タグ

関連タグで絞り込む (104)

タグの絞り込みを解除

Securityに関するdonayamaのブックマーク (895)

  • 携帯電話事業者に学ぶ「XSS対策」 - ockeghem's blog

    NTTドコモとソフトバンクモバイルは、フィーチャーフォン(いわゆるガラケー)にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている(しようとしている)挙動が観測されましたので報告します。この内容は、オレ標準JavaScript勉強会でネタとして使ったものです。 NTTドコモに学ぶ「XSS対策」まず、サンプルとして以下のようなXSS脆弱なスクリプトを用意します。 <?php session_start(); ?> <body> こんにちは<?php echo $_GET['p']; ?>さん </body>これを以下のURLで起動すると、IE7では下図のような表示になります。 []http://example.com/xss01.php?p=山田<scrip

    携帯電話事業者に学ぶ「XSS対策」 - ockeghem's blog

  • Engadget | Technology News & Reviews

    Parrots in captivity seem to enjoy video-chatting with their friends on Messenger

    Engadget | Technology News & Reviews

  • うさんくさいサービスを回避するためのチェックポイント

    先日、ペニーオークションについてまとめてみたが、自分の目から見て明らかに危険なサービスなのに、お金を払ってしまう人が一定の割合で存在しているのはどうしてだろうと考えていた。これは信頼できるサイトかどうかの判断基準が人によって大きく違うのではないだろうか? というわけで、自分がよくチェックしている箇所をリストアップしてみたので参考にするか、ネットストーカーキモいとつぶやいてください。 ここで上げたチェックポイントをすべて使用するケースはほとんどないと思うが、このあたりを確認しておけばネットで変な悪徳商法には引っかかりにくいよ、というまとめだ。普段から詳しく確認しておくようにしておけば、うさんくさいサービスに対する嗅覚が鍛えられてすぐに危険度を察知できるようになる。実際、ここまで詳しく調べる必要に迫られることはほとんどない。 運営者情報は掲載されているか? ・なし→問題外 ・あり→掲載されてい

  • 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた

    「安全なSQLの呼び出し方」というSQLセキュリティに焦点を当てたドキュメントが、2010年3月にIPA(独立行政法人情報処理推進機構)から公開された。 これは2006年1月から提供されている、Webサイト開発者や運営者向けのセキュアWebサイト構築のための資料「安全なウェブサイトの作り方」の別冊として書かれたものである。「安全なウェブサイトの作り方」が92ページなのに対して、SQLインジェクションについてだけで40ページもの分量がある。なぜこんなに分厚いのだろうか。 このドキュメント作成に協力したという、独立行政法人産業技術総合研究所 情報セキュリティ研究センターの高木浩光氏にお話を伺うことができた。高木氏は個人ブログ「高木浩光@自宅の日記」で、セキュリティ関連の問題を追求する論客としても知られている。筆者も以前、この連載の「今夜わかるSQLインジェクション対策」の回(2006年11月

    今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた

  • PC

    夏休みスペシャル 2024 iPhoneで3Dモデルを手軽に作成、無料の純正アプリ「Reality Composer」を試す 2024.08.09

    PC

  • PC

    厳選Linuxフリーソフト100 Linuxデスクトップを便利にするフリーソフトゲームも遊べる 2024.02.28

    PC

  • ブログ | S2ファクトリー株式会社

    専門的な話から趣味の話まで、 様々なテーマでお届け S2ファクトリーが日々のウェブサイトや アプリの制作を通じて、 役に立ちそうな技術情報や趣味の話まで 幅広いテーマで発信しています。

    ブログ | S2ファクトリー株式会社

  • Symantec、VeriSignのセキュリティ事業を買収へ

    米Symantecは5月19日(現地時間)、VeriSignの認証や電子証明などのセキュリティ事業を買収することで合意に達したと発表した。 買収で合意したのは、SSL証明サービス、PKI(公開鍵基盤)サービス、ベリサイン・トラスト・サービス、ベリサイン・アイデンティティ・プロテクション(VIP)認証サービスを含めたVeriSignの個人認証および電子証明の事業となる。 Symantecは、これらの資産を約12億8000万ドルの現金で買収する。特定資産には日ベリサインの株式の過半数も含まれる。同社では、買収価格が計上する繰延歳入の目減りにより、2011年度の非GAAPベースの1株当たりの売り上げが9セント希薄化し、2011年9月期に非GAAPベースの1株当たりの売り上げが徐々に増加すると予想する。買収には規制当局の承認が必要で9月期の完了を見込む。 Symantecは、買収により得た技術

    Symantec、VeriSignのセキュリティ事業を買収へ
    donayama
    donayama 2010/05/20
    まぢで?!
    リンク

  • 安易にフォロー返しをしないで――IPAがTwitterの脅威を解説

    情報処理推進機構(IPA)は5月7日、4月のコンピュータウイルス・不正アクセスの届出状況を発表した。Twitterを例にセキュリティ脅威を解説し、人気ソーシャルサービスを利用する上での注意点を紹介している。 IPAによると、近年はTwitterやFacebook、mixi、アメーバなうといったソーシャルサービスの流行を受けて、マルウェア感染を狙う脅威が拡大しているという。ソーシャルサービスが関係したマルウェア感染の相談も寄せられるようになった。 Twitterで目立つ脅威の1つに、「フォロー返し」を悪用する攻撃がある。まず攻撃者は正規ユーザーをフォローする。フォローされた正規ユーザーは、フォローした攻撃者の身元を十分に確認することなく、フォロー返しをしてしまうという。これにより、正規ユーザーのツイートのタイムラインに、攻撃者のツイートが表示されるようになる。 攻撃者のツイートには、閲覧者の

    安易にフォロー返しをしないで――IPAがTwitterの脅威を解説
    donayama
    donayama 2010/05/08
    短縮URLだろうがそうでなかろうが、踏む人は踏むんだが。
    リンク

  • 新入社員等研修向け情報セキュリティマニュアル - JPCERT コーディネーションセンター

    新入社員等研修向け情報セキュリティマニュアル 企業や組織の教育担当者や情報セキュリティ担当者に向けて、新入社員等に情報セキュリティに関する知識を教える際のガイドライン、研修資料のベースとなるような情報やトピックをまとめたものです。 教育担当者や情報セキュリティ担当者向けのメッセージをコラム形式(「教育担当者・システム管理者の方へ」という囲み記事)で記載することで、新入社員向けのコンテンツとして直接利用できる部分と、そうでない部分を区別できるようにしています。 また、編の補助教材として、初心者にセキュリティ意識を高めてもらうために、簡単なクイズ形式により、考え方やアプローチを身につけることを意識するように工夫してあります。 編と併せて、セキュリティ対策やインシデント対応に関する社内ルールの教育、研修等にご活用ください。

    新入社員等研修向け情報セキュリティマニュアル - JPCERT コーディネーションセンター

  • [SQLインジェクション対策]Webアプリケーションとかの入門本みたいのを書く人への心からのお願い。 - *「ふっかつのじゅもんがちがいます。」withぬこ

    SQLインジェクションについて書くときに以下のメッセージを必ず含めて欲しいです。 単にプリペアドステートメントを使え 絶対に文字列結合でSQLを構築しようとしてはいけない IPAの「安全なSQLの呼び出し方」を読むこと なんでこんなことを書くかというと、同僚が献されてた「プロになるためのWeb技術入門」なるSQLインジェクションの項で、SQLインジェクションの対策として以下のように書いてあったからです*1。 a) 値をバリデーションする b) プリペアドステートメントを使う ダメです。間違っています。単に間違っているだけでなく救いがたく間違っています。正しいSQLインジェクション対策はこう書くべきです。 単にプリペアドステートメントを使え 文字列結合でSQLを構築するな イケてないを書く人はなんで値のバリデーションをプリペアドステートメントよりも先に書くんですか?値のバリデーション

    [SQLインジェクション対策]Webアプリケーションとかの入門本みたいのを書く人への心からのお願い。 - *「ふっかつのじゅもんがちがいます。」withぬこ

  • WEBインベンターがCookieを使うようになった | 水無月ばけらのえび日記

    公開: 2010年4月11日21時50分頃 「URLを知られたらアウトな管理画面」の話ですが、「管理プログラムのセキュリティーの向上 (mag.wb-i.net)」というアナウンスが出ていますね。 WEBインベンターのご利用に心から感謝いたします。ショッピングカートの管理プログラムのセキュリティーを一層向上させましたのでお知らせいたします。 追加された機能は、次の4つです。 (1)クッキーによるログイン方式。 (2)指定したIPアドレスからのみ管理プログラムにアクセスできる。 (3)パスワードの暗号化。 (4)メールフォームのスパム対策など。 以上、管理プログラムのセキュリティーの向上 より パスワードをURLにつけて引き回すのをやめて、Cookieを使うようにした模様です。下の方にサンプルへのリンクがあるので、早速確認してみると……。 サンプルのログイン画面にアクセス: http://w

  • URLを知られたらアウトな管理画面 | 水無月ばけらのえび日記

    更新: 2010年4月3日23時20分頃 メッセサンオー (www.messe-sanoh.co.jp)で個人情報が流出したというお話が。 秋葉原ゲームショップの顧客情報が閲覧可能に - アダルトソフト購入履歴なども流出 (www.security-next.com)PCゲーム通販大手の顧客名簿が流出 (www.yomiuri.co.jp)メッセサンオー、PCゲーム通販の顧客情報がネットで流出 (internet.watch.impress.co.jp)Internet Watch の記事には追記がありますね。 なお、メッセサンオーが通販サイトで導入していたショッピングカートを提供するWEBインベンターは、Googleにインデックスされないように対策した最新の管理プログラムを公開し、利用者に対して適用を呼びかけている。 以上、メッセサンオー、PCゲーム通販の顧客情報がネットで流出 より ほ

  • 脆弱性対策:2010年版 10大脅威 あぶり出される組織の弱点! | アーカイブ | IPA 独立行政法人 情報処理推進機構

    IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、2009年の1年間(1月~12月)のIPAへの届出情報や一般に報道された情報を基に、「2010年版 10大脅威 あぶり出される組織の弱点!」をまとめ、2010年3月31日(水)からIPAのウェブサイトで公開しました。 資料は、IPAに届出のあったコンピュータウイルス、不正アクセスおよび脆弱性に関する情報や、インターネット等で一般に報道された情報を基に、「情報セキュリティ早期警戒パートナーシップ(*1)」に参画する関係者のほか、情報セキュリティ分野における研究者、実務担当者など120名から構成される「10大脅威執筆者会(資料のP.35参照)」でまとめたものです。2005年から毎年公開しており、今年で6回目となります。 2009年には、「ガンブラー(Gumblar)」と呼ばれる手口(攻撃手法)をはじめとした、様々な情報ネットワー

    脆弱性対策:2010年版 10大脅威 あぶり出される組織の弱点! | アーカイブ | IPA 独立行政法人 情報処理推進機構

  • 管理プログラムがGoogleにインデックスされないようにする 2010年04月02日

    WEBインベンターのご利用に心から感謝いたします。 さて、当社のカートを利用しているお店で個人情報流出の事故が発生しました。それは、管理プログラムがGoogleにインデックスされてしまったことによるものです。原因は調査中ですが、しかし、そのような場合でも検索エンジンに拾われないような対策を施してありますので、お知らせいたします。 対処方法: 1.パスワードの管理に気をつける 2.最新の管理プログラムを使う 3.検索エンジンにインデックスされてしまったときの対処 4.今後の対応 ━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1.パスワードの管理に気をつける ━━━━━━━━━━━━━━━━━━━━━━━━━━━ パスワード付きのURLが検索エンジンに拾われないようにするために気をつけてください。間違っても、パスワード付きのURLを一時的にもホームページで公開しないようにしてください

  • OAuthが活用されない | 水無月ばけらのえび日記

    公開: 2010年4月2日17時15分頃 こんなサイトがあるようで……つぶやきタカ!ボード (wing.softbankhawks.co.jp)。 アクセスすると、いきなりログイン画面になり、「Powered by Twitter」と書いてあってtwitterのパスワードの入力を求められますね。その際のドメインは http://wing.softbankhawks.co.jp/ で、twitterとは縁もゆかりもないドメインです。 こういうことをしなくても良いように、OAuth という仕組みが用意されています。OAuthを使うと、IDとパスワードをtwitterのドメインで入力して認証を行うようにすることができます。 せっかくそういう機能があるのですから、活用してほしいですよね。 ※逆に利用者としては、「twitterにはOAuthという仕組みがあるのだから、まともなサイトがこんなことをす

  • 安全な実装方法を解説、IPAが「安全なSQLの呼び出し方」公開 

  • Google Buzzで意図せず本名公開される箇所がある件 - 最速転職研究会

    「ちゃんと警告出てただろ、注意すれば防げるんだよ情弱が」派と戦争だよ!!!!!! 実験してみた 「非公開の 名」という名前でGmailアカウントを取る Gmailサインアップ時の姓と名は「Googleの各種サービスで公開される可能性がある」ことは書いてない。 知らない人のGoogleプロフィール(例: http://www.google.com/profiles/bulkneets )を開く なんか面白そうだな、フォローしてみよう 別アカウントから見た場合は隠れてるけど bulkneetsさんから見た場合こうなる。 そんなわけだから名設定されてるGoogleアカウントでフォローボタンを押すだけで、少なくともbulkneetsさんには非公開の名が公開されてるけど、なんの警告も出てないですよ。 例えばGmailで「名が表示されないように」メール送信者の名前を変えるのはGmailの設定か

  • iTunes Storeのアカウントに注意 | Okumura's Blog

    最近iTunes Storeのアカウントが盗まれるという事件がいくつか起きているようだ。 原因はいろいろありそうだ。フィッシングで盗まれる,弱いパスワードをブルートフォースで破られるといったことはすぐ考えつく。マルウェアに感染して盗まれることもありうる。 朝日新聞の記事によれば,iTunes Store特有の別の危険性があるらしい。メールアドレスがApple IDとなるため,間違えて他人のメールアドレスを設定すると,その人のアカウントになってしまうし,メールアドレスを変更してApple IDの変更を忘れていると,たまたま同じメールアドレスを取得した人に乗っ取られてしまうという。 念のため自分の設定を調べてみた。 Apple IDを定年になっても変わらないものに変更。パスワードをより強いものに変更。秘密の質問の答えが安易なものになっていたので変更。誕生日もランダムに変更しようかと思ったがどう

  • TechCrunch | Startup and Technology News

    Everything in society can feel geared toward optimization – whether that’s standardized testing or artificial intelligence algorithms. We’re taught to know what outcome you want to achieve, and find the…

    TechCrunch | Startup and Technology News
  • 前のページ 1 2 3 4 5 6 7 8 9 10 次のページ

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.