5分で絶対に分かるSSL-VPN − @IT
SSLって何だったっけ? SSL-VPNを学ぶ前に、まず「SSL」についておさらいしてみましょう。 SSL(Secure Sockets Layer)は、Webサーバとのやりとりを暗号化してくれるもので、ショッピングサイトなどでクレジットカード番号を入力するページでおなじみでしょう。SSLは「やりとりを盗聴されていないこと」「相手が偽物ではないこと」「やりとりを誰かが改ざんしていないこと」を証明してくれる、縁の下の力持ちとなります。 SSLという言葉を知らなくても、この鍵のマークにはお世話になっている人も多いと思います。SSLはPC向けのブラウザだけではなく、携帯電話やゲーム機、PDAなどのブラウザでも実装されている、とても一般的なプロトコルです。 SSLの歴史は古く、1995年に登場したNetscape Navigator 2や、1996年に登場したInternet Explorer 3
mixi の画像表示方法が One Time URL 方式に変更 - World Wide Walker
mixi の画像表示方法が One Time URL 方式に変更 Posted by yoosee on Web at 2006-11-09 23:42 JST1 mixi、画像が外部のWebサイトで表示される仕様を修正mixi が仕様変更で日記等の画像が外部から見えないようにしたとのお知らせ。以下のページにアップロードされた画像のURLが変更となり、当該ページでのみ表示される仕様に変更となりました。メンテナンスのお知らせ 2006.11.08 以前に mixi の画像はどう配信されているのか という記事を書いたので、どのような認証方法にしているのか気になってちょっと見てみた。 画像の URL を見てみると、http://ic50.mixi.jp/p/(ランダムな文字列)/45532d00/diary/11/09/(ownerid)_123.jpg のようになっている。多分これは、日記の表
ウノウラボ Unoh Labs: 無料でここまでできる!OS毎のセキュリティ対策まとめ
こんにちは sato です。 個人情報が流出する事件が多発していまが、みなさんはどうしていますか? 今回は僕が家で使用しているツールについて紹介したいと思います。 ウィルス対策 AVG Anti-Virusの Freeを使っています。これでウィルスサーチや メールの添付ファイルチェックなど、大抵のことはやってくれます。 使用しはじめて、半年以上経ちますがまだウィルスに感染したことはありません。 Windows,Linuxは http://free.grisoft.com/doc/avg-anti-virus-free/lng/us/tpl/v5よりDLすることができます。 以下のサイトに使用方法が詳しく書いてあるので、参照させていただきました。 http://eazyfox.homelinux.org/SecuTool/AVG7/AVG701.html Mac用には clamxa
今夜分かるSQLインジェクション対策 ― @IT
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
安全なWebアプリケーションの実現に向けて − @IT
高橋さんの唐突な一言で星野君たちはセミナーを受講することに。いままでのおさらいをするにはちょうどいい機会なのですが、集合場所にはまだ誰も来ていないようです……。 赤坂さん 「ごめーん。待ったぁー?」 星野君 「遅いですよ~」 赤坂さん 「ごめんねー。ちょっと寝坊しちゃってー」 赤坂さんはいつになく眠そうだ。 星野君 「いっつも寝坊してますよね」 赤坂さん 「まあ、いいじゃないー。間に合ったんだしさー」 星野君 「そうですね。さて……」 赤坂さん 「じゃあ、行こうかー」 星野君 「え。行っちゃうんですか?」 この日、星野君たちはセミナー会場に来ていた。テーマは「Web開発とセキュリティ」。なぜセミナー行くことになったのかといえば、例のごとく高橋さんの思いつきのような発言がきっかけだ。 高橋さん 「ねぇ。そろそろ仕事一段落するよね?」 星野君 「え?あ、はい」 高橋さん 「じゃあさ、今度の金曜
会社におけるログの重要性を考える―捜査技術の第5条「情報収集がターゲットを絞り込ませる」―
会社におけるログの重要性を考える―捜査技術の第5条「情報収集がターゲットを絞り込ませる」―:ビジネス刑事の捜査技術(10)(1/3 ページ) 警察活動において、最重要とされる「警ら活動」が民間ではあまり重視されていない。これはなぜだろうか。今回は、捜査の技術第5条「足元を固める情報収集活動がターゲット像を絞り込ませる」について、警ら活動とログの話を中心に考える。 筆者が警察組織を辞めてコンサルタント会社に勤め始めたとき、自社内の仕事を警察の仕事に置き換えて理解しようとしていた。例えば、営業は捜査に、製造はサービスを企画・設計するという意味で企画、購買は調達、総務は総務、人事労務は警務・教養、経理は会計といった感じで置き換えてみた。 特に「顧客を捜し出す営業」のような仕事には捜査の技術が役に立つ、ということに筆者は早くから気が付いていた。そんな中で、不思議だったのが警察活動の基礎ともいうべき
スラッシュドット ジャパン | ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解
jbeef曰く、"セキュリティホールmemo経由、葉っぱ日記10月17日のエントリによると、2005年5月にIPAの脆弱性情報届出窓口に届け出られたmixiの欠陥の件が、1年半たってようやく決着したという。この欠陥は、mixi内でアップロードされた画像が、mixiにログインしていなくても画像のURLを指定すれば誰にでも閲覧できてしまうというもの。もっとも、数百万人の会員がいるとされるmixiでは、いずれにせよ誰にでも見られるのに等しいのだから問題じゃないという考え方もあろう。しかし、「友人まで公開」に設定している日記の画像はどうだろうか。普通のユーザなら、写真画像も「友人まで公開」だと信じて貼り付けるのではなかろうか。 葉っぱ日記によると、IPAはこれを脆弱性として受け付け、取り扱いを開始したものの、11か月後の2006年4月になって、ミクシィ側からギブアップの連絡があったという。その内容
独りの超電波プログラマ - 東芝のサイトが恐ろしくセキュリティ的に激しく超超超超超ヤバイ
http://dynabook.com/assistpc/download/makeula/makemod.cgi?filename=http://d.hatena.ne.jp/kudzu/ 上のURLを見て、ページを見てもらえばなんとなく想像できると思うけど、「同意する」のリンクをクリックした後に接続する先のURLを任意のURLにできる。 つまり、 適当なウェブサーバにトロイ(本物の実行ファイルにウィルスをつけるとかすると凶悪)を置く 上記URLのfilename=の項目をトロイのURLにする URLをSPAMなりなんなりでばらまく これで簡単にフィッシングできんな。さらにfilename=の項目をpostでできたら完璧*1。できるらしいので、死ぬほどやばい!もう東芝からダウンロードなんて絶対しない! URL自体はdynabook.comなわけで、相当な人がだまされると思うんだけど。これ
sta la sta - たった1行のJavaScriptコードでInternet Explorerをクラッシュさせる方法
注意! IEを使用中の方は、リンク先の記事内にクラッシュコードのあるサンプルページへのリンクがあるので、クリックしないようにくれぐれもお気をつけ下さい! 「you can find the code here」の「here」にあります。クラッシュをテストしたい方は別ですが。 http://www.modernlifeisrubbish.co.uk/how-to-crash-internet-explorer.asp 普段、ネットサーフィンでIEを使用している方にとっては、あまり嬉しくない話だろう。 こちらの記事の方がIEとFireFoxの両方で動作するJavaScriptコードを書く仕事をしている最中に、偶然にも、IEをクラッシュさせるコードを見つけてしまったそうな。 そのコードは複雑怪奇なものではなく、以下のようなたった1行のコードのようだ。 記事内に、上記コードを仕組んだサンプルページ
Ajaxの特徴に潜むリスクをサンプルアプリで確認しよう ― @IT
第1回 Ajax技術の目に見えない通信内容をのぞいてみようでは、Ajaxの技術背景を解説しました。今回は、「セキュリティ」という観点でAjaxを見ていきたいと思います。 2回目の今回は、非常に幅広く、奥が深い「Ajaxの特徴に潜むセキュリティリスク」を、実際のサンプルアプリケーションの通信や、マウスの動きを動画で見ながら、理解しましょう。スパイウェアやキーロガーへの基本的な対策も解説します。 通常のWebアプリと異なるAjaxの特徴に潜むリスク 「Ajaxのセキュリティ」といきなりいっても、『Ajaxとはいえ、単なるWebブラウザで動作するアプリケーションなのだから、これまでのWebアプリケーションのセキュリティとあまり変わらないのでは?』と予想される方も多いでしょう。確かに、Webアプリケーションとして注意すべきセキュリティのポイントは、Ajaxにおいても共通して当てはまると考えて問題あ
ボヤキ:猿真似は危険『「Ajax PHP」でRSSリーダーを作る』で破滅 - livedoor Blog(ブログ)
これは愚行録です。 サイトを閉鎖したため、こちらへ転記します。(by 破滅した管理人) 3月8日付けのエントリー『「Ajax + PHP」でRSSリーダーを作る』 「RSSリーダーを作ってみたい」という思いつきで始めた今回の一件。 さて「RSSリーダー」ってどうやって作るんだろうか。 とネット検索してみると初心者向けの分かりやすいページが見つかった。 Ajaxを使おう RSSリーダーを作る 掲載されているソースの改造に取り掛かるが、すぐに壁にぶち当たる。 「summary」の表示が上手くいかない。 「<summary>」なら良いのだが「<summary type="text/plain">」だと「[object Object]」が表示されてしまう。 なんだろうね、これって。 summary = xml.feed.entry[i].summary.type なら「text/plain」が表示
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
A. WEBプログラマコース
SQL Power Injector Download