Web制作に関わる全ての人が知っておくべき!Webセキュリティ対策 3つの盾
(この記事は2022年9月29日に更新されました) こんにちは。 京都のWebプランニング会社「ウェブライダー」の松尾です。 某社のレンタルサーバーからCPIのサーバーに乗り換えたことがきっかけで、このコラムを書かせていただく機会を得ました。 現在、ウェブライダーでは、CPIの専用サーバーと共用サーバーのふたつを借り、さまざまなWebサイトを運営しています。 今回の記事はWebセキュリティに関する内容をお届けします。 突然ですが、あなたは、自分のWebサイトがサイバー攻撃によって不正アクセスされ、重要な情報や顧客情報が流出してしまった・・・!という事態を想像したことがあるでしょうか? もし、あなたの会社が中小企業だとしたら、「自分の会社は大企業ほど大きくないし、情報流出なんて関係ないよ」なんて思っていませんか? そう思っているのであれば、とても危険です・・・! なぜなら、不正アクセスの被害
プラグイン Exec-PHPを避ける理由
Exec-PHPの使用について、なぜexec-PHPがモテるのか、WordPressを使ってる僕が気になったある記事のこと、等、様々な意見が出て、盛り上がりを見せています。 Exec-PHP をローカルでざっと試してみた。分かったのは、 投稿の本文に <php コード ?> を記述すると、eval で評価する(PHP として実行する) 管理者等一部のユーザーの投稿のみ、eval で評価する対象となる という処理を行うらしい、ということです。 投稿の中で PHP コードを書いて実行できると、確かに自由度があがります。しかし、任意の PHP コードが実行できてしまうと、セキュリティリスクが高まります。 (管理者パスワード漏洩/ブルートフォースアタック等で)不正ログインされた後、投稿本文にコードを書き込まれる SQLインジェクション/CSRF脆弱性があると、悪意あるPHPコードを投稿本文に埋め込
Gunosy経由で記事を読むとTwitterアカウントやFacebookアカウントが推測可能な情報がサイト側に提供される仕組みについて
アクセス解析で、どこのURLから来たかの情報を一覧にしてみたところ、GunosyのURLの中にユーザ名(非公開の人含む)らしきものが含まれている場合がかなりあり、誰がどの記事を読んだのかが推定できてしまうのではないかということに気が付きました。今回は、それを発端に調べて分かったことを紹介します。ポイントは、非公開でもアカウント名を含むURLがリファラ(参照元URL)に含まれる、ということと、そのURLに含まれるユーザー名が、Twitterアカウント名やFacebookのURLを参考にして自動設定されるらしい、ということです。 一般的にこのようなサイトがどのような仕組みになっているべきで、このことを問題とまで言って良いものなのか断言できないのですが、Twitterアカウント名やFacebookアカウント名が、アクセス先のサイト管理者に把握されてしまうことが気になる人は少なくないだろうと思った
エロサイトに「いいね」した人がエロサイトを見ていたとは限らない | コーヒーサーバは香炉である
コーヒーサーバは香炉である 美人プログラマごうだまりぽのブログですがデータが吹っ飛んでしまって仮復旧中。画像が入っていないところ、整形されていないところなどがあります。 検索 メインメニュー 最近、知らないうちにアダルトサイトなどをFacebookで「いいね」してしまうという問題が話題になっている。 知らない間にアダルトサイトを「いいね」 Facebook知人、同僚に性的嗜好がバレる (J-CASTニュース) これにはクリックジャッキングと呼ばれる手法が使われている。たとえば、ユーザが興味を引くような画像を表示してクリックを促し、実際にはその上にかぶせるように設置した「透明の『いいね』ボタン」を押させるというような仕組みだ。ページ内の要素の「透明度」を変えることでわりと簡単に仕掛けられる。 かんたんな絵であらわしてみた。図中のいいねボタンは半透明になっているけれど、実際に仕掛ける場合は透明
【WordPressのお問い合わせフォームをSSLで動かすのをやめました】contact form 7 + 共用SSLはやらないことにした|今村だけがよくわかるブログ
【WordPressのお問い合わせフォームをSSLで動かすのをやめました】contact form 7 + 共用SSLはやらないことにした 最近このブログやGoogle+でつながりを持った方と交流させていただいています。日々勉強になるなぁ、と感じています。で、今年やろうかと思っていた「お問い合わせフォームのSSL化」が丁度話題になりまして。これをやってみようかな~、なんて思いました。 「お問い合わせフォームを共用SSL環境下に置き、キャプチャコードもつけてスパムメール防止」 えっと、セキュアなお問い合わせフォームを目標にしていました。ですが、調べるうちにいろいろわかってきたというか、自分の認識と視点を変える必要があると感じました。下記はその経緯と結論をメモしたものです。メモといえど、本気で書いています。お時間がございましたら是非、ご覧下さい。 1.お問い合わせフォームの「SSL対応」は当然
ブラウザにファイルをドロップしてはいけない - ぼくはまちちゃん!
こんにちはこんにちは!! 先日、CROSS 2013っていう、エンジニア向けのビール飲み放題のイベントに行ってきました! そこの「HTML5×セキュリティ」っていうコーナーで、ちょっと喋ってきたんですが、 その時の小ネタを紹介しておきます。 最近、ブログとかのWebサービスで写真をアップロードする時に、 ファイルをドラッグ&ドロップするだけでできたりしますよね。 いちいちダイアログから選ばなくていいから便利です。 こんなやつ。 この手の仕掛けって、ドラッグ時にボーダーカラーを変えたりして 「いまドラッグ&ドロップ状態ですよ〜」ってわかりやすく表示されますが、 それって別に、ブラウザが警告の意味で出してるんじゃなくて、 あくまで、Webサービス側が親切で表示してるだけなんですよね。 ってことは ・ドラッグされても特にボーダーラインなどを表示せず ・画面上のどこでもドロップを受け入れるようにし
画像などのファイルへの直リンクを禁止する方法
.htaccessを使用して、他のサイトが画像などのファイルを無許可で使用するのを禁止する方法をThe Web Squeezeから紹介します。 Stop Image Hotlinking with .htaccess 「.htaccess」に、下記を記述します。 ※必要の無い箇所は、削除・修正して使用してください。 ※「.htaccess」を修正する場合は、必ずバックアップをしてください。 ※有効範囲は、設置ディレクトリの配下です。 <textarea name="code" class="html" cols="60" rows="5"> #Stop Image Hotlinking RewriteEngine on RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC] RewriteCond %{HTT
ダウンロードしたファイルに本当にウイルスが含まれているのどうかを判断する方法 | ライフハッカー・ジャパン
アンチウイルスやアンチマルウェアアプリは、パソコンにとって不可欠な存在ですが、使い方が誰にとっても簡単なわけでは、決してありません(例えば、McAfee)。 これらのアプリが出してくる警告が毎回正しいわけではなく、多くの場合、危険のないところから危険を検知してきてしまいます。ウイルスが含まれているかどうかが分からない場合、どうやって確認するべきかを今回は取り上げて行きたいと思います。 読者の方から、ライフハッカーの記事に載っていたリンク経由でダウンロードしたものにウイルスが含まれていた、というメールを頻繁に頂きますが、米編集部ではダウンロードがクリーンであることは確認しているので、心配ないです、と返信しています(この分野に関してライフハッカーは今までほぼ無傷でやってきています。)では、ダウンロードしてきたファイルに本当にウイルスが含まれているかどうかはどのようにして判断するべきなのでしょう
aguse.jp: ウェブ調査
あやしいサイトや知らないサイトを訪れる前に、URLを入力するだけでサイト背景情報を調査したり、迷惑メールの送付経路を表示したりすることが出来ます。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PC遠隔操作事件でFBIに解析依頼 警視庁 - 日本経済新聞