タグ

関連タグで絞り込む (19)

タグの絞り込みを解除

WEBサービスとセキュリティに関するkazuph1986のブックマーク (5)

  • 金融機関の口座集約アプリの危険性について - プログラマでありたい

    先日、銀行口座の口座集約のとあるiOSアプリの記事について、危険だよなぁと何気なく呟いたら中の人からリプを貰いました。Twitterで呟いているのですが、文字だけでは解りにくいのでまとめてみます。ただ、そのアプリ固有の問題ではなく、構造的な問題なのでアプリ名は開示しません。(安全なので安心ですという論調は、どうかと思いますが。。。) 口座集約アプリの構造 口座集約のアプリは、アカウント・アグリゲーション(Account aggregation)サービスと言われています。サービスの実体は、複数の銀行の口座情報とID,Passwordを預かり、代行でログインして結果のhtmlを解析(スクレイピング)して利用明細や残高を集約するものです。口座とID,Password情報、解析エンジンをどこに置くかで、クライアント型とサーバ型に分類されます。 サーバ型アプリケーション まずサーバ型アプリケーション

    金融機関の口座集約アプリの危険性について - プログラマでありたい

  • Facebookのメッセージは送信者を自由に偽装して送れることが判明

    これちょっとマズいんじゃないかなあ。 Kampa! の人である佐田さんが見つけて教えてくれたんだけど、 Facebook のメッセージは割と簡単に他人になりすまして送れるみたい。 以下、すべて送信者と受信者の自発的な協力を得て試してみた結果です。 起きること Facebook ではユーザーに @facebook.com のメールアドレスが与えられています。 個人ページが www.facebook.com/namaewo の人なら namaewo@facebook.com という具合に。 そのアドレス宛にメールを送ると、 アドレスの所有者に Facebook 上のメッセージとして届きますね。 この時、そのメールの送信元メールアドレスが 別の Facebook ユーザーによって登録されているアドレスであった場合 Facebook では、そのユーザーから送られたメッセージとして扱われます。 電子

  • 徳丸本に載っていないWebアプリケーションセキュリティ

    2. 日お話しする内容 • キャッシュからの情報漏洩に注意 • クリックジャッキング入門 • Ajaxセキュリティ入門 • ドリランド カード増殖祭りはこうしておこった…かも? Copyright © 2012 HASH Consulting Corp. 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿など を開始 –

    徳丸本に載っていないWebアプリケーションセキュリティ

  • 2012-03-13

    はてなブックマークボタンから収集した行動情報の第三者提供をやめます 皆さま、大変申し訳ありません。はてなブックマークボタンで収集される行動情報の外部企業への提供をやめます。 先週から、この情報提供について、多くの皆さまから反対のご意見をいただきました。はてなブックマークは、あらゆるページから簡単にブックマークでき、たくさんのブックマーク情報から人気の記事が得られる最高のサービスを目指しています。その一環として、はてなブックマークボタンの普及に努めてきました。2011年9月に、新しい収入源の開発と、ウェブサイトを訪れた際に最適な広告が表示されることでより価値の高い情報が手に入ることを目的に、はてなブックマークボタンで収集した行動情報の第三者への販売を開始しました。 ブックマークボタン来の目的は、「ブックマーク数が分かる」ことと、「簡単にブックマークできる」ことです。このボタンの表示から得た

    2012-03-13

  • ウェブ健康診断 - 財団法人 地方自治情報センター(LASDEC)

    地方公共団体が運営するホームぺージの改ざん防止等に資するため、Webアプリケーションの脆弱性の有無を診断し、その対処方法をお知らせします。個人情報漏えいの危険性があるSQLインジェクション等の脆弱性についても診断できます。 ウェブ健康診断とは? 「ウェブ健康診断」とは、人間に例えるなら、その名のとおり 「健康診断」にあたるような位置づけの診断です。人間ドックに比べたら精密ではありませんが、平成19年度に実施したWebアプリケーション脆弱性診断結果等も考慮しながら重要な診断項目を検討しました。 診断は「基的な対策が出来ているかどうかを診断するもの」とご理解ください。また、診断対象のWebアプリケーションの全てのページを診断するものではなく、診断対象の規模にもよりますが、基は抜き取り調査(診断)です。 Webアプリケーションとは? ホームページの閲覧者が何らかの情報を書き込む等して、

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.