When Alex Ewing was a kid growing up in Purcell, Oklahoma, he knew how close he was to home based on which billboards he could see out the car window.…
![TechCrunch | Startup and Technology News](https://cdn-ak-scissors.b.st-hatena.com/image/square/92584d6251feb0822f349cf0211361b2833c9939/height=288;version=1;width=512/https%3A%2F%2Ftechcrunch.com%2Fwp-content%2Fuploads%2F2018%2F04%2Ftc-logo-2018-square-reverse2x.png)
PHPでログインページを作ったりするときに、よくセッションを使ったりすると思いますが、 じゃあセッションってどのようになってるのでしょうか。 [参考]セッション固定攻撃 [参考]GPC(GET/POST/cookie)以外の情報を送るアラワザ [参考]アンダーバーのあるドメインではセッションクッキーは使用できません セッションの破棄されるタイミング ガベージコレクト(ガベージコレクション、ガーベッジコレクション、ガーベッジコレクタともいわれます)とは、『ごみ拾い』という意味です。 session_start()が行われたときに、session.gc_probabilityを分子、session.gc_divisorを分母とする確率で、 session.gc_maxlifetimeよりファイル更新日付の古いファイルをsession.save_pathから削除します。 デフォルトでは、1/10
INI_* モードの詳細および定義については どこで設定を行うのか を参照してください。 セッション管理システムは、php.iniファイルに記述可能な多くの設定オ プションをサポートします。以下に概要を示します。 session.save_handler string session.save_handler は、 セッションに関連するデータの保存および取得時に使用するハンドラを定義します。 デフォルトは、files です。各拡張モジュールで、 独自の save_handler を使用できることに注意しましょう。 インストール環境単位で登録されているハンドラを取得するには phpinfo() を使用します。 session_set_save_handler() も参照ください。 session.save_path string session.save_path は、保存ハンドラに渡される
社内で、SQLインジェクションについてあらためて原理・原則から議論したいねという風潮がにわかに起こったので、ひとまずは叩き台として僕の方でまとめて皆で議論しましょうというわけで、以下のような資料を作成した。 社内勉強会用の資料なのだけど、僕は別にセキュリティに詳しいわけでもないし、ましてやPHPのことは素人なので、外部の識者にレビューしていただいて、できるだけ正しい知識に基づいて議論できればと思い、まずスライドを先行公開することにした。そうしたところ、Twitter上で多数の識者よりいろいろとご指摘いただいて、少くとも決定的におかしな内容にはなっていないものになったようだ。ありがとうございます。 僕らの職務のひとつに「セキュリティ関連」というものも謳われているので、そのあたりの知識普及・基盤整備についても、仕事のひとつとして行っている。先にも書いた通り、僕自身がその点についてよく理解できて
USBメモリに入っているデータを他の人に見せたくない場合に、USBメモリに仮想的なパーティションを作成し、ロックを解除しない限り非表示にできるフリーソフトが「Rohos Mini Drive」です。暗号化はアメリカ合衆国の国立標準技術研究所で使われているAES暗号が使われています。Windows 2000・XP・2003・Vista・7・2008で起動可能です。 ダウンロード&インストール、操作方法については以下から。 Rohos - Rohos Mini Drive http://www.rohos.com/products/rohos-mini-drive/ ◆ダウンロード&インストール 上記サイトの「Download Now」をクリック。 ダウンロードした実行ファイルを起動します。 「OK」をクリック 「次へ」をクリック 上にチェックを入れて「次へ」をクリック 「次へ」をクリック 「
#!/bin/bash ########################################################### # このスクリプトの特徴 # # 受信・通過については基本的に破棄し、ホワイトリストで許可するものを指定する。 # 送信については基本的に許可する。ただし、サーバが踏み台になり外部のサーバに迷惑をかける可能性があるので、 # 心配な場合は、送信も受信同様に基本破棄・ホワイトリストで許可するように書き換えると良い。 ########################################################### ########################################################### # 用語の統一 # わかりやすさのためルールとコメントの用語を以下に統一する # ACCEPT :
Mountain Lionの登場に伴い、「次のSnow Leopardの修正パッチは存在しないと思った方がいい」とIntego。つまり、大量の脆弱性が放置されたままになる恐れがある。 米Appleの最新OS「OS X 10.8 Mountain Lion」が注目を浴びる陰で、Mountain Lionにアップグレードできず、脆弱性が放置されたままになるMacの存在にセキュリティ企業がスポットを当てている。AppleのWebブラウザ「Safari」にも同じ問題が指摘されている。 8月1日のブログでこの問題を指摘したIntegoは、OS Xの脆弱性を修正するAppleのパッチは、現行バージョンと1つ前のバージョン向けにしかリリースされないのがこれまでの恒例だと指摘する。「次にMountain LionとLionの脆弱修正パッチがリリースされる際には、Snow Leopardの修正パッチは存在し
あなたのIPアドレスが悪用されていないかをチェックします。 Your IP address is 122.220.102.102 Your RemoteHost is 122x220x102x102.ap122.ftth.ucom.ne.jp DSBL チェック(オープンプロクシなどのホストが、登録されています。) まだ大丈夫。(^o^) RBL チェック(メールの不正中継したホストや、ウイルスメールを発信したホストが、登録されています。) まだ大丈夫。(^o^) BBQ チェック(2ちゃんねるで悪用されたホストなどが、登録されています。) まだ大丈夫。(^o^) BBX チェック(2ちゃんねるで広告爆撃したホストなどが、登録されています。) まだ大丈夫。(^o^) Tor チェック。( SSL オープンプロクシみたいなの。) まだ大丈夫。(^o^) 踏み台登録確認君 1.03(200
wp-login.phpの変更 WordPressブログを自己防衛、ログインページに触れさせない [解決済み] wp-login.phpのパーミッションとファイル名変更 – WordPressフォーラム セキュリティの為、管理画面を別名にしたら問題が出るでしょうか? - WordPressフォーラム 不正アクセスはある日突然やってくる – おきらくサーバー運用メモ WordPress セキュリティ wp-login.php にアクセス多発を防ぐ方法 – Linux & App Labs By pt106 あぁ、なるほど。IP制限だけでなくてもBASIC認証かけて2重にしとくって手も良いですね。 プラグイン 2012年開幕版!これでモウダイジョーブなWordPressプラグイン集 最強77選 WordPressのセキュリティ関連のプラグイン28個 – わーどぷれすっ! セキュリティを強化す
Dropboxのデータを暗号化してセキュリティを高めましょう。 最近、どのアカウントにもアクセスできるという事故でセキュリティと個人情報の漏洩が心配された『Dropbox』ですが、もしこの事故の影響で利用するのをやめるとお考えでしたら、簡単にセキュリティを強化する方法があります。それは、ファイルの暗号化です。 ライフハッカーがどれだけDropboxを愛用しているかは皆様もご存じだと思いますし、データ暗号化ツールには「TrueCrypt」を推奨していますが、この2つを合わせた活用法は少しだけしか説明していないのでこの機会に詳しくご説明します。 ■何が問題なのか? Dropboxは、ここ最近個人情報の漏洩とセキュリティの問題が目立っています。最近では認証システムのバグにより、4時間ほどいかなるアカウントでも簡単に入れるようになってしまいました。4月には「Business Insider」が、D
先週末あたりからネット界隈を騒がせているのが、テレビ視聴時に必要なB-CASカードの内容を書き換えることが可能になったという話題です。2月ごろに「有料放送を登録無しに視聴可能」という触れ込みの謎のカード「BLACKCASカード」が登場しましたが、今度は自分の手元にあるカードでも同じようなことができるとのこと。 現状で何が起きているのか、ということについては、ちょうどまるも製作所が本日3行でまとめてくれています。 5月18日(金) B-CAS の件 結局のところ、何がどうなってるのか 3 行でまとめろという電波を受信したので。 1.発行済み B-CAS カードの 80% を超える M001/M002/T422/T415/T419 のバックドアが公開されて、対象カードであれば、契約情報や鍵情報の参照&書き換えが自在に可能 2.ECM/EMM といった鍵配送に使われるデータの暗号アルゴリズムも、
2012/05/17 B-CASカード書き換えでBS/CS有料放送を無料で視聴可能にする裏技 2ちゃんねるのスレッドで、B-CASカードを書き換えて、有料放送を無課金で視聴できるカードにするという方法が話題になっているようです。 有料放送のWOWOWやスカパーなどが見放題になるという『BLACKCASカード』がありましたが、価格が49,800円と高額で今後も使える可能性は保証されるものではありませんでした。しかし、今回の方法は通常のB-CASカードを利用するので、ほとんどお金がかからないとのこと。 というわけで、噂が本当なのか検証してみましたので、ご紹介します。 書き換え可能なB-CASカード 全てのカードでこの裏技が使える訳ではないようで、カード裏面の右下にある英数字8桁の番号(型番)と20桁の数字(ID)、IDは最初の4桁は全て0000で始まるので、下記の数字はそれ以降の数字。
おことわり DoCoMo, SoftBank, auの3キャリアの携帯電話端末にインストールされているルート証明書について述べる。 言うまでもなくこの文書は無保証。猛犬注意。濡れていて滑ります。 SSL非対応端末は相手しません。 せっかちな人はまとめからどうぞ。 DoCoMo DoCoMo提供の資料を見ればわかる。端末には3種類ある。 SSL対応全PDC端末およびFOMA 2001/2002/2101V/2051/2102V/2701/900iシリーズにインストールされているのは以下の5つ。 VeriSign Class 3 Primary CA VeriSign Class 3 Primary CA G2 Verisign/RSA Secure Server CA GTE CyberTrust Root GTE CyberTrust Global Root FOMA901i/700i/8
便利で楽しいFacebookアプリケーションが色々ある一方、中には怪しいものもあって、そういうところに個人情報を渡してしまうのは何かと危険。「自分でアプリを使っていないから大丈夫」というわけにもいかない。 友達が怪しいアプリに「私の友達の学歴とか近況とか住んでる場所とかチェックインした場所とか、全部取得してオッケーですよ☆」という許可を与えてしまったら、知らないところで自分の情報が取得されてしまう。これはFacebookの怖いところ。 友達がこんなアプリに許可を与えちゃったら超悲惨! 自分のせいで損をするのはいいけれど他人のせいで迷惑を被るのは困る。 実は「友達が利用しているアプリに、自分の情報をどこまで渡すか」というのを設定できる。目立たない項目だから、多分あまり知られていない。私も最近知ったよ。 Facebookにログインして、ヘッダのメニューから「ホーム > プライバシー設定」を
アメリカ国防総省の諜報機関であるNSA(アメリカ国家安全保障局)も使っている「AES」方式によっていちいちパスワードを入力する必要の無いシンプルな透過型の暗号を自動的に施してくれるソフトが「Cloudfogger」です。Dropbox・Box.net・SkyDriveなどと組み合わせて利用でき、暗号化したファイルを特定の相手だけに閲覧させることもできます。インストール・操作方法は以下から。 Cloudfogger - Free File Encryption for Dropbox and the Cloud http://www.cloudfogger.com/en/home/index.aspx ◆インストール 上記サイトの「Cloudfogger Download」をクリック。 「Cloudfogger_Setup.exe」をクリック。 「Next」をクリック。 「I accept
WindowsとMacに対応し、ワンクリックでグローバルIPアドレスを偽装してインターネットの利用を可能にするのが「spotflux」です。無料で安心と安全を実現する「spotflux」のインストール・操作などは以下から。 実際に「確認くん」を利用して確認してみます。「spotflux」使用前。 使用後、現在接続している場所(現IP )つまりグローバルIPアドレスが変更され、プロバイダー名が見えなくなりました。 Spotflux - A more secure, private, and open internet experience. http://launch.spotflux.com/ ◆インストール 上記サイトの「PC」をクリック。Windowsを使っているので、Windows版である「PC」を選んでいます。 ダウンロードした「spotflux-latestPC.exe」を起動。
ハマったのでメモ。 Linuxでリソース制限するための仕組みのulimitがありますが、その1項目に「nproc」があります。 これはそのユーザで実行できるプロセス(スレッド)数の制限となります。 これが、CentOS5までは、 $ ulimit -u unlimitedのように無制限だったのですが、CentOS6になって以下のように1024で制限がかかるようになりました。 $ ulimit -u 1024そのため、デーモンとかで高負荷な処理をさせてプロセス(スレッド)が増えると処理が落ちてしまうのです。 悲しいけどこれってデフォルト値なのよね。 設定箇所は? 実際の設定は、[/etc/security/limits.d/90-nproc.conf]でされています。 # cat /etc/security/limits.d/90-nproc.conf # Default limit for
※ご注意: ウイルスバスターがインストールされている環境だと、この記事は読めないようです (→参考画像) (x-autocompletetypeとは?) Webサイトのフォームにワンクリックで個人情報を自動入力してくれる便利機能。ブラウザに、あらかじめ名前やメールアドレスや住所やクレジットカード番号などの情報を設定しておく。 アンケートサイトとかに超便利 入力が苦手なオカンも便利 とにかくべんり Google Chrome のみ対応してる (2012年4月4日時点)。 便利すぎて今後、他のブラウザも追随必至。 (ユーザーが自動入力を使うには) Google Chrome 設定 → 個人設定 → 自動入力設定の管理 → 住所氏名メールアドレス等を入れておく (Webページ側での自動入力の設定) inputにx-autocompletetype属性をつけて、値を email とか sname
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く