初心者Webアプリケーション開発者がチェックすべき情報源2013 - ハニーポッターの部屋
毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。 上から重要な順。★の付いている「重点」がとりあえず読んどけ、の必須。 必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているもの。 書籍としては、昨年の徳丸本「体系的に学ぶ 安全なWebアプリケーションの作り方」に加えて、「めんどうくさいWebセキュリティ」と「実践 Fiddler」をノミネート、「HTTPの教科書」を入れるか迷ったけど、まだ読んでないので保留。長谷川さんあたりから、何でJavaScriptの本がないんじゃ!といわれそうだけど・・・ とりあえず、昨年懸案だったスマートフォン関係を追加した。 インフラ関係は除外しているんだけど、プラットフォーム診断分もあったほ
高木浩光さんへ、しっかりしてください - 最速転職研究会
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
初心者Webアプリケーション開発者がチェックすべき情報源2012 - ハニーポッターの部屋
毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。 上から重要な順。★がとりあえず読んどけ、の必須。必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているもの。 徳丸本は今年は必須かな。電子書籍版もあるから、スマホに常備できるし。 あと、後半、まったく初心者向けじゃないけど、セキュリティキャンプ生向けにWebテストできるためのツール類を紹介。Webセキュリティ組の参考に、あと、ネットワークセキュリティ組もFiddler2を使うのはパケットの中身の可視化に良いと思うので、インストールして見られるのがよろしいかと。ここはツール情報を定期的にポストしようと思うので、キャンプ生はチェックしておいて欲しい。 ★Webサイト構築 安全な
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
「2冊目の本のほうがわかりやすい本」の誤謬 - きしだのHatena
関係ないけど、誤謬(ごびゅう)を「ごしん」と読んでた時期がわたしにもありました。 で、本題。 先日「C++の授業を受けて理解できなかった人が、RubyでRailsをやったら簡単に理解した、Rubyすばらしい」という話がTwitterで流れていた。 ただ、これをもって、Rubyで授業やるとわかりやすい、と単純に考えてはいけない。 確かにC++はヘッダファイルやポインタみたいな、混乱ポイントがあるわけだけど、教育用途なら1ファイルに全部書くことでヘッダファイルからは逃れれるし、C++のライブラリつかえばポインタはあとまわしにできる。Rubyでも文法を淡々と初心者に教えれば「わけわかんない」という感想だけで終わらせることもできる。 なにより、このご時勢にプログラムの最初の授業をC++でやってる先生の授業がわかりやすいはずがない。わかりやすさに気をつける先生なら、JavaかC#かRubyか使ってい
高木浩光@自宅の日記 - ミログ第三者委員会の「提言」を許してはならない
■ ミログ第三者委員会の「提言」を許してはならない 10月10日の日記「スパイウェア「app.tv」に係るミログ社の大嘘」の件、ミログ社から「第三者委員会報告書」(以下「報告書」という。)が開示された。 第三者調査委員会の調査結果に関するお知らせ, 株式会社ミログ, 2011年12月16日 100ページにも及ぶこの報告書の内容は、「app.tv」と「AppLog」について事実関係を明らかにした上で、いずれも違法行為ではなかったとする結論を導くものであり、加えて、冒頭で、「ユーザーからの同意取得に関する提言」として、一般論を社会に向けて提案するものとなっている。 報告書には次の2つの重大な問題がある。 app.tvの不正指令電磁的記録該当性の検討で肝心の点がすっ飛ばされている。 「ユーザーからの同意取得に関する提言」は到底受け入れられるものではない。 以下、これらを順に明らかにする。 app
「徳丸本ができるまで」スライドを公開します - ockeghem's blog
まっちゃ445などで発表に使用した「徳丸本ができるまで」のスライドを公開します。 発表時の原稿の後半を少しカットして、最新の状況を加筆しました。 徳丸本ができるまで View more presentations from Hiroshi Tokumaru [PR] 「体系的に学ぶ 安全なWebアプリケーションの作り方」のDRMフリーPDFによる電子版が販売開始しました。 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 作者: 徳丸浩出版社/メーカー: SBクリエイティブ発売日: 2011/03/01メディア: 単行本購入: 119人 クリック: 4,283回この商品を含むブログ (146件) を見る
「安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始します - ockeghem's blog
このエントリでは「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践」(いわゆる徳丸本、#wasbook)の電子書籍版が9月28日(水)に販売開始されるというお知らせをします。 大変要望の多かった徳丸本の電子書籍版ですが、タイトルのように、9月28日(水)の午前中に販売開始されることになりました。以下に諸データを記します。 販売サイト ブックパブ(http://bookpub.jp/) 販売開始 9/28(水)午前 定価 2,800円 キャンペーン価格 1,800円 キャンペーン期間 9/28(水)〜10/17(月)の20日間 いくつか特記すべき事項があります。 まず、電子書籍の形式ですが、*DRMフリーのPDF* です。従来版元のソフトバンククリエイティブでは、iOSやAndroidのアプリという形式で電子書籍を販売したようですが、この徳丸本の電子版から
昨今の学校のセキュリティ事情【第四章 まとめ】 - toriimiyukkiの日記
第一章 学校のPC(生徒使用PC)について 第二章 学校のWebサイトについて-SQLインジェクション 第三章 学校のWebサイトについて-コマンドインジェクション/その他 第四章 昨今の学校のセキュリティ事情のまとめ ここでやっていることはかなり危険な部類も入っています。 真似しないようにお願いします。また、この記事によっていかなる損害が発生してもその責任を負いません。 この記事によって自分のサービスのセキュリティを再認識してもらえばと思います。 第四章 まとめです。まとめというまとめです。 かなりこの事件に関してはイライラしてるので記事にもイライラしている感情があって感情的な部分もあるかもしれませんがご了承ください。 結果的に全ての脆弱性やセキュリティの穴は学校側にお伝えしました。 もちろんアドレスを晒してメールしたので気づいたのですが、メールを送らなければ気づきませんでした。アホです
はてなブログ | 無料ブログを作成しよう
吹奏楽コンクール リウマチの調子が悪い!薬の副作用もやばい! 副作用のせいでご飯が全然食べられなくなって顔から痩せていくんだけど、お腹とかお尻から痩せたらいいのに。蓄えがあるから多少痩せたってちょうどいいくるいやけど、幸薄そうに見えるから顔は太ったままがいいなぁ。 お…
CTF参考資料(私メモ) - ハニーポッターの部屋
「今回の、ISEC 2011 CTFに手も足も出なかったー」という意見があったので、自分の勉強がてら情報を集めて見ました。(主に日本語) ちなみに、私はCTF初心者なので、こういう書籍が合うんじゃないかと想像して選んでいるので間違っていたらごめんなさい。 他にお勧めの情報源ってありますかね? ■フォレンジック 不正アクセス調査ガイド http://www.amazon.co.jp/dp/4873110793/ 以下、洋書。Forensic関係、日本じゃ需要ないのかね。 Kindleアプリでデジタル書籍を買うのが安くて良いかもしれない。 Windows Forensic Analysis DVD Toolkit, Second Edition http://www.amazon.co.jp/dp/1597494224 iPhone Forensics http://www.amazon.co
LulzSecの50日間の軌跡 (Part 1) - セキュリティは楽しいかね? Part 1
散々世間を騒がせてきた LulzSec。活動を開始して 50日目となる 6/26に活動終了を宣言した。*1 50 days of Lulz We are Lulz Security, and this is our final release, as today marks something meaningful to us. 50 days ago, we set sail with our humble ship on an uneasy and brutal ocean: the Internet. The hate machine, the love machine, the machine powered by many machines. We are all part of it, helping it grow, and helping it grow on us. はた
本当のAnonymousが知りたいの
PlayStation Networkに関する報道によって日本でも広く知られるようになった「Anonymous」。果たして彼(女)らはいったい何を目的とした、どんな集団なのか。日本に住むAnonymousの1人に取材する機会を得た(編集部) 日本で活動するあるAnonymousの声 PlayStation Networkの事件から日本でも名前を広く知られるようになった「Anonymous」。この名がメディアで報じられるときは、ほぼ決まって「ハッカー集団」「クラッカー集団」という「枕詞」が付く。中には、「政府や主要企業などへのハッキングの第一線にいるグループ」と説明される場合もある。 だが、多くのメディアにおける「Anonymous」の報道のされ方を見ると、さまざまな事件への関与を臭わせる内容がもっぱらで、彼(彼女)たち自身の活動を主軸としたものはあまり見かけない。 【関連記事】 PlayS
初心者Webアプリケーション開発者がチェックすべき情報源2011 - ハニーポッターの部屋
毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。 上から重要な順。★がとりあえず読んどけ、の必須。必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているもの。 徳丸本を必須に入れるか迷ったけど、あの厚さは、万人は読めないので、上位ランクだけど必須からははずした。 ★Webサイト構築 安全なウェブサイトの作り方 改訂第5版 http://www.ipa.go.jp/security/vuln/websecurity.html 携帯ウェブサイトの実装方法を追加 セキュリティ実装 チェックリスト(Excel形式、33KB) 安全なSQLの呼び出し方(全40ページ、714KB) ★発注仕様 発注者のためのWebシステム/Webアプ
東北地方太平洋沖地震まとめのまとめ - ハニーポッターの部屋
東北地方太平洋沖地震では、マッシュアップで(以前に比べたら)少ない労力で、しかも無料でさまざまなITサービスを駆使して情報収集、情報発信がなされており、それらの情報もtwitter、facebookで共有されていますが、すさまじい勢いで情報が収束、発散を繰り返しているように見えたので、自分なりに情報をまとめて見ました。 まず、カテゴライズの視点が、私の専門である情報セキュリティにおけるBCP検討のインプットを主な目的としていますので、被災者目線ではなくてすいません。 掲載されている情報は2011年3月13日夜から15日にかけて収集した情報なので、既に賞味期限が切れている情報があるかも知れません。また、選択基準が独断と偏見なので、その点もご容赦ください。 皆様の少しでもお役に立てば幸いです。 なお、随時、情報は更新して行きます。 ■一次情報源 原子力安全・保安院 http://www.nis
誰にでもできるヤシマ作戦 - ハニーポッターの部屋
セキュリティキャンプ卒業生の@ishidai君が中心となってヤシマ作戦が敢行中のようだ。「ヤシマ作戦」の名称に関してはガイナックスの公式ブログからお墨付き済みなようで、大手を振ってtwitter上で拡散中。 ハッシュタグは「#84MA」で。 色々と異説、異論があるようだけど、行動することは重要なので、まず自分ができることの理念、行動指針と言うことで、「ヤシマ作戦」に微力ながらお手伝い。 誰にでもできるヤシマ作戦の提案です。まだまだ、学校や会社でWindowsXPが使われていると思います。 こいつの初期設定ですが、以下のようにデフォルト設定では電気利用を全く考慮していません。 [コントロールパネル]→「電源オプション」 それを、以下のように設定するだけで、大幅な節電効果があります。 ちなみに、先日、本業の方でシステムスタンバイ、休止状態、電源断とでの節電効果を調べたのですがほとんど違いはあり
京大の入試問題漏洩の背景がネットの闇と若者の劣化という筋書きに絶句する - ガ島通信
京都大学などで入試問題が「ヤフー知恵袋」に投稿された問題で容疑者が逮捕されました。発覚時から、いくつかのマスメディアの記者からコメントを求められましたがいずれもお断りしています。その理由は質問があまりに的外れだからです。 「ネットがカンニングを助長した可能性は」や「どのような手口が考えられますか」というもの。容疑者逮捕後には「若者が簡単に知恵袋のようなサービスで大学入試問題まで聞いてしまっています。大学のレポートではネットからコピーをしたり、検索エンジンを使って簡単に書いてしまうという安易な学生がいることについてお聞かせ願えませんか」というものもありました。 若者の安易なネット利用と知の劣化があるというストーリーで背景や動機を探る記事を書いているな。新聞社で事件記者をやっていたので記者の意図はだいたい推測できます。ネットを悪者にするのは想定内ですが、まさか知恵袋への投稿から、ネットコピペや
「mstmp」系ウィルス補完計画 - ハニーポッターの部屋
私が管理するネットワークで、10/1より戦っていた「mstmp」系ウィルス(仮称)がやっと大手ウィルスベンダーでも報告があがってきた。 国内100社以上で感染被害を確認。”mstmp” ”lib.dll” のファイル名で拡散する不正プログラム が、意図したものか、そうでないのかわからないけど、結構、情報が抜けているようなので、私が知っていることを補完しようと思う。今、嫁の実家で資料も手元にないので、メモですまん。 ・タイムライン 感染開始時期は9月末、私が確認したのは10月1日(金)16:00から、10月15日(金)16:00まで。 ・トレンドマイクロの事例はlib.dllだが、10月6日以降はadvbho.dllがダウンロードされてくるパターンもある。 ・今回、比較的被害が少ないのは、ウィルス本体のlib.dllが当初からウィルス検知・駆除できていたから。mstmpがウィルス判定されたの
サイバー犯罪捜査入門−捜査応用編− - ハニーポッターの部屋
本書「サイバー犯罪捜査入門−捜査応用編−」知る人ぞ知る雑誌「捜査研究」で連載されていたハッカー検事こと大橋検事執筆の「検証・ハイテク犯罪の捜査」の連載から、「ソフトウェア捜査」「情報漏えい犯罪」および「企業関連犯罪」をまとめたものである。通常、捜査機関に所属している以外の人が本書を手にするのは、技術者の方がハイテク犯罪、サイバー犯罪とはなんぞやという疑問を解決するためと思われるが、技術者の方が本書を読むと、いろいろと首をかしげる箇所が多い。文系の方々にとって理解しやすいように解説されているため、技術的に厳密に言うとちょっと違うことが書いてある。それは、本書のターゲット層は、基本、文系の「検察官」や「ハイテク捜査官」、そして「警察官」で、彼らがハイテク捜査とは何ぞや、という学ぶことを目的ととしているためである。 「捜査研究」の連載をまとめたものなので、最新事例が平成17年のもので、事例集とし
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
drunkergift 〜タダ酒支援プラットフォーム〜
