mixi利用規約 [ http://mixi.jp/rules.pl ] を登録してみたよ！ ところで、↑とは関係ないけど、 はてなアンテナって urlを登録しようとする時に類似url一覧 みたいなのがでてくるよね！ そこに、mixi招待用のキー付きの urlがでてくるのはなんでなんで！！ しかもまだ生きてるアドレス。 つまり mixiに入れちゃうアドレスなんだけど…！ ( こんな感じのやつ → http://mixi.jp/join.pl?c=1111aaaa2222bbbb&i=609805 ) これって、 アンテナ登録したひとじゃなくて、 「アンテナ登録しちゃうようなひととは知らずに招待しちゃったひと」が困るはずなのに。 前にも見つけて、一応はてなに報告しといたんだけど、 なんでこんな urlが、しょっちゅうでてくるんだろう。 ええと、類似url一覧に出てくるってことは、 その ur

Windows XP Proなどで利用できるリモートデスクトップはLAN越し、あるいはインターネット越しにパソコンを手元にあるかのようにコントロールできるので非常に重宝しますが、肝心のリモートデスクトップ自体のオン・オフがリモートでできないのが難点。 が、このフリーソフト「Remote Desktop Enabler」を使えば、リモートでオン・オフできます。 IntelliAdmin.Com: Remotely Enable Remote Desktop ダウンロードはこちらから http://www.intelliadmin.com/RDPRemoteEnabler.exe 使い方は簡単、ダウンロードして実行するだけ。オンオフしたいリモートのパソコン名を入力し、必要であればユーザー名やパスワードも入力。あとはリモートデスクトップをオンするのかオフするのか、再起動はするかどうかを選ぶだけ。

(Last Updated On: 2016年3月3日)最近PostgreSQL、MySQL両方にSJISエンコーディングを利用している際のエスケープ方法の問題を修正がリリースされています。この件は単純に「データベースシステムにセキュリティ上の脆弱性があった」と言う問題ではなく「アプリケーションの作り方を変える必要性」を提起した問題です。 参考：セキュアなアプリケーションのアーキテクチャ – sandbox化 PostgreSQL、MySQLの脆弱性は特にSJIS等、マルチバイト文字に\が含まれる文字エンコーディングが大きな影響を受けますが、同類の不正な文字エンコーディングを利用した攻撃方法が他の文字エンコーディングでも可能です。例えば、UTF-8エンコーディングは1文字を構成するバイト列の最初のバイトの何ビット目までが1であるか、を取得してUTF-8文字として1バイト～6バイト必要なのか

昨日に引き続き「Interop Tokyo 2006」会場より。まず気になったアプライアンス製品を二つほど紹介したい。相変わらずInteropのメインストリームから離れているが、それは気にしないでおく。 まず、ぷらっとホームから。ぷらっとホームをこの会場で見るのは意外だったが、ソフトイーサとの共同出展のようだった。昨年末の秋葉原店舗の閉鎖と前後して、OpenMicroServer等のオリジナルの商材を中核とした戦略にシフトしているが、その一環としてソフトイーサとの提携で実現したのがPacketiX BOXシリーズである。これは、ぷらっとホームオリジナルのマイクロサーバ「OpenMicroServer」にソフトイーザの「PacketiX VPN 2.0」を搭載したVPNアプライアンスサーバである。 このような経緯もあってInteropへの共同出展の流れとなったのだと考えるが、PacketiX

文：Colin Barker and Jonathan Bennett (UK.Builder.com) 翻訳校正：尾本香里（編集部）2006年05月29日 12時51分 Oracleの最高セキュリティ責任者（CSO）が、ソフトウェア業界にはバグの多い製品を販売するメーカーがあふれており、「ソフトウェア開発者が製作した飛行機には乗ることができない」事態に陥っていると発言した。 同社のCSOであるMary Ann Davidson氏は「大半のソフトウェア開発者が、安全性やセキュリティ、信頼性といった観点に基づいて思考する訓練を受けていない」と、業界の現状を酷評した。開発者は「パッチに次ぐパッチ」をリリースするという風潮に慣れきっていて、ソフトウェア市場を危険にさらしているという。 「ソフトウェア開発者がコードを記述するのと同様の方法で、建築業者が橋を建造したらどうなるだろう。おそらくは、朝一

4月17日付で公開したコラム「生体認証の怪　かえってセキュリティ強度が下がるのはなぜ？」について、日経ビジネスオンライン読者の方々からご意見とご質問を頂戴した。質問の多くは、コラムの中で紹介した本人認証技術に関するものであったので、その技術の開発者とともに以下の回答文を作成してみた。 文中で「谷島」とは筆者、「國米」とはニーモニックセキュリティの國米仁社長を指す。同社が開発した本人認証技術「ニーモニックガード」は、端末などに複数枚の画像を表示しておき、その中から本人しか分からない画像を数点選択させ、それによって本人かどうかを確認する技術である。小学校時代の友人たちの写真や過去に飼った犬や猫の写真を交ぜておけば、本人ならまず間違えないし、暗証番号と違って忘れることもない。 ■読者の意見　「面白いが展開が大変」 なかなか面白い手法だと思いました。利用者の抵抗感は少なくて済みそうですし、操作が単

http://hamachiya.com/junk/mms.html mixiミュージックのサービスが始まったと思ったら、はまちちゃんがまたろくでもないことをしでかしたみたいなので（w）ソースを覗いてみた。（ソースは最下部に掲載） 基本はprototype.jsでXMLHttpRequestを生成しているだけなのだけど JavascriptのXMLHttpRequestはクロスドメインなリクエストは受け付けない IEだとセキュリティの設定をごにょごにょするとクロスドメインなリクエストが出来てしまう罠・・・ function login() リクエストはmixiミュージックのエンドポイントに出している var url = 'https://upload.mixi.jp/music/login.pl'; リクエストヘッダを書き換えている requestHeaders : ['User-Agen

実際に運用中の情報システムで利用されている暗号アルゴリズムを移行することは、大規模なシステムであるほど、大変な労力とコストが必要となる。従って、規模が大きく、また長期運用が前提となっているシステムほど、暗号の選定には慎重になるべきである。 その意味で、「システム性能要求上問題がない範囲内であれば、現時点における最も高い安全性が確認されている暗号の中から選択するのが望ましい」というところに、暗号技術の2010年問題【注】の本質がある。いい換えれば、現在のデファクトスタンダードだからとの理由だけでその暗号を採用することは必ずしも勧められない。 【注：暗号技術の2010年問題とは】 米国は、現在利用されているすべての米国政府標準の暗号技術を2010年までにより安全な暗号技術へ交代させていく方針を明確に打ち出している。現在、世界中で使われているデファクトスタンダードの暗号技術は、そのほとんどすべて

(Last Updated On: 2018年8月20日)問題：まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考：自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保