はてなブックマーク開発ブログ
はてなブックマークのブックマーク数が多い順に記事を紹介する「はてなブックマーク数ランキング」。8月5日(月)~8月11日(日)〔2024年8月第2週〕のトップ30です*1。 順位 タイトル 1位 何十年も売れ続けている定番の日経文庫11冊を編集長が解説 | 日経BOOKプラス 2位 退職代行モームリ累計利用者15,934名分のデータ・利用された企業情報を公開 | 株式会社アルバトロスのプレスリリース 3位 現代的システム開発概論 2024 - Speaker Deck 4位 『ダンジョン飯』原作者:九井諒子インタビュー。完結後だから語れることをたくさん聞きました 5位 世界中の大学のコンピュータサイエンスやプログラミング講座が日本語で学べる「MOOC」(大規模公開オンライン講座)サイトまとめ。2024年版 - Publickey 6位 演奏会のリハで「楽器の調子がおかしい」と話していたら、
JetpackとGreasemonkeyが似ていると言われる件 - hogehoge @teramako
たしかに両者は似ているところもあるのだが... 正直、僕はそんなに似ていると言いたくない。何か誤解を与えそうで怖いからだ。 いろいろと書く前に言葉の定義 Jetpack 拡張本体 Greasemonkey 拡張本体 JetpackScript Jetpackのエンジンで動作するスクリプト UserScript(ユーザスクリプト) Greasemonkeyのエンジンで動作するスクリプト 似ているところ Jetpack, Greasemonkey どちらも拡張機能であること どちらもスクリプトのエンジンであること JetpackScript, UserScript インストール/アンインストールにFirefox自体の再起動が必要ない JavaScriptで記述 制限を緩和するためのAPIがある 値を保持するためのAPI クロスサイトなXMLHttpRequest 似てないところ Jetpack
「私はWinny使ったことありません!」就職活動にも使える、検査証を発行するツールが登場 | RBB TODAY
ネットエージェントは2日、WinnyなどのP2Pファイル共有ソフトを使用していないことを「検査証」と言う形で証明するアカデミック向け新製品「P2Pファイル共有ソフト検査証発行 支援ツール」を発売した。 企業活動において情報漏えいは大きな問題となっており、人事採用においても、Winnyなど依存性の強い「P2Pファイル共有ソフト」(Winny・Share・Perfect Dark・LimeWire・Cabos・BitComet)を使っている人間は、情報漏えいリスクだと考える企業も増えている。 「P2Pファイル共有ソフト検査証発行 支援ツール」は、P2Pファイル共有ソフトを使用していないことを「検査証」と言う形で証明するもの。各学校は導入することで、P2Pファイル共有ソフトウェアの使用履歴チェック、P2Pファイル共有ソフト上の暴露系ウイルスへの感染履歴チェック、検査証の発行(プリント)機能が行え
NTTコムのVPN経由でウイルス感染:ITpro
2009年4月9日,NTTコミュニケーションズ(NTTコム)の「Arcstar IP-VPN」を監視するシステムがウイルスに感染していたことが明らかになった。感染範囲はNTTコムの内部にとどまらず,Arcstar IP-VPNを利用する企業のパソコンまで被害が拡大した。NTTコムのシステム運用の甘さが露呈した格好だ。 Arcstar IP-VPNには,ユーザー企業のルーターを監視する「ルーター監視オプション・サービス」がある。ウイルスに最初に感染したのは,同サービス向けの監視端末である(図1)。 NTTコムが監視端末の感染を知ったのは,2009年4月9日の午前中。Arcstar IP-VPNのユーザー企業から「NTTコム側から不正なパケットが断続的に届いている」との報告があった。この申告に基づきシステムを調査したところ,監視端末のウイルス感染が見付かった。同日13時ごろに全監視端末をネット
RequestPolicy :: Firefox Add-ons
RequestPolicy's new version is under development as RequestPolicy Continued. Ultimately, I'd like RequestPolicy Continued to replace RequestPolicy. RequestPolicy development has been slow because I am working on ServerPilot, a cPanel alternative for DigitalOcean servers. Thankfully, some great community members are taking over development of RequestPolicy. ---- RequestPolicy is an extension that i
SSHサーバー構築(OpenSSH) - CentOSで自宅サーバー構築
SSHサーバーは、Telnet同様にクライアントからサーバーへリモート接続して、遠隔地からサーバーを操作することができるようにするためのサーバー。 ただし、Telnetが暗号化しないでそのままデータを送受信するのに対して、SSHでは通信内容を暗号化するため、通信内容を盗み見られても問題ない。 ここでは、内部からだけではなく外部からも安全にサーバーにリモート接続できるようにするため、鍵方式によるログインのみを許可することにより、クラッカーによるパスワードアタックで不正にSSHサーバーへログインされてしまわないようにする。 また、SSHサーバーへの接続方式にはSSH1とSSH2があるが(SSH1とSSH2の違いについて)、より安全なSSH2による接続のみ許可することとする。 さらに、SSHログインしたユーザーが自身のホームディレクトリ以外を参照できないようにする。 なお、SSHサーバーを外部に
Jetpackのセキュリティ性 - hogehoge @teramako
Mozilla Jetpackについて調べたいことの続き。 Secure Provides access to only the privileges needed, with security issues always be presented in social-terms, and not technical-terms Short and easy to review code ensures that potential security issues are shallow, and review times short Mozilla Labs Jetpack | Exploring new ways to extend and personalize the Web とのことだが、しかし、穴があるのではないかと思った。 XPCOMの使用が可能 Componentsへのアク
履歴消去じゃ消えないエロサイトの隠れた痕跡に要注意 - てっく煮ブログ
色んなホームページを見ていると閲覧履歴が自動で保存されます。恥ずかしいページを見たあとには、他の人にばれてしまわないように、こっそり履歴を消している人もいることでしょう。通常、ブラウザには「履歴を削除する機能」が備わっていて、ブラウザの履歴を削除すればあなたの悪行の数々は消え去ってくれるように思えます。しかし、ブラウザからは消せない履歴が残っているのです…ブラウザからは消せない履歴それが Flash の Local Shared Object です。Local Shared Object は Flash 版の Cookie みたいなもので、Flash で一時的なデータを保存するときにはよく用いられるものです。Local Shared Object は次の場所に保存されています。OS場所Windows XPC:\Documents and Settings\ユーザ名\Application
中国によるソースコード強制開示報道に踊らされるのはまだ早い - A Successful Failure
読売新聞が中国、ITソースコード強制開示強行へ…国際問題化の懸念と報じたことから、「IT製品のソースコードの開示が強要される」「日本企業は中国から撤退すべきだ」といった極端な拒否反応があちこちで見られる(はてなブックマーク、痛いニュース)。 しかし、実際読売新聞の記事は少々拡大解釈をしている。スラッシュドットのエントリを参考に、もう少し詳しく見てみよう。元ソースは中国部分情報処理のセキュリティ製品に関する強制認証実施の公告であり、昨年12月に読売新聞により正確な解説記事が掲載されている。これを読むと、多くの人が誤解している点が浮かび上がってくる。 【注】本エントリのスコープは中国の強制認証制度に関する正確な情報を伝え、多くの人が誤解している点を正す点にある。中国が信用できるかできないか、ソースコードの流用がなされないか、という懸念に関する議論はスコープ外である*1。 まず第一に、審査対象と
国家機密漏洩も?中国がIT製品の根幹となる「ソースコード」をメーカーに強制開示へ
中国政府が近いうちにデジタル家電やIT製品の根幹となるソフトウェアの設計図「ソースコード」を各メーカーに強制開示させる方針であることが明らかになりました。 実現すればデジタル家電だけでなくICカードやATMといった生活に欠かせない製品の暗号解読のきっかけとなるほか、国家機密の漏洩につながるおそれがあるようです。 詳細は以下の通り。 中国、ITソースコード強制開示強行へ…国際問題化の懸念 : 経済ニュース : マネー・経済 : YOMIURI ONLINE(読売新聞) 読売新聞社の報道によると、中国政府が自国内で生産・販売される外国製のIT(情報技術)製品について、製品を制御するソフトウエアの設計図である「ソースコード」の開示をメーカーに強制する制度を5月に発足させるそうです。 この制度の導入はソフトの欠陥を狙ったコンピューターウイルスの侵入防止などが目的であるとされていますが、ソースコード
トレンドマイクロがPSP用のセキュリティーサービスをスタート - ファミ通.com
『ウィルスバスター』などで知られるトレンドマイクロが、PSP(プレイステーション・ポータブル)向けにふたつのWebセキュリティーサービスをスタートした。有害サイトへのアクセスを規制する“トレンドマイクロ キッズセーフティ for PSP”と、アカウント情報の詐取などのネット犯罪対策を行う“トレンドマイクロ ウェブセキュリティ for PSP”。 “トレンドマイクロ キッズセーフティ for PSP”のブロック対象カテゴリーは、アダルト/成人向け、カルト/オカルト、ギャンブル、違法行為、違法薬物、酒/タバコ、性教育、武器/軍事、暴力/差別など。“トレンドマイクロ ウェブセキュリティ for PSP”は、Webサイトの登録や変更履歴などから詐欺などの危険性をチェックし、悪質なWebサイトをブロックするという。 どちらもサービス提供は2009年4月21日から。7月まで無償で試験提供される。PSP
第3回 US-ASCIIによるクロスサイトスクリプティング | gihyo.jp
今回は、US-ASCIIによるクロスサイトスクリプティング(XSS)という話題について紹介します。 前回までで説明したUTF-7によるXSSと同様に、攻撃者はUS-ASCIIという文字コードを巧みに利用することで、IEを対象にXSSを発生させることができます。US-ASCIIによるXSSは、UTF-7によるXSSと類似点も多いため、前回までの説明も併せて読んでおくとよいでしょう。 US-ASCIIによるXSSについても先に対策を書いてしまうと、UTF-7のときと同様にHTTPレスポンスヘッダにて Content-Type: text/html; charset=UTF-8 Content-Type: text/html; charset=Shift_JIS Content-Type: text/html; charset=EUC-JP のいずれかを出力するという原則を守ることで、完全に攻撃
Microsoft サポート対象サービス パック
All Microsoft Global Microsoft 365 Teams Copilot Windows Surface Xbox Deals Small Business Support Software Windows Apps AI Outlook OneDrive Microsoft Teams OneNote Microsoft Edge Skype PCs & Devices Computers Shop Xbox Accessories VR & mixed reality Certified Refurbished Trade-in for cash Entertainment Xbox Game Pass Ultimate PC Game Pass Xbox games PC and Windows games Movies & TV Business Micro
本名バレてもへっちゃら? - ぼくはまちちゃん!(Hatena)
そうだね。 たいていの家には表札がかかっているし、 (今では減っただろうけど)電話帳なんかにも色々と載っていたりするよね。 外にでたら、普通に名前を名乗るし、とにかく本名で生活してる。 そういう感覚ならそう。 誰かに本名を知られても平気。 それは平気なことだった。 だけどネットが絡むとそうも言っていられないと、ぼくは思うよ。 なぜかって? ネットじゃなければ、沖縄にいる知らない人が、きみのちょっとした「つぶやき」を聞く機会はほとんどないよね。 北海道の知らない人に、興味を持たれる機会もほとんどない。 きみのポエムが2年後に、知らないひとの目にふれる機会なんてのも、たぶんない。 偶然、きみの一言が、誰かの目に留まり、 少し興味を持って調べてみると、 どんどん出てくる若かりし頃のポエム。写真…! 尽きない興味、高まる興奮…! そうして本人にはまったく心当たりのないまま 知らない人に、変質的に惚
「そのドメインを信じられますか?」 DNSキャッシュポイズニングの脅威
インターネットが登場してから、早くも40年近くが経過した。企業間での取引・連絡・情報交換をはじめとするビジネス活動において、今やインターネットは欠かせない社会基盤になっている。このインターネットを陰で支える仕組みが存在する。それがDNS(Domain Name System)である。 ところが2008年より、このDNSにおけるセキュリティ対策が急務となっている。その理由が、同年7月に公開された「DNSキャッシュポイズニング」(※1)の影響力である。本特集では、キャッシュポイズニングの詳細、現状分析、そして有効なセキュリティ対策について紹介したい。 ※1:キャッシュポイズニングは、英語でCache Poisoningと表記する。「毒入れ・毒注入」と説明されることもある。 DNSの仕組みをおさらい キャッシュポイズニングの手口を理解する上で、まずはDNSの仕組みを簡単に解説しておこう。DNSの
トレンドマイクロのセキュリティサービス入りブラウザ「Smart Surfing for iPhone and iPod touch」
トレンドマイクロのセキュリティサービス入りブラウザ「Smart Surfing for iPhone and iPod touch」:App Town ユーティリティ トレンドマイクロは4月8日、iPhone/iPod touch向けに、同社のWebセキュリティサービスが組み込まれた無料ブラウザ「Smart Surfing for iPhone and iPod touch」を公開した。App Storeからダウンロードできる。 Smart Surfing for iPhone and iPod touchは、トレンドマイクロが持つWebサイトの評価情報を参照し、不正なWebサイトへの接続を遮断する「Webレピュテーション技術」を採用したブラウザ。Webページの安全性は、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」
スクウェア・エニックス アカウントならびにスクウェア・エニックス セキュリティトークンについて
スクウェア・エニックス アカウントならびにスクウェア・エニックス セキュリティトークンについて 株式会社スクウェア・エニックスは、2009年4月7日(火)より、当社が展開する各種オンラインコンテンツやサービスを一つのIDでお楽しみいただける「スクウェア・エニックス アカウント」を、日米欧において順次導入いたします。同時に、「スクウェア・エニックス セキュリティトークン」(以下セキュリティトークン)の販売を開始し、お客様へワンタイムパスワード認証を利用した、より安全性の高いご利用環境の提供を開始いたします。 スクウェア・エニックスは、2002年にオンラインゲーム「ファイナルファンタジーXI」(サービス地域:日本・北米・欧州)の提供と同時にオンラインゲーム事業を開始して以来、ネットワークを活用した新たなエンタテインメントの創造に積極的に取り組んでいます。今回の「スクウェア・エニックス アカウン
JSONデータをクロスドメインアタックから守るためにwhile(1)を使うことをやめましょう - hoshikuzu | star_dust の書斎
これはなに 既にご存知の方がいらっしゃるかどうかも知りませんが今さっき関連文献に行き当たって驚愕したので念のためにメモを書いておきます。私はメーリングリストなどに加入していませんので論議が済んでいるかどうかも知らないのです。もしもウェブ上に解説記事があるようでしたら逆に私に是非とも教えてください。 JSONデータの先頭に JSONデータの先頭にwhile(1)を置いておくことで無限ループを発生させておいて、受動的攻撃のページの悪意あるscriptの実行を失敗させるというアイデアには欠点があるということを、先程とある文献から知りました。これはwhile(true)についても同様です。JavaScriptは柔軟で強力な言語ですから、ブラウザがJavaScriptエンジンをまじめに実装しているのであれば、アタックのチャンスを与えていることになります。しかしこれはブラウザの脆弱性とは捉えられません
IPA ISEC セキュア・プログラミング講座:C/C++言語編 第10章 著名な脆弱性対策:バッファオーバーフロー: #4 あふれを検出するデバッグ
第10章 著名な脆弱性対策 バッファオーバーフロー: #4 あふれを検出するデバッグ 領域あふれの問題の検出については、ロジックが複雑に入り組んでいる場合、ソースコードから見いだすのは容易でない。そのような場合、デバッガ等のツールの下で対象のプログラムを動かして、問題を見つけ出すことになる。 スタックおよびヒープにおけるあふれを検出するためのコンパイラのオプションやデバッグ・ツールがいくつか存在する。 次にその主なものを紹介する。 あふれの検出等に使うことのできるデバッグ・ツール ヒープにおける領域あふれやダブルフリー等の問題を検出できるツールをふたつ紹介する。ひとつは独立したツール、もうひとつは統合開発環境の中の機能である。 (1) Valgrind [GNU/Linux] ヒープデバッガを中心とした GNU/Linux 専用のツールスイートである。割当領域外への書き込みや、メモリリーク
Webアプリケーション開発に伴うセキュリティ要件をまとめた「発注者のためのWebシステム/Webアプリケーションセキュリティ要件書」をクリエイティブコモンズライセンスにより無償で公開 ~ 株式会社トライコーダ
Webアプリケーション開発に伴うセキュリティ要件をまとめた「発注者のためのWebシステム/Webアプリケーションセキュリティ要件書」をクリエイティブコモンズライセンスにより無償で公開 セキュリティ教育を専門とする株式会社トライコーダ(東京都新宿区、代表取締役:上野宣、以下トライコーダ)は、株式会社アイアクト(東京事務所:東京都渋谷区、本社:大阪市中央区、代表取締役社長:鈴木統夫、以下アイアクト)と協力して、Webアプリケーションの脆弱性に特化した情報サイト「脆弱性診断.jp」にて、Webサイトの脆弱性を防ぐセキュリティ要件をまとめた仕様書「発注者のためのWebシステム/アプリケーションセキュリティ要件書」を、クリエイティブコモンズライセンスにより無償で公開いたしました。 Webアプリケーションの開発においては、認証方法、セッション管理、HTTPS、Cookieなどセキュリティに関して考慮す
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
