マシなインターネットを作る:malaさんインタビュー
こんにちは。今回はmalaさんのインタビューをお届けします。 malaさんはNHN Japanのエンジニアとして多くのウェブサービスの設計に関わるだけでなく、セキュリティやプライバシの観点から見たアーキテクチャについて、ブログでさまざまな情報や問題提起を発信されています。 特に昨年末に公開されたブログ記事「はてな使ったら負けかなと思っている2011」は、インターネットはどこへ行くかという私のもやっとした問題意識にピッタリとハマる素晴らしい文章でした。あの記事を読んで、これはぜひ一度お会いして、インターネットの現状やエンジニアの役割について、お話を聞いてみたい、と思ったのが今回の企画の発端です。未読の方は、まずそちらからどうぞ。 なお、インタビューは三月末に行われました。無職期間中に公開する予定で、ずいぶん時間がかかってしまいました。文中、私の所属する企業の話も出てきますが、例によってここは
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
evernoteのテキストをevernote社の管理者にも見えないように暗号化する - ockeghem's blog
このエントリでは、evernoteクライアントを使って、evernote社にも復号できない状態でテキストを暗号化する方法について紹介します。 昨日、EvernoteのXSS問題に関連して、「Evernoteの開発者も徳丸本読んでいたらよかったのにね」などとつぶやいていたら、「EvernoteのCEOが徳丸さんに会いたがっている」という連絡をもらいました。こういうのは異例のことでちょっと悩みましたが、行くっきゃないだろうということで、Evernote社の日本法人でmalaさんと一緒にCEOにお会いしました。 XSSやポリシーについては非常に誠実な対応をお約束いただいたのでよいミーティングだったと思います。僕が指摘した脆弱性についても、当日の夜のうちに直っていたようです。米国時間では深夜から早朝という時間帯で、迅速な対応だったと思いますが、本題はこれからです。 その場で、malaさんが「Eve
「体系的に学ぶ 安全なWebアプリケーションの作り方」3月1日発売です - ockeghem's blog
去年の5月末に「本を書く」という宣言をしてから8ヶ月以上掛かってしまいましたが、ようやく体系的に学ぶ 安全なWebアプリケーションの作り方が脱稿し、3月1日に発売される運びとなりました。 現時点で一番詳しい本の目次は、出版元のオフィシャルページにありますが、このブログでもおいおい詳しい内容を紹介したいと思います。また別途サポートページを立ち上げる予定です。 本書の目次は以下の通りです。 1章 Webアプリケーションの脆弱性とは 2章 実習環境のセットアップ 3章 Webセキュリティの基礎 〜HTTP、セッション管理、同一生成元ポリシー 4章 Webアプリケーションの機能別に見るセキュリティバグ 5章 代表的なセキュリティ機能 6章 文字コードとセキュリティ 7章 携帯電話向けWebアプリケーションの脆弱性対策 8章 Webサイトの安全性を高めるために 9章 安全なWebアプリケーションのた
第1回神泉セキュリティ勉強会 | TAKESAKO @ Yet another Cybozu Labs
徳丸さんと春山さんのお誘いを受けて 「第1回神泉セキュリティ勉強会」で30分の講演をしてきました。 過去のハックネタを10本披露するという発表で、セキュリティ脆弱性とは仕様と実装の差で生じることが多い、攻撃コードの多態性によりブラックリスト方式では検知できない攻撃手法(防御手法)も研究されている、というお話しでした。スライドが170枚を超えていたので最後の方はちょっと早口だったかもしれません。 懇親会は噂のAJITOで開催され、みんなで大航海時代の海賊気分を味わうことができました。 IT勉強カレンダーでこの勉強会のことを知って参加してくれた人が意外と多くてびっくりしました。 素敵な会場を提供していただいたECラボの皆さま、発表者の皆さま、来ていただいた皆さま、素敵な時間をありがとうございました。 追記 2010.10.29 感想を見ると 「純粋に面白かった。もはやイリュージョンの世界w」
Ywcafe.net
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: Health Insurance Contact Lens Best Penny Stocks High Speed Internet Migraine Pain Relief Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy|Do Not Sell or Share My Personal Information
法と技術とクローラと私 - 最速転職研究会
こんにちは、趣味や業務で大手ポータルサイトのサービスで稼働しているいくつかのクローラの開発とメンテナンスを行っているmalaです。 さて先日、岡崎市立中央図書館Webサイトをクロールしていた人が逮捕、勾留、実名報道されるという事件がありました。 関連URL: http://librahack.jp/ 電話してみた的な話 http://www.nantoka.com/~kei/diary/?20100622S1 http://blog.rocaz.net/2010/06/945.html http://blog.rocaz.net/2010/07/951.html この件につきまして法的なことはともかくとして技術者視点での私見を書きたいと思います。法的なことは差し置いて書きますが、それは法的なことを軽んじているわけではなく、法律の制定やら運用やらは、その法律によって影響が出る全ての人々の常識
高木浩光@自宅の日記 - WASF Times版「サニタイズ言うな!」
■ WASF Times版「サニタイズ言うな!」 技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 「サニタイズしろ」だあ? Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか? 「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの?プログラムの内容からして必要のないことなのに? そう
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
サイバーエージェント「アメーバブログ」の「ノートン警察」がトロイの木馬に感染? - やまもといちろうBLOG(ブログ)
芸能人のブログに入り放題という前代未聞の新サービスを世に問い、問題作として話題を攫ったサイバーエージェントが、今度はノートンとのコラボサービスのブログパーツでトロイの木馬を搭載するという面白い試みをしているというので見物に逝ってきました。 ブログパーツ「ノートン警察」を使われていた方へ http://ameblo.jp/caetla-2008/entry-10427328482.html http://megalodon.jp/2010-0107-1225-07/ameblo.jp/caetla-2008/entry-10427328482.html 【ノートン警察】お粗末、Javascruptが・・・・ http://ameblo.jp/dendoshi/entry-10428673022.html http://megalodon.jp/2010-0107-1235-05/ameblo
政府にはインターネットに強い人っていないんだねぇ: 本読みの記録
自分の読んだ本の備忘と紹介を兼ねて綴るブログ。小説は歴史小説・ミステリ中心。実用書は経済・マネー系が多くなると思います。 毎日新聞より引用 .<ハトミミ.com>無駄・非効率など内部通報窓口を設置 鳩山内閣は1日の閣議で、行政機関や独立行政法人の職員から無駄遣いや違法事項の内部通報を受ける窓口「ハトミミ.com」を行政刷新会議に設けることを決めた。2日からインターネットと郵便で受け付ける。「行政内部の密約や府省間の覚書など不透明な取り決め」の通報も求め「官僚政治」の打破を図る。国民から意見を募る窓口も来年1月に設置する。 鳩山由紀夫首相の耳を大きく描いたイラストとロゴも発表。首相は1日の閣僚懇談会で、通報者が降格や処分などの不利益を受けないよう閣僚に配慮を求めた。 仙谷由人行政刷新担当相は閣議後の記者会見で「積もり積もった悪習もあるだろう。本気で動いてもらうために閣議決定した」と述べた。
GREEが子供に高額請求 - やまもといちろうBLOG(ブログ)
別にGREEに限った話じゃないけど、「有料アイテム市場」ってもんは昔から問題が絶えない世界でありまして…。 「無料で遊べる」携帯ゲーム高額請求相次ぐ http://www.yomiuri.co.jp/national/news/20091010-OYT1T00578.htm グリー、ゲーム「一部有料」を明示--未成年者の高額利用防止へ http://japan.cnet.com/news/media/story/0,2000056023,20401539,00.htm 【切込隊長】そろそろ「無料」と銘打つのはやめにしないか,オンラインゲーム業界は http://www.4gamer.net/games/000/G000000/20090817032/ 子供に持たせる携帯電話で青天井の決済をさせちゃうソフトバンクモバイルが、被害を消費者センターに申し出てこじらせないかぎり支払い猶予に応じない
高木浩光@自宅の日記 - 楽天CERTに対するブラウザの脆弱性修正を阻害しない意思確認
■ 楽天CERTに対するブラウザの脆弱性修正を阻害しない意思確認 楽天は比較的早い時期からコンピュータセキュリティに真剣に取り組んできた希有な存在だと認識している。昨年には、企業内CSIRTを正式に組織し、組織名を「Rakuten-CERT」とした。*1 楽天、社内に「CSIRT」を設置, ITmediaエグゼクティブ, 2007年12月6日 「楽天ad4U」の「脆弱性を突いてブラウザの閲覧履歴を調べるという禁じ手」の問題(前回の日記参照)は、その手法自体が直接人々のプライバシーを侵害するか否かという問題ではない。実際、「楽天ad4U」について言えば、閲覧履歴の有無は参照するけれども履歴自体の送信はしないように作られており、開発元はこれを「プライバシー保護にも優れています」と宣伝している。 しかし、この問題の根本は、10月の日経の記事にも書いたように、この手法が広く使われるようになって、こ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Amazon.co.jp: 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践: 徳丸浩: 本