HTTP接続サイトは“安全でない”サイト扱いに ~「Google Chrome 68」が正式公開/“iframe”リダイレクトを悪用する広告をブロックする仕組みも。脆弱性修正は42件
気を付けろ!QRコードに脆弱性? その深刻さと騙されないための対策(森井昌克) - エキスパート - Yahoo!ニュース
電子決済や広告などに広く利用されている「QRコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかりました。この弱点を悪用すると、利用者を一定の割合で不正なサイトに誘導することも可能で、グループではセキュリティー対策の強化が必要だとしています。 出典:QRコードにセキュリティー上の弱点 不正サイトに誘導も【NHK NEWS WEB】 この記事およびNHKでの2018年6月23日(土)午後6時のニュース映像の通りなのですが、開発者本人から説明し、その深刻さとどのように悪用されるのか、さらにQRコードを利用している一般の人がとるべき対策について解説します。 【7月3日付記】上記のNHK記事はすでに消去されています。ここにもNHK記事の概要があります。 一言でいうと、まったく同一のQRコードで、AというURL(ウエッブサイト)に飛ぶ時もあれば、B
高木浩光@自宅の日記 - 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」
■ 懸念されていた濫用がついに始まった刑法19章の2「不正指令電磁的記録に関する罪」 序章 昨日の読売新聞朝刊解説面に以下の記事が出た。 [解説スペシャル]ウイルスか合法技術か 他人のPC「借用」 仮想通貨計算 サイトに設置 摘発相次ぐ, 読売新聞2018年6月9日朝刊 「まさか違法とは……」。こううなだれる首都圏のウェブデザイナー(30)は今年3月、横浜地検にウイルス保管罪で略式起訴され、罰金10万円の略式命令を受けた。自分の運営する音楽サイトに昨秋、「コインハイブ」と呼ばれるコインマイナー用のプログラムを設置したところ、これがウイルスと判断されたのだ。 (略)昨年末から神奈川や宮城、栃木、茨城県警など全国の警察が捜査を開始。これまでに確認できただけで5人のサイト運営者がウイルスの供用や保管などの容疑で捜索を受け、既に略式命令を受けたケースもある。(略) 略式命令を受けたウェブデザイナー
今なぜHTTPS化なのか?インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景
【変更履歴 2018年2月15日】当初の記事タイトルは「いまなぜHTTPS化なのか? 技術者が知っておきたいSEOよりずっと大切なこと ― TLSの歴史と技術背景」でしたが、現行のものに変更しました。現在GoogleではWebサイトのHTTPS対応と検索結果の関係を強調しておらず、本記事の趣旨の一つにも本来は独立した問題であるSEOとHTTPS化を関連付けるという根強い誤解を解くことがありますが、当初のタイトルではかえってSEOとHTTPSを関連付けて読まれるおそれがあり、また同様の指摘もいただいたことから変更いたしました。 HTTPとHTTPSは、共にTCP通信上で動作します。したがって、いずれもTCPハンドシェイクで通信を開始します。 HTTP通信の場合には、このTCPハンドシェイク直後に、HTTPリクエストとレスポンスのやり取りが始まります。このHTTPのやり取りは平文通信であり、途
Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ - 4Gamer.net
Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ ライター:米田 聡 一般メディアにもニュースとして取り上げられたので,2017年末からにわかに騒がれだした「CPUの脆弱性」については,4Gamer読者も多くが聞き及んでいることだろう。海外では,「Spectre」(スペクター)や「Meltdown」(メルトダウン)といったおどろおどろしい名前が付いているので,そちらを目にしたという読者もいると思う。 「Intel製のCPUだけが持つ脆弱性で,AMD製のCPUなら問題ない」から始まって,「いやいやAMD製のCPUも同様の脆弱性を抱えている」,さらには「メモリページング方式の仮想記憶を使うCPUのすべてが持つ脆弱性である」などと,情報が錯綜しているので,何を信じたらいいのか分からないという人も多いのではなかろうか。そもそも,メモリページング方式
.gitディレクトリをwebサーバの公開ディレクトリに保存することについて - yasulib memo
webサーバに.gitディレクトリが公開されている状態でどういったリスクがあるのかについてメモしておきます。 webサーバ [root@localhost html]# cat /etc/redhat-release CentOS release 6.7 (Final) webサーバにアクセスしてみた結果 % curl http://target/.git/ <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>403 Forbidden</title> </head><body> <h1>Forbidden</h1> <p>You don't have permission to access /.git/ on this server.</p> <hr> <address>Apache/2.2.15
今どきのSQLインジェクションの話題総まとめ - PHPカンファレンス2015発表資料
こちらのスライドは以下のサイトにて閲覧いただけます。 https://www.docswell.com/s/ockeghem/ZM6VNK-phpconf2021-spa-security シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、著名なフレームワークな状況とエンジニアの技術理解の現状を踏まえ、SPAセキュリティの現実的な方法について説明します。 動画はこちら https://www.youtube.com/watch?v=pc57hw6haXk
攻撃者からみたWordPressセキュリティ / WordCamp Kansai 2015
WordCamp Kansai 2015 2015/07/26
シャトレーゼにSQLインジェクション攻撃、Web会員情報約21万人分流出の可能性
洋菓子などの製造・販売を手掛けるシャトレーゼ(甲府市)は2015年7月30日、Webサイトが外部から不正アクセス攻撃を受け、個人情報が流出した可能性があると発表した(画面)。 対象となる個人情報は、店舗で使えるクーポンなどの特典を提供する「WEB会員」の登録者情報。会員約21万人のほぼ全数について、ユーザーID・暗号化されたパスワード・メールアドレス・電話番号・誕生日が流出した可能性がある。このうち13件については、氏名・住所も含まれるとしている。 同社情報システム部の説明によれば、不正アクセスは、Webサイトの入力フォームにデータベース操作命令を潜り込ませる「SQLインジェクション」の手口で行われた。7月28日にWebサイト内の問い合わせフォームを受け付ける部署から「意味の分からない入力内容の問い合わせが多数寄せられている」との連絡があった。情報システム部でアクセスログを調べたところ、一
セキュアな WordPress プラグインの作り方 - WordBeach Nagoya 中級セッション
WORDPRESS 2011 8 27 (8 31 ) WordBeach Nagoya WordBench • WordPress • Ktai Style • Ktai Entry • 18 Mac • • 18 • http://www.yuriko.net/ • @lilyfanjp • • PHP • WordPress • • ( ) • WordPress • • function the_content($more_link_text=null,$stripteaser=0, $more_file='') { $content = get_the_content($more_link_text, $stripteaser, $more_file); $content = apply_filters('the_content', $content); $content = s
ホームページ制作なら渋谷のウェブ制作会社【スタイル】
【スタイル】は東京都渋谷区でホームページ制作を行うウェブ制作会社です。ウェブサイト制作、SEO対策、ウェブマーケティングなどを承っています。良質テンプレートでの格安ホームページ制作プランもあります。
とある診断員とSQLインジェクション
2019/10/16 初心者向けCTFのWeb分野の強化法 CTFのweb分野を勉強しているものの本番でなかなか解けないと悩んでいないでしょうか?そんな悩みを持った方を対象に、私の経験からweb分野の強化法を解説します。 How to strengthen the CTF Web field for beginners !! Although you are studying the CTF web field, are you worried that you can't solve it in production? For those who have such problems, I will explain how to strengthen the web field based on my experience. (study group) https://yahoo-osa
ssig33.com - よく分からない人のためのセキュリティ
いろいろと原則論はあるんですが。昨今のアプリケーションは複雑化し、扱う情報はよりセンシティブになり、そしてより幅広く使われるようになっています。よって「安全な」アプリケーションを作るために必要な知識はますます増える傾向にあります。 よく分かってない人は以下のことにとりあえず気をつけましょう 1. なるべく自分で作らない これは最も重要なことです。検索する、他人に聞く、自分で考えない。これは重要です。大抵の問題は他人が作ってくれた解決策を適用できます。 例えばセキュアな問合せフォームを作ることにしましょう。気をつけるべきことは以下のことぐらいでしょうか。 送信内容の確認画面を表示する場合、ユーザーの入力した値は適切にエスケープするように 送信内容をアプリケーションの DB に格納する場合には SQL インジェクションを防がなければならないので、プリペアドステートメントを用いる CSRF 対策
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
アップルのプライヴァシー重視とアドテク排除の動きが、新しい「Safari」から見えた
ウェブアプリケーションセキュリティ超入門 | Slideshare
Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)
【SQLインジェクション対策】徳丸先生に怒られない、動的SQLの安全な組み立て方
2014年10月江戸前セキュリティ勉強会資料 -セキュリティ技術者になるには-
Amazon.co.jp: 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践: 徳丸浩: 本
RaspberryPiのセキュリティ設定について | メサイア・ワークス