PHPカンファレンス2010テックデイでの講演資料 PDFダウンロードは http://www.hash-c.co.jp/archive/phpconf2010.htmlRead less
![文字コードに起因する脆弱性とその対策](https://cdn-ak-scissors.b.st-hatena.com/image/square/11d28b748fa75bac1d9f1ce1f84b82c44c67fceb/height=288;version=1;width=512/https%3A%2F%2Fcdn.slidesharecdn.com%2Fss_thumbnails%2Fphpconf201010-100925030938-phpapp02-thumbnail.jpg%3Fwidth%3D640%26height%3D640%26fit%3Dbounds)
昨日の Twitter の XSS 騒ぎは、まだ皆さんの記憶に新しいことと思います。いい機会なので、ツイートのような構造化テキストのエスケープ手法について触れておきたいと思います。 Twitter のメッセージは、単なる平文(プレインテキスト)ではなく、「@英数字」のような他のユーザーへの言及と「http://〜」のような URL を自動的にハイパーリンク化する構造化テキストです。 このような複数のルールをもつ構造化テキストを HTML 化する際には、どのようなコードを書けばいいのでしょう? まず「@〜」をリンク化してから、URL をリンク化すればいいのでしょうか? それだと、@〜 のをリンク化した A HREF タグの中の URL がさらにリンク化されていまいますね。 では、URL をリンク化してから @〜 をリンク化すればいいのでしょうか? それだと、@ を含む URL があった場合に
■ 三菱図書館システムMELIL旧型の欠陥、アニメ化 - 岡崎図書館事件(7) 21日の日記で示したMELIL/CS(旧型)の構造上の欠陥について、その仕組みをアニメーションで表現してみる。 まず、Webアクセスの仕組み。ブラウザとWebサーバはHTTPで通信するが、アクセスごとにHTTP接続は切断される*1。以下のアニメ1はその様子を表している。 このように、アクセスが終わると接続が切断されて、次のアクセスで再び接続するのであるが、ブラウザごとに毎回同じ「セッションオブジェクト」に繋がるよう、「セッションID」と呼ばれる受付番号を用いて制御されている。 なお、赤い線は、その接続が使用中であることを表している。 次に、「3層アーキテクチャ」と呼ばれる、データベースと連携したWebアプリケーションの実現方式について。3層アーキテクチャでは、Webアプリケーションが、Webサーバからデータベー
「安全なSQLの呼び出し方」というSQLのセキュリティに焦点を当てたドキュメントが、2010年3月にIPA(独立行政法人情報処理推進機構)から公開された。 これは2006年1月から提供されている、Webサイト開発者や運営者向けのセキュアWebサイト構築のための資料「安全なウェブサイトの作り方」の別冊として書かれたものである。「安全なウェブサイトの作り方」が92ページなのに対して、SQLインジェクションについてだけで40ページもの分量がある。なぜこんなに分厚いのだろうか。 このドキュメント作成に協力したという、独立行政法人産業技術総合研究所 情報セキュリティ研究センターの高木浩光氏にお話を伺うことができた。高木氏は個人ブログ「高木浩光@自宅の日記」で、セキュリティ関連の問題を追求する論客としても知られている。筆者も以前、この連載の「今夜わかるSQLインジェクション対策」の回(2006年11月
アップル最悪のセキュリティブリーチ。iPad所有者11万4000人分のデータ流出2010.06.10 14:005,295 satomi アップルにまた災難です。 AT&TのサーバーのセキュリティホールからCEO、軍高官、政治家を含むiPad 3Gオーナーのデータが大量に流出しました。携帯ネットワーク対応のiPadを買った人全員にスパム商法や悪質なハックを受ける脆弱性があったのだとか...怖いですね。 社員がバーでiPhone試作機を紛失してまだ日も浅いのに、iPad 3Gのアーリーアダプターという、世界にも稀な著名人リストが外部に流れた格好です。リストにはニューヨーク・タイムズ・カンパニーCEOジャネット・ロビンソンからABCニュースアンカーのダイアン・ソーヤー、映画業界の実力者ハーヴェイ・ワインスタイン、マイケル・ブルームバーグNY市長まで軍・政・財・メディア界の重鎮が勢ぞろい。果ては
「HTML5は優先順位を間違った。もういちどセキュリティの設計からやり直すべきだ」と語るJavaScript大家のDouglas Crockford氏 「HTML5の最大の問題は、優先順位を間違ったことだ。機能について議論する前に、セキュリティの扱いについて検討すべきだった」こう語るのは、JSONの発明者として知られ、Yahoo!のシニアJavaScriptアーキテクトでもあるDouglas Crockford氏。5月4日に行われたオライリーのWeb2.0 Expo 2010でのインタビューでのことです。 「もうそれを議論するには遅すぎるという人もいるが、そうは思わない。正しいことをするのに遅すぎることはないのだから」(Crockford氏) Crockford氏はHTML5は機能が重複しすぎていることも指摘しています。「Local StorageとLocal Databaseの両方が本当
ショッピングカートCGIの設置方法(Q&A)をまとめてみました。また、サイト内にも豊富な情報がありますのでそちらもご活用ください。また、ショッピングカート設置塾/メールフォーム設置塾も参考にして下さい。 ショッピングカートを新バージョンのショッピングカートに移行する場合、次の手順で行なうことをお勧めいたします。(最新のプログラムをダウンロードする場合は、ファイル名をこちらで確認してください。ZIP形式で保存されていますので、拡張子は.zipになります。⇒ソフト一覧表) 下記は、PCtoMobileの場合を例にしています。 1.新しいフォルダに最新のプログラムをUPロードする。 2.これまでのデータをダウンロードし、新しいフォルダにUPして上書きします。 データファイルは次のものですが、1つ1つ確認しながらUPロードしていきます。(データファイルに関しましてはこちらもご覧ください。⇒メンテナ
英Times Onlineの記事「China bugs and burgles Britain」によると、展示会やトレードショウで中国から渡されるノベルティグッズには、スパイのためのトロイの木馬が仕込まれていると警告する報告書を、MI5(英国情報局保安部)が作成したとのことです。明治大学法学部教授でITについての造詣も深い夏井高人氏のブログ「Cyberlaw」で紹介されていました。 あらゆる企業が攻撃対象に 先月13日には、グーグルが中国からの攻撃を受けていたことが明らかになったばかりですが、今度は英国のMI5が中国からの攻撃について警鐘を鳴らしています。 Times Onlineの記事によると、中国人民解放軍および国家安全部などは展示会やトレードショウなどを通じて英国のビジネスマンに接近、デジタルカメラやメモリカードなどをノベイルティとして気前よく渡しているが、その中には利用者のコンピュ
このウェブサイトは販売用です! atword.jp は、あなたがお探しの情報の全ての最新かつ最適なソースです。一般トピックからここから検索できる内容は、atword.jpが全てとなります。あなたがお探しの内容が見つかることを願っています!
■戻る■ 【暗号】結城さんの暗号本を紹介するスレ【認証】 1 :匿名DHさん :00/00/00 00:00 結城さんの暗号本、『暗号技術入門——秘密の国のアリス』出版記念スレ。 内容紹介しる。 著者ページ: https://www.hyuki.com/cr/ アマゾン: http://www.amazon.co.jp/exec/obidos/ASIN/4797350997/wwwhyukcomhir-22/ ( http://tinyurl.com/crbook ) 2 :匿名DHさん :00/00/00 00:00 2 3 :匿名DHさん :00/00/00 00:00 /‾‾‾‾‾‾‾‾‾‾‾‾\ ( 離れてもキミのこと忘れないよ・・・ 。o ○\____________/ .∧∧ヘヘ /‾‾‾‾‾‾‾‾‾\ ( ノ ) 。o○( うん・・RSAの鍵ペアのようにね・
ある研究者が、Windowsにユーザーの権限昇格を許してしまうバグを見つけたそうだ。これだけじゃ新しい話じゃないね。ところが、今回のバグは仮想DOSマシン(VDM)に影響を及ぼすもので、しかも全ての32ビット版Windows、つまりNT以降全てのバージョンに影響がある。17年もWindowsを続けてきた甲斐があったもんだ。 (元記事より)「このVDM用のコードを使うと、権限を持たないユーザーでも任意のコードをシステムのカーネルに挿入できる。つまり、OSの最もビンカンな所に変更を加えられる。(中略)この脆弱性は1993年以降にリリースされた全ての32ビット版のマイクロソフト製OSに存在していて、実証コードはXP、Server 2003、Vista、Server 2008、7で動作する。」
Microsoft Learn. Spark possibility. Build skills that open doors. See all you can do with documentation, hands-on training, and certifications to help you get the most from Microsoft products. Learn by doing Gain the skills you can apply to everyday situations through hands-on training personalized to your needs, at your own pace or with our global network of learning partners. Take training Find
はまちちゃん がいつものごとく、AmebaなうにCSRF脆弱性を発見して いたずらを仕掛けた 。そして、何故か今回だけ「それは迷惑行為だ」とかなんか騒がしい。 私はそもそも、はまちちゃんのいたずらを「隙があったからカンチョー」に喩えるのが程度がおかしいんじゃないかと思う。それで非技術者には話が通じていないのでは? CSRFやSQL Injectionを許していたら、何よりも守るべきユーザーの情報が危険だ。そしてAmebaがそういう脆弱性を持っていると言うことは、生越さんが指摘するように首相官邸からの公式情報を操作できるという意味だ。これは「隙があった」んじゃないだろう。「開腹したまま内臓が露出している」んだ。 ところが、どうも現実の医師とは違ってこの世界の、特にAmebaみたいな大きな会社の開発者はその辺の意識が甘い。「手術したけど、まー、内臓が見えててもすぐに死ぬ訳じゃないし、適当に皮被
错误摘要 HTTP 错误 404.0 - Not Found 您要找的资源已被删除、已更名或暂时不可用。
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
インターネットの交流サイト「ミクシィ」上で人気のゲーム「サンシャイン牧場」のシステムに不具合があり、クレジットカードで決済した利用者、最大約4200人の電話番号とメールアドレスが3日間閲覧できる状態だったことがわかった。ミクシィは、新たな課金システムや審査方法を検討する。 ミクシィによると、8月から同社以外の法人が開発したサービスをミクシィ上で提供し始めた。その一つが「サンシャイン牧場」で、中国・北京のゲーム会社「Rekoo」が開発、運営する。 約230万人が利用し、画面上に自分の農園や牧場を作って野菜や動物を育てる。当初は無料だったが、10月21日から、金を払うとゲーム内で使えるコインが手に入り、野菜が早く育つ肥料などの特別アイテムを入手できる仕組みを採り入れた。 しかし、導入直後から「金を払ったのにコインがない」などの苦情が寄せられ、約80人が支払った約38万円分のコインが反映さ
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く