退職のご報告 | 水無月ばけらのえび日記
公開: 2017年10月31日18時5分頃 既にご存知の方はご存知かと思いますが、本日をもって株式会社ビジネス・アーキテクツを退職することになりました。 思い起こせば、2001年の8月に「フルCSSで大規模企業サイトを作りたい」と言われて入社してから16年以上勤めたことになります。支えてくださった皆様、本当にありがとうございました。 入社した当時は本当にHTMLの知識しかなかったのですが、いろいろな方と一緒に仕事をしていく中で、さまざまなことを教わりました。印刷物のマージンや字詰めが気になるようになったのもBAに入ってからの話です。このあたり、たまキャリ#1「会社を変えず、中身を変え続けてきた人」 (www.dsp.co.jp)で少しお話ししましたので、興味のある方は見ていただければと思います。 さて今後ですが、実は決まっていません。 個人的には、Webのアクセシビリティとセキュリティの分
パスワードがmaxlengthを超えてもユーザーは気づかない | 水無月ばけらのえび日記
公開: 2013年3月11日11時25分頃 三菱UFJニコスから、「パスワードの入力桁数に関するご案内」というPDF文書が出ています。 パスワードの入力桁数に関するご案内 (www.cr.mufg.jp)「三菱UFJニコス」という名前の通り、複数の会社が合併し、サービスも統合されたわけですね。従来はログインフォームが別々で、パスワードの長さもまちまちだったものを、ひとつのログインフォームに統合……したところ、ログインできなくなる人が現れたという話のようで。 原因は以下のように説明されています。 ①リニューアル前のMUFGカード(UFJカード含む)、DCカード、NICOSカードのWEBサービスの(ID登録及び)ログインの際、パスワードは下記「パスワード規定桁数」を超えて入力することができませんでした。 ②リニューアル後のNEWS+PLUSログインページでは、弊社のどのブランドWEBサービスに
ドラゴンクエスト10 ログイン制限でパスワードリセットを強制される | 水無月ばけらのえび日記
公開: 2012年12月10日14時5分頃 ドラクエ10 (www.amazon.co.jp)をやろうとしたら、力強くログイン制限されていて、ログインできず。 実は昨日にこういう案内が出ています。 なお、不正アクセス被害の防止策として、不審なアクセスを検知した場合にログインを制限する仕組みを、2012年10月2日(火)に導入いたしました。※セキュリティ上、アクセス検知方法の詳細は説明を控えさせていただきます。 このシステムの導入により、お客様のログインが制限されてしまう場合がございます。もし突然ゲームへのログインができなくなった場合、以下の通りパスワードの再設定をお試しいただくことで再度ログインできるようになります。 以上、[重要]不正アクセス対策に関わるご協力のお願い より Wii本体が変更されたり、アクセス元のIPアドレスが変わったりすると「不審なアクセス」とみなすのでしょう。私は会社
安全なWebアプリを作りたければ新しいフレームワークがオススメ | 水無月ばけらのえび日記
例えば,Railsの入力のセキュリティ対策はセキュアであるとは言えません。Railsのバリデーションは「データベースにデータが保存される前」に行われます。データベースにデータを保存する必要がないようなアプリケーションの場合,入力のバリデーションをフレームワークとして行う仕組みになっていません。本来入力はデータベース利用の有無に関わらず入力を受け入れた直後に行うべきです。多くのフレームワークがRailsの影響を受け同様の仕様となっています。Railsが脆弱な仕様を採用したことは不幸なことだったと思います。 ……。 まず、バリデーションはセキュリティのためにする処理ではありません。たまたまセキュリティの役に立つこともありますが、役に立たないこともあります。たとえば、問い合わせフォームに本文の入力欄があり、任意のテキストが入力できて、DBにはText型 (任意の長さの任意のテキスト) として保存
Pマークを要件とする入札は不公正 | 水無月ばけらのえび日記
事業は一般競争入札で発注し、誰でも参加できる形にしていたが、入札直前に天下り先以外の参加が難しい条件をつけてライバルを排除していた。 「難しい条件」の具体的な内容は書かれていませんが、左の図を見ると「Pマーク」が利用されていたようですね。琉球新報に詳しい記事が出ていました……「天下り法人が独占 防衛省の防音工事補助金手続き代行 (ryukyushimpo.jp)」。 防衛省によると、同業務の発注は一般競争入札だが、個人情報を管理できる団体を第三者機関が認証して交付する「プライバシーマーク(Pマーク)」の認証を持つ業者か、申請中の業者しか入札に参加できない。Pマークの認証は5人規模の事業者でも30万円ほどかかるという。 以上、天下り法人が独占 防衛省の防音工事補助金手続き代行 より 入札の要件としてPマークを必須とすれば、Pマークを取得できないような企業は排除されます。それを意図的に、天下り
CSRF対策は基本? | 水無月ばけらのえび日記
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
If-Modified-Since の書式 | 水無月ばけらのえび日記
If-Modified-Since = "If-Modified-Since" ":" HTTP-date 以上、RFC2616 14.25 If-Modified-Since より HTTP-date = rfc1123-date | rfc850-date | asctime-date rfc1123-date = wkday "," SP date1 SP time SP "GMT" rfc850-date = weekday "," SP date2 SP time SP "GMT" asctime-date = wkday SP date3 SP time SP 4DIGIT date1 = 2DIGIT SP month SP 4DIGIT ; day month year (e.g., 02 Jun 1982) date2 = 2DIGIT "-" month "-" 2DI
サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
サンシャイン牧場・課金システム修正のアナウンス | 水無月ばけらのえび日記
更新: 2024年3月3日19時30分頃 サンシャイン牧場の件、ユーザー向けにこんなアナウンスが出ていますね。mixi会員でないと読めませんが。 Kコインの利用において、一部不具合がありユーザーの皆様には大変ご迷惑をおかけしました。 現在、不具合は修正され正常にご利用頂けます。 万一、Kコインの購入について不具合がある方は「提供者に問い合わせる」よりご連絡をお願いいたします。 以上、[mixi] 「サンシャイン牧場」Rekoo | Kコインでの一部不具合について より これで全文です。ひとまず、「修正しました」という旨のみの報告のようですね。これで終わりということはないと思いますが、どうでしょう。ともあれ様子見で。 ……と、様子を見ていたら、夕方になって情報が追加されたようです。 Kコインの利用において、一部不具合があり、 ユーザーの皆様には大変ご迷惑をおかけしました。 現在、不具合は修正
サンシャイン牧場の課金システムが修正されたっぽい | 水無月ばけらのえび日記
更新: 2009年10月25日1時50分頃 サンシャイン牧場の課金システムですが、昼過ぎにとりあえずフロントのインターフェイスが停止、夕方にバックのシステムが停止しており、しばらくこのままだろうな……と思っていたら、なんと復活しているではありませんか。 問題を抱えたままの復活かと思いきや、ちゃんと修正されている模様です。修正にはもっと時間がかかるかと思っていましたが、これは速い! 良い仕事だと思います。ありがとうございます。 ※もっとも、正式な修正の報告はまだ受けていませんので、これで最終形なのかどうかはまだわかりません。 ※2009-10-25追記: いちおう、mixiコミュニティ内にて運営側から修正のアナウンスが出ています: サンシャイン牧場・課金システム修正のアナウンス ※2009-10-31追記: さらに追加のアナウンスがありました: 「サンシャイン牧場・課金システムの問題について
サンシャイン牧場 アイテム課金 | 水無月ばけらのえび日記
更新: 2009年11月23日20時0分頃 サンシャイン牧場ですが、アイテム課金が始まったようですね。いろいろ騒がれてもいますが、個人的には、当初からこうなるだろうとは思っていたので、課金が始まったこと自体には驚いていません。 しかし、実は大変なことになっています。詳しくは書けませんが、現時点では、サンシャイン牧場でカード情報を登録することは避けるべきです。おそらく近いうちに動きがあると思いますので、もう少し待ちましょう。 ※追記: とりあえず、カード番号は漏れていないようです。 ※2009-10-23追記: 諸々お察しください。とりあえず購入の機能は停止したようで、「メンテナンス中です」と表示されるようになりましたが……。 ※2009-10-23さらに追記: 問題の部分も停止したようです。ひとまず危険はなくなりました。ただ、この停止が一時的な物なのかどうか、修正されるのかどうかといった情
ケータイの流儀を常識と思いこむのは危険 | 水無月ばけらのえび日記
公開: 2009年8月6日14時10分頃 「やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 (takagi-hiromitsu.jp)」。 iPhone・iPod Touch用の「ニコニコ動画」アプリのサーバ側実装が脆弱だったというお話。iPhoneやiPod Touchの端末製造番号 (UDID) は秘密情報ではない上に詐称可能なのですが、そのUDIDに依存した認証を行っていたため、他人のUDIDが分かると、その人の非公開マイリストなどが見られてしまう……ということのようで。現在は修正されているようです。 脆弱性の話としては、認証方法の不備という単純な話なのですが、むしろ周辺の反応が興味深いですね。いちばん面白いと思ったのがこのブックマークコメント。 ツッコミがたくさん入っていますが、「流儀が違う」というのは、実は全くその通りなのですね。端末固有IDによる
制御文字をどうするのか | 水無月ばけらのえび日記
公開: 2009年3月11日0時12分頃 正規表現で「制御文字以外」のチェック (d.hatena.ne.jp) 個人的には、RLO(U+202E)みたいなUnicode系の制御文字をどう扱うべきなのかで悩みますね。入れられると困る気もするし、入れられないと困るような気もするし……。結局入れられるようにしてしまう事が多いのですが、RLOを入れられると表示が乱れたりする事があるわけで。 「制御文字をどうするのか」にコメントを書く関連する話題: Web
第4回まっちゃ445「インシデントレスポンスワーク EC-CUBEの事例」 | 水無月ばけらのえび日記
公開: 2009年2月2日19時10分頃 ロックオン福田さんとJPCERT/CCの安藤さん、佐藤さんのお話。JVN#81111541 (jvn.jp)のハンドリングについて。 ※「おーい、ポスターはっといてー」という感じで、CHECK PC! のポスター (www.checkpc.go.jp)が貼り出されたり。 EC-CUBEについて株式会社ロックオン / 大阪本社・東京支社 従業員約40名EC-CUBEはオープンソースのECソフト2007/11から配布、現在では約3,000店舗が利用。毎月200店舗くらいのペースで増加。参考情報として、楽天のショップ数は24,000くらい。3,000という数字はけっこう多いと言って良い 問題の概要8/27 : EC-CUBE で SQLインジェクションの脆弱性発見、管理者権限奪取可能10/1 : JVN#81111541の一般公開・IPA注意喚起EC-C
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
