高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
CSRF対策は基本? | 水無月ばけらのえび日記
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
善意であれ事実であれチェーンメールはダメゼッタイという話 - 聴く耳を持たない(片方しか)
先日TwitterでAB型Rh-の血液が足りないので、適合する人を募集しています。といった投稿が非公式Retweetされ話題になりました。 【戒め】RH-デマの流れと気になったPOST - Togetter 実際にはそうした事実はなく(追記あり:実際に事故に遭われた方がいるそうです)、またこれは古くからチェーンメールの文面に似ており、伝播するのも早かったのですが、デマと判断して指摘されて収束するのも思いのほか早かったです。 献血のチェーンメールみたいなRTで、ネット上の情報は信頼できることがわかった話 - 快適な生活 今回のチェンメでも、「それデマだよRT」が速攻で広まったし、その速度はデマRTの広まり方より速い。ていうかそもそもおれなんかデマを見る前に運良く「デマじゃね?」ってpostを見てたのでもう完全なるネタバレだったのです。 間違った情報よりも正しい情報の方が速く広まるのです。 間
ユーザー名やパスワードの変更に伴う問題について
ユーザー名やパスワードの変更に伴う問題について 14 years ago 現在、パスワードのリセットやメールアドレス、ユーザー名のリセットをすると、 アカウントがロックされてしまうというユーザーからの報告があり ます。この事象は最近始めたユーザーだけでなく、長く利用しているユーザーに も起こっているようです。現在のところ、ユーザー名やメールアドレス、パスワードを 変更しないことをお薦めします。最新の情報が分かり次第、ステータスブログを 更新します。
Twitterクラッキングによるアカウント乗っ取りを図にした
今日の15:00頃にtwitter.comがクラッキングされて、全く異なるトップページが表示されていたようです。 Twitter Blog: DNS Disruption Twitter がクラッキングを受けてダウンしている模様 – Yaks Twitterがクラックされている件 – 西尾泰和のはてなダイアリー 私が見た時は単に接続ができない状態だったのですが、DNSを不正に書き換えられてtwitter.comが別サーバに向くようになっていました。 すでに各サイトで技術的な解説はされているので、タイムラインで懸念されているアカウント乗っ取りについて図を書いてみました。 通常時 OAuthを使っていない多くのTwitterクライアントは、Basic認証を使ってアカウントの認証を行っています。つまりTLを取得するなり、postするなり、twitter.comへのリクエスト毎にアカウントIDとパ
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」
セブン&アイグループが12月8日にオープンしたECサイト「セブンネットショッピング」のソースコードが流出したとネットで騒ぎになっている。同サイトの広報担当者によると、流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。個人情報流出の可能性もないとしている。 デモ用のソースコードが公開サーバに置いてあり、誰でもアクセスできる状態になっていた。同社は12月17日午前、ソースコードに外部からアクセスがあったことに気付き、すぐに公開サーバから削除。「データベース等非公開サーバに侵入されたわけではなく、個人情報流出の危険はない」としている。 同サイトについては14日ごろから、XSS(クロスサイトスクリプティング)脆弱性も指摘されていた。「個人情報を扱うページではXSS脆弱性はなく、個人情報の流出はないが、そうでないページに脆弱性があった」とし、15日までに対策を取ったという。 届け
chisepyon@祝オリックス日本一おめでと~\(^o^)/ on Twitter: "私もわかりません、何を考えているんでしょうか RT @amebanow: いろんな人から「こんにちはこんにちは!」って言われるけど、なんで2回言うのか意味がわからないなう。"
私もわかりません、何を考えているんでしょうか RT @amebanow: いろんな人から「こんにちはこんにちは!」って言われるけど、なんで2回言うのか意味がわからないなう。
CTスキャンの被ばく量、想定より多かった 数十年後にがん発症リスク
インド・バンガロール(Bangalore)の病院でCTスキャンを受ける男性(2005年4月6日撮影)。(c)AFP/Dibyangshu SARKAR 【12月18日 AFP】CTスキャンを受ける際に浴びた放射線が原因で数十年後にがんを発症する可能性があるとする2つの論文が、14日の米内科学会誌「アーカイブス・オブ・インターナル・メディシン(Archives of Internal Medicine)」に掲載された。 CTスキャンは、X線を照射し、検査対象の臓器や組織の3D画像をモニターに映し出す。 米サンフランシスコ(San Francisco)の4病院が行った研究は、現在の検査で通常照射される放射線量は、中央値でさえ、想定されていた値の4倍であることがわかったとしている。CTによる1枚の冠動脈造影図の被ばく量は、胸部レントゲン写真309枚に匹敵するという。 同研究は、冠状動脈をCTスキ
セブンネットショッピングの「事故」が報じられない理由 - NOW HERE
セブンアンドワイの通販サイトがとんでもないことになってる件。 最初は10月17日から1個あたりの単価で1ケース単位を売っちゃった。 10月17日、イトーヨーカドーのショップサイトでセット商品の価格を単品価格で表記してしまい、誤表記を発見した『2ちゃんねる』ユーザーたちから注文が殺到するという騒動が発生した。『2ちゃんねる』では『イトーヨーカドー祭り』や『イトーヨーカドー誤表記祭り、商品配送ww』というスレッド(掲示板)が作られ、アレもコレもと大量注文されるという事態に発展していったのだ。 イトーヨーカドー価格誤表記で祭り! 2352円を98円で販売! | ガジェット通信 GetNews そして一旦閉鎖、12月8日、リニューアルしてオープンしたら、なんにも直ってないの。 539 名前:以下、名無しにかわりましてVIPがお送りします[] 投稿日:2009/12/08(火) 08:20:52.0
おごちゃんの雑文 » Blog Archive » これは「エンジニアの反乱」ではないか?
ヨーカドーのネット通販が酷いことになっている。 セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される セブンアンドワイ、XSS脆弱性が見つかる。また社員が2chを覗いていたことが判明 セブンアンドワイ、Google検索で個人情報が丸見えだった模様。また今回の件でアフィリエイトにまで影響が とうとう「オープンソース化」までされる始末。 セブンアンドワイ、今度はソースコードを流出させる。 svnで公開なんてやってくれるぜ。私は初期版をcvsの類で出すのは消極的なんだけど(これはいずれ連載の方で)。 ただ、この前の「はまちちゃん」もそうなんだが、これは実は「エンジニアの反乱」ではないか? もちろん、一連の事件はエンジニアが結託してサボタージュをやったとか、そーゆー類では断じてないだろう。みんなそれぞれのエンジニアは、自分の能力の範囲、自分の仕事の範囲では
小沢 「いやしくも我が声は全国民の声である。よって反対する者は全国民の敵とみなすと心得よ」:アルファルファモザイク
■編集元:ニュース速報板より「小沢 「いやしくも我が声は全国民の声である。よって反対する者は全国民の敵とみなすと心得よ」」 1 巾着(栃木県) :2009/12/17(木) 08:26:48.59 ID:fGhq3Zxy ?PLT(13000) ポイント特典 クローズアップ2009:民主予算要望(その2止) 小沢氏主導、鮮明に 来年度予算編成に向けた民主党の重点要望の申し入れに対し、政府側は16日、鳩山由紀夫首相や藤井裕久財務相ら関係政務三役がそろって応対した。当初、「我々は要望するだけ」と控えめだった小沢一郎幹事長は「全国民からの要望だ」と予算化を強く要求。政権交代後、初めて臨む予算編成は「党高政低」の構図が鮮明となっており、政策決定の内閣一元化は揺らいでいる。 「どうぞ可能な限り、予算に反映させていただくよう、お願い申し上げる」 16日に首相官邸で開かれた民主党と政府の意見交
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
IIS 7.5 详细错误 - 404.0 - Not Found
错误摘要 HTTP 错误 404.0 - Not Found 您要找的资源已被删除、已更名或暂时不可用。
IIS 7.5 详细错误 - 404.0 - Not Found
错误摘要 HTTP 错误 404.0 - Not Found 您要找的资源已被删除、已更名或暂时不可用。
天皇会見いったん見送り容認 「健康配慮なら」と中国側 - 岩手日報ニュース
2009年12月18日 天皇会見いったん見送り容認 「健康配慮なら」と中国側 天皇陛下と習近平・中国国家副主席の特例会見をめぐり、会見が正式に設定される2日前の今月9日ごろ、中国高官が「陛下のご健康に配慮し会見を見送るなら、やむを得ない」と日本側に伝えていたことが17日、分かった。複数の中国関係者が明らかにした。 11月下旬から特例会見を求め続けてきた中国側が、交渉終盤で見送り容認姿勢を示していたことが判明したのは初めて。10日からの訪中を控えた小沢一郎民主党幹事長の意向を受け、首相官邸による政治判断で方針転換し、特例会見が実現した実態が裏付けられた。 中国筋によると、この中国政府高官は9日ごろ、日本側と中国国内で協議。日本側が「陛下はご高齢であり、健康状態を勘案してほしい」と説明したところ、高官は「そういう話なら会見見送りは理解できる。共産党指導部を説得できる」と受け入れた。 中国側は
小沢氏、宮内庁長官を「あいつこそどうかしている」特例会見問題で - MSN産経ニュース
民主党の小沢一郎幹事長が17日、天皇陛下と中国の習近平国家副主席との特例会見を「天皇陛下の政治利用」にあたると懸念を表明した羽毛田信吾宮内庁長官を改めて激しく批判したことが明らかになった。 小沢氏は同日、羽毛田氏について「あいつこそどうかしている。天皇の権威をカサにきている」と批判した。国会内で関係者に語った。 記者会見など公の場での発言ではないが、天皇陛下に仕える宮内庁長官を「あいつ」呼ばわりし、羽毛田氏が天皇陛下を後ろ盾に使っているかのような認識を示した小沢氏の言動は、与党実力者としての良識が問われるものだ。 小沢氏の羽毛田氏批判が明らかになったのはこれで3回目。小沢氏は14日の記者会見で「もしどうしても反対なら、辞表を提出した後に言うべきだ。当たり前でしょ、役人なんだもん」と述べて辞任を要求したが、羽毛田氏は応じない考えを示している。 15日にも小沢氏は自身の政治資金パーティーで「内
認知ロボットの実験から考える「自己」とは?
12月15日、東京財団の研究プロジェクト「VCASI(ヴィカシ。Virtual Center for Advanced Studies in Institution=制度にかかわる仮想高等研究所=仮想制度研究所の略称)」(主宰:青木昌彦スタンフォード大学名誉教授)は、独立行政法人理化学研究所(理研)の脳科学研究センターにて、認知発達ロボティクスの研究を行なっている谷淳氏によるセミナーを開催した。 谷淳氏は「脳・認知ロボットの実験から考える内在的な自己について」と題して講演した。テーマは、自己のありようについて。自己には「最小自己」「社会的自己」「自己参照的自己」の3段階があるという。そして「自己」は、過去の回帰と、将来の予測の相互作用において自己組織化される臨界的な状況において存在するものだと述べた。レポートする。 ●身体性と反射だけでは知的なロボットはできない 谷淳氏は、1981年に早稲
水が豊富な「スーパーアース」発見、これまでで最も地球に近似
欧州南天天文台(ESO)が公表した恒星「CoRoT-7」の周りを回るスーパーアース(巨大地球型惑星)「CoRoT-7b」(手前)のイメージ画(2009年9月16日公表、資料写真)。(c)AFP/ESO 【12月17日 AFP】地球より大きく、地表の半分以上が水に覆われているとみられる「スーパーアース(巨大地球型惑星)」を発見したと、米ハーバード・スミソニアン天体物理学センター(Harvard-Smithsonian Centre for Astrophysics)が16日、英科学誌「ネイチャー(Nature)」に発表した。 研究によると、このスーパーアースは約42光年で、半径は地球の約2.7倍。「GJ 1214b」と名づけられた。 表面温度は推定120~280度で、生命体を維持するには高温すぎる。しかし、惑星の密度は、4分の3が水と氷で、残り4分の1が岩で構成されている可能性を示していると
asahi.com(朝日新聞社):高校に猟犬や野犬乱入 次々かみつき生徒4人けが 三重 - 社会
17日午後1時半ごろ、三重県松阪市飯南(いいなん)町粥見(かゆみ)の県立飯南高校から「乱入した犬に、生徒4人がかまれた」と110番通報があった。 松阪署によると、近くに住む農林業の男性(57)が同校の裏山でイノシシ猟のため放した猟犬5頭が、別の野犬2頭ととも同校グラウンドなどに乱入。練習中のサッカー部員など1、2年生の男子生徒4人の太ももやふくらはぎに次々とかみついた。4人のけがは軽いという。 猟犬はいずれも体長70〜80センチの中型犬で、約1時間後に地元の猟友会などが捕獲、収容したが、野犬は逃げた。どの犬が生徒をかんだのかはわかっていないという。 同校の裏山は、シカやイノシシの猟区で、猟犬の飼い主の男性は「約35年、地元で猟をしてきたが、猟犬が人里に下りたのは初めて。獲物のにおいにつられたのかもしれない」と説明。同校の宇田克巳校長は「生徒の命にかかわる問題で、二度と乱入が起きないよ
子ども手当の所得制限「目安は1億円」…藤井財務相 : 痛いニュース(ノ∀`)
子ども手当の所得制限「目安は1億円」…藤井財務相 1 名前:出世ウホφ ★:2009/12/17(木) 20:26:36 ID:???0 子ども手当所得制限「目安は1億円」財務相 「(子ども手当の所得制限について)世間の一部の人が800万円とか言っているが、基本的な(マニフェストの)修正になるので、あってはならない。1億円になった時にどうかという話です」−藤井財務相は17日の閣議後会見で、民主党が要望した子ども手当の所得制限について、1億円という所得の目安を示し、一部の富裕層に限定して実施すべきとの考えを述べた。 また、子ども手当の財源として、現在の児童手当程度の負担を 地方自治体に対して求めるべきとの考えを示した。 http://news24.jp/articles/2009/12/17/06149946.html 2 :名無しさん@十周年:2009/12/17(木) 20:27:08
大阪大学 社会経済研究所 研究者紹介
大阪大学理学部卒, 博士 (理学) (奈良先端科学技術大学院大学) [近年の研究テーマ] ニューロエコノミクス (神経経済学) , 時間割引率の脳内メカニズムの解明 私の研究テーマは, 報酬に基づく行動学習・意思決定に関わる脳内メカニズムの解明です. 特に, 目先の小さい利益か, 将来の大きい利益かといった, 異なる時間スケールでの選択問題を解く際の脳内メカニズムを, 時間割引率モデルに基づいて研究しています. 実験的手法として, 非侵襲脳機能計測であるfMRI (機能的磁気共鳴画像法) を用いて, 選択問題を解いているヒトの脳活動を計測し, 脳活動データを数理モデルに基づいて解析しています. これまでに, 異なる割引率での報酬予測には, 脳の異なる回路が関わることを明らかにし, Nature Neuroscienceに発表しました (Tanaka, et. al., 2004).
何度も痛い目に遭う人、脳内物質が不足…阪大 : 科学 : YOMIURI ONLINE(読売新聞)
何度も痛い目に遭う人は、脳内の神経伝達物質「セロトニン」が不足している――。大阪大社会経済研究所の田中沙織・特任准教授らのグループが、研究結果をまとめた。 借金を重ねる多重債務などの問題行動を解明できる可能性があるという。16日の米科学誌「ジャーナル・オブ・ニューロサイエンス」電子版に発表した。 セロトニンは「トリプトファン」というアミノ酸などから脳内で作られ、精神的な活動に欠かせない。トリプトファンを含む飲料を男性21人に飲ませて実験。濃さは「過剰」「通常」「不足」の三つに分けた。 脳内でセロトニンへ変化した後、選んだ図形に応じて報酬が変化するゲームを1人660回実施。図形は8種類で、賞金がもらえるものと罰金を払うものがある。賞金と罰金のペアごとに示し、賞金はより多く、罰金はより少ないものを選ぶよう促した。 より少ない罰金を選択する問題で、セロトニンが不足している人は、正解が3問後(約1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
7&Yのネットショッピングサイトのソースコード、公開サーバー内の「.svn」ディレクトリより流出? | スラド セキュリティ
47NEWS(よんななニュース)
asahi.com(朝日新聞社):調査捕鯨船団にレーザー光線 シー・シェパードが妨害 - 社会
大竹文雄:失業がもたらす痛み 大阪大学社会経済研究所教授