「防災・危機管理心理学」 リスク心理学、正常性バイアス、多数派同調バイアス
災害が発生したとき人間はどんな心理状態に陥り、とっさにどんな行動をとるのでしょうか?例えば、煙が充満しつつあるのになぜ避難しなかったのか、津波警報、洪水警報、避難勧告が発表されても多くの人々が避難しないのはなぜか。こうした緊急時における人間の心理を検証し、行動マニュアルに組み込まない限り「安全の死角」をなくすことはできないのです。世界中の災害現地調査を実施してきて、突発災害・不測の事件・事故に巻き込まれた人たちに共通する興味深い結果を得てきました。今後の防災対策やマニュアル作成時にこうした心理学的側面を検証し被害軽減に役立てられることを期待しています。防災・危機管理アドバイザー山村武彦 Aviation,Space, and Environmental Medicine誌に発表されたイギリスの心理学者ジョン・リーチ博士の研究によると、運悪く不意の災害に見舞われた時、人の取る行動は次の三つの
ちょっと前に話題になったOpenID Connectの仕様とは? - r-weblife
OpenID Connectでググってみたものの、紹介記事ばかりで中身を説明してる人があんまりいないようでした。 仕様ドキュメント?かどうかわかりませんが、まともなドキュメントは http://openidconnect.com/ しかありません。 英語読めるエンジニアならこれ読んでだいたいわかってるのかもしれませんが、ざっとまとめておきます。 3行で説明 OAuth 2.0を使って、URL形式のUser Identifierを返す User Identifierは User Info APIとして属性情報取得に利用できる host-metaを利用した独自Discoveryと、DynamicにClient登録のしくみがある 処理フロー OpenID Connect on Web Server Profile シーケンスはこんな感じですね。 ここでは、一番処理の多いケースを考えます。 条件は
実演: RSA暗号の理論と実際 - faireal.net
JavaScript: 触って分かる公開鍵暗号RSA 2004年 2月 4日 記事ID d40204 公開鍵暗号RSAの各面について。 本に書いてあるような理論的説明でなく、 実地に体験しながら、具体的に見ていきましょう。 JavaScript で実装したRSA暗号系 PigPGP 0.2.3 日本語版 を使います。 このデモは、内部で実際に行っている演算の様子をガラス張りにして見せてくれます。 初めに 例えばパソコンについて理解するのに、本を読んだだけで十分に納得がいくものでしょうか。 やはりパソコンについてよく分かるようになるにはパソコンをいじってみるのがいちばんでしょう。 同じように、ここではRSA暗号について実感として分かることが目的ですから、 RSA暗号系を自分の手でいじってみるのがいちばんです。 PigPGP 0.2.3 日本語版がそれです。 これは JavaScript で実
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
グラボ(GPU)の力でMD5を解読 - うさぎ文学日記
CPUではなく、グラフィックボードに搭載されているGPUの力を使って、MD5やSHA-1などのハッシュ値を解読するというのを試してみました。 きっかけはPCの刷新。ゲームなどはしないので、DUAL DVI-Iが付いていれば何でもいいやと思って「VAPOR-X HD 5770 1G GDDR5 PCI-E DUAL DVI-I/HDMI/DP OC Version」というカードを13,980円で購入。 このATI HD5770が、GPUを使ってハッシュ値をブルートフォースで解読する「IGHASHGPU」に対応していたので、以前から試してみたかったので使ってみました。 IGHASHGPUのダウンロードはこの辺りから Ivan Golubev's blog - Cryptography, code optimizations, GPUs & CPUs and other http://www.g
ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech Blog)
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリストの戸田 薫です。 今回は、私たちが普段からヤフーのシステムに対する入力にどのような注意を払っているのか、そのいくつかをご紹介致します。 入力とは? Webサイトを運営している場合、どのような入力があるでしょうか? たとえば、Webサービスには、以下の入力があります。 Cookie URL GET/POSTのデータ ファイルのアップロード その他リクエストヘッダ そのほかにもいくつもあります。 環境変数 設定ファイル クローラが取得したデータ パートナー企業のAPIから取得したデータ(XMLやJSONなど) パートナー企業の入稿用 F
インストール直後に絶対やるべき作業と設定
正しく管理されていないLinuxにセキュリティなどないに等しい。しかし、どこから手をつければよいかすら分からない人も多いだろう。本連載ではLinuxのセキュリティ対策をインストール時点からファイアウォールやIDSの構築、ログ管理まで解説していく。 終わらないセキュリティ対策の世界 Linuxは現在、インターネットサーバOSとして注目されています。特に初期コストを抑えてネットワークを構築したい場合にLinuxは有効ですが、適切なセキュリティ対策が施されずに公開され、クラッキングなどの被害に遭っているところも多々見受けられます。 インターネットの世界には、クラッカーと呼ばれる悪質なネット利用者もいますし、最近では彼らが開発した(?)ワームにも注意する必要があります。万が一これらのえじきとなった場合、Webページを改ざんされたり踏み台にされて人様に迷惑をかけてしまうかもしれません。企業としてはイ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JS Bin