ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech Blog)
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリストの戸田 薫です。 今回は、私たちが普段からヤフーのシステムに対する入力にどのような注意を払っているのか、そのいくつかをご紹介致します。 入力とは? Webサイトを運営している場合、どのような入力があるでしょうか? たとえば、Webサービスには、以下の入力があります。 Cookie URL GET/POSTのデータ ファイルのアップロード その他リクエストヘッダ そのほかにもいくつもあります。 環境変数 設定ファイル クローラが取得したデータ パートナー企業のAPIから取得したデータ(XMLやJSONなど) パートナー企業の入稿用 F
サイト作成に欠かせないサイトやサービスなどを20個|Webpark
私がサイトを作る際によくお世話になっているサイトやサービス、フリーソフトを紹介します。個人的に見ているものだけなのでまだまだあると思いますが、ご参考になればうれしいです。 週間ウェブデザイン 次の「あんじょうできてはる」が更新停止になっているのでこちらを。1ページあたりの表示数が多いので探しやすいですね。 あんじょうできてはる Webデザインのギャラリーはたくさんありますが、見やすさ探しやすさでこちらをよく見ます。更新は止まっちゃってますが。。 MephoBox ヘッダーやフッターなど部分的なものにこだわった海外のギャラリーです。404やナビゲーションなんかもあり参考になります。 ロゴストック 日本を中心にかなりの数のロゴが集められています。管理人さんや訪問者の評価も見ることができて参考になります。 フリーの素材集です。「ロイヤリティフリーなフリーフォト、無料写真素材サイトのまとめ」もご参
40分でできるホームページ運営体制チェック ~40項目のセルフチェックシート | Web担当者Forum
40分でできるホームページ運営体制チェック より良いサイト運営を実現する 40項目のセルフチェックシート[Web担当者編 2008年版] 好評だった「40分でできるホームページ診断 ~訪問者目線編~」に続き、第2弾のチェックシートをお届けする。今回は、表側には現れない、ウェブサイトの裏側にある運営体制に関するチェックだ。 第1弾の「40分でできるホームページ診断 ~訪問者目線編~」も一緒にどうぞ TEXT:編集部 協力:株式会社 環 今回は運営体制をチェックWeb担では以前に「40分でできるホームページ診断」を掲載し、好評を得たが、前回のホームページ診断では、サイトが訪問者にとってどれぐらい使いやすいかをチェックするための要素に絞っていた。 今回は、企業のWeb担当者が、日々のサイトの運営を行ううえで意識しておかなければいけない点や、企業としてウェブサイト運営をする場合に必要になる要素を対
第1回 まずは「クッキー」を理解すべし
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第1章 総論:より良いWebアプリケーション設計のヒント
ここで述べるのは、脆弱性が生まれにくいWebアプリケーションを構築するために設計段階、あるいはそれ以前の段階で考慮しておくとよい事項の例である。 (1) 開発環境の選択 1) プログラマが脆弱性をつくり易い環境を避ける 今日のWEBアプリケーション開発環境は、プログラミング言語の処理系に加えて、開発フレームワークやコンテンツ管理システム(CMS)、さらに外部のテンプレート言語までを加えた総合的な環境となってきている。 短時日で素早くサイトを立ち上げることを目的として、「軽量言語」と呼ばれる各種スクリプト言語が標準で備えているWEBアプリケーションを手軽に開発するための機能やライブラリをそのまま利用することは悪くない。しかし、その手軽さ故に、セキュリティの観点からは多くの脆弱性を生んできた経緯がある。 例えば、下記の事例が挙げられる。 PHPの4.1以前のバージョンの環境は、「registe
RESTなWebサービスをマウントするRESTファイルシステム、FUSEで作ってみた:TKMR.blog.show
RESTなWebサービスをマウントするRESTファイルシステム、FUSEで作ってみた FUSE REST Ruby 2007-06-24 FUSE用のRubyライブラリで、FuseFSてのがあるのを最近知った RubyのFuseFS使ってtwitter file systemを作ってみた Rubyで手軽にファイルシステムを構築できるそうな。面白そうなので、ひとつ試しにRESTなWebサービスをローカルにマウントするRESTファイルシステムを作ってみた。 (http://localhost:3000/books/3.xml へアクセスして中身を表示) あと外部Webサービスをローカルにマウント!てのがやりたかったので、TwitterとTumblrのAPIをマウントしてみた。 $ cat ~/restfs/TwitterStatus/user_timeline/117011742/t
『携帯電話の「簡単ログイン」は個体識別番号を使ってこんなふうに作れます』
たいていのWEBアプリはユーザ名とパスワードを聞かれて認証を行います。これはちょうど家に鍵をかけるようなもの。それほど重要でない情報のみのサイトならこれで十分ですが、貴重な情報があるとなるとそうはいきません。 この物騒な世の中、鍵ひとつじゃ安心できないわという声も聞こえてきます。最近セキュリティの高いところでは、やれ指紋やら静脈やら虹彩やらで個人を識別して鍵が開くようになってきていますね。WEBアプリにもユーザ名とパスワードの鍵以外に、端末の識別番号を使って認証する方法があります。 さて今日は携帯電話に焦点を当てて、ユーザ名とパスワード+自分の携帯からしかアクセスできないというように変える方法をご紹介。 携帯端末には一台一台に電話番号とは別の個体識別番号があります。この番号を、ユーザがサイトにアクセスしてきたときにプログラムで取得することができます。個体識別番号をサーバ側に保存しておき、認
Webアプリケーションを作る前に知るべき10の脆弱性 ― @IT
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
CSS ハックまとめ Lucky bag::blog: IE7 を含むモダンブラウザ向け
Internet Explorer 7 は、 8 月にも beta3 がリリースされるかも知れないんだけど、今現在、IE7 beta2 を含むモダンブラウザに有効そうだと思われる CSS ハックを自分用にまとめておく。以前に IE 7 用の CSS ハックを紹介したことがあったけど、今回の Easy CSS hacks for IE7 - Nano See, Nano Do で紹介されていたハックは、比較的シンプルかも知れない。想定ブラウザは下記のとおり。 バージョン 6 以下の IE IE7 それ以外のモダンブラウザ(Safari、Opera、Firefox) ブラウザごとのハック 全てのサンプルは body 要素を指定の対象としている。 バージョン 6 以下の IE にのみ適用 * html body サンプルページ バージョン 7 の IE にのみ適用 *+html body サンプ
ITmedia Biz.ID:あやしいサイトにご用心――3つの“素性確認”サービス
知らないサイトをブラウザでいきなり開くのは危険な行為だ。こうした場合、URLを入力するだけでサイトのドメイン情報のほか、評判や周辺情報といった“素性”を確認できるサービスを利用しよう。 ネット上で見つけたURL、メールアドレスの発信元、もしくはアクセスログで得られたサイトやドメインについて、実際にブラウザで開く前に情報を得たいことがある。ドメインに関する基本情報はWHOISを使えば確認できるが、あくまでもテキスト主体でサイトの概要しか知ることができず、ネット上での評判まで知るのは不可能だ。 最近になって、こうした場合に便利な、サイトの詳細情報や周辺情報を提供してくれるサービスが続々登場してきている。今回はその中から代表的なサービスを紹介しよう。 まず1つめは「aguse.net」だ。このサービスでは、WHOISで得られる基本的な運営者情報はもちろんのこと、サイトのスクリーンショットや、サー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
郵便年賀.jp
トッププレーヤーのクラブセッティング/横峯 さくら ゴルフダイジェスト・オンライン
シソーラス辞書検索
HTML → PDF
企業サイト ユーザビリティランキング:日経パソコン オンライン