ブラウザにファイルをドロップしてはいけない - ぼくはまちちゃん!
こんにちはこんにちは!! 先日、CROSS 2013っていう、エンジニア向けのビール飲み放題のイベントに行ってきました! そこの「HTML5×セキュリティ」っていうコーナーで、ちょっと喋ってきたんですが、 その時の小ネタを紹介しておきます。 最近、ブログとかのWebサービスで写真をアップロードする時に、 ファイルをドラッグ&ドロップするだけでできたりしますよね。 いちいちダイアログから選ばなくていいから便利です。 こんなやつ。 この手の仕掛けって、ドラッグ時にボーダーカラーを変えたりして 「いまドラッグ&ドロップ状態ですよ〜」ってわかりやすく表示されますが、 それって別に、ブラウザが警告の意味で出してるんじゃなくて、 あくまで、Webサービス側が親切で表示してるだけなんですよね。 ってことは ・ドラッグされても特にボーダーラインなどを表示せず ・画面上のどこでもドロップを受け入れるようにし
ちょっとセキュアな「いつもの」パスワード - ぼくはまちちゃん!
こんにちはこんにちは!! 最近はメールでもなんでもWEB上の便利なサービスが増えてきましたね…! でも、いろいろ登録しすぎて、いよいよぼくもパスワードが管理できなくなってきました…! えっ! もしかして面倒だから、ぜんぶ同じパスワード使ってたりするるんでしょうか…! だめです!だめだめ!それはだめ。 全部のサイトで同じパスワードにするのってものすごく危険ですよ!!! これはほんと! だって、もしなにかあって、どれかひとつのパスワードがばれちゃったら全部芋づるだから…! 登録したWEBサイトの管理者の中に悪い人がいる可能性もあるし。 (個人運営のサイトはもちろん、たとえ大きな企業のサイトでもバイトちゃんが見れたりとか…) でもだからといって全部別のものにすると覚えられないんだよね。 たとえば自分宛にメールしておくとか… Dropboxのような共有フォルダにパスワードのメモいれとくとか… パス
Amazon EC2 を使った無限IPアドレスの作り方 - ぼくはまちちゃん!
こんにちはこんにちは!! たまにIPアドレスがたくさん必要な時ってありますよね。 ぼくも先日そういう機会があって、ちょっと困りました。 で、「AmazonさんならIPいっぱいもってるのでは?」ってことで、 ちまたで話題のクラウドサービス Amazon Web Servise を試してみました! あ、もちろんタイトルは煽りぎみで実際にはIPアドレスは有限なんですが>< 正直、クラウドとかサーバーとかよくわかってなかったんですが、 とりあえず試してみたら意外と簡単にできたので、忘れないようにメモしておきます! そうそう、Amazonのクラウドって高そうなイメージがあるけど、いまだと制限つきで無料らしいので、お得ですね! もし無料枠こえても、無茶な使い方をしない限りはそれほど高くない。と思います。たぶん。 制限を見る限り、とりあえず一ヶ月がっつり試すだけならタダです! 必要なもの: ・クレジット
ソーシャル化したbit.lyの恥ずかしいリンクの消し方 - ぼくはまちちゃん!
こんにちはこんにちは!! こんな記事がありました! Big Sky :: bit.ly がソーシャルに生まれ変わって、皆とっても恥かしい事になる なんと…。 ということで、短縮URLで有名な bit.ly の仕様が変わって ユーザーごとのリンクが一覧で見られる仕様になったそうです。 で、上のブログでは、 これから使う分のデフォルトの設定をプライベートに変更するやり方が書いてあったんだけど、 これまでのリンクを消す方法が載ってなかったので補足しておきますね! (bit.lyにログインして使ってなかった人は関係ないです) まずは http://bitly.com/u/ユーザーID にアクセスして確認。 もし隠したいリンクがあった場合は、bit.ly にログイン後… 上のメニューから「Your staff」の「Bitmarks」を選ぶ。 カーソルを重ねると左にカギのアイコンが出るのでクリック。
CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!
こんにちはこんにちは!! 今日はCSRF脆弱性のちょっとした話です! このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法のひとつ。 わかりやすい例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 <img src="何々SNSの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSの足跡.phpにアクセスしたことになる。 ※詳しくはこちらのマンガで → [はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! : 第2回 しーさーふって何ですか? CSRFってこんな風に、 「ログイン済みの人に何か操作させる」ってイメージが強くて、 対策する側もまた、「既にログイン済みの人を守る」ような考えが強いんだよね。 例えば、勝手に日記に投稿させないように対
ニコニコ超会議2012『超エンジニアミーティング』で喋った時のスライドを公開します - ぼくはまちちゃん!
こんにちはこんにちは!! ニコニコ超会議2012 『超エンジニアミーティング』で喋った時のスライドを公開します! 『ふつうのformをつかいたい』 - はまちや2 - ニコニコ超会議2012 難しい話は苦手なので、普通のお話です。 あとこのスライドはIEでは動きません。他のブラウザで見てね。 (追記) IEでも見られるようになりました。たぶん。 超エンジニアミーティング全体の内容については、 『ニコニコ超会議の「超エンジニアミーティング」 を全部取材してみた』でまとめてくれています。 ちなみにぼくは自分が喋ったあとは、ずーっと隣の『ニコニコ学会β』の発表を見てました。 ロボット作ったりとかすごいかっこいい。 (関連記事) その言葉は誰のためのもの? [この日記のブックマークコメントを見る/書く ]
(後編) うっかりGoogle+を使い始めるとGMailで本名をバラまきかねない - ぼくはまちちゃん!
こんにちはこんにちは!! はい! 前回の日記の続きです! (前編) うっかりGoogle+を使い始めるとGMailで本名をバラまきかねない あらすじ 1. これまで名前を設定せずにGMailを使っていた 2. ついついGoogle+に登録した 3. いつものノリでプロフィールにニックネームを入れた 4. Google+からお叱りのメールがきた 5. 怖くなってプロフィールを本名にした 6. GMailの差出人名が自動的に本名になっていた 7. Fromに本名が出ないように設定しなおした という流れでしたね! これ書いた後に、ご指摘を受けました! 曰く「その設定だけだとダメ。メアドから本名を知ることができるよ」と。 hamachiya2 at gmail.comをGoogleのアドレス帳かGoogle+の共有先に入れるとリンク変換されるはず。 全く他人のアカウントからでも。From名の設定は
セキュリティとは - ぼくはまちちゃん!
こういうことだと思う。 ※上のマンガ うそつきパラドクス 8 (ジェッツコミックス) サトウナンキ+きづきあきら (注意) ネトラレものです 詳細を見る [この日記のブックマークコメントを見る/書く ]
Tシャツがびろびろにならないライフハック - ぼくはまちちゃん!
こんにちはこんにちは!! めっきり暑いですね! みなさんTシャツ着てますかー! ↑さいきんのお気に入りのTシャツ でもTシャツって意外と高いんですよねー。 ほとんど消耗品みたいなものなのに、 ユニクロだと1000円くらい、ちょっといいやつだと5000円以上…! なのに、うっかりしてると たった1回の洗濯で、首のまわりがびろびろになって着れなくなっちゃいます>< いくらブランド物とかのTシャツでも、びろんびろんだと、とっても残念な感じになっちゃいますよね! だからといって「洗濯しない」なんて選択をすると、もっと大変なことに…! あっという間に首まわりが黄色くなっちゃいます>< これはこれで残念な感じというか、もう着れない…。 そこで、なるだけTシャツがびろびろにならない方法などをメモしておきますね! そうそう、ちなみにぼく趣味が洗濯なんです! せんたくだいすき。 1. 裏返す まずは裏返しま
XSSはそのサイトを信頼している人が多いほど脅威になりうる - ぼくはまちちゃん!(Hatena)
はい! こんにちは! 今日は珍しくセキュリティについて一言です! タイトルにある通り、 XSSはそのサイトを信頼している人が多いほど脅威になりうる ってことなんだけど…。これだけだと、あたりまえっぽいよね。 まずXSS脆弱性ってなに? って人のために簡単に説明しちゃうと、これ サイトを作った人以外の人でも、好きなスクリプトを実行できちゃう状態 ってことなんだよね。 でもよく考えてみてほしい。 スクリプトが実行できる。へんなスクリプトが実行されちゃうかもしれないページ。 これって別に、「ふつうにスクリプトを許可されている、そこらへんのブログやホームページと同じ」じゃない? いや、微妙に違うかな。 違う点はひとつ。 スクリプトを埋め込めるのが「サイトの管理者オンリー」なのか「誰でも」なのかの違いがあるんだよね。 … じゃあ、「名もなきサイトの管理者」と「誰でも」の違いってなんだろう? なんだろ
XSSとセキュリティリスク - ぼくはまちちゃん!
こんにちはこんにちは!! 今日、はてなの人気記事を見ていてこんな記事がありました…! ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです! でもそんなプログラムをWeb上で公開すんじゃねーよボケと。 PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな ふむふむ、PHPで簡単につくっちゃうのは良いけど、 公開するのなら、ちゃんとセキュリティホールなくしてからにしましょうね って記事ですね! でもぼくは、この記事を読んでも… なぜXSSがいけないのか 結局よくわかりませんでした…。 いちおうXSS脆弱性があるとダメな理由として、下のようなことが書かれてあったんだけど… フォームに入力したHT
空から女の子が降ってくる - ぼくはまちちゃん!
こんにちはこんにちは!! はてな見てたら、こんなのがありました! 【降臨賞】空から女の子が降ってくるオリジナルの創作小説・漫画を募集します - 人力検索はてな 条件は「空から女の子が降ってくること」です。要約すると「空から女の子が降ってくる」としか言いようのない話であれば、それ以外の点は自由です。 字数制限 : 200〜1000 字程度 締め切り : 2009-01-12 18:00 で募集を止めます。 優勝賞品 : もっとも稀少な(と質問者が判断する)作品を書いてくださった方に 200 ポイントを贈ります。 面白そうですね! さっそくぼくも応募してみたよ! 応募した内容はこれ! javascript:(function(){scroll(0,0);H='http://hamachiya.com/';D=document;F=Math.floor;R=Math.random;Q=new I
個人で使うドリコム式行動ターゲティング広告 - ぼくはまちちゃん!
はい!こんにちはこんにちは! こんどは寝すぎで、ちょっぴり調子のおかしなはまちや2です! こんにちは…! ところでちょっと前に、こんな記事がありましたよね! 行動ターゲティング広告はどこまで許されるのか http://it.nikkei.co.jp/internet/news/index.aspx?n=MMITbe000015102008 これの仕掛けの部分だけを簡単に説明すると… 見たことのあるページのリンク(visited)は色が変わったりする スタイルで、visitedなリンクと、そうでないものの高さとかを変えることができる 高さとかはJavaScriptで取得可能、つまり訪問済みリンクか取得可能 ページのどこかに、色々なサイトのURLを大量に隠しリンクしておく それぜんぶJavaScriptで調べて、来訪者が行ったことのあるページを把握 訪問済みサイトの傾向にあわせて広告表示 (簡
ノートPCの良さと新型VAIO type Z - ぼくはまちちゃん!
はい! こんにちはこんにちは!! 先日お伝えした、コーヒーこぼして1秒絶命の愛機(VAIO Z1)のかわりに手に入れた 同等中古品は、結局、不良品ってことで全額返金してもらえることになりました>< それで、どうしようどうしようぱそこん欲しくてしんじゃうよって悩んで、 勢いで ThinkPad T61 を注文して悩んでキャンセルしてまだ悩んでいたら とうとう本日(8/5)、新型VAIO type Zの予約注文受付が開始しちゃいましたね! 今度こそ、ぽちっと注文したよ! えええ、なんでそんなにVAIOなの? って思う人もいるかもしれないけど…、 べつにVAIOじゃなきゃやだってわけじゃなくて、いつも消去法で選んでいくとVAIOしか残らない感じなんだよね…! ぼくがメインのPCに求めることってこれ! 1. ノート型であること デスクトップ型と比較して、ノートPCって、スペックだとかの数字だけでは
セキュリティ過敏症 - ぼくはまちちゃん!(Hatena)
初心者はPHPで脆弱なウェブアプリをどんどん量産すべし ↑のブックマーク うん。増田くんはいつもいいこと書くね! ブックマークの方には 危険だとか迷惑だとか踏み台だとか色々かいてあるけれど(というか踏み台ってなんだろ?) そんなに大切な個人情報をたくさん扱ってるサイトなんてどれだけあるかな。 みんなそういうサービスつくってるの? なんかすごいね。 ぼくの使っている範囲だと、(提供側が気をつけていないと) 本当にまずいのは銀行と証券とカード会社のような、お金のからむサービスくらいだよ。 もちろん、他にメール内容だとか、購読しているフィードだとか、知られたくない個人情報なんてのは、人によってたくさんあるよね。 だけど、例えばぼくがメールサービス作りましたなんて言ったら誰か使う? それか無名の団体だったらどうかな。それで大切なメールやりとりしちゃうの? そう。そもそも、利用者もそれほどバカじゃな
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
