@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
CSRF | 鳩丸ぐろっさり (用語集)
用語「CSRF」についてCSRF (しーえすあーるえふ)話題 : セキュリティ CSRF は Cross Site Request Forgeries の略です。"forgery" は偽造の意味で、サイトをまたがって捏造された攻撃リクエストを送信する、という程度の意味になります。 ※ちなみに、CSRF は「シーサーフ」と発音するのだという説もありますが、少なくとも日本では「しーえすあーるえふ」と呼ぶ方が主流のようです。 たとえば、blog などは Web 上の管理画面で記事の削除ができるようになっています。削除を実行するには、削除を行うような HTTP のリクエストをサーバに送れば良いのですが、この画面は Cookie なり、Basic 認証なりでアクセス制御がされています。そのため、正規のユーザ以外が削除のリクエストを送っても何も起きません。ログイン済みの正規のユーザが「削除」のリクエス
[mixi] 登録済みメアドのみでアカウントを量産する方法 :: ぼくはまちちゃん!
mixiに登録済みのメールアドレスのみを使って新規アカウントを取得する方法。 ただし複数アカウントを持つのは規約違反だから、この方法を使うのは パソコンが苦手なバアチャンとかを招待したい時だけにしようね! まずはmixi新規登録手順のおさらいだ。 招待するひと:Aさん 招待されるひと:Bさん 1. Aさんがmixiの画面から招待 2. AさんからBさん宛に招待メールとどく 3. Bさんが仮登録 4. mixiからBさん宛に確認メールとどく 5. Bさんが確認メールのURLにアクセス 6. 完了 この流れをAさんのメールアドレスのみを使ってやる。 -------- [前準備] ・友人を招待のページ http://mixi.jp/invite.pl へいく ・適当なメールアドレスを入力 ※ブラックリスト入りしてるアドレスだとマズイので、 なるだけ「ありえないアドレス(ありえないドメイン)」を入
Teach Yourself Programming in Ten Years 日本語訳
以下の文章は、Peter Norvig による Teach Yourself Programming in Ten Years の日本語訳である。 本翻訳文書については、以下の方々にご教示を頂きました。ありがとうございました。 Shiro Kawai さん:誤訳の訂正 三好博之さん:誤訳の訂正 竹中明夫さん:2001年7月改版分の訳、誤訳の訂正(共訳者にクレジット) Toshihiko Ono さん:誤訳の訂正 アクビさん:訳注3に関する情報 どうしてみんなそんなに急ぐの? どの本屋に足を運んでも、『7日で学ぶ Java』といったハウツー本を見かけるし、そのそばには Visual Basic や Windows やインターネットなどについて、同じように数日や数時間で学べると売りこむ本が無限のバリエーションで並んでいる。Amazon.com で以下の条件で検索してみたところ、 pubdate
【ちょいろぐ!〜個人ニュースサイト的小ネタブログ〜】 | 【Tips】GoogleVideoをAviに変換する方法&ついでにiPodに入れてみる!
一定期間更新がないため広告を表示しています
Home | JAM-Movie
ご依頼いただいたアニメも鋭意制作しております! ガンホー・オンライン・エンターテイメント様より パズドラ公式アニメ【パズミ&ドラゴンズ】を制作致しました。
Google with Wayback Machine - さそり
FIREFOX | 23:19 | 昨日予告したGreasemonkeyスクリプトです。Googleの検索結果の隣にInternet Archiveでの検索結果へのリンクを置くというもの。これでせっかくの検索結果が404 Not Foundのときも超安心!設置されるアンカーにはgm-webarchiveanchorというクラスを設定してるので、見た目が気に入らない方はuserContent.cssあたりで調節してください。しんせつせっけい。 Get Script → googlewithwayback.user.js 今気が付いたけど、他にGoogle系のスクリプトを動かしてるとバッティングするかも。作るにあたりGoogleの検索結果のソースを凝視したのだけど、ちょっとW3C的にアレな感じで目眩が。20%ルールもいいけど、このへんちゃんとしようぜ、とおもた。スポンサー広告が入るとテーブルレ
繭八庵@Hatena - コメント数を一覧表示 (Firefox用のGreasemonkey Script)
Flickr: Thumbnails Enhancer greasemonkey script | Flickr - Photo Sharing! サムネイルの下にコメント数とノート数を表示してくれるFirefox用のGreasemonkey スクリプトです。 グループや、フォトセットを一覧表示したときに、ずらずらっとコメント数を出してくれるので、自分のどの写真にコメントが多くついているのか、グループのなかで、コメントが多いのはどれか、またノートがついている写真はどれかというのが一目でわかります。この写真にどんなノートを付加しているのだろうと興味をひかれて見にいったり、グループのプールではコメントが多くついている写真を見にいったりということ多いです。 前回ご紹介した最新のコメントを一覧表示 - 繭八庵@Hatenaと比べると利用頻度はそれほど高くないですけれども、個別に見にいかなくてもデー
Hatena Bookmarker Ranking
This Page is a List of the User who is Doing his Best by "Hatena Bookmark".
Amazon の商品ページに Yahoo!オークションの検索結果を表示する Greasmonkey スクリプト - AUSGANG SOFT
Amazon の商品ページに Yahoo!オークションの検索結果を表示する Greasmonkey スクリプト 前回の応用で、Amazon の商品ページを開くと、商品名で検索して、自動的にYahoo!オークションの検索結果を表示する Greasmonkey スクリプトを書いてみました。 add2amazon.user.js その他のGreasemonkeyスクリプト インストールは、右クリック(Mac は ctrl+クリック) → "Install User Script..." で。 ※GreaseMonkey0.6.4は Google ツールバー と併用すると動作しなくなる問題が出ているそうです。ご注意ください。 表示まで若干タイムラグがありますが、Yahoo!オークションとの価格比較ができます。 Amazon の商品名は、サーチエンジン対策のためか、かなり冗長なものも多くて、そのまま
THE SOURCE - The Beatles Christmas Recordings
The Beatles' Christmas Record Recorded at EMI Studios 17 October 1963 on reel E50887 Produced by George Martin
A.A.O.|音楽を持ち歩きたい
2005年も残すところあとわずか。流行語大賞やヒット商品番付なども次々に発表され、この1年を振り返る季節になりました。今年流行したものといえば、なんと言ってもAppleの「iPod」をはじめとするデジタルオーディオプレーヤーです。筆者自身根っからの音楽好きなので、収録曲数が多く小型で軽いデジタルオーディオプレーヤーの登場は大歓迎なのですが、ここで心配なことが1つ。「私にも使えるのかな?」 そこで、今年最後のコラムは、「視覚障害者は音楽を持ち歩けるか」について考えてみたいと思います。 普段どのようにして音楽を聴いているのか 筆者は普段からポータブルMDプレーヤーを愛用しています。危険なので街を歩きながら聴くことはありませんが、通勤や帰宅の電車内ではいつも音楽に浸っています。また自宅ではWindows Media Playerを使って、好きなアーティストの新曲を視聴したりインターネットラジオを
筒井康隆『敵』のJIS感字論的解読
いけだ しょうじゅ/一九九八年二月 其の一 筒井康隆『敵』。 この本は、JIS漢字論的にいうとものすごい本だということに気付きました。といってもまだ途中までだし、「JIS漢字論」って何?といわれそうですが、まあ、聞いてください。 擬音語がすごいのですが、「信子」の章に出てくる「躯躯躯躯躯」には思わず 興奮してしまった。 笑い声「ククククク」に身体性(「躯(からだ)」)を被せているわけですが、実は「躯」の字は78JISと83JIS以降で非互換な字体変更が為された、いわく付きの字なのです。「身區」(78JIS)から、「身区」(83JIS)へ。この非互換な変更は女性の持つ、二面性を的確に表現し得ています。ある時は淑女、ある時は娼婦ように、ってのですね。 さらに変更部分に着目すると「口」と「メ」とが取り出せ、ここから「メロメロ」という語を取り出せる。さらに「口」や「メ」から男女の身体部位を連想する
RTFM
ドキュメントを読まない輩 結論: ぐぐるな。ドキュメントに書いてあるとわかっているのになぜ google に頼る? 巷間でよく見られる、しかし Apache の配布アーカイブ一式に含まれているドキュメントをちゃんと読んでいれば起きないはずの設定ミスや、ミスではないがふしぎな設定について。 <Limit>: セキュリティ上のリスクがあるのですみやかに確認・修正されたし AddDefaultCharset: 穴ではないが修正が必要 LanguagePriority: ほとんどのサイトでは無意味 ScriptAlias: 管理者でなくエンドユーザがハマるのはしかたないけれど SetEnvIf: どこも間違ってはいないのだが… Apache のドキュメントは日本語未訳なところが一部残っているけれど、全体として非常によくまとまった情報源である。少なくとも、「このディレクティブをどう設定するとどう動く
[B! これがなかったとは] anotherのブックマーク
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
web.paulownia.jp - ロールオーバーのオブジェクト指向的実装
Java等のオブジェクト指向はクラスベースのオブジェクト指向と呼ばれる。一方、JavaScriptはプロトタイプベース、あるいはインスタンスベースオブジェクト指向と呼ばれる。 クラスベースは、まずクラスを定義し、クラスを型とするインスタンスを作成することでプログラミングする。プロトタイプベースによるオブジェクト指向では、クラスの定義は必須ではなく場合によってはクラスという概念自体が存在しない。既存のオブジェクトのクローンとして新しいオブジェクトを作成し、そのオブジェクトに独自の性質を付加してプログラミングする。 JavaScriptのオブジェクトの性質は動的に変更可能。Java等では一度決定したオブジェクトの振る舞いは変更できないが、JavaScriptでは実行中の任意の場所でメソッドの動作を変更したり、新しく追加したり、削除したりすることができる。
絶叫機械+絶望中止 - 議論とは勝ち負けの問題か否か。
議論とは勝ち負けの問題ではないと口をすっぱくして言っている側の人間として、この問いに返す言葉があるとすれば、勝ち負けなどというものは誰でも求めることのできる一番簡単な解決法であって、その問題に対する解決や解決の糸口とは何の関係もない、となるだろう。 もう少し詳しく書くなら、こうだ。 論理的な間違いを指摘すると、論理的にチャレンジブルなひとは、話を「勝ち負け」に持っていって「おれは勝った、だからおれは正しい」という同義反復を始めるので、まずは「勝ち負け」という価値判断の基準をなくしましょう。 そもそも議論は何のために行われるか。何らかの事象に対する答え、もしくは考えるための材料が必要だからだ。考える材料がなければ考えることはできない。その材料と自らが既に得ていた材料に齟齬があれば、比べて確かめればよい。出てきた答えや材料が自らの望むものであれ望まぬものであれ、発した人間と異論を唱えた人間の勝
ソニーの「沈黙」11――不可解な株価と最後の「びっくり箱」:阿部重夫主筆ブログ:FACTA online
阿部重夫主筆ブログ「最後から2番目の真実」 2005年12月27日 [ソニーの「沈黙」]ソニーの「沈黙」11――不可解な株価と最後の「びっくり箱」 1992年12月、あなたは何をしていた? 小学校の週休二日制が始まった年である。 英国王室はてんやわんやだった。この年、故ダイアナ妃とチャールズ皇太子の不仲のスキャンダルが火を噴き、ウィンザー城が火災に見舞われたのだ。エリザベス女王は恒例のクリスマス演説でAnnus Horribris(アヌス・ホリブリス、身の毛がよだつ一年)と回顧してみせた。ロンドン大火のあった1666年がAnnus Mirabilis(アヌス・ミラビリス、驚異の年)と呼ばれるのにひっかけた、いかにも英国らしいジョークである。 かの国の王室は負け惜しみでもこういう機知を飛ばす。さて、2005年はソニーにとって「ホリブリス」の1年だったのか、「ミラビリス」の1年だったのか、ぜひ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://nya.livedoor.biz/archives/50212840.html
http://sns.wjob.jp/normal.php?p=login_do_login
Dance Party
はてブ コメントを見やすく表示 - AUSGANG SOFT
MSNBC News - Breaking News and News Today | Latest News
EPIC2014 日本語版 グーグルゾン