https://jp.techcrunch.com/2012/11/12/jp20121112gehirn-web-services/
webセキュリティ4天王同士のいがみ合いは日本の損失
言わずと知れた日本が誇るwebセキュリティ4天王がいる。我々が快適にネットサーフィンできるのは彼らのお陰と言っても過言ではない。 ひろみちゅmalaはまちやhasegawayosuke このうち、ひろみちゅとmalaの仲があまり芳しく無いということは薄々皆さんも感じていただろうが、いよいよ本格的に抗争が顕在化してきて大変に憂慮すべき事案であるのでここで周知徹底しておきたい。 ライブドア社員malaが高木浩光の定置網に引っかかりtwitter民にフルボッコにされるの図 http://togetter.com/li/326127 高木浩光さんへ、しっかりしてください 最速転職研究会 http://d.hatena.ne.jp/mala/20120830/1346309790 ますます膨張するwebセキュリティの危機に対し技術者としてピュアな態度で臨むという共通点を持ち合わせる四天王。 それ故
Hide Login+
This plugin has been closed as of October 15, 2024 and is not available for download. This closure is temporary, pending a full review. After testing the plugin twice, once on an install before the site broke, and once on a brand new install (first plugin installed other than default), installing the current version of this plugin on the most current version of WordPress resulted in a missing admi
WordPressのwp-config.phpで出来る事いろいろ
自分用メモ。wp-config.phpの設定 で出来る事のリストです。よくある カスタマイズは、テーマファイル内 にコードを書きますが、wp-config で出来る事を知っておくのもとても 大事ですね。 普段あまり利用しないので覚えてないし、困ったときはいちいち探してるので時間をロスしないようにメモしておきます。 スニペットのメモリストですし、細かい解説は面倒なんでしません。また、「wp-configってなんだろう?」という方には全くお役に立てないと思います。 wp-config.phpで出来る事リスト以下リストです。古いバージョンの事は視野に入れてません。 リストはCODEXのwp-config.phpの編集から抜粋しています。 ※変更前にバックアップして下さい ※自己責任でお願いします ※コード一覧は記事最下部に有ります 01. デバッグモードにするdefine('WP_DEBUG',
WordPressの管理領域を守る10の方法
WordPressは世界的にメジャーなOSSのブログシステムです。それ故、クラッカーから狙われ易いのも事実。そこでWordPressの管理領域を守る10の方法をSmashing Magazineの記事から紹介します。全て適用する必要はありませんが、可能なものから随時行っていくのがいいでしょう。 10 Steps To Protect The Admin Area In WordPress (Smashing Magazine) WordPressフォルダをリネームしてからアップロード WordPress 2.6から、wp-contentフォルダをリネームして運用することが可能になりました。しかし、肝心のwp-adminフォルダは、この変更に未対応です。そこで、WordPressフォルダを適当な名前に変更しておき、管理アドレスを推測しにくいものに変更しましょう。管理画面の[一般設定]-[Wo
有名フレームワークのCSRF対策方法を調べたまとめ - webネタ
ZendFramework 流れ 表示時 : token生成→hiddenセット + セッションにセット 送信時 : 送られてきたtokenをセッションにあるものと同じかでチェック token生成方法 ランダム値 + salt + 固定値 + ランダム値 md5( mt_rand(1,1000000) . $this->getSalt() . $this->getName() . mt_rand(1,1000000) ); まとめ ランダム値をセッションにいれて、送られてきたものとチェック。 Symfony 流れ 表示時 : token生成→hiddenセット 送信時 : 送られてきたtokenを、再度生成したtokenと比較して同じかチェック token生成方法 salt + 固定値 + セッションID sha1($this->secret.$intention.$this->getSe
「Facebookで自分の名前と写真を広告に使えないようにする方法」について - 最速転職研究会
表題の件について、ソース不明の噂話や、意味を理解しないままリスクを誇張して拡散される様子を数日前から見ることができる。放っといて収まるかと思っていたらnanapiが大拡散していた。記事を書いているのはnanapiの社長であるkensuuである。時給800円のバイトかと思ったらkensuuである。 http://nanapi.jp/37983/ この件についての見解をいくつかTwitterに書いた。 まあ、全くのノーリスクというわけでも無いだろう。 正確に言えば「この設定が意味を持つような不適切な実装をしてはならない」 「表示」するだけならば、広告主や、他の広告ネットワークに対して、あなたのプロフィール画像や表示名に対してアクセスを許可する必要がない。facebook.comのiframeを使って直接Facebookから表示するだけだ。この意味がわからなかったらウェブ系の仕事に関わっているプ
Fail2ban | 初めてのmakeserver
Fail2banとは これも、「denyhosts」同様にログをチェックして、設定以上に認証に 失敗していたら失敗したIPアドレスからの接続を拒否する よくあるブルートフォースアタック攻撃に対処しましょう。備えあれば・・・ すこしでもいいものは入れてみます。 ●インストール # yum -y --enablerepo=rpmforge install fail2ban (「yum」コマンドを使ってインストール) ●設定 # vi /etc/fail2ban/jail.conf (「vi」エディタを使って「jail.conf」を編集。) ignoreip = 127.0.0.1 192.168.11 (不正アクセスとして扱わないアクセス元を記述) bantime = 600 (検知したときアクセスを何秒間遮断するかデフォルト10分です) findtime = 6
VPS 借りたら、せめてこれくらいはやっとけというセキュリティ設定 - dogmap.jp
さくらのVPSやら、ServersMan@VPS やらの出現で、やたらと敷居のさがった感のある VPS 。 かく言うこのサーバもめ組VPSで運用されてるわけですが、VPSを既存のレンサバ感覚で使ってる人にせめてこれくらいのセキュリティ設定はやっておいたほうが良いよっていうお話です。 今回、対象にする OS は CentOS です。 さくらVPS 借りて Ubuntu とか、別の OS で運用するような中上級者は自分でできるよね。 リモートからの root ログインを無効にする ssh 経由で root でログインして作業したりしてませんか? これ root パスワードが破られたら、サーバが乗っ取られちゃうので、大変に危険です。 root ログインを無効にして、権限のあるユーザでログインしてから sudo or su して作業するようにしましょう。 root ログインを無効にする方法は、こん
CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!
こんにちはこんにちは!! 今日はCSRF脆弱性のちょっとした話です! このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法のひとつ。 わかりやすい例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 <img src="何々SNSの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSの足跡.phpにアクセスしたことになる。 ※詳しくはこちらのマンガで → [はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! : 第2回 しーさーふって何ですか? CSRFってこんな風に、 「ログイン済みの人に何か操作させる」ってイメージが強くて、 対策する側もまた、「既にログイン済みの人を守る」ような考えが強いんだよね。 例えば、勝手に日記に投稿させないように対
10万円で使い勝手とセキュリティのアドバイスをしようと思います - ぼくはまちちゃん!
こんにちはこんにちは!! 今日、友達の HolyGrail くんとカレーを食べてる時に、こんなことを言われました。 「自分がもし、はまちちゃんに何か依頼するとしたら、 自社のサービスをがっつり使い込んでもらって、色々なアドバイスしてもらったりとかかなー。 それで10万円とか、どうだろう?」 …なるほど!いいですね! もしかしたら、そういう需要ってあるのかも? 何日か前に「ふつうのformをつかいたい」っていうスライドを発表したけれど、 なんでここに書かれてあるようなことが、よくあるんだろうって思っていたし。 うーん。 例えば、UIデザイン。 企業では、デザイナーにだいたい全部おまかせすることって多いですよね。 でも多くのデザイナーって元々は「見た目の美しさ」についての勉強や仕事を、主にしてきた人達だと思うので、 彼らに「使い勝手の良さ」まで期待しても、どうしても専門外なことが多いように思う
マシなインターネットを作る:malaさんインタビュー
malaさんはNHN Japanのエンジニアとして多くのウェブサービスの設計に関わるだけでなく、セキュリティやプライバシの観点から見たアーキテクチャについて、ブログでさまざまな情報や問題提起を発信されています。 特に昨年末に公開されたブログ記事「はてな使ったら負けかなと思っている2011」は、インターネットはどこへ行くかという私のもやっとした問題意識にピッタリとハマる素晴らしい文章でした。あの記事を読んで、これはぜひ一度お会いして、インターネットの現状やエンジニアの役割について、お話を聞いてみたい、と思ったのが今回の企画の発端です。未読の方は、まずそちらからどうぞ。 なお、インタビューは三月末に行われました。無職期間中に公開する予定で、ずいぶん時間がかかってしまいました。文中、私の所属する企業の話も出てきますが、例によってここは個人ブログであること、そもそも私が転職する前のインタビューであ
OAuth 2.0 Implicit Flowをユーザー認証に利用する際のリスクと対策方法について #idcon - r-weblife
おはようございます、ritouです。 今回は、一部で先週話題なりましたOAuth 2.0のImplicit Flowについてのエントリになります。 (2012/2/7 いろいろと修正しました。) 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる | @_Nat Zone Thread Safe: The problem with OAuth for Authentication. 今回は以下の内容について整理したいと思います。 OAuth 2.0のどの機能にセキュリティホールがあるのか 誰が攻撃者になれるのか 対策 OAuth 2.0 Implicit Flowとは OAuth 2.0ではサードパーティーアプリケーションが保護リソースへのアクセス権限を得るためのいくつかのフローが定義されています。 (仕様中ではFlowやGrant Type
5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!
こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます! 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる! 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです! (NG) あなたの名前は <?= $name ?> ですね! ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
swfobject.js がアレな話 - ほむらちゃほむほむ
もばいる全盛感のある世間的には今更,FLASH なんてどうでもいいし,swfobject.js 自体 2009年から更新されてないから,こんな古いものをと言われかねないような話ではあるものの,日本語での言及をあまり見てないし,つい先日もさる通信キャリアがトップページでやらかしてて多分知られてないんだろうなと思ったので書こうと思った次第. swfobject.js とは何か この記事の対象読者にとっては説明するまでもない話とはおもうけど一応前置きとして説明しておくと,swfobject.js は FLASH を web ページに埋め込むための JavaScript のライブラリ.クロスブラウザ対応してたり,面倒な HTML-tag のお作法を覚えなくても良くなったりとでデファクトスタンダードな感じのモノ.2007年とちょい古いがリクルートMTL の SWFObject v2.0 ドキュメント
RapidSSL正規販売パートナー Rapid-SSL.jp
SSL サーバ証明書 格安・快速発行 Rapid-SSL.jp 楕円曲線暗号(ECC)公開鍵暗号への対応始めました。。。SSLサーバ証明書 を取得するならRapid-SSL.jp。 Rapid-SSL.jpは、Digicert社が保有・運営する低価格ソリューションブランド"RapidSSL.com"を取り扱う日本における正規販売パートナーです。 低価格とはいえ高い信頼性・2048bitRSA, ECC P-384ルート証明書対応・Certificate Transparency対応・世界標準の256bit鍵長SSL暗号と全く遜色の無いもので、まさにSSL普及の為の商品と言えるでしょう。 法的な書類確認が不可欠な商品をあえて扱わず、オンライン本人確認システムを採用、全ての手続きのオンライン化・徹底したコスト削減によりお求めやすく・快速発行(最短数分)*1を実現しました。RapidSSLの証明
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Twitterアカウント乗っ取り問題を検証中
