タグ

関連タグで絞り込む (35)

タグの絞り込みを解除

securityに関するclouderのブックマーク (37)

  • OAuthにおけるカスタムURIスキームの使いどころ - r-weblife

    夏にSocialWeb Conference vol.6ってのでちょっとだけ「カスタムURIスキーム」ってキーワードを出しました。 ただ、そんなに詳しくは話していなかったと思うので、ここで残しておきます。 カスタムURIスキーム って何よ? iPhoneアプリAndroidアプリ系の開発をしたことがある人は知ってる方多いと思いますが、httpとかFTPとかじゃなくてアプリが勝手に作った文字列って感じですかね? 正式な定義を知っている方がいれば教えていただきたいところなのですが、とりあえず私はIANAに登録されているもの以外のものとして考えています。 PHPで配列にマッチングさせてIANAに登録されているやつか判定する方法も考えてみたりとか。https://github.com/ritou/php-IANAUriSchemes カスタムURIスキームをOAuthに使うことのメリット OAu

    OAuthにおけるカスタムURIスキームの使いどころ - r-weblife

  • OS X の Keychain Access.app に公開鍵をインポれない問題 - unknownplace.org

    いわく エラーが発生しました。項目を読み込めません。 適当にググったところ、 $ security import pub_key.pem -k ~/Library/Keychains/login.keychain とかすると取り込めるみたい。やってみたらちゃんとできました。 See also: Importing iPhone Keys (P12 and PEM) into Snow Leopard's Keychain

    clouder
    clouder 2011/03/29
    ついこのあいだなった
    リンク

  • HTMLのscriptタグ内にデータを埋め込む際のエスケープ処理モジュール書いた - blog.nomadscafe.jp

    追記 CPANリリースしました http://search.cpan.org/dist/JavaScript-Value-Escape/ /追記 malaさんの「HTMLのscriptタグ内に出力されるJavaScriptのエスケープ処理に起因するXSSがとても多い件について」にちょろっとでているgistのコードをモジュールにしました。 JavaScript::Value::Escape - https://github.com/kazeburo/JavaScript-Value-Escape JavaScript::Value::EscapはHTMLのscriptタグ内にデータを埋め込む際に、少々過剰にエスケープを行うものです。このモジュールではq!”!, q!’!, q!&!, q!>!, q!<!, q!/!, q!\!, qq!\r! と qq!\n! を\u00xxなどに変換しま

  • potentially vulnerable to CVE-2009-3555 - Abacus Technologies Blog

  • なんとFacebookは不正ログイン防止の仕組みまでが感動的にソーシャルだった | Token Spoken

    普段、視点や環境を変えなければまったく気づかないこともあります。 しかも、その日常に慣れきっていればいるほど、そこに驚きがあるなどとは誰も予想もしていません。 もう何百回も繰り返している、そんな日常の作業の中で、予想もしない感動に出会う。 今日、Facebookを使って日々の業務をこなそうとしていたところ、そんな出来事に遭遇しましたので、皆様と共有させていただきたいと思います。 大げさですみません、しかし、個人的には少し感動しすぎてしまったものですから。。。 事の発端は、こんな事から始まりました。 実は、出張先の韓国のソウルよりSeesmic Desktop Proというアプリケーションで、Facebookアカウントの認証を行おうとしたら、こんなエラーメッセージが表示されたのです。 ここまでは、セキュリティ対策としてはよくあるパターンですので特に何とも思いません。 普段アクセスしているIP

    なんとFacebookは不正ログイン防止の仕組みまでが感動的にソーシャルだった | Token Spoken

  • 秋元@サイボウズラボ・プログラマー・ブログ: reCAPTCHA - キャプチャを利用した人力高性能OCR

    reCAPTCHA という新サービスはすごい。その構想力には感動させられた。 念のためにCAPTCHA(キャプチャ)について説明しておくと、スパムプログラム(bot)と人間のユーザを見分けるための簡単な(しかし機械にとっ […] reCAPTCHA という新サービスはすごい。その構想力には感動させられた。 念のためにCAPTCHA(キャプチャ)について説明しておくと、スパムプログラム(bot)と人間のユーザを見分けるための簡単な(しかし機械にとっては難しい)クイズのことだ。ある程度ウェブを使っている人なら、ネットサービスの登録時やコメントの書き込み時などに、読みにくく加工されたアルファベットを読まされたりした経験があるだろうと思う。 それらのサイトでは、あなたが人間にしかできないクイズを解いたのを見て、ユーザ登録やコメントの投稿を受け付けたりする仕組みになっているわけだ。文字を読む以外のC

  • reCAPTCHA

    reCAPTCHA uses an advanced risk analysis engine and adaptive challenges to keep malicious software from engaging in abusive activities on your website. Meanwhile, legitimate users will be able to login, make purchases, view pages, or create accounts and fake users will be blocked.

  • WAS Forum 2010カンファレンス:ケータイ2.0が開けてしまったパンドラの箱

    2. 徳丸浩の自己紹介  経歴  1985年 京セラ株式会社入社  1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍  2008年 KCCS退職、HASHコンサルティング株式会社設立  経験したこと  京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当  その後、企業向けパッケージソフトの企画・開発・事業化を担当  1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始  2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ  その他  1990年にPascalコンパイラをCabezonを開発、オープンソースで公開 「大学時代のPascal演習がCabezonでした」という方にお目にかかること

    WAS Forum 2010カンファレンス:ケータイ2.0が開けてしまったパンドラの箱

  • XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会

    適当 XSSがある=なんでもやり放題ではない ブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。個人情報を預かってるサイトは、重要個人情報についてはHTTPSじゃないと参照できなかったり、そもそも表示しなかったり(パスワードやカード番号等)、決済用のパスワードや暗証番号を入れないと操作できなかったりする。 参考までに http://blog.bulknews.net/mt/archives/001274.html (2004年のアメブロ脆弱性の話) http://d.hatena.ne.jp/yamaz/20090114 (信頼できないデータを取り扱うドメインを分ける話) 管理用と別ドメインに分けたにも関わらず、script実行できることに対してDISられ

    XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会

  • 高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件

    はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ

  • 最新29機種ドコモ携帯、個人情報流出の恐れ : 社会 : YOMIURI ONLINE(読売新聞)

    NTTドコモの携帯電話のうち、インターネット閲覧ソフト「iモードブラウザ2・0」を搭載した最新29機種を通じて、利用者の個人情報を不正取得される恐れのあることが、専門家の指摘で明らかになった。 同社は携帯サイトの運営者にパスワード認証などの安全対策を呼びかけている。携帯電話の機能が高機能化するにつれ、こうした危険は増しており、利用者も注意が必要になってきた。 該当機種は、昨年5月以降に発表されたプロシリーズやスタイルシリーズなど。iモードブラウザ2・0は、ジャバスクリプトと呼ばれる機能が組み込まれており、携帯用のインターネットサイトと自動で情報をやりとりできる。 悪意ある携帯用サイトは、接続してきた利用者の携帯のジャバスクリプトを使って、利用者が会員になっている別のサイトに一瞬だけ接続させることができる。その時、この会員サイトに利用者の住所など個人データが登録されていると、盗み出されてしま

    clouder
    clouder 2010/01/13
    ktkr
    リンク

  • [PDF] 「Ameba」オフィシャルブログ、不正アクセス被害について

    2010 年 1 月 1 日 各位 東京都渋谷区道玄坂一丁目 12 番 1 号 株式会社サイバーエージェント 代表取締役社長 CEO 藤田晋 (コード番号: 4751) 「Ameba」オフィシャルブログ、不正アクセス被害について 株式会社サイバーエージェント社:東京都渋谷区、代表取締役社長CEO:藤田晋、東証マザーズ上場:証券コード 4751)が運営する「Ameba」のオフィシャルブログにおいて、2010年1月1日未明、不正アクセスの被害を確認いたしました。 また同時に、オフィシャルブログの ID、パスワード約 450 件等を記述したエクセルファイルが外部に流出したことを確認 しております。 当社は、不正アクセスに関して迅速に対応するため緊急対策チームを結成し、流出したパスワードを日正午までに 変更するなど、対応策を実施しております。また合わせて、渋谷警察署に被害状況の報告及

  • アメブロお年玉パスワード事件について

    新年早々、お年玉として芸能人のパスワード入りエクセルファイルがプレゼントされた「アメブロお年玉パスワード事件」。 アメブロお年玉パスワード事件とは 「アメブロお年玉パスワード事件」とは、一体どんな事件だったかというと、 1. 2010年になり、ミキティなどの芸能人ブログでお年玉画像入りの記事が投稿された。 2. お年玉画像をクリックすると、芸能人ブログのパスワード等が記載されたエクセルファイルがダウンロードできるようになっていた。 3. お年玉プレゼントだと思った一般ユーザーが芸能人ブログにログインし、不正アクセスしてしまった。 このような事件でした。 サイバーエージェントの対応 アメーバブログ運営元のサイバーエージェントは即日、「Ameba」オフィシャルブログ、不正アクセス被害についてというPDFで”不正アクセス被害”について報告しました。 株式会社サイバーエージェント社:東京都渋谷

    アメブロお年玉パスワード事件について

  • クリックジャッキングってこうですか? わかりません

    ↑ この透過されているiframeは、ブラウザの最前面に配置されています ※はてなにログインしていると、どのようにボタンが被っているのかわかりやすくなります

  • 日本経済新聞

    ただいまの操作はお受けできませんでした。 再度操作してください。 電子版 トップへ Nikkei Inc. No reproduction without permission.

  • 公正取引委員会からGIGAZINEに封筒が届きました

    普段あまりニュースを見ないような人でも「公正取引委員会」という名前は聞いたことがあると思います。この組織は、名前の通り経済で自由な取引が行われるように独占禁止法を運用すべく設置された機関で、ソフトバンクモバイルやイー・モバイルが行っていた「0円」広告が不当表示ではないかと調査したり、JASRACに排除措置命令を出したりという活動を行っています。 いったい、どのようにして公正取引委員会はこの調査を進めているのだろうと常々思っていたのですが、どうやら公正な取引保護のため、名簿から無作為抽出した下請事業者に連絡して協力を依頼しているらしいということが明らかになりました。この書類が届いた=自分の会社が独占禁止法違反、ではなく、周囲の会社へ調査を行っているから協力してくれということのようですが、果たしてその調査とはどんなものなのか、実際の書類をご覧ください。 なお、この分類でいうところの下請事業者に

    公正取引委員会からGIGAZINEに封筒が届きました

  • JPRS、2010年をめどにJPドメイン名サービスへDNSSECを導入 - @IT

    2009/07/10 日レジストリサービス(JPRS)は7月9日、JPドメインに対し、DNSセキュリティ拡張方式であるDNSSEC(DNS Security Extension:DNSセキュリティ拡張)を2010年中に導入する予定であることを発表した。DNSサーバ管理者やJPドメイン名指定事業者に向け、DNSSECの導入と普及に向けた活動を格化する。 ドメイン名をIPアドレスに変換するDNSは、IPネットワークの基技術として利用されている。2008年7月にダン・カミンスキー氏が「DNSキャッシュポイズニングの脆弱性」を指摘したことにより、DNSにもセキュリティ対策を施すことが急務となっていた。この対策として、ゾーン情報の信頼性を保証する拡張を含めたDNSSECが有望視されていた。 DNSSECはゾーン情報の信頼性を確保するために、ゾーン情報のハッシュ値を公開鍵暗号方式で暗号化し、署

  • ケータイサイトにおけるhtaccessを使ったIP制限のまとめ

    htaccessを使ってユーザーエージェントでキャリア別のディレクトリに振り分ける方法について書きましたが、今回はhtaccessを使ってIP制限をかけて、ケータイからのみアクセスを許可する方法について触れてみたいと思います。 ケータイサイトでのアクセス制限の理由や、IP制限をかける場合にちょっと注意をしておきたいことなどについてまとめてみましたよ。 ケータイサイトにおけるIP制限の理由 ケータイサイトはIP制限を使ってアクセスの可否をするというのが割と一般的。 というのも、サービスによっては著作権管理の問題やケータイならではの機能を利用したものを提供することが多く、そうした場合、PCからアクセスされると色々と不都合があることも考えられるので、敢えてIP制限をかけ、PCからのアクセスをシャットアウトしています。 特にキャリア公式サイトの場合は必ずPCからの接続をシャットアウトする必要がある

    ケータイサイトにおけるhtaccessを使ったIP制限のまとめ

  • 高木浩光@自宅の日記 - ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ

    ■ ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ (建設予定地) (27日追記)建設計画廃止。XMLHttpRequestだけ止めても効果がないことを理解したため。 (29日追記)何が言いたかったか、後日書く。

    clouder
    clouder 2009/11/26
    ん。
    リンク

  • 高木浩光@自宅の日記 - こたえはきっとソースの中に 〜 ドコモのCAPTCHAモドキ

    そもそもこのサービスにとってCAPTCHAが何の意味をなすのか疑問*1だが、それはともかく、この部分のHTMLソースを見ると、画像のURLに答えが書かれている。(図2の「gifcat/call.php?SID=948545」) これでは何の意味もない。 これの目的がもし、他サイトからのリンクで検索させられる事態を防ぐためであるなら、画像なんか表示せず、直接INPUTフィールドに値を埋め込むようにしておけばいい話だ。*2 <input name="attestationkey" value="948545" type="hidden"> ちなみに、図2で示される画像のURLに直接アクセスしてみると、図3のように、リロードする毎に(同じ番号の)違う画像が現れる。何回か繰り返してみると、1つの数字あたり4種ほどの画像が用意されているだけだとわかる。 背景のノイズのようなものも、動的に生成されてい

    clouder
    clouder 2009/10/09
    ドコモだいじょうぶか!?
    リンク
  • 1 2 次のページ

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.