using checkinstall
using checkinstall Compiling checkinstall for Fedora 13 is tricky, and described in this tip. Also on that page are the edits required to get it to work under RHEL6 (Red Hat Enterprise Linux 6). It seems that checkinstall adds the directories /selinux and /selinux/context to the package it builds. This leads to an error like "error: unpacking of archive failed on file /selinux/context" when instal
「OpenIDはメアド同様に複数使い分けてもいい」、OpenID提唱者 ― @IT
2007/07/19 URIをIDとして扱うオープンな認証プロトコル、「OpenID」が北米で本格的な普及期にさしかかろうとしている。2005年の夏にブログソフトウェアを提供する米シックス・アパートから提案されたOpenIDは、2007年に入ってから関係各社・団体からのサポート表明が相次いだ。 Mozillaファウンデーションは1月、次期バージョンのFirefox 3でOpenIDサポートの意向を表明。2月にはマイクロソフトやRSAセキュリティもサポートを表明、DiggやNetvibesといったWeb2.0サービスサイトでもサポートの表明があった。同じく2月、AOLは6000万人のユーザーすべてにOpenIDのアカウント(URI)を発行。日本でもlivedoorが5月にOpenIDサポートを開始している。現在、OpenIDユーザーは全世界で約1億2000万人を数え、OpenIDを受け付ける
Atom や RDF を利用したXSS - 葉っぱ日記
Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在することを確認しました。以下の例では Atom の場合について書いていますが RDF/RSS でも同様です。 例えば、http://example.com/search.cgi?output=atom&q=abcd という URL にアクセスすると、「abcd」という文字列の検索結果を Atom として返すCGIがあったとします。 GET /search.cgi?output=atom&q=abcd Host: example.com HTTP/1.1 200 OK Content-Type: ap
第4回 自己流認証 | WIRED VISION
第4回 自己流認証 2007年7月20日 IT コメント: トラックバック (1) 自分を証明するために鍵やカードやハンコなどが広く使われていますが、計算機の上ではパスワードがよく利用されています。指紋や光彩を利用する生体認証も最近注目されていますが、特殊な装置が必要になりますし、偽造も可能な場合が多いので、どこでも使える強力な認証手法としてパスワードの地位に揺るぎは無いようです。 パスワードを用いる認証方式は長年利用されているので、運用に関する多くの知見が存在します。システムを作成するときの注意点はよくわかっていますし、破られにくいパスワードの選び方や、他人に見られることなくパスワードを送る方法などについても深く研究されており、正しい使い方をする限り安全な認証手法であることは証明されています。 歴史が長いため、パスワードを破るためのノウハウも蓄積されており、普通に思いつく固有名詞を単純に
[セキュリティ]画像へのPHPコマンド挿入 ― T.Teradaの日記
だいぶ時間がたってしまいましたが、大垣さんの以下のブログにコメントしたことなどをまとめます。 画像ファイルにPHPコードを埋め込む攻撃は既知の問題 – yohgaki's blog アップロード画像を利用した攻撃についてです。 攻撃の概要 画像ファイルにPHPコマンドを挿入する攻撃は、大きく2種類に分けることができます。 1つは、画像のアップロード機能を持つサイト自身を狙う攻撃です。PHPで開発されており、任意の拡張子のファイルのアップロードを許すサイトでは、拡張子がphpなどのファイルをアップロードされる恐れがあります。 拡張子がphpなどのファイルに仕込まれたPHPコマンドは、そのファイルにHTTP/HTTPSでアクセスされた際に実行されます。攻撃者は、アップロードファイルを通じて、画像が置かれるWebサーバ上で任意のコマンドを実行することできます。 この脆弱性は、アップロード可能なフ
LAPISLAZULI HILL#Hatena - AtomPPやRESTなどのAPIにおける認証のメモ
WSSE認証 Basic認証 Digest認証 ひとまずはBasic認証で充分な気がする.WSSEは消えつつあるのかな? 以下引用メモ # 2007年06月30日 miyagawa miyagawa Basicのほうがいいよ VoxのフィードはmiyagawaさんがBasic認証対応にしたみたいです。確かにWSSE認証に対応したフィードリーダーなんて聞いたこと無い。 でもたとえば記事のPOST/PUT/DELETEとかはBasic認証でやちゃっていいのかな?今作ってるサービスでも認証方法が決まらなくてscaffold_resourceで生成したAPIもPOST/PUT/DELETEはコメントアウトしてるんですよね。 Basic認証 より正確にいうと、Atom 自体に独自の認証スキームは定義せずに、既存のHTTPで利用できるBasic/Digestを使おうということだと認識しています。WSS
ネットエージェントの「あんまり効果なさそうな」漏洩データ拡散抑制サービス(1件300万円)を考える | P2Pとかその辺のお話
先日もネットエージェントのWinnyによる情報漏えいを利用したお金儲けの話をしたけれども、今回もそのお話。これまで紹介した「Winny特別調査員」「Winny特別調査員2」はいずれも、情報漏えいを回避するために予防的なサービスであった(まぁ、その質の悪さはこれまで述べてきたとおりだけれども)。一方で、ネットエージェントは、情報漏えいの事後的な被害の抑制のためのサービスも提供している。それについての記事が、asahi.comにのっていたので、それを元にこのサービスがどの程度効果のあるものなのかを、考えてみる。結論を言えば、300万円も出して頼むほどの効果は上がってないよなぁといったところ。結局は、漏えいしたが最後といったところだろう。 この件については、安易に紹介したくはなかったのだけれども、あまりにネットエージェントのやり方に無責任さと適当さを感じるので、感情に任せて書いてみる。まぁ、あく
「Twitter Japan」サイトが登場、メールアドレス登録にご用心:CNET Japan Staff BLOG - CNET Japan
いま話題のコミュニケーションサービス「Twitter」の日本語版をかたるサイトが登場し、ネット上で話題となっている。 サイトの名称は「Twitter Japan」。 しかしそこには意味の通らない怪しげな日本語と、メールアドレスを入力するためのフォームがあるのみ。詳しい内容は一切書かれていない。 Twitter Japanのトップページ メールアドレスを入力すると表示される画面 日本レジストリサービスのWHOISサービスを使ってしらべたところ、連絡窓口は「CRM ASP」というところになっていた。ここのサイト(http://crmasp.com/)にアクセスしてみるが、ほとんど情報がなく、やはりユーザーの連絡先を書き込ませるためのフォームがある程度で、会社に関して詳しいことは一切書かれていない。 米InterNICで調べたところ、CRM ASPはSan Franciscoにある企業との
ソーシャル・ブックマークと悪質なWebサイト
2007年5月,ソーシャル・ブックマーク・サイトreddit.comにあったトップ記事が,マルウエアをダウンロードさせるWebサイトにリンクされた。RedditやDiggなどのソーシャル・ブックマーク・サイトでは,ユーザーの人気度に応じて記事をランク付けし,その記事へのリンクを掲載している。問題のリンク先にあったマルウエアはTrojan.ByteVerifyの亜種で,ユーザーのパソコンに別のマルウエアのダウンロードも行う。 ソーシャル・ブックマーク・サイトからのリンクを使うと,どれくらい効果的にマルウエアを広められるのだろう。いったい何台のパソコンを感染させられるだろうか。悪質なWebサイトによって感染する数は,そのWebサイトを閲覧したユーザー数と,閲覧者の中でそのマルウエアに感染しやすいユーザーの割合によって決まる。 英Eコンサルタンシーによると,あるWebページがDiggで人気記事に
セキュリティもオープンソースで!――データセンターでもオープンソースの導入が進行中 | OSDN Magazine
オープンソース技術はすでにほとんどのデータセンターに浸透し、急速にその影響を拡大しつつある。だが、新しいLinuxサーバをラックに放り込むことには躊躇しないデータセンターの管理者たちも、自社のネットワークを魑魅魍魎(ちみもうりょう)の世界と隔てるためのファイアウォールの構築となると、途端に、オープンソース技術の利用に臆病になる。その裏には、セキュリティだけはオープンソースでは安全性、安心性が保証されないとの思い込みがいまだにあるようだが、もはやそうした考えは捨て去るべきであろう。 ジョエル・スナイダー Network World 米国版 オープンソース・セキュリティ・ツールには、商用セキュリティ・ツールなどに比べると、4つの優位点がある。それは、脅威に直面したときに機敏な対応が取れること、ソース・コードを入手して自主的に開発することが可能であること、個々の要求に応じて容易にカスタマイズでき
セキュアプログラミングしよう。
Webアプリケーションのセキュリティホール対策Wiki † ネットワーク管理者まかせではセキュリティの問題は解決しません。Webアプリケーションの脆弱性に対する攻撃のほとんどが、ファイアウォールやIDSでは防ぐことができないからです。このサイトはWebアプリケーションを開発するプログラマ、SE、そして発注者が知っておかなければならない、アプリケーション開発レベル専門のセキュリティ情報サイトです。 ↑ セキュアプログラミングとは † セキュリティホールを作りこまない、安全なアプリケーションを開発する技術です。すべてのWebアプリ開発者に必須の技術です。と言ってもそんなに難しい話じゃありません。知ってれば済むだけのことです。自分で作ったシステムの安全性は自分の責任で! ↑
画像ファイルに PHP コードを埋め込む攻撃は既知の問題
(Last Updated On: 2015年9月10日)国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。 典型的な攻撃のシナリオは次の通りです。 追記:Tokenizerを使った例に修正しました。 アバダなどの画像ファイルをアップロードできるサイトを探す ローカルファイルインクルードバグを探す 画像ファイルにサイトが利用している言語のコードを埋め込む 攻撃コードを含んだファイルを画像ファイルとしてアップロードする ローカルファイルインクルードバグを利用して攻撃コードを実行する PHPの場合、リモートインクルードバグを攻撃するための攻撃
最速インターフェース研究会 :: coCommentの拡張機能をいれるとlivedoor Readerの動作がおかしくなるらしいので調べてみた
似たようなのを続けて見たので調査してみた。 http://d.hatena.ne.jp/ekken/20070303/1172921555 http://d.hatena.ne.jp/babie/20070227/1172547987 coCommentのFirefox用の拡張が原因っぽい。手元のFirefox2だとXULのエラーが出て上手くインストールできなかったんだけど、ソースを読んで調べてみた。 原因はこのソースが読み込まれてるからだと思われる。 http://www.cocomment.com/js/core.js coCommentの拡張機能はページを読み込むたびにブックマークレットを実行するのと同じようなことをしてるみたい。その際に、サイト側で定義してある関数を上書きしてしまうことがある。$とString.prototype.stripが再定義されていて、これがlivedoor
Kazuho Oku's Weblog : 固定化するIPアドレス、そしてブログパーツとプライバシー
サイドフィード株式会社から「あわせて読みたい」というサービスがリリースされていておもしろい (Broadband Watch の紹介記事)。たとえば、本ブログの「あわせて読みたい」を見てみると、納得感と新しい発見の混ざった結果が出てくる。 同社の説明によると、「あわせて読みたい」は、様々なブログへのアクセスをブログパーツを用いてサイト横断的に集計することで、オススメのブログを抽出しているらしい。技術的にはどうやってるのかな、と思って HTTP ヘッダを見てみたんだけど、クッキーを使ってるのではないっぽい。ということは、IP アドレスベースのトラッキングなんだろう注1。 このあたりで気になるのは、サイト横断的な情報を収集することをユーザーに告知しているのか (あるいはすべきなのか) というところ。ここで言うユーザー=ブログの読者なので、言い方を変えると、この手のブログパーツを貼っているブログ
SELinuxでいろいろバックアップ/リストアしてみた― @IT
第2回 SELinuxでいろいろバックアップ/リストアしてみた 面 和毅 サイオステクノロジー株式会社 OSSテクノロジーセンター 開発支援グループ グループマネージャー 2007/6/20 今回は、前回セットアップしたPlone/Zopeのコンテンツ管理システムを基に、SELinuxを有効にした場合のバックアップに関して考察してみましょう。引き続き、前回作成したCentOS 4.4+Plone用にカスタマイズしたSELinuxを用います。 SELinuxのバックアップにこだわる理由 バックアップ/リストアはLinux運用の基礎の基礎では? と思われたかもしれません。あえてSELinuxのバックアップにこだわった理由は、SELinuxにはファイルシステム上で「拡張属性(XATTR)」情報を持つという特徴があるからです。 従って実際に運用していくうえでは、各種バックアッププログラムによって取
無印吉澤(※新エントリはhatenablogに掲載中) - プライバシー侵害の幇助者 / Winny特別調査員2
吉澤です。このサイトではIPv6やP2Pなどの通信技術から、SNSやナレッジマネジメントなどの理論まで、広い意味での「ネットワーク」に関する話題を扱っていたのですが、はてなブログに引っ越しました。 最新の記事は http://muziyoshiz.hatenablog.com/ でご覧ください。 RSSフィードは http://muziyoshiz.hatenablog.com/feed に手動で変更するか、 Feedly or Live Dwango Reader を使っている方は以下のボタンで変更ください。 ■[セキュリティ][P2P]プライバシー侵害の幇助者 / Winny特別調査員2 ニュースを見てこんなに腹が立ったのは久しぶりです。このソフトは、明らかな害悪だと思います。 以前からOne Point WallなどのWinny対策製品を販売しているネットエージェント社が、「Winn
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ZoneMinder - Home
AES encryption | Drupal.org
Quick and dirty httpbl and drupal. An attempt to weed out evil bots, a bit | dikini.net
mixiを徘徊しているロボット達。あなたのマイミクは本当に人間か?*ホームページを作る人のネタ帳
