固有IDのシンプル・シナリオ
結城浩 RFIDなどの、固有IDの問題を考えるためのシンプル・シナリオを提示します。 シンプルなシナリオと具体例を通して、固有IDの注意点がどこにあるかを明確にしましょう。 目次 はじめに このページについて このページの構成 わたしについて 「固有IDのシンプル・シナリオ」 時刻(A): 場所(A)にて 時刻(B): 場所(B)にて ボブが知りえたこと シンプル・シナリオ適用例 適用例1: メンバーズカード 適用例2: IDの自動読み取り 適用例3: 読取機を持ち歩く人 適用例4: ダイヤの密輸 適用例5: 徘徊老人の命を救う 適用例6: 遊園地の迷子探し 適用例7: 携帯電話 固有IDに関連するQ&A 固有IDのシンプル・シナリオで、何を言いたいのか? メンバーズカードの例は問題なのか IDには個人情報が盛り込めないのではないか? 暗号化すれば大丈夫? 強固なセキュリティでデータベース
高木浩光@自宅の日記 - Bluetoothで山手線の乗降パターンを追跡してみた , ユビキタス社会の歩き方(6) Bluetoothの「デバイスの公開」「検出可能にする」..
■ Bluetoothで山手線の乗降パターンを追跡してみた この日記を書き始めてからもう6年になろうとしている。書き始めたきっかけは、RFIDタグのプライバシー問題が理解されないことに焦りを感じたからだった。当時の空気では、RFIDタグは5年後くらいに普及し、しだいにRFIDの埋め込まれた日用品で溢れかえるようになり、10年後くらいにプライバシー問題が顕在化すると目されていた。しかし、6年経った現在、私の靴にRFIDタグは埋め込まれていない。 当時の議論で描かれていたRFIDタグの問題は、無線LANやBluetoothにも共通することであり(MACアドレスがユニークIDとなる)、それらの方が先に普及するかもしれないという予感はあったが、現時点でも、無線LAN機器を持ち歩いている人はごく一部の人に限られている。しかし、Bluetoothはどうだろうか。これまでにも何度か、最近のBluetoo
技術メモ-クリックジャッキング対策- X-FRAME-OPTIONSについて
JPCERT-ED-2009-0001 JPCERT/CC 技術メモ - クリックジャッキング対策 ~ X-FRAME-OPTIONS について ~ 第二版:2009-03-04 (Ver. 2.0) 初 版:2009-03-03 (Ver. 1.0) 執筆者:常見 敦史、小宮山 功一朗 本文書の掲載 URL:http://www.jpcert.or.jp/ed/2009/ed090001.pdf 本文書は、Web サイト制作者及び運営者を対象に、クリックジャッキング攻撃の概要とその対策の一 つとして X-FRAME-OPTIONS の概要、記述方法、設定値による挙動の違いについて解説します。 Copyright © 2009 JPCERT/CC All Rights Reserved. -2- 改訂履歴 変更内容 日付 初版 2009 年 3 月 3 日 二版 章番号を追加しました。
サイトのバグを報告して報酬を得る「バグ・ハンター」
TechEngineは3月2日、ユーザーがウェブコンテンツのバグ情報を報告し、承認されると報酬がもらえるバグ情報収集サイト「バグ・ハンター」β版を公開した。 バグ・ハンターは、ユーザーがインターネットを使用中に発見したバグ情報を報告できるサイト。発見したバグをTechEngineで確認し、承認されるとバグ1件につき100円の報酬がもらえる。1000円分になると現金で支払われる。ただし、報告できるサイトは上場企業の公式サイトに限られる。 TechEngineはバグ・ハンターに報告されたバグをレポートとしてコンテンツ運営会社へ提供する。今後は、システム開発会社、コンテンツ運営会社とバグ・ハンターユーザーをつなげるプラットフォームを提供し、システム、コンテンツの品質を向上するサービスも提供していく考えだ。
第5回 携帯サイトでセッションを取り扱う | gihyo.jp
携帯サイトでのセッション管理 今回は携帯で会員サイトを作る時のベースとなるログイン状態の管理方法を見ていきたいと思います。セッションとはユーザーがサーバーに接続し、サイトを巡回している間アクセスしてきているのが同一利用者であることを認識するための仕組みです。この仕組みを利用することで、一度会員ログインが完了した利用者がサイトにアクセス中、継続的に自分だけの情報を見るといったことが実現可能になります。 図1 セッションの仕組み セッションを維持するためには、セッションIDを利用します。通常セッション管理はアクセスしてきた端末に対してセッションIDを割り振り、ブラウザに対して割り振られたセッションIDを渡します。サイト側はそのセッションIDに紐付いた情報を保持しておき、アクセスしてきたブラウザのセッションIDを元に情報を引き出すといった仕組みになっています。 ブラウザがセッション管理を行う方法
第7回■文字エンコーディングが生み出すぜい弱性を知る
文字コードに関する問題は大別すると文字集合の問題と文字エンコーディングの問題に分類できる。前回は文字集合の取り扱いに起因するぜい弱性について説明したので、今回は文字エンコーディングに起因するぜい弱性について説明しよう。 文字エンコーディングに依存する問題をさらに分類すると2種類ある。(1)文字エンコーディングとして不正なデータを用いると攻撃が成立してしまう点と,(2)文字エンコーディングの処理が不十分なためにぜい弱性が生じることがある点だ。 不正な文字エンコーディング(1)――冗長なUTF-8符号化問題 まず,(1)の不正な文字エンコーディングの代表として,冗長なUTF-8符号化問題から説明しよう。前々回に解説したUTF-8のビット・パターン(表1に再掲)を見ると,コード・ポイントの範囲ごとにビット・パターンが割り当てられているが,ビット・パターン上は,より多くのバイト数を使っても同じコー
Yuriko.Net » HTML エスケープなしの出力は怖い
Ktai Style 1.61-rc1に同梱した Photolog テーマは、WordPress のメディアライブラリに登録された画像を探して、投稿一覧に貼り付けるという動作をしています。こういう動作は最近人気があるようで(?)、ひろまささんが wp-kougabu に機能追加したりしています。さきほど見つけたのは「WordPressの最新の記事から画像を一覧表示する」というコードでした。 <?php query_posts('showposts=10'); if ( have_posts() ) : while ( have_posts() ) : the_post(); $files = get_children("post_parent=$id&post_type=attachment&post_mime_type=image"); if (!emptyempty($files)){
【セキュリティ ニュース】モバイルサイトで不具合、一部顧客情報が流出 - バンダイ(1ページ目 / 全1ページ):Security NEXT
バンダイは、同社が携帯電話向けに提供している通信販売サイトにおいて、一部顧客情報が流出したことを明らかにした。同社ではサイトの提供を中断し、詳細を調べている。 不具合が発生したのは、同社が運営するトレーディングカードの通販サイト「カードダスショップモバイル」。2月25日に、会員登録情報14件が、別の関係ない顧客から閲覧できる状態になったという。流出した個人情報には、氏名、住所、電話番号、ID、メールアドレス、生年月日、性別のほか、パスワードを忘れた場合の質問や答え、購入履歴なども含まれる。 同社では翌26日より携帯電話向けサイト「カードダスショップモバイル」、パソコン向け通販サイト「カードダスショップ」を停止し、調査を進めているが、システムの不具合が原因である可能性が高いと説明している。また関連する顧客へ個別に連絡し、事情の説明や謝罪を行っている。 (Security NEXT - 200
ユメのチカラ: 独立行政法人情報処理推進機構へ出向になりました。
ユメのチカラ インターネットの時代になって、地球規模の知恵の集積が 可能になった。ソフトウェア開発においてもオープンソースソフトウェアのバザール的開発が注目されている。いまおきているその現実を現場の視点から記していきたい。 吉岡 弘隆 - よしおか ひろたか 日本OSS推進フォーラム ステアリングコミッティ委員 OSDL Board of Directorsを歴任 カーネル読書会主宰 2000年6月、ミラクル・リナックスの創業に参加。 95年~98年、米国OracleにてOracle RDBMSの開発をおこなっていた。 98年にNetscapeのソースコード公開(Mozilla)に衝撃をうけ、オープンソースの世界に飛びこみ、ついには会社も立ち上げてしまう。 2008年6月取締役CTOを退任し一プログラマとなった。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
バグ投稿1件で報酬100円、情報収集サイト「バグ・ハンター」公開
バグ・ハンター バグ種別
United States
