HTTP応答パケットを悪用するARPスプーフィング・ウイルス
「ARP spoofing HTTP infection malware」より December 21,2007 posted by Kai Zhang, Security Researcher 2007年は,ARPスプーフィングという手口を使うウイルス(ARPキャッシュ・ポイズニング・ウイルス)が数多く登場した。この種のマルウエアからは大量の亜種が派生し,中国で広く流行している。先ごろ筆者らは,新たな特徴を持つARPスプーフィング・ウイルスを見つけた。 この新種のARPスプーフィング・ウイルスは,HTTP応答のセッションに攻撃用URLを挿入する。そして,怪しげなコンテンツでInternet Explorer(IE)を悪用する。同時に,コード挿入でポイズニングしたホスト・コンピュータをHTTPプロキシ・サーバーとして使う。このホストと同じサブネットにあるマシンからのインターネット・アクセス
イントラネットユーザビリティ、大いなる進歩を見せる
われわれが実施した大規模なイントラネット調査で、ユーザビリティ指標が前回に比べて44%向上するという結果が出た。今回の調査から導き出されたイントラネット向けのデザインガイドラインの項目数は、前回の5倍に上った。 Intranet Usability Shows Huge Advances by Jakob Nielsen on October 9, 2007 イントラネットを対象としたテストを数年ぶりに実施したところ、前回のテスト以来、イントラネットユーザビリティが劇的に向上してきたことが実感できた。 われわれが用いるもっとも単純なユーザビリティ指標は、成功率である。これは、そのユーザーインターフェースを通じてユーザがタスクを完了できるかどうかを示す割合だ。前回の調査では、成功率の平均は74%だったが、今回の調査では80%になった。74%から80%への上昇は大した変化ではないように見えるか
58. すごいリロード対策
まず、日本のサイトにある一般的な登録フォームの画面遷移は 入力画面→入力確認画面→完了画面 となっている場合が多いようです。ここでリロード問題となるのは完了画面でのDBへのINSERT処理やCSV書き出し処理、メール送信処理など「一度しか行わない処理」です。例えば完了画面へ遷移した際にブラウザのリロードボタンが押された場合、確認画面よりsubmitした情報が再度submitされて上記の一度しか行わない処理が二度行われてしまいます。そうならないよう、リロード対策はスクリプトで制御します。 まずは確認画面のスクリプト 確認画面でチケットを発行し、セッションに保存しておきます。同時に完了画面へチケットがPOSTされるよう、hiddenにセット。こうして完了画面へ遷移させます。それでは完了画面のスクリプトを見てみましょう。 このように、確認画面で発行されたチケットは一度使い切ってしまえば2度処理さ
tokuhirom blog
Blog Search when-present<#else>when-missing. (These only cover the last step of the expression; to cover the whole expression, use parenthesis: (myOptionalVar.foo)!myDefault, (myOptionalVar.foo)?? ---- ---- FTL stack trace ("~" means nesting-related): - Failed at: ${entry.path} [in template "__entry.ftlh" at line 3, column 25] - Reached through: #include "__entry.ftlh" [in template "entry.ftlh" at
alt属性はいかに決定されるべきか | Takazudo Clipping*
画像を閲覧できないユーザーでも内容を把握できるようにalt属性をつけましょうとは言うが、実際にはどのようにつけたらよいのかが実はかなりわからない。さらに納品前になんじゃこのalt!と突っ込まれる・・・。色々話し合ったりググったりした末にでた自分結論はこんなの。 前提 画像OFFのユーザー・音声ブラウザのユーザーが、画像の代わりにそのaltテキストが表示されても、ページ内容が分かる。但し、100%の情報を伝える必要があるわけでもない。そこに何の画像があるのかが伝わり、ページ内容を把握できる。 画像の中に文字がある場合
Googleの検索ボットに偽装すると有料サイトが無料で閲覧できるらしい - GIGAZINE
Googleの検索データベースを作成するためにネット中のあらゆるページを収集して巡回している「GoogleBot」というものがあります。このGoogleBotが来ると検索結果に反映されるというわけ。 で、ネット上にいろいろと存在している有料サイトは客を確実に呼び込むため、検索結果に自分のサイトの中身をちょっとだけ表示させるために、なんとGoogleBotは無料で有料サイト内を巡回できるようにしているらしい。 ということは、GoogleBotにブラウザを偽装すればいけるのではないか?というのがこのアイディアなのですが、真相のほどはいかに?詳細は以下の通り。 ※以下からは自己責任でお願いします Disguise Yourself As Google Bot - Quicksilverscreen Forum! 実際に試したわけではないので真偽は不明ですが、要するにブラウザの吐き出す変数の一つで
文字参照 | 鳩丸ぐろっさり (用語集)
用語「文字参照」について文字参照 (もじさんしょう)話題 : HTML SGML/XML において、任意の文字を参照するための仕組み。文書文字集合のコードポイントを数値で指定し、特定の文字を参照することができます。たとえば、文書文字集合が ISO10646 のとき、
Takayuki Nakamura's blog: 名前ベースのVirtualHostでそれぞれのSSLサーバ証明書を使う
2007年7月4日 名前ベースのVirtualHostでそれぞれのSSLサーバ証明書を使う #なんだかんだしてたら、半月経ってしまった #来週になったら、ちゃんと再開 『Name-based SSL virtual hosts』 より 名前ベースのVirtualHostでSSLを使う場合、以下の方法をとれば、それぞれのVirtualHostごとの証明書を使うことができます。 ワイルドカード証明書を使うCN=*.example.com という設定の証明書を使えば、www1.example.com と www2.example.com で共通のサーバ証明書を使うことができます。 subjectAltNameを使う 証明書の subjectAltName に別名としてVirtualHostのDNS名を書いておきます。サーバにセットする証明書は1つですが、証明書内の別名をチェックすることで、「証明
MOONGIFT: » コラボレーション2.0「Mindquarry」:オープンソースを毎日紹介
コラボレーション2.0「Mindquarry」 2007/06/15 Windows, Mac OSX, Web, オープンソース Linux, GUI, Java, Wiki, Firefox, IE, Perl, Ajax, コラボレーション, プロジェクト管理, ビジネス, Mozilla Public License 物凄くよさそうなソフトウェアを見つけてしまった。これはぜひとも試すことをお勧めしたい。 プロジェクト管理する上での基本といえば、情報の統合管理、タスク管理、そして生成物のバージョン管理などが基本になると思う。その点において間違いなく役立つソフトウェアだ。 今回紹介するオープンソース・ソフトウェアはMindquarry、リッチなインタフェースを持ったコラボレーションソフトウェアだ。 Mindquarryに実装されている機能は主に4つに分けられる。チーム管理をベースとして
コンソールベースのHTTPテスティングツール·WBox MOONGIFT
Webベースでアプリケーションを開発することが多くなってきた。そこで必要になるのがテスティングツールの存在だ。レスポンスヘッダなどを手軽にチェックできるソフトウェアとして、こちらを紹介しよう。 今回紹介するオープンソース・ソフトウェアはWBox、HTTPテスティングツールだ。 WBoxではコマンドラインとともに、サーバを指定するだけでレスポンスの値や速度を簡単にチェックできる。また、ヘッダ情報の表示やHTMLをダンプする事も可能だ。 他にもGzip圧縮を指定してリクエストを行ったり、HTTP1.0ベースを指定する事もできる。クッキーやリファラーの指定も簡単だ。便利なのが、DNS設定を指定して、hostsファイルを変更する事無く指定IPアドレスへ指定サーバとしてリクエストを行う機能だ。 さらに独自のHTTPサーバを内包しており、localhostでの動作確認も容易だ。 HTTPサーバの動作確
同じIPを使っている他のサイトの一覧を出してくれる『myIPneighbors』 - 100SHIKI ~ 世界のアイデアを日替わりで ~
同じIPを使っている他のサイトの一覧を出してくれる『myIPneighbors』 June 6th, 2007 Posted in その他 Write comment ちょっと迷ったけどやっぱりご紹介。 共有サーバーを使ってホームページを立ち上げている人も多いだろう。その場合、一台のサーバーのリソースをほかの人と共有していることになる。 そうなると気になるのが「同じサーバーを共有している他の人は誰だろう?」ということだ。 それがまるわかりになってしまうのが「myIPneighbors」である。 このサイトではIPやドメイン名を入れると同じサーバーを共有しているサイトの一覧をずらずらと出してくれる。 これを見ながら奇妙な縁を感じてみたり、「最近遅いと思ったら人気サイトがあるじゃないか!」などといろいろ考えることができるのだ。 なんだかマンションの隣人を知るようでちょっと微妙だが、ツールとして
携帯端末の個体識別情報(uid)取得方法
携帯サイトでユーザー認証をする方法はいくつかあります。 一番簡単なのは、ユーザ名とパスワードを使う方法です。 しかし、毎回入力するのはユーザにとっては面倒ですよね。 PCサイトならばクッキーを使ってこれらの情報を保存しておけるので 毎回入力する必要はありません。 しかし携帯サイトではクッキーが使えない(一部機種によって可能らしい)ので 別の手法を取ることを考えなくてはいけません。 そこで出てくるのが、携帯端末の個体識別情報(uid)を使うというやり方です。 携帯電話は電話番号と同じように、その端末を識別するIDのようなものを持っています。 これを利用すれば、アクセスしてきたのがどのユーザなのかを判別することが可能になるというわけです。 キャリアによって取得方法や制限などがあるので、以下に紹介します。 なお、個体識別情報はキャリアによって様々な言い方があるようですが ここでは便宜上「端末ID
不正コードを世界にまき散らすホスティング会社5社が判明――ウイルスに感染したWebサイトのほとんどをホスティング | OSDN Magazine
悪意のあるダウンロード・ソフトウェアを特定する活動に取り組む「StopBadware.org」は5月4日、コンピュータ・ウイルスに感染した数多くのWebサイトをホスティングするプロバイダー5社を名指しで公表。インターネット・ユーザーが危険にさらされていると警告を発した。 StopBadware.orgは、5万近くのサイトを分析し、悪意のあるコードを配布していることで有名なWebサイトの大半がこれら5つのプロバイダーによってホスティングされていることを突き止めた。 名指しされたのは、アイパワーウェブ(iPowerWeb)、レイヤード・テクノロジーズ(Layered Technologies)、ザプラネット・ドットコム・インターネット・サービセズ(ThePlanet.com Internet Services)、インターナップ・ネットワーク・サービセズ(Internap Network Ser
Edge-security group - Wfuzz
Project name: Wfuzz Download: Github Code Documentation: Howto Language: Python Featured in: Wfuzz is a tool designed for bruteforcing Web Applications, it can be used for finding resources not linked (directories, servlets, scripts, etc), bruteforce GET and POST parameters for checking different kind of injections (SQL, XSS, LDAP,etc), bruteforce Forms parameters (User/Password), Fuzzing,etc. Som
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
アメブロの営業力はマジハンパねえなとおそれいった件 - in between days
http://www.514.es/README-EN.txt
Files ≈ Packet Storm
http://news4vip.livedoor.biz/archives/51000075.html
SharePoint Developer : Internet Explorer Developer Toolbar
亚洲综合一区国产精品,亚洲欧洲自拍拍偷午夜色无码,无码专区亚洲综合另类出租房