平文メールにパスワードを書いて送ってくる糞企業一覧
ぼく就活生。リクナビからJR東海にプレエントリーして驚いた。 ■■■JR東海からID・パスワードのお知らせ■■■ あのに 増田 様 ◆あのに 増田さんのID・パスワード◆ ID:12345678 パスワード:mypassword こんにちは!JR東海人事部です。 このたびは当社にプレエントリーを行って頂きまして、 誠にありがとうございました。 こんなメールが届いたの。 なにに驚いたって?登録画面で入力したパスワードが平文メールに書かれてたってとこ。 「mypassword」って書いてるところにぼくの大事なパスワードが書かれてたの。Gmailでも使ってる大切なやつ。 同じパスワード使ってるぼくも相当間抜けなんだけど、いまの時代いくらなんでも平文メールにパスワードはないでしょ。 とっても怖かったのでJR東海とGmailのパスワードを変更して寝ました。 恐怖はこれで終わらずに2ヶ月後。こんなメー
確認画面でhiddenに入力値を埋め込むのはセキュリティ的にダメか? | ブログが続かないわけ
お礼 先のエントリー(初心者プログラマーが簡単なフォームを作るときにやりがちな6つのミス)で、自分でもびっくりするくらいのブックマークを頂いた。この内容が参考になると思ってブックマークしてくれた人より、他の人にも紹介したいとか、よくあるよねといった共感に近い気持ちでブックマークしてくれた方が多かったのは、素直にうれしいしと思ったし、安心もした。 本題 ただ、何人の方から「確認画面でhiddenに入力値を埋め込むこと」に対して疑問を抱かれた。これに対して僕なりの解釈を付け加えておきたいと思う。 以下は、あくまでもフォームの話。 セッション管理されたシステム内におけるなんらかの書き込みシステムでは、話が全く変わってくることにご注意を。 結論から言うと「確認画面でhiddenに入力値を埋め込むこと」はセキュリティ的には問題ない。 (以下、この方法をhidden方式と呼ぶ) そもそも、セキュリティ
ブログが続かないわけ | 初心者プログラマーが簡単なフォームを作るときにやりがちな6つのミス
お問い合わせフォーム、登録フォーム、キャンペーンの申込フォーム。 Webにはいろいろなフォームがある。 Webプログラマーであれば誰もが一度は作ったことがあると思う。 新人プログラマーの初めての実務がフォームであることも多いだろう。 新人が作っているというのにもかかわらず、技術的にも面白い部分がないせいか、正しい知識のある人がレビューすることが少ないと思われる。 単純さゆえにテストが不足しているということもあるかもしれない。 上記の理由は憶測にすぎないが、杜撰なフォームがたくさん出回っているのは事実だ。 もう、CAPTCHAの話とか以前の問題だ。 よく見かける悪い例を簡単にあげておく。新人が初めての実務に当たるときにこれを気にしてくれれば、世の中のフォームがだいぶ良くなると思う。 1. クライアントサイド(JavaScript)でのチェックのみ。 2. 選択肢式の入力欄に対するチェックの漏
MD5は復号できる!? | ブログが続かないわけ
前回のエントリ(パスワードを平文で管理するのはダメだ)のブクマコメントでYappoさんから貴重な情報を頂いた。 MD5が復号できるというのだ。 しかも、それができるDigest::MD5::ReverseというCPANモジュールがあるという。 これには驚いた。いろいろな情報を当たったところ、やはりMD5などのハッシュは復号できないと書いてあるからだ。 http://www5f.biglobe.ne.jp/~h-it/mlcont/mc0200.htm http://gimite.net/bcbqtree/qtreemain.cgi?mode=thread&thread=376 http://www.postgresql.jp/document/pg803doc/html/encryption-options.html しかし、こういうところでいう「復号できない」というのは「復号するアルゴリ
パスワードを平文で管理するのはダメだ | ブログが続かないわけ
最近の入門書はとにかくセキュリティ面がおろそか 今日の話は既知の人に取っては当たり前のことばかりなんだけど、こういうことって最近の入門書には書かれていないし、受託案件でクライアントから出てくる要件に含まれていることがほとんどないから、もしかしたら普通にプログラミングの勉強をしているだけでは知らないままになってしまうかもしれないと思って書いてみた。 大手プロバイダで学んだセキュリティの意識 社会人1年目は大手プロバイダで働くことになった。まだ、僕がプログラミングの世界に入る前のことだ。そこでは、お客様からのお問い合わせに対応するというのが僕の仕事だった。当時、お客様を納得させるのがとても大変だった問い合わせが、パスワード忘れに関するものだ。 お客様は、問い合わせさえすればすぐにでもパスワードを教えて頂けるものと思っているのだが、ことはそう簡単には運ばない。 パスワードの伝達手段や、問い合わせ
【レポート】European Open Source Convention 2006 - Yahoo Newsが明かす、Nagiosを使ったモニタリング (1) Yahoo Newsで活躍するNagios | エンタープライズ | マイコミジャーナル
大規模なWebアプリケーションをオープンソースの監視ソフトウェアでモニタリングする--米Yahoo!のYahoo! Newsチームでは、モニタリングに「Nagios」を使っているという。ベルギー・ブリュッセルで開催されている「O'Reilly European Open Source Convention 2006」(米O'Reilly Media主催)で、YahooのPankaj Kaushal氏がNagiosの特徴について語った。 Yahoo!のPankaj Kaushal氏 大規模なWebアプリケーションは、Webサーバ、データベースサーバのほか、XML/XSLTサーバやその他のアプリケーション専用サーバなどで構成される。このように構成するコンポーネントが多いほど、システムダウンの可能性は高くなる。Yahoo Newsでは、監視フレームワークを使って、400台〜500台のWebサーバ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティガイドライン