうだろうか。これまでにも何度か、最近のBluetoo
クリックジャッキングってこうですか? わかりません
↑ この透過されているiframeは、ブラウザの最前面に配置されています ※はてなにログインしていると、どのようにボタンが被っているのかわかりやすくなります
あなたのLinuxマシンをセキュアにするために知っておくべきiptablesのルール10選
文:Jack Wallen(Special to TechRepublic) 翻訳校正:村上雅章・野崎裕子 2009-03-03 08:00 iptablesをマスターするには時間がかかるものの、セキュリティに関する基本的なニーズを満たすことのできるいくつかのルールを知っておくだけで、あなたのLinuxシステムのセキュリティを向上させることができる。本記事では、その手始めとなる重要なルールを解説する。 iptablesは、Linuxマシンをセキュアにするための強力なツールだ。とは言うものの、その機能の多さには圧倒されてしまいがちである。そして、コマンドの構造をしっかりと理解し、マシンのどの部分をどのようにセキュアにすべきかを把握した後であっても、ややこしいことに変わりはない。しかし、iptablesの良いところは、極めて広いその適用範囲にある。このため、iptablesのルールのいくつかを
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
テクノロジー : 日経電子版
「ゼンリン住宅地図サービス」に建物の入居者リスト表示機能