This domain may be for sale!
Something went wrong, but don’t fret — let’s give it another shot.
東:よく信頼社会とか安心社会とかいいますが、日本人は信頼してないんですよ、他人を。 自分の近くの人間だけしか信頼できない。匿名の他者を信頼するっていうことがやっぱりできてないんです。それがネット時代になって弱点としてかなり顕著に現れてきている。 中途半端に相手に生活が見える分、疑心暗鬼ばっかりが高まっている。一回かなり透明にしないとダメなのかなっていう気は最近してきました。 もともと僕は、「ネットとか匿名でいいじゃん」という派だったので、微妙に立場変わってきてるんです。 佐々木:匿名論。確かに微妙ですよね。 東:微妙です。ただ、僕自身は一回も匿名になったことがない。それどころか変名も使ってない。東浩紀っていうのは本名だし、二十代の頃から仕事してたってこともあって、ずっとネット上でも本名でやってた。だから僕自身は透明であるってことに全然怖さを覚えない。 佐々木:そうすると、有名だからじゃない
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。 これは
■ なぜ一流企業はhttpsでの閲覧をさせないようにするのか 「かんたんログイン」などという似非認証方式は、たとえIPアドレス制限を実装したとしても安全でない。仕様が公開されていないからという点の他に、技術的な理由として、少なくとも次の2つがある。 「IPアドレス帯域」と俗称される重要情報が安全に配布されていない。 SSLを必要とするケータイサイトでは、通信経路上の攻撃によってなりすましログインされてしまう。*1 2番目には解決策がない。 1番目については解決策はあるだろうが、携帯電話事業者がサボタージュしていて、実現される見通しがない。これについては、2008年7月27日の日記にも書いたが、その後どうなったかを調べてみたところ、ソフトバンクモバイル以外は、何ら改善されておらず、当時のままだった。 NTTドコモ 「iモードセンタのIPアドレス帯域」のページをhttps:// でアクセスする
適当 XSSがある=なんでもやり放題ではない ブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。個人情報を預かってるサイトは、重要個人情報についてはHTTPSじゃないと参照できなかったり、そもそも表示しなかったり(パスワードやカード番号等)、決済用のパスワードや暗証番号を入れないと操作できなかったりする。 参考までに http://blog.bulknews.net/mt/archives/001274.html (2004年のアメブロ脆弱性の話) http://d.hatena.ne.jp/yamaz/20090114 (信頼できないデータを取り扱うドメインを分ける話) 管理用と別ドメインに分けたにも関わらず、script実行できることに対してDISられ
以前にぼんやりと考えたこと 2009 01 02 03 04 05 06 07 08 09 10 11 12 2008 01 02 03 04 05 06 07 08 09 10 11 12 2007 01 02 03 04 05 06 07 08 09 10 11 12 2006 01 02 03 04 05 06 07 08 09 10 11 12 2005 01 02 03 04 05 06 07 08 09 10 11 12 2004 01 02 03 04 05 06 07 08 09 10 11 12 2003 01 02 03 04 05 06 07 08 09 10 11 12 最近のコメント ひろしま (ひらがなせいかつ …): じゅくじくんは なくした ほうが いい ですね。ぼくは… たんぽぽ (ひらがなせいかつ …): きゅうに ぜんぶの ことばを ひらがなだけに す
高木浩光さんの「サニタイズ言うなキャンペーン」 という言葉自体はずいぶん前から存在したのだが、 続・「サニタイズ言うなキャンペーン」とはにて高木さん自身がいくつも誤解の例を挙げているように、 そしてまた最近も 駄目な技術文書の見分け方 その1にて「まだわからんのかね」と言われているように、 「わかりにくい」概念なんだろうとは思う。 そこで、僭越ながら、「サニタイズ言うなキャンペーン」について、 私なりの解釈を書いてみようと思う。 もっともこれが正解であるという保証はないのだが、 間違っていたらどなたかツッコミいただけることを期待しています(_o_) そもそも何のせいで「エスケープ」しなければならないのか たとえば住所氏名を登録させるWebアプリケーションは珍しいものではないと思う。 そこで、私が「Taro&Jiro's castle サウスポール」 とかいう恥ずかしい名前のマンション(?)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
世間では、今Gumblar祭りが勃発中であり、SQLインジェクションがニュースに出てくることは少なくなったが、だからと言ってSQLインジェクションの脅威がなくなったわけではない。SQLインジェクションはGumblarを仕掛ける手段としても利用されることがあり、Webアプリケーションを提供する全ての人にとって、対策を講じなければいけない驚異であることに変わりはない。SQLインジェクションという攻撃手法が認識され、大いに悪用されているにも係わらず、その本質に迫って解説している記事は少ないように思う。従来のWeb屋だけでなく、今やアプリケーション開発の主戦場はWebであると言っても過言ではなく、そういう意味ではSQLインジェクションについて理解することは、全てのプログラマにとっての嗜みであると言えるだろう。 というわけで、今日は改めてSQLインジェクションについて語ってみようと思う。 SQLイン
HOMMEZ(オムズ)は男性の心と身体の健康を支援し、一人でも多くの人が子供を得る幸せや男性としての喜びを享受できる社会の実現を目指しています。男性の妊活、活力にまつわる情報や商品の力で性や妊活に悩む男性が効率的に納得感を持って活動できる機会を創出します。
新年早々、お年玉として芸能人のパスワード入りエクセルファイルがプレゼントされた「アメブロお年玉パスワード事件」。 アメブロお年玉パスワード事件とは 「アメブロお年玉パスワード事件」とは、一体どんな事件だったかというと、 1. 2010年になり、ミキティなどの芸能人ブログでお年玉画像入りの記事が投稿された。 2. お年玉画像をクリックすると、芸能人ブログのパスワード等が記載されたエクセルファイルがダウンロードできるようになっていた。 3. お年玉プレゼントだと思った一般ユーザーが芸能人ブログにログインし、不正アクセスしてしまった。 このような事件でした。 サイバーエージェントの対応 アメーバブログ運営元のサイバーエージェントは即日、「Ameba」オフィシャルブログ、不正アクセス被害についてというPDFで”不正アクセス被害”について報告しました。 株式会社サイバーエージェント(本社:東京都渋谷
『アメーバブログ』で前代未聞の情報漏えいが発生した。『アメーバブログ』はタレントやモデルなどの芸能人ブログに力をそそいでおり、日本最大数の芸能人ブログをサービスとして公開しているのだが、その芸能人たちのIDとパスワードが記載されているエクセルデータがインターネット上に漏洩しているのである。しかも、複数の芸能人ブログから情報が流出している状態である。 情報漏えいが発覚したのは2010年1月1日の午前1時ごろで、そのころに掲載された芸能人数人のブログ画像がなぜかエクセルデータになっており、そのエクセルデータをダウンロードすると『アメーバブログ』運営スタッフの管理表のようなデータが手に入るという。その画像というのは『アメーバブログ』側が用意したお正月用の画像で、その画像のみがエクセルデータを含んでいる。 管理表には数百人の芸能人ブログのIDとパスワードが記載されており、ブログデザインの進行進捗な
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く