Webに関わる人のための『HTTPの教科書』を発売 - うさぎ文学日記
ひさびさの単著となる『HTTPの教科書』が2013年5月24日に発売になります。 内容はタイトルの通り、Webに関わる全ての人に捧げるHTTPを学ぶための教科書です。基礎を学びたい初心者の方から、机の上に置いてリファレンス的に使いたい方までを対象としています。 HTTPの教科書発売元: 翔泳社価格: ¥ 2,730発売日: 2013/05/25posted with Socialtunes at 2013/05/21 HTTP関連の書籍は『今夜わかるHTTP (Network)』というタイトルの本を2004年に出しています。その頃からHTTP/1.1が主流であるというのは、今でも変わりませんがそれを取り巻く環境というのは変わりつつあります。 HTTPを学ぶ上での要点がわかりやすく、そして読みやすくなっております。前作のリニューアルっぽく感じるかと思いますが、9割以上は書き直しや追記しており
twitterに学ぶなりすまし投稿対策
先日もtwitter上の犯行予告により20歳の青年が逮捕されたようですが、なりすましによる誤認逮捕ではなかったのか気になるところです。そこで、twitterが、なりすまし投稿をどの程度対策しているかを調べてみることにしました。twitterの安全性を確認することが目的というよりも、twitterが実施している対策を知ることにより、皆様のWebサイトを安全にする参考にしていただければと思います。 今回調べた「なりすまし投稿」の手法は下記の通りです。 クロスサイト・リクエスト・フォージェリ(CSRF) クロスサイトスクリプティング(XSS) HTTPヘッダーインジェクション クリックジャッキング DNSリバインディング クッキーモンスターバグ このうち、上の5つの解説は拙稿「“誤認逮捕”を防ぐWebセキュリティ強化術」、最後のクッキーモンスターバグについては、過去のエントリ「クッキーモンスター
PayPalが不正利用され勝手に支払いをされた時の経緯と対処法
ある日突然、PayPalからこんな購入した覚えの無いメールが届いたらどうしますか? 先日僕の所にやってきたPayPalの支払い確認メール。一瞬誰かが僕に募金をしてくれたのかと勘違いしましたがPayPalで確認した所Delphine DIETZというマーチャントへ支払いが”完了”している。 まずはDelphine DIETZをググるもそれらしい情報も出てこないのでフィッシングされたなと思いました。結果的には返金されたのでその流れを書きたいと思います! まずはPayPal問題解決センター PayPalにアクセスし、[マイアカウント]の中にある[問題解決センター]を押すと、取引に異議を提出するというボタンが出て来ます。ここから単純な入力フォームを数回記入するとPayPalから確認メールが届きます。 先日、お客様にお心当たりがないか、同意なしに取引が行われたという報告をいただきました。当社では、現
勝手に査読:Webアプリにおける11の脆弱性の常識と対策
「Webアプリにおける11の脆弱性の常識と対策」という記事を久しぶりに読みました。出た当事も思いましたが、基本的な誤りが多く、読者が誤解しそうです。このため、編集部から頼まれたわけではありませんが、「勝手に査読」してみようと思います。 細かい点に突っ込んでいくとキリがないので、大きな問題のみ指摘したいと思います。 ※2013年2月25日追記 このエントリに対して、編集部が元記事を修正くださいました。徳丸も修正に協力いたしましたが、十分正確な内容ではないことをお含みおきください。 ※追記終わり 同記事の想定読者は誰か査読にあたり、この記事の想定読者を明確にしておいた方がよいですね。記事の冒頭には、連載の説明があります。 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用する
GitHubで多くのユーザーが秘密鍵を公開状態にしていたことが判明 | スラド オープンソース
GitHubでは23日から新しいコード検索機能が利用できるようになったが、これにより多くのユーザーが秘密鍵やパスワードの格納されたファイルを誤って公開状態にしていることが明らかになったとのこと(The GitHub Blogの記事、 HotHardwareの記事、 SC Magazineの記事、 本家/.)。 ソースコードと秘密鍵などを同じ場所に保存し、そのままGitHubにアップロードしてしまうユーザーも多くいるようで、新しい検索機能でヒットするようになったことから表面化したものとみられる。 この話題はTwitterで広まり、Google Chromeのソースコードリポジトリにアクセスするための認証情報とされるものを含め、数多くの検索リンクが投稿された。その後、検索機能が一時的に使用できなくなり、被害の拡大を防ぐためではないかと推測されていたが、GitHubでは今回の件とは無関係だとして
ド素人が完全自作SNSを二週間運営してみてわかったこと(後始末編、技術編、モチベーション編)
ド素人が完全自作SNSを作ってみてわかったこと。 http://anond.hatelabo.jp/20130104184115 の元増田です。 ひっそりと公開したはずのtag-chat.net(http://tag-chat.net)ですが、 まさか、こんなに反響を頂けるとは思っていなかったので、びっくりしました。 素人のフリをしているとか、出版社のステマだとか色々言われましたが、嘘は一切書いてないです。 ステマというか、ウェブサービス公開後の状況を知っている方からするとマイナスのステマにしかなっていないような気がします…。 公開してから、色々と発見というか気づきがあったので、それを共有できれば幸いです。あと、tag-chat.netの中身についてなど。 ~増田記事を公開してから今までの経過~ ・意気揚々と自作SNSを公開したものの、アクセスが全くこなくて途方にくれる。 ⇓ ・以前、完全
API設計に関する10のワーストプラクティス
過半数の開発者が平均で3つ以上のAPIのインテグレーションを実装していると言われている昨今、「使い辛い設計のAPI」を実装するのは開発者にとっては頭の痛い問題ではないでしょうか? Programable Web上に投稿されたAPIのワーストプラクティスに関する記事が国内外の開発者の目に止まったようです。この記事によると悪いAPIに見られるプラクティスは下記のようなものだそうです。 貧弱なエラーハンドリング HTTPのルールを無視したREST API 裏に潜んだ生のデータモデルの露出 セキュリティの複雑さ ドキュメント化されていない予期せぬリリース 貧弱なデベロッパエクスペリエンス MVCフレームワークが良いAPIにしてくれるという思い込み 開発すれば使ってもらえると見なすこと 不十分なサポート 貧弱なドキュメンテーション APIを利用するだけでなく、APIを提供する場合に上記のようなポイン
エンジニアが知っておくべき4つのデータベース攻撃シナリオ
経営リスクとしてのデータベースセキュリティ 企業が事業活動を行う上で、「個人情報」、「技術情報」、「知的財産」等の情報が非常に重要なものであることは今さら言うまでもない周知の事実であり、企業が事業活動を行う上では、これらの情報をいかに有効活用するのかが企業の競争力の源泉であると言えます。 しかし、いったん、これらの情報が漏えいしてしまった場合には、「社会的責任」、「顧客への被害」、「金銭的損失」、「法的責任」といったリスクが発生します。つまり、企業が情報の保護活動を行うことは、事業活動を行う上でのリスクを管理/低減することにほかなりません。 情報を活用することが競争力の源泉(リスク・テイク) 情報保護は事業リスクの管理のために重要(リスク・コントロール) では、実際に情報が漏えいしてしまった場合には、どのような事態になるのでしょうか。2011年6月に「データベース・セキュリティ・コンソーシ
アカウント乗っ取りを防げ!Google2段階認証プロセスを設定する全手順
今朝、懐かしい方からメールがあって私はiPhoneをまじまじと見つめてしまいました。それはこのブログにも以前登場した「一流の研究者」の、私の師匠です。 しかしメールの内容はおかしなものでした。「いま海外にいるのだが、同行していた人が急病になってしまい、手術にお金が必要なので送ってくれないか」という内容で、つまりは詐欺メールです。 シグネチャまでも真似ていますが、誰かが師匠のメールアドレスを乗っ取ったのです。### 2段階認証を使おう 師は周囲にコンピュータのウィザードが大勢いますのできっと適切に対応がとられているものと思います。 しかし一度アカウントが乗っ取られると、住所録も含めて奪われてしまいますのでいつまでも自分の名前を騙って友人、親戚にこうした詐欺メールが送られるリスクが続きます。 私の周囲でも今年に入ってGmailが乗っ取られてこうした詐欺メールが飛んできたというケースが複数ありま
さくらVPSでスタートダッシュ決めるには結局どーすりゃいいの?
WinでVPSするのに必要なソフト 何はともあれPuTTY。PuTTYはVPSと通信する為のソフト。他にもTeraTermなどあるけど、よく分かんないならPuTTY。 Windowsのsshクライアント三強の個人的な比較 | 全自動ねじまき機 さくらのコンパネでサーバーを起動したらWinでPuTTYを起動してVPSを操作する。コンパネにある「リモートコンソール」は基本的に緊急時に使うもの。ちなみに私はサーバー起動後にさらに一回再起動しないとPuTTYで入れませんでした。 PuTTYでVPSのコンソールを表示するのが、Macにおける「ssh root@IP.ADD.RE.SS」と同じです。これでドットインストールをガシガシ進めます。 ドットインストールの該当範囲 さくらのVPSへ接続してみよう 作業用ユーザーを設定しよう 日本語確認で化けます。PuTTYの文字コードをEUCからUTF-8に変
SQLインジェクションについてのスライドを作成した - Kentaro Kuribayashi's blog
社内で、SQLインジェクションについてあらためて原理・原則から議論したいねという風潮がにわかに起こったので、ひとまずは叩き台として僕の方でまとめて皆で議論しましょうというわけで、以下のような資料を作成した。 社内勉強会用の資料なのだけど、僕は別にセキュリティに詳しいわけでもないし、ましてやPHPのことは素人なので、外部の識者にレビューしていただいて、できるだけ正しい知識に基づいて議論できればと思い、まずスライドを先行公開することにした。そうしたところ、Twitter上で多数の識者よりいろいろとご指摘いただいて、少くとも決定的におかしな内容にはなっていないものになったようだ。ありがとうございます。 僕らの職務のひとつに「セキュリティ関連」というものも謳われているので、そのあたりの知識普及・基盤整備についても、仕事のひとつとして行っている。先にも書いた通り、僕自身がその点についてよく理解できて
Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 追記(2012/08/10 20:10) たくさんの方に読んでいただき、ありがとうございます。一部に誤解があるようですが、ツールバーが送信している内容はURLだけで、Cookieやレスポンスまでも送信しているわけではありません。URLを送信するだけでも、以下に示す危険性があるということです。 追記終わり 追記(2012/08/13 23:50) ポイントツールバーにバージョンアップがあり、WEB閲覧履歴の送信がSSL通信に変更されました。従って、WEB閲覧履歴が盗聴可能な状況は回避されました。本日22:50頃確認しました。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
はてなブログ
IDEA * IDEA