isocchi.comThis domain may be for sale!
デブサミ2009 - 人生常に仕切りなおし
デブサミ、参加しました。 SKIP User Groupのブース番もしつつ、セッションにも出つつ。 初日は所用により、行けるか行けないか微妙だったのだけど、 なんとか参加。 全日程通して自分が出たセッションで印象に残ったのは3つ。 Ruby 1.9の現状と導入ポイント Yuguiさんのお話を直聞くのはRubyKaigi以来2回目でしょか? 1.9って将来見越しての実験的な意味合いの強い実装だと思っていたのだけど、 安定版として出されたものは、安心して使ってよいんだぁと思った。 まずはおすすめ通り、早速仕事用でない環境は1.9.1を入れました。 「Rubyは一人立ちすべき」の話は、そうか、なるほどと思ったり。 まさしく独自のRuby道がこれから2.0に向かって開かれてくのでしょか。 今のところ一緒になって切り開いていくほどの能力がないので、 まずは行く末をフォローをして行こうかと(^_^;)
ていうか、あの場では僕でさえ「攻撃は自重したほうがいいよ」はまちちゃんでさえ「逮... - Wassr [お気軽メッセージングハブ・ワッサー]
USER CHANNEL PHOTO TRAVEL ていうか、あの場では僕でさえ「攻撃は自重したほうがいいよ」はまちちゃんでさえ「逮捕されればいいのに」という空気を作ってたのに、「企業は訴えないよ(なので大丈夫)」みたいな空気にするってどうよ。 by 自重なんて飾りです。hsegawaにはそれが分からんのです at 2009-02-16(Mon) 10:41:12 via web レス(2) イイネ: この“ヒトコト”へのレス投稿(1ページ目) 何そのおもしろセッション!観に行きたかったナァ。出張だったなんて残念。 by sen-uまにあってます at 2009-02-16 10:46:53 via web レス(2) イイネ: なんか、攻撃側と防御側の立場が入れ替わった感じでしたね by ockeghem at 2009-02-16 10:54:26 via web レス レス投稿 レス
Developers Summit 2009に参加する - Kwappa開発室
CUI な Git ブラウザ tig を入れてみた (Born Too Late) [git][scm][tig] tig を使ってみた (do_akiの徒然想記) Twitter Trackbacks () とべとべ夏祭り2010電設部に参加した #tobesetu (key-cc) EC-CUBE LC_Page::sendRedirect()に引数を渡せない (弱小PHPerの憂鬱) [densetu][勉強会][学校]電設部IT勉強会#3やりますた(随時追記 (学内IT勉強会のススメ - atcorp) 電設部IT勉強会#3に参加したっ! (Curious) GLT #24 (懇親会)に乱入してきた! (Curious) GLT (Genesis Lightning Talks) Vol.24に参加しました (key-cc) GLT (Genesis Lightning Talks
高木浩光@自宅の日記 - 「poeny」の使用は禁止できるか
■ 「poeny」の使用は禁止できるか 1月25日の日記で、「ある国立大学の事務系部局のものと思われるドメイン名のIPアドレスが、2006年からずっとWinnyネットワーク上に観測されている。これは何なのかと以前から気になっていた。」と書いた件、その後の調査で、それはWinnyではなく「poeny」であることが判明した。*1 2009-02-09.12:14:20 ***.jimu.********-u.ac.jp/133.**.**.***: Command 0: versionNumber=12710, versionString=Winny Ver2.0b1 (poeny) 「ポエニー(poeny)」とは、2006年初めに開発された、Winnyプロトコル互換のファイル共有ソフトであり、Winnyからいくつかの機能があえて削られたものである。 poenyのWinnyとは異なる主な点は次
「健全な」社会の一員とは思えないグーグルの企業姿勢:イザ!
グーグルのストリートビューについて、追加の報告をさせてください。 グーグルからは何の連絡もないのですが、つい最近、念のためにストリートビューをのぞいてみたら、我が家の周辺の画像がすべて削除されていました。前回のブログで取り上げたように、明らかに私道から撮った画像ですので、全面削除を要請していましたが、ようやく対応してもらえたわけです。 ストリートビューの画面にある「ヘルプ」からアクセスできる「不適切な画像を報告」という連絡方法を使って、即刻削除を要請したのが確か9月半ばでした。削除された日時が不明なので正確ではありませんが、11月初め頃にはまだ公開されていましたから、削除されるまでに少なくとも1カ月半はかかったことになります。でも、きちんと要請すれば削除されることが一応実証できたわけですので、私道からの撮影された画像について公開を望まない方は、グーグルに連絡をとることをお勧めします。 それ
F-Secure Hacked Via XSS, SQL injection
"A Romanian hacker site said on Wednesday it was able to breach the website of Helsinki-based security firm F-Secure just as it had gained access to the sites of two other security companies earlier in the week. F-Secure is "vulnerable to SQL Injection plus Cross Site Scripting," an entry on the HackersBlog site said. "Fortunately, F-Secure doesn't leak sensitive data, just some statistics regardi
グーグルカレンダー「流出」1500件…利用者誤って「公開」 : 社会 : YOMIURI ONLINE(読売新聞)
検索大手グーグルが運営するインターネット上でのスケジュール管理サービス「グーグルカレンダー」で、個人情報が誤って公開されてしまうケースが相次いでいる。 読売新聞で確認できただけで、九つのカレンダーで1500件以上のスケジュールが誰でも閲覧可能な状態になっていた。同社は今月上旬、こうした事実を利用者に説明しないまま、他人のスケジュールを検索できる機能を廃止したが、アドレスさえ入力すれば閲覧できる状態は今も続いている。 グーグルカレンダーは、ネット上でスケジュール管理できる無料サービスで、登録IDなどを打ち込めば、自宅のパソコンや出先の携帯電話でも自由に利用できる。データは自分のメモ代わりに使うばかりでなく、仲間同士でスケジュールを共有することもできる。 初期設定画面には「特定のユーザーと共有」と「公開」という項目がすぐ近くにあり、これらの項目にチェックを入れなければ複数の端末での利用や、仲間
devsumi2009 : 「Webアプリケーション/Ajaxセキュリティ徹底バトル」: Turtle日記 Annex
ソフトウェア技術系を中心に掲載していきます。最近は自分の情報Indexと化しているかも。フリーコメントは「コメント&足あとBox」カテゴリー記事にて歓迎します。 Developers Summit 2009 「Webアプリケーション/Ajaxセキュリティ徹底バトル」 Webアプリケーションの攻撃側と防御側(運用側)に別れてのパネルディスカッション。なかなか楽しく、かつ有意義な内容でした。 私が個人的に気になったことを列挙しておきます。 1.JSONの”脆弱性(?)” Bugと仕様が混在している微妙な問題。 GoogleはAd-hocな対応をしたが、ちゃんとした対策をするべきだったと思う。 対策はサーバ側で行うべき(クライアント側だけでは解決しない)。 例えば POSTのみ許可する XHR(XmlHttpRequest)のリクエストヘッダに固有の情報をセットする レスポンスヘッダのchars
PHP脆弱性スキャナーボット Morfeus Fucking Scanner
Apacheのログを見ていると、Morfeus Fucking Scannerというユーザエージェントでアクセスしてきている。 このユーザエージェントは、PHPの脆弱性をスキャンするボットということだ。 59.106.14.16 - - [27/Dec/2008:06:03:38 +0900] "GET /user/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner" 59.106.14.16 - - [27/Dec/2008:06:03:38 +0900] "GET /trix/soapCaller.bs HTTP/1.1" 404 216 "-" "Morfeus Fucking Scanner" 59.106.14.16 - - [27/Dec/2008:06:03:38 +0900] "GET /trixbox/
DevSumi2009 Webセキュリティ攻守攻防パネルディスカッション「Webアプリケーション/Ajaxセキュリティ徹底バトル」 - monjudoh’s diary
XSSで何ができるか? cookie情報、formの送信内容を盗む、偽の情報を見せる 「信頼出来ないWebサイト」でのXSSはそもそも無意味 信頼してほしいならXSSくらい直せ イントラだったら関係ない? むしろイントラ内の方が盗みたい情報がいっぱいある JSONによる秘密情報の漏洩 JSON Hijacking Object.prototype.__defineSetter_で特定プロパティが設定されたら何らかの処理を行うようにする。 JSONをHTMLとして読み込むと上記のコードが入る。 対策 先頭にwhile(1);をつけて、JavaScriptとして実行出来ないようにする(Googleがやった) POSTのみ許可 XHRで特定のリクエストヘッダをつけるようにする レスポンスヘッダにcharsetを指定する charsetにUTF-7を指定すると、きちんとエスケープされているJSON
USB見つかる 首都大東京 - MSN産経ニュース
首都大学東京(八王子市)の健康福祉学部看護学科の女性准教授(41)が、学生72人分の氏名と学籍番号、29人分の成績の点数が保存されたUSBメモリを紛失した問題で、同大は13日、USBメモリが発見されたと発表した。パスワードもかかったままで情報流出の可能性はないとみられるという。同大では「申し訳ない。情報管理を徹底する」とした。
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2023年5月時点の調査。
Webセキュリティ攻守攻防パネルディスカッション「Webアプリケーション/Ajaxセキュリティ徹底バトル」 - TechTalkManiacs
セッションの詳細についてはこちらを参考にしてください パネラーにはあのまちちゃんが、ということで大盛況でした。 モデレーターの竹迫さんがお題となる10のテーマを提示して、それについてパネラーの人が答える、という形式です。 はまちちゃんインフル三日目(汗) 自己紹介 NAMAZUの脆弱性対応 高木先生からの指摘 指摘がオープンになっていて、あわてて非公開に。 XSSについて 信頼できないサイトでは対策は無意味(はせがわさん) 一番信用できるのははまちやドットコム(笑) mixiの騒動の時に情報を抜かなかったら。む 例えばIEを使わない(大垣さん) イントラネットでも危険 JSONの脆弱性について そのままでは読めない(出来たらこの辺、JSONPについても欲しかったです) セッターとプロトタイプチェーンの組み合わせで、一部のモダンブラウザでは読み出せる JavaScriptでは、JSONによっ
a threadless kite - 糸の切れた凧
ここは、管理人yamagataが方針未定のまま、何となーく思いついたことを思いついたままにだらだらと書き付ける日記帳です。ふんわりほんわかな感じでお願いします。
「シェア」で児童ポルノ公開 塾講師の男逮捕 (1/2ページ) - MSN産経ニュース
ファイル共有ソフト「シェア」などを使ってインターネット上に児童ポルノを流したとして、京都府警ハイテク犯罪対策室などは13日、児童ポルノ禁止法違反容疑で京都市伏見区の塾講師の男(44)を逮捕するとともに、岐阜県内の会社員の男(46)の逮捕状を取り、取り調べを始めた。匿名性が高く流出元の特定が困難とされる「シェア」を使った児童ポルノ公開の摘発は全国で初めて。 捜査関係者によると、2人は今年1月ごろ、「シェア」などを使い、自宅のパソコンからネット上に少女のわいせつな画像や動画を公開し、不特定多数のユーザーがダウンロード可能な状態にした疑いが持たれている。 府警は、2人の自宅など関係先を家宅捜索してパソコンなどを押収、児童ポルノの入手先を調べるなど容疑の裏付けを進める。2人の間に連絡を取り合った形跡はなく、面識はないとみられるという。 ファイル共有ソフトによる児童ポルノの流出では、埼玉県警が12日
デブサミ2009「Webセキュリティ攻守攻防パネルディスカッション "Webアプリケーション/Ajaxセキュリティ徹底バトル"」メモ - 元RX-7乗りの適当な日々
豪華な登壇者を迎えたことと、デブサミ2009のA会場の最後のセッションということもあって、ものすごく盛り上がっていました。 Webセキュリティ攻守攻防パネルディスカッション「Webアプリケーション/Ajaxセキュリティ徹底バトル」 登壇者 モデレータ 竹迫良範 氏 パネラー はせがわようすけ 氏 はまちちゃん 氏 大垣靖男 氏 徳丸浩 氏 id:Hamachiya2さん(はまちちゃん) インフルエンザにかかって3日目。 従って、このセッションを聴講する方はリスクを伴う、とのことw (脆弱性w) Namazuプロジェクトの昔話 2001/11/25。 NamazuプロジェクトのMLに、高木先生から脆弱性の報告が来た。 しかも、MLはオープンになっている公開MLだった。 2日後に緊急リリース、そして非公開のMLを作成した。 XSSについて 信頼できないWebサイトでのXSS対策は無意味 イント
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
金曜日僕が一番苦りきった顔していたのは、おそらく、A氏が「勝手に企業サイトなどで... - Wassr [お気軽メッセージングハブ・ワッサー]
フィッシング対策協議会 Council of Anti-Phishing Japan