CSRF対策は基本? | 水無月ばけらのえび日記
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
Twitterクラッキングによるアカウント乗っ取りを図にした
今日の15:00頃にtwitter.comがクラッキングされて、全く異なるトップページが表示されていたようです。 Twitter Blog: DNS Disruption Twitter がクラッキングを受けてダウンしている模様 – Yaks Twitterがクラックされている件 – 西尾泰和のはてなダイアリー 私が見た時は単に接続ができない状態だったのですが、DNSを不正に書き換えられてtwitter.comが別サーバに向くようになっていました。 すでに各サイトで技術的な解説はされているので、タイムラインで懸念されているアカウント乗っ取りについて図を書いてみました。 通常時 OAuthを使っていない多くのTwitterクライアントは、Basic認証を使ってアカウントの認証を行っています。つまりTLを取得するなり、postするなり、twitter.comへのリクエスト毎にアカウントIDとパ
「情報共有」と「コントロール」の複眼思考 - アンカテ
湯川鶴章のIT潮流 powered by ココログ: あなたが知らないGoogleの10の事実=やはりTwitterを買収しようとしていたという記事に驚くべきことが書かれていた。 (4)Page氏とBrin氏ともに秘書がいない これだけ大きな会社になったのに、それでも秘書を置かないらしい。でもそれがかえってよくて、「この程度のことでトップをわずらわしてはいけない」という思いが従業員に働いて、自分たちでコントロールするようになるんだという。それにGoogle Calenderを使えば、特に秘書はいらないらしい。まあそうかもね。 なぜGoogleのような大きな会社のトップがGoogle Calendarのようなシンプルなソフトで業務に支障が出ないのかと言うと、それは、Googleがネットの中から生まれた会社だからだろう。 おそらく、トップのスケジュール管理以外にも、Googleが同じ規模の会社
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ブログ
