AutoPagerize0.0.25 - SWDYHAutoPagerize – Userscripts.org http://userscripts.org/scripts/show/8551 開いているページと次ページのドメインが違っている場合は継ぎ足しをしないようにしました。 アップデートお願いします。
Greasemonkeyの共通な落とし穴を避ける - minghaiの日記
Greasemonkeyの過去においてのセキュリティ上の問題の解説。 Greasemonkeyだけに限らず、JavaScriptによるユーザ拡張を作成している全ての方に対して一読の価値があるドキュメントだと思われます。 原文:O'Reilly Media - Technology and Business Training Greasemonkeyの共通な落とし穴を避ける Greasemonkeyのセキュリティの歴史があなたの今にどう影響するのか (著) Mark pilgrim "Greasemonkey Hacks"の著者 2005/11/11 昔々、あるところにセキュリティホールがありました。(これは普通のおとぎ話ではないからそのまま読んでください。) Greasemonkeyのアーキテクチャは最初に書かれて以来大幅に変更されてきた。Version0.3は初めて広範囲に人気を得たバー
書籍 ウェブアプリケーションセキュリティ サポートページ
1章 ウェブアプリケーションセキュリティの基礎 ・HTMLによる制限は回避可能である ・裏側で何が行われているのか ・パケットスニッファ ・プロキシツール ・ウェブブラウザの存在そのものが偽装できる ・リクエストの書き換えでHTMLの制限を回避する ・JavaScriptの制限を回避する ・hiddenフィールドの内容を書き換える ・フォームの値の書き換えとGET/POST ・Cookieを書き換える ・リファラやUser-Agentを書き換える ・リクエストに含まれる情報は信用できない 2章 データ処理の原則と指針 ・データ処理の原則 - 原則1 - 原則2 - 原則3 - 原則4 ・hiddenフィールドとCookieに関する指針 - 指針1 - 指針2 - セキュリティと前提 ・「入力時に型チ
Adobe Reader 8/Acrobat 8に情報漏えいの脆弱性、修正プログラム未提供 : HotFix Report BBS - 家庭内インフラ管理者の独り言(はなずきんの日記っぽいの)
元ネタはsecuniaのSecurity Advisory SA24408 - Adobe Reader and Acrobat PDF "file://" URL Handling Security Issue - Secunia Adobe Reader 8/Acrobat 8にリモートからファイルを取得できる脆弱性が発見されたそうです。 PDF文書の中に「file://」のURIを埋め込むことによって、そのPDF文書を開いたローカルのPCのファイルを攻撃者に送信できてしまうようです 現時点では、Adobe - Security bulletins and advisoriesにはまだ記述がないようです。 とりあえず、Adobeの対応待ちかな。
blog.8-p.info: NSURL なんとかで cookie を共有
hibomaのはてなダイアリー - 「Automatorで良いのは、cookieとかのsessionがそのまま利用できるとこ」とのこと 裏を返すと、悪意のあるAutomatorアプリ(もしくはAppleScript)を走らせるとSafariのCookieが透過的に利用されてしまいセッションハイジャックされる危険性がある と。 Automator や AppleScript を使わなくとも、Cocoa の NSURL なんとか系列の API を使う限り、cookie は共有されている感じがします。 require 'osx/cocoa' url = OSX::NSURL.URLWithString('http://mixi.jp/home.pl') req = OSX::NSURLRequest.requestWithURL(url) data = OSX::NSURLConnection.
"週"記(2007-01-04)
_ [webappsec] [WEB SECURITY] Universal XSS with PDF files: highly dangerous サイト上にPDFがある場合、 http://path/to/pdf/file.pdf#whatever_name_you_want=javascript:your_code_here とアクセスすることで、スクリプトが実行されてしまうという問題。 Firefox 2.0 + Acrobat 7.0 で再現を確認。ちょっと凝ったスクリプトを実行させようとしたら Firefox が死んでしまったのでどこまでできるのか不明だけど他サイトに置いたスクリプトを読み込ませられたので、こりゃやばそう。 Acrobat 側の問題だとは思うけど放置しておけないので、手元の環境では、Content-Type: application/pdf ではなく、appl
OBB vs AABB - Radium Software Development
iPhoneの一般修理店は予約なしでも来店できる? 基本的には飛び込みで修理に行ってもOK iPhoneを置いていたソファにうっかりと腰かけてしまい、パネルを割ってしまった、こんな時はスマホの一般修理店へ行きましょう。画面割れは、スマホやタブレットの故障原因として非常に多いものです。予約なしで突然お店に行っても平気かしらと、不安に思う方々もいらっしゃるかもしれません。結論としては特に問題はなく、予約なしで訪問しても画面割れの修理はお願いできます。 ただし他のサービス業のお店同様、予約なしの場合、お店が混雑していると順番待ちをしなければいけないです。特に繁盛しているスマホ修理のお店だと、行列が店内で出来ており、予約なしだと、自分の順番が巡ってくるまで長時間待たされる可能性があります。平日の朝、昼なら利用客が少ない場合が多く、飛び込みでも比較スムーズに修理が頼めます。 予約は入れた方が時短に、
(ひ)メモ - ipt_recent
補足:いまならrecentじゃなくてhashlimitを使った方がよさげ。 以下の文章はrecentについてなので、hashlimitについて追記した id:hirose31:20060421 を見てもらった方がいいと思うす。 SSHのbrute forceアタックがうざいので、iptablesで悪い子はDROPするようにする。 OpenSSHのログをみて、 一定時間に一定回数連続でアクセスに失敗しているやつはDROPするようにして、 atで然るべき時間が経ったら解除するように しようかなぁと思ったら、iptablesにはipt_recentなんて便利がものがあるのがわかった。 Debian GNU/Linux 3.1(sarge)運用ノート SuSE Security mailinglist: Re: [suse-security] SSH attacks. iptables(8) ↑を
仙石浩明の日記: GCDバックアップ回線の監視(2)
sshによるバックアップ回線の監視を仕掛けて一日、 タイムアウト(監視プログラムには 10秒のalarmを仕掛けている) エラーが発生。 なぜかと思って調べてみると、 同一IPアドレスからのsshアクセスが多い、 という理由でブロックされてしまっていた (^^;)。 ssh攻撃が多い昨今、GCDのサーバには、 次のようなフィルタが仕掛けてある: iptables -N block_ssh 2>/dev/null || iptables -F block_ssh iptables -N ssh 2>/dev/null || iptables -F ssh iptables -A block_ssh -j LOG --log-prefix block_ssh: \ -m recent --name block_ssh --set iptables -A block_ssh -j DROP ip
不審なプログラムがいないか確かめたい:ITpro
筆者のような心配性の人間は, 「ひょっとしたら,いつのまにか自分のパソコンで不審なプログラムが動いているのではないか」とついつい気になる。 ウイルス対策ソフトやパーソナル・ファイアウォールを使うといった基本的な対策をしていても,未知のウイルスやゼロ・デイ攻撃*に対しては歯が立たない。ネットワークにつないでいる限り,こうした危険は常につきまとう。 起動時の挙動や動作中プロセスを確認 あれこれ心配するだけでは何も解決しない。こういうときは,実際にパソコンを立ち上げる際にどんなプログラムやサービスが一緒に起動するようになっているかを調べたり,現在どんなプログラムが稼働しているのかをフリーソフトを使って確認するといい。 ここで紹介する「スタートアップチェッカー Ver 2」(図1)を使えばWindowsの立ち上げ時に一緒に起動する項目や稼働中のプログラム,サービスの状況をまとめて確認できる。調べた
DNS の再帰的な問い合わせを悪用したDDoS 攻撃手法の検証について (pdf)
平成18年7月11日 警 察 庁 DNS の再帰的な問い合わせを悪用した DDoS 攻撃手法の検証について 1 はじめに 分散サービス不能(Distributed Denial of Service:DDoS)攻撃は、複数のコンピュータ から大量のデータを送信することで攻撃対象を過負荷状態に陥れる攻撃であり、国内で は昨年 4 月に複数の中央省庁の Web サイトが一時閲覧不能となるなどの被害が発生して おり、今年 5 月に島根県庁の Web サイトにおいても同様の被害が発生している。 この DDoS 攻撃手法の一種として、インターネットの基幹システムである Domain Name System(DNS)を踏み台として利用する攻撃手法がある。 DNS のサービスを提供す る DNS サーバは世界中に無数に存在しているが、 その多くが踏み台として悪用される危 険性を抱えており、今後大きな
ssh攻撃 | Okumura's Blog
sshのブルートフォース攻撃,たいへんうざいので,少し制限をすることにした。私のサーバにssh/sftpできなくなった場合は教えてください。 解説:少し前からsshでユーザ名・パスワードの組合せを延々と試してくる攻撃が流行っている。私のサーバももちろんさんざん攻撃されている。実際にこれでrootを取られた話を身近な人から聞いた。学生なんかが初期パスワードを「覚えやすい」ものに変えると起きるようだ。昔はパスワードは受け取ったらすぐに変えさせるのがセキュリティ教育の一つだったが,今は初期パスワードを変えさせない(少なくともパスワードの強度の概念が十分理解できるようになるまでは)のが正しいようだ。いったん一般ユーザで入られたらいろいろな手段でrootを取られる可能性がある。もちろんパッチはすぐに適用しているが,パッチが出る前に攻撃されたらたまらない。 で,フィルタリングの方法だが,最初,学内のマ
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
高木浩光@自宅の日記 - WinnyのDownフォルダをインターネットゾーンにする
■ WinnyのDownフォルダをインターネットゾーンにする いくつかの国々では、貧困層に薬物乱用が蔓延し、注射器の回し打ちで悪性の感染症が広がっているとき、無料で注射セットを配布するのが正義なのだという。 ニートにWinny乱用が蔓延し、Downフォルダのダブルクリックで悪性のトロイの被害が広がっているとき、私達にできることといえば、せめて安全なファイルの開き方だけは伝えていくことではないだろうか。どうしてもWinnyを使いたいならDownフォルダをインターネットゾーンにして使え、と。 Vector Softライブラリに、「ZoneFolder.VBS」というVBスクリプトのパッケージがある。 この中にある「インターネットフォルダ.VBS」を実行すると、作成するフォルダ名を入力するよう求められるので、できるだけランダムな名前を入力する。
RTFM
ドキュメントを読まない輩 結論: ぐぐるな。ドキュメントに書いてあるとわかっているのになぜ google に頼る? 巷間でよく見られる、しかし Apache の配布アーカイブ一式に含まれているドキュメントをちゃんと読んでいれば起きないはずの設定ミスや、ミスではないがふしぎな設定について。 <Limit>: セキュリティ上のリスクがあるのですみやかに確認・修正されたし AddDefaultCharset: 穴ではないが修正が必要 LanguagePriority: ほとんどのサイトでは無意味 ScriptAlias: 管理者でなくエンドユーザがハマるのはしかたないけれど SetEnvIf: どこも間違ってはいないのだが… Apache のドキュメントは日本語未訳なところが一部残っているけれど、全体として非常によくまとまった情報源である。少なくとも、「このディレクティブをどう設定するとどう動く
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews