なぞなぞ認証 - jkondoの日記
昨日からはてなダイアリーの閲覧許可設定に「なぞなぞ認証」を使うことができるようになった。 http://d.hatena.ne.jp/hatenadiary/20080124/1201172733 たとえば「僕の実家の町の名前は?」といった質問を設定しておくと、はてなアカウントをもっていなくても自分の実家を知っている人だけが読むことのできる日記を開設できる。今はダイアリーの閲覧許可だけだけど、これから編集許可やそのほかのサービスでも使えるようになっていく予定だ。 たとえばフォトライフなんかで、フォルダごとにイベントの写真を入れて、「結婚式会場の名前は?」みたいな質問を設定しておくとかも便利かも知れない。また、単に誰でも分かるような写真(たとえば「この山はなんでしょう?」「富士山」みたいな)、ロボットによるコメントスパムを排除することにも使えるだろう。 このなぞなぞ認証、実はパロアルトで増井
なぞなぞ認証機能を追加し、認証の設定をMyはてなで一括して行うよう変更しました - はてなダイアリー日記
本日、任意の質問とその答えを登録しておき、正しい答えを入力した人だけに閲覧を許可する「なぞなぞ認証」機能を追加しました。はてなダイアリーの閲覧許可にお使いいただけます。 これまではてなダイアリーではユーザー名や自分が参加しているグループ名を直接指定することで、自分のダイアリーを特定のユーザーのみ閲覧を許可することができましたが、はてなのアカウントを持っている人しか許可することができませんでした。 なぞなぞ認証では「私の祖母の名前を漢字4文字で」など、その質問の答えを知っている人にならはてなのアカウントがなくても閲覧を許可することができるようになりました。これによって、ご家族やご親戚、会社の同僚などのプライベートな情報を知っている相手なら誰でも、自分のプライベートな日記を閲覧してもらうことができるようになっています。 また、なぞなぞ認証の追加に伴い、認証の設定をMyはてな以下のユーザー設定ペ
高木浩光@自宅の日記 - はてなブックマークを禁止する技術的方法, 追記, 追記2 (23日)
■ はてなブックマークを禁止する技術的方法 ある属性を持つ人々にとって、はてなブックマークは、必要な情報源を巡回するための効率的なツールとなっている。もはや「はてブ」されない記事は存在しないのも同然となってしまている人もいるかもしれない。ソーシャルブックマークサービスはなにも「はてな」だけではないのだが、事実上「はてな」が独占状態にあり(少なくとも一部の分野においては)、「はてなブックマーク」でないと情報源となり得ない状況になっている。この状況はアーキテクチャ的に望ましい状態ではないと思うが、しかたない。 そういう中で一つ問題がある。情報セキュリティの話題を追いかけるには「セキュリティ」タグを見ていればよいわけだが、ここに「JVN」のエントリが出てこない。 JVNの認知度が高まらないのにはいろいろな要因があって、JVNのサイトデザインが最悪だ(ユーザビリティを何も考えていない)という問題も
本人を偽ったスパムメッセージだったみたいです…
昨日送られてきた著作権料請求メッセージが本人を偽ったスパムメッセージだったみたいで…人間不信に陥りそうです…。 「はてなのRSSを表示したら、著作権料の支払いを求められました」で公開した、著作権請求のメッセージ内容。もちろん、メッセージ本文を公開するか、はてなIDを明かすかは迷いました。ただ、「相手はやましい考えなど無く、相手なりの権利を主張していること」、「12月4日までという短い期限の中で結論を出し、メッセージを送り返さなければ著作権の支払いで問題が起きてしまうこと」から、公開することにしました。はてなのサポートは土日休みなので、問い合わせても返答が戻ってくるかもわかりませんでした。正直、最悪「はてブコメント最新情報」の閉鎖も考えていました。 I11さんが付けたブックマークコメント そんな悩みの中でI11さんが付けたブックマークコメントはこちら。 ヤラレタ。誰かあたしのふりしてスパムメ
2007-10-31 - jkondoの日記「スパムとの戦い」
はてなダイアリーのデザインの見直しを行った次に手をつけたのは、スパム対策でした。 ブログを用いたスパムは昨年ころからどんどん増加していて、今年の2月時点で、はてなダイアリーに毎日投稿される全5万件のコメントのうち、実に90%以上がスパムコメント、という状況でした。また、トラックバックスパムや、スパムブログも毎日大量に投稿されています。 はてなダイアリーでは、サービス開始当初からアダルトコンテンツの掲載や無許可の商業行為を禁止しています。しかし、常に新手のスパムが出現し、こちらの監視を掻い潜ろうとしています。これらのスパムとは本当に長い闘いを続けています。 まず、スパムコメントですが、これは特定の条件に適合したコメントをスパムとして自動判定して書き込めない措置を取ったり、ゲストがコメントを書くときには画像認証を行うようにしました。(この画像認証については、機械的に識別が可能だという話が先日上
はてなのCAPTCHAは簡単に破れる
CAPTCHAをご存知でしょうか。 スパム防止のために歪んだ文字とかを入力させる、アレのことなのですが、 はてなのCAPTCHAの強度が妙に低く思えたので検証してみました。 CAPTCHAというのはいわゆる逆チューリングテストという奴で、 人間には可能だが機械には処理しにくいことをさせることで、 ロボットによる操作を弾こうというものです。 たとえば、Gmailのユーザ登録には以下のような画像が表示され、 表示されている文字を入力することが求められます。 CAPTCHAの強度 例えばスパムを送るために大量のGmailアカウントを得ようとしてる人がいたとします。 手作業でGmailを登録するのは骨が折れる。 そこでプログラムによる機械化を試みることになるわけです。 その際、障壁となるのがこのCAPTCHAなのです。 この画像から正解である文字列"vittac"を得ることは機械には難しい。 プロ
ぼくはまちちゃん! こんにちはこんにちは!! (1/5)
古くからのmixiユーザーであれば、“はまちちゃん事件”を覚えている人も多いだろう。2005年4月、mixiで大勢のユーザーが“ぼくはまちちゃん!”というタイトルを付けた、謎の日記を次々に公開するという怪現象が起こった。 きっかけとなったのは、あるユーザーが投稿した日記。その日記の本文には「こんにちはこんにちは!!」という言葉とともに“あるURL”が貼り付けてあった。 このURLが罠で、不思議に思って押すと、クリックしたユーザーのページに“ぼくはまちちゃん!”というタイトルで同じ文面/URLの日記が勝手にアップされてしまうのだ。 投稿は“ねずみ算”的に増え、一時は混乱状態に…… さらに、勝手にアップロードされた日記を見て「友達が変な日記を書いている」と興味を持った友達がURLをクリック……。mixi内には“ぼくはまちちゃん!”という題名の日記が“ねずみ算式”に増えていき、一部のユーザーを混
ウェブサービスAPIにおける『成りすまし問題』に関する一考察
先週の末に、はてなのウェブ・サービスAPIを使ったMash-upアプリをFlash上で作り始めていきなりつまずいたのが、Cross-Domainセキュリティ。satoshi.blogs.comから取得したswfファイル上のActionScriptからb.hatena.ne.jp下にあるRSSフィードだとかXML-RPCにアクセスができないのだ。 「確か方法があったはず」と調べてみると、はてな側がサーバーにcrossdomain.xmlというファイルを置いて明示的にCross-Domainアクセスを許可していなければならない、という。そこで見つけたのが、「Flashから各APIの操作、データのロードができるよう、サーバ上に「crossdomain.xml」というポリシーファイルの設置をお願いしたい。」というはてなアイデアへのリクエスト。2006年の2月にリクエストが出されているのだが、11月
高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
2007-03-17
不正侵入調査の概略について 先日発生しましたはてなサーバーへの不正侵入調査の内容について、より具体的な説明に対するご要望を頂いております。 今回の不正侵入に対する調査では、サーバーをサービス提供ネットワークから切り離し、安全性の確認されたコマンドを用いて証拠保全を行い、保全作業によって収集された情報を用いて調査を行いました。 具体的には、侵入者が残したログ、Linuxファイルシステムに保存されたディレクトリ/ファイルのアクセス時刻、動的ライブラリの最終リンク時刻、侵入経路からアクセス可能な他サーバーのログファイル、アカウント情報が記載されているファイルの更新時刻などをもとにしております。 ここから侵入者がなり得たアカウントを特定、当該アカウントにて侵入者が行ったと思われる操作を調査し、先日発表しましたように「データベース上のユーザー情報が取得されたり、皆様にご利用いただいているサービスのデ
機能変更、お知らせなど - はてなの日記 - はてなサーバーへの不正な侵入について
はてなサーバーへの不正な侵入について 本日、はてなのサービスを提供する2台のサーバーに、先週金曜日より不正な侵入が行われていたことが判明しました。 はてなでは本日午前4時頃にこの事実を認識し、午前6時頃に不正なアクセスの遮断を行いました。また、現在継続的に詳細な調査、対策を行っております。 今回の不正侵入は、はてなサーバー群の入り口に当たるサーバーのうちの2台に対して、サーバーのログイン情報を機械的に総当たりする方法によって行われました。不正侵入に成功したアカウントにより、ftp scanner, irc botプログラムが設置され、外部に対して実行されるという被害が発生しました。 はてなではさらに、内部に存在するデータベースサーバーなどへのアクセスの形跡などについて調査を行いましたが、これらの形跡は発見されておらず、データベース上のユーザー情報が取得されたり、皆様にご利用いただいているサ
サーバにDoS耐性を付ける - stanaka's blog
ウェブサービスでは、アクセスが集中して、サイトが落ちる、というのは、よくある話です。純粋に人気が出てアクセス集中するなら、サーバ管理側の責任と言われても、しかたないと思います。しかし、botやF5アタックによる突発的な集中アクセスで、落ちてしまう、というのは、運営側としても、あまり納得がいくものではありません。 そのような突発的なアクセスに対応するために、大量のアクセスをしてくるクライアントを検出し、優先度を落すか、アクセス禁止にする方法などがあります。 というわけで、Apacheモジュールでそれを検出するためのmod_dosdetectorを開発しました。(ちなみにコア部分の開発期間は、Apacheモジュールって、どう書くんだっけ、という状態から、3日でした。) mod_dosdetectorは、Apacheモジュールとして動作し、クライアントのIPアドレスごとにアクセス頻度を測定し、設
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
被はてなブックマーク画像表示ページにXSS攻撃してみる。 - ぎじゅっやさん
ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口*ホームページを作る人のネタ帳