PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな
タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー(Twitter)でも、よく「○○ったー」みたいなサービスがばんばん登場してますね! おかげでますますツイッターが面白い感じになってて、いい流れですね! でも・・・ちょっと気になることが・・・ 最近「もうプログラマには頼らない!簡単プログラミング!」だとか・・・ 「PHPで誰でも簡単Webサービス作成!」だとか・・・ はてなブックマークのホッテントリで見かけますよね・・・ プログラミングする人が増えるのは素敵です!レッツ・プログラミングなう! なんですけど・・・ ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです!
高木浩光@自宅の日記 - こたえはきっとソースの中に 〜 ドコモのCAPTCHAモドキ
そもそもこのサービスにとってCAPTCHAが何の意味をなすのか疑問*1だが、それはともかく、この部分のHTMLソースを見ると、画像のURLに答えが書かれている。(図2の「gifcat/call.php?SID=948545」) これでは何の意味もない。 これの目的がもし、他サイトからのリンクで検索させられる事態を防ぐためであるなら、画像なんか表示せず、直接INPUTフィールドに値を埋め込むようにしておけばいい話だ。*2 <input name="attestationkey" value="948545" type="hidden"> ちなみに、図2で示される画像のURLに直接アクセスしてみると、図3のように、リロードする毎に(同じ番号の)違う画像が現れる。何回か繰り返してみると、1つの数字あたり4種ほどの画像が用意されているだけだとわかる。 背景のノイズのようなものも、動的に生成されてい
ゴルフ場のなかみ - 兼雑記 (2009-09-29)
最近ゴルフ場を新しいマシンに引越そうとしていて、ついでなのでシステムをもうちょっと丁寧にパッケージ化しようとしてます。そのついでとして、現在のゴルフ場について内部がどうなってるか、ということを少しまとめてみようと思いました。 結構似たようなことをするサービスもあるんですが(codepadとかllevalとか)、そのへんのコードとかは全く参考にしてないので、そういうのを見た方がいいかもしれませんし、あとゴルフ場固有の事情も色々あったりするかもしれません。まぁでも日本語でそのへん書いてるのはあんまり見たことがないので、多少参考になる部分もあるかもしれません。 今作業中のコードは github に入れていっています。 apt で入らないパッケージの処理以外はだいたい入ってるはずですが、まだ足りないものとかあるかもしれません。 http://github.com/shinh/ags システム自体は
セキュリティ&プログラミングキャンプ2009 レポート:「実践的であれ」――伊藤直也氏から学生への言葉 - @IT自分戦略研究所
セキュリティ&プログラミングキャンプ2009 レポート 「実践的であれ」――伊藤直也氏から学生への言葉 岑康貴(@IT自分戦略研究所) 2009/8/20 8月12日から16日にかけて行われた「セキュリティ&プログラミングキャンプ2009」。学生たちのキャンプ中の様子や特別講義の模様をレポートする。 吉岡弘隆氏への開会前インタビューへ|1 2 3|次のページ 豪華な講師陣がそろった「セキュリティ&プログラミングキャンプ2009」が、8月12日から16日にかけて行われた。セキュリティコース31人(大学生15人、高等専門学校生7人、専門学校生4人、高校生5人)、プログラミングコース30人(大学生8人、高等専門学校生5人、専門学校生3人、高校生11人、中学生3人)。合計61人の学生たちが熱心に(同時に黙々と)講義を受け、課題に取り組んでいた。
第35回 覗き見対策 | WIRED VISION
第35回 覗き見対策 2009年9月15日 (これまでの増井俊之の「界面潮流」はこちら) パスワードを使って計算機やWebサービスにログインするとき、パスワードは「****」のように伏字で表示されるのが普通です。秘密のパスワードが表示されて他人に見られると大変ですから、このような方法で入力文字を隠すのは当然と考えられていますし、他人がパスワードを入力しているときはキー操作が見えないように別の方を向くのが常識的なマナーだと思われています。 ところがユーザビリティの専門家であるJacob Nielsen氏が6月23日に突然、自分のブログで「パスワード入力の伏字は有害である」と言いだしました。 伏字が有害だとNielsen氏が言った理由は以下のようなものです。 ユーザの操作に対しては常にフィードバックが返るべきである 本当にパスワードを盗もうとする奴はキーボードを見るから伏字にしてもあまり意味が
PHP以外では: 既にあたり前になりつつある文字エンコーディングバリデーション - 徳丸浩の日記(2009-09-14)
_既にあたり前になりつつある文字エンコーディングバリデーション 大垣靖男さんの日記「何故かあたり前にならない文字エンコーディングバリデーション」に端を発して、入力データなどの文字エンコーディングの妥当性チェックをどう行うかが議論になっています。チェック自体が必要であることは皆さん同意のようですが、 チェック担当はアプリケーションか、基盤ソフト(言語、フレームワークなど)か 入力・処理・出力のどこでチェックするのか という点で、さまざまな意見が寄せられています。大垣さん自身は、アプリケーションが入力時点でチェックすべきと主張されています。これに対して、いや基盤ソフトでチェックすべきだとか、文字列を「使うとき」にチェックすべきだという意見が出ています。 たとえば、id:ikepyonの日記「[セキュリティ]何故かあたり前にならない文字エンコーディングバリデーション」では、このチェックは基盤ソフ
ヤフーのセキュリティに対する取り組みについて 第1回目
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括本部 開発推進室 セキュリティプラットフォーム技術の戸田 薫です。ヤフーのサービスのセキュリティを担当しています。 Yahoo! Inc のセキュリティチームは「パラノイド」と呼ばれていますが、ヤフー(Yahoo! JAPAN)におけるパラノイドは、セキュリティプラットフォーム技術というチームになります。 写真:セキュリティーチーム(左 小林 聖、中央 筆者、右 森田 政幸) ヤフーのサービスのセキュリティに対する取り組みやセキュリティプラットフォーム技術というチームについてご紹介します。 ヤフーは何を守っているのか? ヤフーでは、さまざまなサービスを提供しています。その中には、プライバシーやお金にかかわるも
学生が開発したコードがRubyの本体に---セキュリティ&プログラミングキャンプ2009を開催
「学生が開発したコードが,Ruby本体に取り込まれ,Linuxカーネル・メーリング・リストにも投稿された」(プログラミングコース 主査 よしおかひろたか氏)---。経済産業省(経産省)などは2009年8月12日から16日まで,学生が合宿形式でIT技術を学ぶ「セキュリティ&プログラミングキャンプ2009」を開催した。 「セキュリティ&プログラミングキャンプ2009」は,経産省が独立行政法人 情報処理推進機構(IPA),財団法人 日本情報処理開発協会(JIPDEC),NPO 日本ネットワークセキュリティ協会と共催しているイベント。2004年に「セキュリティキャンプ」として始まり,2008年からプログラミングコースを新設し,「セキュリティ&プログラミングキャンプ」になった。今年は,書類選考で選ばれた中学生から大学生までの61名が参加した。 このキャンプの大きな特徴は,講師全員が第一線で活躍する著
i-mode2.0セキュリティの検討: 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 - 徳丸浩の日記(2009-08-05)
_携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログインの可能性について検討する。 5月28にはてなダイアリーに書いた日記「i-mode2.0は前途多難」にて、今年のNTTドコモの夏モデルP-07AにてJavaScript機能が利用停止されたことを指摘した。同日付のNTTドコモ社のリリースによると、「ソフトウェア更新に伴い、高度化した機能の一部をご利用いただけなくなっていますが、再びご利用いただけるよう速やかに対処いたします」とあったが、それ以来2ヶ月以上が経つものの、未だにJavaScript機能は利用できない状態のままだ。 実は、NTTドコモ社が慌てふためいてJavaScript機能を急遽停止
携帯電話向けWebアプリのセッション管理はどうなっているか - ockeghem's blog
最近購入したPHP×携帯サイト 実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引にも「セッション」や「session」という語は出てこない。サンプルプログラムのCD-ROM上で session を検索しても出てこないので、セッションはどこでも使っていないのだろう。 そうは言っても、本書にはブログやSNSなど認証が必要なアプリケーションも登場する。本書で採用している認証方式はこうだ。 携帯電話の個体識別番号を用いた、いわゆる「かんたんログイン」のみを使う 認証状態をセッション管理機構で維持しない。全てのページで毎回認証する そのため、「iモードID」など、ユーザに確認せずに自動的に送信されるIDを用いる つまり、全て
高木浩光@自宅の日記 - グーグル社の東京都への回答「元データは保管していない」は虚偽か
■ グーグル社の東京都への回答「元データは保管していない」は虚偽か 今年2月の東京都情報公開・個人情報保護審議会で、ストリートビューの問題が審議された際に、委員から、写真の顔などを自動認識や手動でボカシ修正するとき、修正前の元データはどうしているのかとの質問が出たが、これに対し、出席していたグーグル日本法人の藤田一夫ポリシーカウンセルと舟橋義人広報部長は、「元データは保管していない」と回答していた(2月4日の日記「東京都情報公開・個人情報保護審議会を傍聴してきた」参照)。このことは、審議会の公式議事録にも、以下のようにはっきりと記載されている。 ○藤原委員 質問ですけれども、先ほど表札や顔でも、顔がきちんと認識されたら修正します、ぼかしを入れる、周辺でもとおっしゃったのですけれども、文字どおり技術的な問題ですが、修正される前のデータは誰がどう保存しているのですか。つまり、(略) (中略)
» セキュアなサーバを作るために最低限やっておくこと: エスキュービズム ラボ Blog
Recent Entries セキュアなサーバを作るために最低限やっておくこと Yahooキーワード抽出APIライブラリ テスト駆動開発 (test driven development: TDD) のすすめ GoogleAnalyticsAPI on EC-CUBE 土日で作るコンパイラ OPEN ERPに挑戦3 OPEN ERPに挑戦2 OPEN ERPに挑戦 ERPはたくさんあれど・・・ OpenGLで3D、やってみよう Recent Comments No Responses. Recent Trackbacks テスト駆動開発 (test driven development: TDD) のすすめ 06/11 » Yahooキーワード抽出... みなさんはサーバを管理するときに、何を一番気にしますか? 人によって程度の差はあるのでしょうが、誰もが気になるのが「セキュリティ」でしょ
C-Production – UNIXとプログラミングの備忘録
大変ご無沙汰です。約1年半ぶりの更新です。 昨日、ブログを設置しているサーバでOSのアップデートに問題が発生したため、これを機に新サーバ・新OSに乗り換えることにしました。 現在のブログがマルチサイトのため、そのままでは新サーバの構築に苦戦すると予想されるため、他のブログの記事を統合しました。 統合内容は以下の通りです。 ・C-Production ・・・ メインサイトのため、他のブログを吸収して継続。 ・♪8thNote♪ ・・・ メインサイトに統合済みだったので、削除。 ・モバイル魂 ・・・ メインサイトに記事を引き継ぎ、並行稼働中。 ・無線のドキュメント ・・・ もともと閉鎖予定だったので、そのまま削除 外部SNSのアカウントについてはそのまま継続します。 今後ともよろしくお願いします。
Apacheの安全を確保するための10の対策 - builder by ZDNet Japan
あなたは自分の会社のウェブサイトをサービスするApacheをインストールしたところだとしよう。Apacheはスムーズに動作しており、万が一の場合にもLinuxのセーフティネットが助けになるはずだと思う。ところが、2週間ほど経ったところで、いろいろとおかしなことが起こり始める。なぜだろう。ApacheとLinuxを使っているのに・・・おかしくなることなどあるだろうか? もちろん、注意を払わなければ、おかしくなることはいくらでもあり得る。Apacheを安全にする方法はあるが、もちろん何もしなければ安全にはならない。以下に示すのは、Apacheをより安全なウェブサーバにするための簡単な10の方法だ。 #1: とにかくアップデート LinuxでApacheを動かしているからと言って、アップデートが不要だということにはならない。常に新しいセキュリティホールやリスクが登場している。あなたは、最新のパッ
ヤフーがyimg.jpを使う本当のワケ - 最速配信研究会(@yamaz)
ヤフーの画像はなぜyimg.jpドメインなのか? サイト高速化の手法とヤフーの失敗例 でヤフーがなぜドメインを変えて画像サーバを運用しているかが書かれている.「静的なコンテンツに対してクッキーフリードメインを使うことによって速度向上を狙う」というのが理由とあって,これはこれでもちろん正しいのだけれど,これはどちらかというと副次的な理由で本当の理由は違う. クッキーフリードメインを使うことで悪意あるFlashコンテンツなどから自社ドメインのクッキーを守るためというのが本当の理由で,これはあちこちで使われているテクニックだ.Flashコンテンツは外部の業者さんに作ってもらったり,広告の入稿素材として入ってくるので,信頼できないデータとして取り扱う必要があり,万一まずいデータがアップされることがあっても大丈夫にしておく必要がある. 最近ユーザからの任意のコンテンツを受けつけて同一ドメインで配信し
WordPress をインストールしたら最初にしておくこと - わーどぷれすっ!
The Very First Steps After a Fresh WordPress Installからのヒントも入れつつ、自分が WordPress をインストールしたら最初にしておく設定等をご紹介。 デフォルトの “admin” アカウントの削除 デフォルトの管理者アカウントのログインユーザー名が決め打ちされてるのはやはりセキュリティ的にまずいので、管理者ユーザーをもうひとつ作ってからデフォルトの admin ユーザーを削除する。 管理画面の「ユーザー」→「新規追加」で管理者権限をもつユーザーを新しく作成 ログアウトして新しく作成したユーザーでログイン 「ユーザー」→「投稿者とユーザー」で admin アカウント上にマウスをホバーさせると「削除」リンクが表示されるのでそれをクリック パーマリンクの設定 (設定 > パーマリンク設定) デフォルトの「/?p=nn」から「日付と投稿名」
クレジットカード時代の終わり - Walk in the Spirit:楽天ブログ
2008年12月05日 クレジットカード時代の終わり (9) カテゴリ:雑感 午前中、昨夜からの熟睡のさなか、 ヨメさんに起こされる、 「電話よ、」 相手:こちら****カード、担当の**です、 私:はい、 相手:昨日、お客様の口座から不正らしき引き出しがあり、確認の電話です、 私:えっ、不正引き出し!? 相手:ソニーエンターテイメント、20万円、スイカ読み取り、3万円、こちらに覚えはございますか、 私:えーー、ナイナイナイ、全然ないすよ、 相手:それでは保険担当から再度、電話させて頂きますのでしばらくお待ちください、 しばらくして、 相手:私、保険支払いを担当しています**です、 私:はーー、 相手:早速ですが、カードははさみを入れて破棄ください、一週間後に新規NOのカードを発行します、お客様の損失額は当社の保険でカバーされます、お客様の使用履歴を見ますと、Yahoo、Softbankな
mixiが招待制廃止、15歳以上から参加可能に--「mixiアプリ」提供も:ニュース - CNET Japan
ミクシィは11月27日、ソーシャルネットワーキングサービス(SNS)「mixi」の利用制限を緩和することを発表した。12月10日からは15歳〜17歳のユーザーもmixiを利用できるようになり、2009年春には招待制を廃止する。またmixi Platformを開放し、12月11日にパートナー向けに「mixiアプリ」のベータ版を提供する。 年齢制限の引き下げにより、これまで18歳未満のユーザーは登録することができなかったが、15歳〜17歳でもmixiを利用可能になった。ミクシィでは、ユーザーサポート体制を強化するほか、青少年のユーザーに、ふさわしくない広告を表示しない、コミュニティ機能と検索機能を使えない、検索結果に表示されないようにするなど、健全性を高めるための施策を実施していくという。また、新規登録時の生年月日登録も必須化する。 登録制導入は2009年春から実施し、従来の招待制も併用してい
高木浩光@自宅の日記 - Googleカレンダーでやってはいけないこと
■ Googleカレンダーでやってはいけないこと Googleカレンダーで公開前提ではないカレンダー(非公開を前提としたカレンダー)を作っている場合、以下の操作をしないよう注意する必要がある。 「設定」画面でカレンダーを選んだときに出てくる画面の「カレンダーの情報」タブのところの一番下に、「非公開URL:」という項目がある。そこには、「これはこのカレンダーの非公開 URL です。このカレンダーのすべての予定を他のユーザーに見せたい場合を除き、このアドレスを他のユーザーと共有しないでください。」という説明書きがあるが、何のことやらよくわからない。ここで、「XML」「ICAL」「HTML」と書かれた部分の「HTML」のところをクリックすると次の画面が出る。 ここで、表示されているURLのリンクをクリックしてはいけない。 マップとカレンダーでちぐはぐな設計 これがいったい何なのかは、「ヘルプ」に
高木浩光@自宅の日記 - 本当はもっと怖いGoogleマイマップ
■ 本当はもっと怖いGoogleマイマップ 適当に検索して見つけたブログで(既に消えているようだが)こんな発言があったようだ。 Googleマップで他人の個人情報を晒したことに気づいてあわてている人のニュースが、最近、盛んだ。 いったいどうしてこんなことになってしまうのか、私には不思議でならない。 私もマイマップはよく使っているので、公開・非公開の違いは注意深くチェック ... Googleマップに他人の個人情報を掲載する愚か者と、ここぞとばかりに ..., オリマー, 2008年11月8日 しかしどうだろう。Googleマイマップを「よく使っている」という人でも、自分が作成するマップがいつどの時点で公開状態となるのか(パブリッシュされるのか)、そのタイミングを理解している人はどれだけいるだろうか。 Googleマイマップの「新しい地図を作成」をクリックした直後はこうなっている。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
