こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上です。セキュリティ・キャンプ卒業後、新卒入社組としてFlatt Securityでセキュリティエンジニアをしています。 本稿では、BtoCのWebサービスにおいてマーケティング施策として頻繁に発行される「クーポンコード」及び「クーポン機能」のセキュリティ観点について考えたいと思います。様々なサービスが題材として考えられますが、今回はECサイトなどを例に解説していきます。 クーポン機能は割引やポイントの付与など直接的に金銭的な影響に繋がりますが、Googleなどで検索してみると分かる通りどのような対策をすれば良いのかという情報はほとんど知られていません。そこで今回は、クーポン機能を設計・実装する上でSQL Injectionなどの典型的な脆弱性以外でどのような点に気をつければ良いのかについて解説を行います。 Flat

2018年の11月にサイボウズに入社したアレックスと申します。スイス出身です。よろしくお願いいたします。 ……という自己紹介は、そのまま日本語学校で覚えたものです。就職活動では、尊敬語、謙譲語、ビジネスマナーなどが必要になると聞いたので、フラッシュカードやYouTubeで毎日寝る前に練習しました。そして、同じシェアハウスに住んでいる日本人のハウスメイトにも「日本で働くのはどんな感じ？」と聞いていたので、なんとなく日本で働くイメージは、頭の中にありました。 しかし、いざサイボウズに入社してみると、教わったイメージと違っていて「あれっ？」と思うことが何度もありました。この連載では、「サイボウズでの会社員生活」で得た気づきを、外国人視点でお伝えしています。サイボウズに入社したスイス人の観察記、第2回です。

ネットワークタイムプロトコル（NTP）がなければ、インターネットは機能しない。しかしNTPは同時に、一部の分散型サービス妨害攻撃（DDoS）の原因にもなっていた。これに対する対策が、NTP Security Projectが今回初めてリリースしたNTPsecだ。 NTPは世界のインターネットを支える、目立たないが必要不可欠なパーツの1つだ。これによって、世界中のサーバとPCの時計が同期されている。 しかし残念ながら、インターネットのほかの基礎的なパーツと同じく、NTPの開発も、長年の間ほとんど無視されてきた。最近まで、NTPの開発とメンテナンスには、ほとんど予算が投じられておらず、NTPは完全にパートタイムの開発者1人に依存していた状態だった。 幸い、Core Infrastructure Initiative（CII）がこの問題に踏み込み、NTPとその後継プロトコルであるNTPSecの両

今回のMonthlyResearchでは、近年増加の一途をたどるWebサイトに対する改ざん攻撃についてレポートします。 Webサイトを改ざんする目的は「脆弱性攻撃」「マルウェアの配布」などが主な目的とされてきましたが、ここ1,2年の間で「政治的主張」や「技術力の誇示」なども再び目立つようになりました。 「Anonymous」や「GhostShell」など、聞き覚えがある方も多いと思います。 このような攻撃者は主張や影響を増大させる為により多くのWebサイトを攻撃する傾向にあります。 今回はその中でも、特定のプロダクト(製品やそのプラグイン)の脆弱性を利用し、世界中のWebサイトを対象とした大規模な攻撃を行う、一斉攻撃にフォーカスしています。 2015年3月末頃からWordPressを利用する一部のWebサイトに改ざん被害が多く見られました。攻撃者は特徴的な攻撃手法で改ざんを行っており、20

CALayer を使うと簡単にビューに影を落とすことができる。 CALayer* layer = self.imageView1.layer; layer.shadowOffset = CGSizeMake(2.5, 2.5); layer.shadowColor = [[UIColor blackColor] CGColor]; layer.shadowOpacity = 0.5; ただこの方法はビューの外側に影を落とせても、ビューの内部には影を落とせない。 どうするか。 CALayer のプロパティを眺めていていると shadowPath に気がついた。このプロパティには CGPathRef を渡すことができる。 @property CGPathRef shadowPath;もしかしてこれを使って任意の場所や形で影が落とせないか。 試しにこんな矩形のパスを作って渡してみた。 CALay

HTMLタグというのはWEBの文章やグラフィックの配置や装飾を指定する便利な記号です。かけだしブロガーも、バリバリのプロフェッショナルも要チェック！意外と知らない便利なタグがあるかも！ 原宿: うーーーん………どうもホームページ作りがうまくいかないな…… リックェ: こんにちはー 原宿: おー、リックェ リックェ: 「HTMLタグ」のことでお困りだって聞いたんですけど？ 原宿: そうなんだよ、全然わかんなくてさ リックェ： 任せといてください！ 僕、一応そっち系の仕事してますんで詳しいですよ 原宿： 頼りになるー！ 悪いけどちょっと教えてよ リックェ： はい。まぁHTMLタグってのはマークアップ言語（ランゲージ）のひとつで、ドキュメント、つまり文章やグラフィックですね。これの配置を決めたり装飾をしたりする…… 原宿： あー、ちょっと待って。口で説明されてもイマイチわからないから、とりあえず

はい、Ruby 1.9.2がリリースされましたね。このバージョンではWEBrick にゼロデイ攻撃可能な脆弱性 - スラッシュドット・ジャパンで紹介されている脆弱性が僕が書いたパッチで修正されているわけなのですけど、そもそもなんで僕が修正しているのか、って顛末がわりと面白いので紹介します。 Apple、upstreamに報告してくれないまま脆弱性をCVEに届け出る upstreamに連絡が来ないまま脆弱性が公開される ruby-devにAppleが書いたと思われるパッチが貼られる(Appleでない人間によって) パッチのライセンスが不明なので取り込めない ライセンスを問い合わせるAppleの窓口が不明なので問い合わせもできない ruby-devを読んだ人はライセンス上安全なパッチを書けない 脆弱性だから話は非公開に進めたい yuguiさんがruby-devを読んでない僕に書かせることにする

「牛丼並盛で」 「牛丼for everybodyキャンペーン適用でよろしいですか」 「なにそれ」 「はい、2年分割払いのたいへんお得なキャンペーンです」 「いや、ふつうに買いたいだけなんですけど……」 「キャンペーンを適用いただくと、実質牛丼価格が0円になりますよ」 「0円で食べられるの？！」 「はい、ただし吉野家プラン（牛）、Y！ベーシックパック、ライス定額フルにご加入いただくことになります」 「訳が分からないんだけど、けっきょく幾らなの」 「実質0円です」 「いや、そうじゃなくて……」 「あ、失礼しましたお客様、牛丼for everybodyキャンペーンは1月で終了しておりました。現在は生姜バリューセットをお薦めしております」 「なにそれ」 「こちらも牛丼が実質0円になるお得なプランです。さらに全国の吉野家店舗にある生姜も食べ放題になります」 「牛丼for everybodyだと生姜抜

IMGINEとIMAGEじゃ品詞が違います おそらく、IMAGEとIMAGINATIONの違いを聞きたかったのではないでしょうか？ IMAGE…印象　あまり頭で考えずに出てくる像 IMAGINATION…想像　頭の中で思い描いてくることにより生まれる像 のような違いだと思います。 余計なお世話だったらすいません