Amazon.co.jp: 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践: 徳丸浩: 本
おさかなラボ - [CSRF]高木氏のエントリへの返答
CSRF対策に「ワンタイムトークン」方式を推奨しない理由 @ 高木浩光@自宅の日記 ものすごく遅くなってしまったが、高木氏の反論を読ませて頂いた。 ワンタイムトークン方式の欠陥 (拙作の)「ワンタイムトークン方式」では複数の画面遷移を実装できない、という点についてはまさにその通りで反論の余地はない。僕が提唱した方法では、同一セッションで2つ以上の画面遷移を平行して行った場合、先にワンタイムトークンを発行した方の処 理がエラーを起こしてしまう。 「ワンタイムトークンを変数で切り分ける」方式(僕が提唱したものではないが)についても、高木氏の言う通りで現実的ではないと思う。全く同じ画面の平行編集についても、同じ人へ複数のメッセージ(メール)を送る場合など必要と思われる場面はいくつか想定できる。 で、hiddenにSessionIDを入れるのは問題ないの? 高木氏やおおいわ氏の主張は
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2024年5月時点の調査。
SET NAMESが危険な理由のおさらい « BPS株式会社 開発ブログ Beyond Perspective Solutions LTD.
Category android (12) IDE (2) Eclipse (2) Linux (16) CentOS (1) nagios (1) Mac (2) MindTouch Deki (4) Web (16) CSS (4) HTML (3) ブラウザ (2) Firefox (1) IE (1) Windows (51) セキュリティ (5) ネットワーク (23) フレームワーク (32) CakePHP (13) dojo toolkit (5) Ethna (10) Ruby on Rails (2) Zend Framework (2) プログラミング言語 (85) C# (20) C++ (2) java (8) javascript (13) PHP (37) Python (1) Ruby (3) 仮想化 (9) 投稿者 (269) 中井 (8) 伊藤 (6)
タクソノミーの名前取得
安易なのは回答なので気にしなくて OK ですよー > pluto1234 以下、kz の回答方針: そのまま echo はやばい ・回答コードは基本コアコードに倣った書き方の最低限サンプル(※1)。 ・$taxonomy->name やったらまー気にせんでええんちゃうんっていう判断。 ・セキュリティとか例外処理は各自よきにはからってください。 ※1 single_cat_title(), single_tag_title() がそのまま echo やしええやん、 ちゅう意味ではない。そもそも WordPress のコアコードがワヤくちゃやんけ とか気になる方は文句言ってる時間があったら直してあげましょう。 だってオープンソースだもの。 というわけで kz はキバリ過ぎないテキトウな回答をしますが エスケープは大切な事なので皆さんの胸にしっかりと刻んでおいてください。 回答としてコードをいき
Webアプリケーション作った後のチェック表
愛宕山太郎坊 アニメーション制作進行支援ソフト 愛宕山太郎坊 ログイン 会社id ユーザー名 パスワード ユーザー名またはパスワードが正しくありません。 閉じる ログイン
2007/04/23-01、skip-character-set-client-handshake について - debian-etch に関するメモ(後、lennyへアップグレード)
[カテゴリ:etch] [カテゴリ:all] [カテゴリ:mysql] ***************************** 2010/01/29 google で skip-character-set-client-handshake を検索すると、 いつの間にか、このページが1番目に表示されるようになりました。 正確性に欠けるかもしれないがもう少し書いておきます。 文字化けを解決するのに、 skip-character-set-client-handshake や SET NAMES を 使うのは、もはや正解ではありません。 このページの情報は、時系列に追記しているので、ページ上部の情報は正しくありません。最後まで読むことをお勧めします。 ***************************** 目次
これぐらいやっとけ 〜Linuxサーバのセキュリティ設定〜 - nabeの雑記帳
管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 起動サービスと概要 iptables/Firewallの設定 iptablesの中身 limit-burstについて hashlimitについて hosts.allow/hosts.deny(TCP Wrapper)の設定 sshdの設定 その他の設定 Apacheの設定 Postfixの設定 Dovecotの設定 まとめ 起動サービスと概要 Apache (www) sshd smtp/pop bind (DNS) ntpd いくつかの注意点。 sftpで十分なのでftpdは使わない。WinSCP等を使えばffftpに依存する必要はない。*2
Evernote の XSS 脆弱性に関して mala 氏のつぶやき
要するに、解決されるまではログアウトしとけということだそうデス。 【2011/04/20 12:20 追記】ひゃっはー的なおまけを追加しました。 【2011/04/20 00:30 追記】多分これで最後。以降は Evernote の正式発表を待った上で、それを信用して利用するかどうかは各個人の判断にお任せします。 【2011/04/19 17:05 追記】午後の部追記。なお、エントリを起こされている方がおりましたのでご紹介。>『bulkneets氏によって報告されたEvernoteのXSS脆弱性とは 危険と対策』( http://d.hatena.ne.jp/pichikupachiku/20110419/1303158373 ) 続きを読む
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
さくらのVPSでファイアーウォールが何も設定されていないのに驚愕したが ufw で解決 - babie, you're my home
さくらのVPS ってデフォルトではファイアーウォールの設定何もされてないという記事をみて驚愕した。と、よく考えたら Ubuntu 10.04 LTS を再インストールしたから、どっちにしても初期状態だな。 とりあえず確かめた。 $ sudo iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination オウフ、デフォルトは空なのか…… iptables の設定めんどくせぇなーどうしようかなー、と思っていたら、どうも Ubuntu では ufw という
Apacheのアクセス制御をちゃんと理解する。 - こせきの技術日記
Apacheの設定で Order deny,allowとか Satisfy anyとか、なんだか意味わからん人のために。僕はずっとわかってなかった。 基本 Apacheのアクセス制御には、 ホストによる制御 (Order,Allow,Deny) ユーザ認証による制御 (Auth*, Require) の2通りがある。 Satisfyは、2通りあるアクセス制御の両方を満たす必要があるかどうかを決定する。デフォルトはSatisfy all。Satisfy anyなら、どちらか片方満たせばよい。 Order http://httpd.apache.org/docs/2.2/mod/mod_authz_host.html#order Order deny,allowは、全てのホストからのアクセスを許可する。 Order allow,denyは、全てのホストからのアクセスを拒否する。 Order d
ke-tai.org » Blog Archive » PHPでケータイからセッションを使う場合の設定方法
PHPでケータイからセッションを使う場合の設定方法 Tweet 2007/12/12 水曜日 matsui Posted in PHP, サーバ | 23 Comments » 今回は、ケータイ上からPHPのセッションを使う場合の設定方法についてです。 ケータイからPHPのセッションを機能を使う場合、端末によってはクッキーが利用できない場合があるため、そのままでは使うことができません。 セッションを使いたい場合は、インストール時のconfigureオプションに、「–enable-trans-sid」を付ける必要があります。 ※Windowsの場合は特に設定の必要はありません。 また、「php.ini」の設定で、次のように設定してください。 ※設定変更後はWebサーバの再起動が必要です session.use_trans_sid = 1 もしくは「.htaccess」でも設定することができま
-OASIS- - 今日のメモ「携帯におけるセッションとセキュリティ(PHP)」
ログイン機能を持つモバイルサイトではセッションが必要不可欠になるが、そのセキュリティ問題についての備忘録。 以下、問題に関しての参考サイト。 ke-tai.org - PHPで携帯からセッションを使う場合の設定方法 maru.cc@はてな - auのSSLでcookieの挙動がおかしい maru.cc@はてな - au、SoftBankでSSLでCookieセッションを使用する場合の問題点 [DoCoMo] DoCoMoの端末はCookieが使えないので、セッションを使うには必然的にApacheのsession.use_trans_sidを使う事になる(URLの中にセッションIDを埋め込む方式)。 この時問題になるのは2点。 まずURLの流出によるセッションハイジャック。携帯はPCに比べ、この問題が表面化しやすい。これは、友達にサイトを教えようと今見ているページのURLをそのままメールで送
高木浩光@自宅の日記 - WASF Times版「サニタイズ言うな!」
■ WASF Times版「サニタイズ言うな!」 技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 「サニタイズしろ」だあ? Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか? 「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの?プログラムの内容からして必要のないことなのに? そう
“Macは感染しない”はホント?知っておきたいMacのウイルス対策 - はてなニュース
一般的に、Windowsに比べるとコンピュータウイルスには縁がないと言われている「Mac」。Windowsの場合は常識のウイルス対策も「Macなら大丈夫」と思ってしまいがちですが、本当にそうなのでしょうか?今回は、「Macのウイルス対策」についてご紹介します。 ■Macでもウイルス対策は必要? 「ウイルス対策は特にしていない」というMacユーザーも多いはず。Macの場合、本当に対策をする必要はないのでしょうか? ▽http://www.yomiuri.co.jp/net/qanda/20090907-OYT8T00712.htm ▽マックはほんとにウイルス感染はないの? - マッキントッシュのCMで「うち(マッ... - Yahoo!知恵袋 ▽アップル、Macの利用者にウイルス対策ソフトウェアの利用を示唆 - CNET Japan ▽崩れゆく「Mac OS X安全神話」 (1/2) - I
【インフォシーク】Infoseek : 楽天が運営するポータルサイト
日頃より楽天のサービスをご利用いただきましてありがとうございます。 サービスをご利用いただいておりますところ大変申し訳ございませんが、現在、緊急メンテナンスを行わせていただいております。 お客様には、緊急のメンテナンスにより、ご迷惑をおかけしており、誠に申し訳ございません。 メンテナンスが終了次第、サービスを復旧いたしますので、 今しばらくお待ちいただけますよう、お願い申し上げます。
管理プログラムがGoogleにインデックスされないようにする 2010年04月02日
WEBインベンターのご利用に心から感謝いたします。 さて、当社のカートを利用しているお店で個人情報流出の事故が発生しました。それは、管理プログラムがGoogleにインデックスされてしまったことによるものです。原因は調査中ですが、しかし、そのような場合でも検索エンジンに拾われないような対策を施してありますので、お知らせいたします。 対処方法: 1.パスワードの管理に気をつける 2.最新の管理プログラムを使う 3.検索エンジンにインデックスされてしまったときの対処 4.今後の対応 ━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1.パスワードの管理に気をつける ━━━━━━━━━━━━━━━━━━━━━━━━━━━ パスワード付きのURLが検索エンジンに拾われないようにするために気をつけてください。間違っても、パスワード付きのURLを一時的にもホームページで公開しないようにしてください
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
x.com
Loading...