「常識的なweb UI」で気になっているもの | おごちゃんの雑文
これは本当にわからないんで、識者に教えて戴きたいところなんだけど、とりあえず自分の主張と共に疑問を書いてみる。 疑問は大きく2つあって、 パスワードは伏せ字でなければならないか 「確認画面」は必要か ってこと。このどちらもが「常識」として使われているのだけど、どうもうっとおしい気がしてならない。 パスワードをtype=”password”にしたり、そういったラベルをつけたりすると、パスワード覚えてくれていたり、日本語入力システムが一時的にOFFになったりと便利なのはわかる。また、パスワードを「後ろから見る」攻撃から避けるには、伏せ字にしておくのが有効だというのもわかる。 とは言え、パスワード覚えてくれたりとか、日本語入力システムを一時的にOFFにするとかってのは、言うなれば「オマケ」であって、本質は「伏せ字」ってことだろう。この伏せ字、「後ろから見る攻撃」には有効なのだけど、 打ち間違いに
ripplex inc.
ありそうでなかった、写真アプリ すぐに「みつける」 さくさく「まとめる」 気軽に「くばる」 「スマホで写真を楽しむ」を シンプルにデザインしました。 サービスサイトへ
flashクッキーでのユーザー・トラッキング - huixingの日記
wiredによれば人気のあるトップ100のウェブサイトの半分以上がflashクッキーを使ってユーザーをトラッキングしており、ユーザーがブラウザのプライバシー管理設定でクッキーを無効化していても、実際はトラッキングされ続けていることに気付かないことが多いという。通常のブラウザ・クッキーに比べてflashクッキーは比較的知られていなく、ウェブサイトにしても表立ってflashクッキーでトラッキングしていることを公表していることは少ない。またいくつかのウェブサイトではリスポーニングre-spawningとよばれる手法で通常のクッキーのユニークIDをユーザーが消して去っても、秘密裏に新たなクッキーに元のユニークIDを再び割り当てる手法を取っており、flashクッキーはバックアップに使われているという。こうしたスーパークッキーに対応するにはfirefoxのエクステンションであるBetterPrivac
【ハウツー】もう試しましたか? Googleの脆弱性発見ツール「ratproxy」 (1) XSS問題などを検出可能 | エンタープライズ | マイコミジャーナル
Webアプリケーション開発者にとって切っても切れない問題――それがセキュリティ対策だ。日増しに複雑になっていく要件・機能に対する脆弱性検査に悲鳴をあげているデベロッパ/テスターも多いことだろう。そのような中、あのGoogleが、社内でも活用している脆弱性発見ツールをオープンソース化して公開した。同ツールは脆弱性検査の新しい決め手となるか。以下、基本的な使い方や主要機能について紹介していこう。 Google社内で現役の脆弱性検知ツール - ratproxy Googleは1日(米国時間)、Webアプリケーションのセキュリティ監査を実施するツール「ratproxy」をリリースした。ratproxyはプロキシサーバとして動作するオープンソースソフトウェア。同ソフトウェアを経由してWebアプリケーションを操作することで、XSS(Cross Site Scripting)問題や不適切なXSRF(Cr
» セキュアなサーバを作るために最低限やっておくこと: エスキュービズム ラボ Blog
Recent Entries セキュアなサーバを作るために最低限やっておくこと Yahooキーワード抽出APIライブラリ テスト駆動開発 (test driven development: TDD) のすすめ GoogleAnalyticsAPI on EC-CUBE 土日で作るコンパイラ OPEN ERPに挑戦3 OPEN ERPに挑戦2 OPEN ERPに挑戦 ERPはたくさんあれど・・・ OpenGLで3D、やってみよう Recent Comments No Responses. Recent Trackbacks テスト駆動開発 (test driven development: TDD) のすすめ 06/11 » Yahooキーワード抽出... みなさんはサーバを管理するときに、何を一番気にしますか? 人によって程度の差はあるのでしょうが、誰もが気になるのが「セキュリティ」でしょ
sshへの総当り攻撃をiptablesの2行で防ぐ方法 (blog@browncat.org)
blog@browncat.org Web, Linux, Ubuntu, Mac, PDA, 携帯電話, プログラミング, ソフトウェア&落書き iptablesのオプションは間違うとひどいことになりますが、うまく動くと素晴らしい。わずか2行でsshへの総当り攻撃を防ぐことが出来る方法。知っている方には何をいまさらですが、不勉強な私は知りませんでした。ネタは以下のリンクです。 TechBlog - How to: Block brute force attacks with iptables(英文) 自宅サーバを立ち上げている方やサーバ管理をされている方は一度や二度はsshへの総当り攻撃を見たことがあると思います。私のところではログインする元がほぼ決まっているので/etc/hosts.allowにSSHで接続を許可するホスト/ネットワークを指定しており、これでほとんど問題ありません。 そ
解説●ほとんどのECサイトにセキュリティ上の問題あり(上)
図2●大半のECサイトはクロスサイト・スクリプティングに無防備 産業技術総合研究所が調査した,ECサイトの対策状況。オンラインマーク取得サイト,プライバシーマーク取得サイト,銀行および証券サイトから無作為抽出して調査したところ,大半のサイトにクロスサイト・スクリプティングを悪用されてしまう欠陥が存在した。調査時期は2001年7月。実際に情報の盗み見やなりすましが可能かどうかまでは調査していない 産業技術総合研究所の研究グループが調査したのは,クロスサイト・スクリプティングと呼ばれる不正アクセス手法への対策状況である。 2001年1月から2月にかけて,研究グループがアカウントを持っていたサイトについて調査したところ,調査したうちの半数近い8サイトで,他人によるなりすましや個人情報の閲覧が可能なことを発見した(表1[拡大表示])。いずれも有名な大手サイトである。中には,クレジット・カード番号を
IPA式ウェブアプリケーション脆弱性チェックリスト
先日書いた業務用アプリに関連するんですけど、うちの会社ではサービスをリリースする前に脆弱性監査を通す必要があります。会社の仕組みとしてそのような監査チームがあることが凄く助かっています。 さて、会社の脆弱性監査の内容は守秘義務等で書くことが一切できないのですが、IPA(独立行政法人 情報処理推進機構)にて脆弱性対策についてのまとめ資料が公開されています。 情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方 ココで公開されている 「安全なウェブサイトの作り方 改訂第3版」 は全76ページからなる脆弱性対策マニュアルになっていて、どのような脆弱性に対してどうのように対処すべきかが記載されています。この第3版は行ってみれば、脆弱対策2009年度版みたいなもん。新しい攻撃手法がどんどんでてくるのでその都度対策が必要なのですが、このマニュアル本に記載されている内容で、現在の対
所沢市に在住する情報セキュリティコンサルタントのBlog - FC2 BLOG パスワード認証
ブログ パスワード認証 閲覧するには管理人が設定した パスワードの入力が必要です。 管理人からのメッセージ 閲覧パスワード Copyright © since 1999 FC2 inc. All Rights Reserved.
情報セキュリティ入門
コンピュータやネットワークが一般社会に浸透し,情報を扱う利便性は向上してきました。しかし利便性の向上は,同時にセキュリティの低下も招きました。サービスの利便性を享受するには,自分の身は自分で守り,他人には迷惑をかけないようにしていかねばなりません。 この連載コラムでは, ●情報セキュリティに関する知識を増やしたい ●何をすればどうなるのかはわかっているけれど,その舞台裏を知りたい ●情報セキュリティ関連の資格試験を受験するための基礎知識を固めたい という方々を対象に,知っておきたい情報セキュリティの概念,技術,規約などを解説していきます。 忙しい方は,各回の冒頭にある「ポイント」だけを読んでいただければ話の大枠は理解できるようにしました。ポイント部分に目を通して興味がわいてきたり,自分の弱点だと感じたら,そのあとに続く本文もぜひ読んでみて下さい。 毎週水曜日に1本ずつ記事を掲載して行く予定
なぜネットワーク通信を盗聴できるのか?
インターネットでは,パスワードやクレジット・カードの番号が盗聴されないように,暗号化してデータをやり取りすることがある。では,なぜ暗号化しなければ,情報を盗まれてしまうのだろうか?盗聴の仕組みは,実はイーサネットの通信方法とも深い関係がある。そこで,ネットワークはどのように通信を実行しているのかをもう一度確認しながら,盗聴に対する対策を考えていこう。 今回のテーマは「盗聴」である。盗聴と聞いて最初に思い浮かべるのは,電気のコンセントや受話器のマイクのようにカモフラージュされた盗聴器ではないだろうか。最近はストーカー被害などとともに,盗聴の被害に遭う人も多く,ある運送会社では引越しの際に盗聴器が仕掛けられていないか調べるサービスが人気だという。 なんとも危ないテーマだが,この「盗聴」という行為がネットワーク上でも行えることはご存じだろう(図1)。しかし,前述の盗聴と違う点は,傍受する対象が音
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
RT-200NEの仮想DMZ設定