TechCrunch | Startup and Technology News
Byju’s is cutting 500 to 1,000 more jobs at the firm, this time eliminating several non-sales roles as well, as the Indian edtech giant pushes to improve its finances, according to a person fami While platforms like Reddit and Twitter are changing rules and making life difficult for developers of third-party clients, the ecosystem of Mastodon apps is still growing. Today, indie developer Jake
TechCrunch | Startup and Technology News
Byju’s is cutting 500 to 1,000 more jobs at the firm, this time eliminating several non-sales roles as well, as the Indian edtech giant pushes to improve its finances, according to a person fami While platforms like Reddit and Twitter are changing rules and making life difficult for developers of third-party clients, the ecosystem of Mastodon apps is still growing. Today, indie developer Jake
Common Security Mistakes in Web Applications — Smashing Magazine
Web application developers today need to be skilled in a multitude of disciplines. It’s necessary to build an application that is user friendly, highly performant, accessible and secure, all while executing partially in an untrusted environment that you, the developer, have no control over. I speak, of course, about the User Agent. Most commonly seen in the form of a web browser, but in reality, o
CSRF脆弱性対策 - monjudoh’s diary
CSRF対策のtokenはセッションIDで良い セキュリティ的にワンタイムトークン>セッションIDではない。 という話が、この辺の記事に書かれています。 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由, hiddenパラメタは漏れやすいのか? 肝はこういう事のようです tokenは外部のサイトから知り難い(実質知り得ない)ものでないといけない セッションIDはcookieに格納される document.cookieは自ドメインのものと親ドメインのものしか見れない→外部サイトで動かすJavaScriptからは参照できない セッションIDは『暗号学的に安全な擬似乱数生成系で生成されているはず』(引用) 推測も事実上できない 補足すると、セッションIDを使用したCSRF対
[JS]アイコンをドラッグして認証する、かわいらしいCAPTCHA
認証の流れ 音声ブラウザへの対応やマウス操作などアクセシビリティ的な弱点もありますが、アイデアやデザインはすばらしいと思います。 AJAX FANCY CAPTCHAはjQueryのため、動作にはjquery.jsが必要です。
構造化テキストの間違ったエスケープ手法について : 404 Blog Not Found
2010年09月22日21:30 カテゴリLightweight Languages 構造化テキストの間違ったエスケープ手法について 昨晩のtwitter XSS祭りは、ふだんもtwitter.comは使わない私には遠くの祭り囃子だったのですが、せっかくの自戒の機会なので。 Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について 正しいアプローチは、全てのルールを同時に適用することです。 これは残念ながら(おそらく)必要条件であっても十分条件ではありません。 こういう(かなりええかげんな)正規表現でtweetをparseしていたとします。 re_http = '(?:https?://[\\x21-\\x7e]+)'; re_user = '(?:[@][0-9A-Za-z_]{1,15})'; re_hash
Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について
昨日の Twitter の XSS 騒ぎは、まだ皆さんの記憶に新しいことと思います。いい機会なので、ツイートのような構造化テキストのエスケープ手法について触れておきたいと思います。 Twitter のメッセージは、単なる平文(プレインテキスト)ではなく、「@英数字」のような他のユーザーへの言及と「http://〜」のような URL を自動的にハイパーリンク化する構造化テキストです。 このような複数のルールをもつ構造化テキストを HTML 化する際には、どのようなコードを書けばいいのでしょう? まず「@〜」をリンク化してから、URL をリンク化すればいいのでしょうか? それだと、@〜 のをリンク化した A HREF タグの中の URL がさらにリンク化されていまいますね。 では、URL をリンク化してから @〜 をリンク化すればいいのでしょうか? それだと、@ を含む URL があった場合に
CAPTCHA - Wikipedia
この記事には複数の問題があります。改善やノートページでの議論にご協力ください。 出典がまったく示されていないか不十分です。内容に関する文献や情報源が必要です。(2021年3月) 古い情報を更新する必要があります。(2021年3月) 独自研究が含まれているおそれがあります。(2020年5月) 出典検索?: "CAPTCHA" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL 初期のCAPTCHAの例。 人間はこれを「HTKEHS」と認識できるが、機械にとっては困難である。 CAPTCHA(キャプチャ)はチャレンジ/レスポンス型テスト(英語版)の一種で、応答者がコンピュータではなく生身の人間であることを確認するために使われる。 ウィキペディアにおいても、ログインしていない状態のユーザ(IPユーザー)が外部リ
iptables での対策 - JULY’s diary
残念でした - JULYの日記 どうも最近、ssh に対するブルートフォース・アタックがはやっているらしい。前に、1時間半ものの間、アタックされていいたのを書いたが、今度は 7/21 18:56:24(日本時間)から 23:48:24、約5時間に渡ってずーっと、ムダなアタックをしていました。たぶんツールは同じで、アタックに使う辞書が豊富になってきて、なんだろうけど、繰り返しますが、我が家の ssh サーバは公開鍵認証以外お断りなので、単なるログイン認証を繰り返しても、永遠に入れることはありませんので、あしからず。 ただ、こうも長時間にわたって続けられると、こいつのために帯域を取られているというのが癪に障る。別に、実害は無いんだけど、やはり気分が悪い。OpenSSH で認証に失敗した場合に、だんだん認証結果のレスポンスが遅くなるような仕組みがあれば、それを設定したいのだが、認証部分を PAM
クライアントサイドで使える可逆暗号化ライブラリ·jCryption MOONGIFT
インターネット上でユーザ認証やセンシティブな情報を集める際にはSSLを使うことが一般的だ。とは言え個人やレンタルサーバレベルでは証明書を取得するのはコスト面や技術面で難しいことがある。だからといって、そのような情報を平文のまま流すのは気になる所だ。 フォームの内容を暗号化して送信 簡単な暗号化だけでも良いから行いたい、そんな時に使えそうなのがjCryptionだ。 今回紹介するオープンソース・ソフトウェアはjCryption、JavaScriptベースの暗号化ライブラリだ。 jCryptionはRSA暗号(公開鍵暗号)に則ったアルゴリズムを使った暗号化ライブラリだ。復号化可能なライブラリであり、jCryptionではPHPのクラスを提供している。実装はjQueryを使って行われているのでjQueryを使った開発では利用がとても簡単に行える。 公開鍵を送信しているスクリプト部分 送信直前にサ
[気になる]JSONPの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
![[気になる]JSONPの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
ウェブサイトでのアカウント情報の漏洩を防ぐ6つの手立て | ライフハッカー・ジャパン
「Facebook」、「Twitter」、「mixi」などのソーシャルネットワークはますます花盛り。同じ趣味を持つ仲間同士のネットワーキングとして、ちょっとしたビジネス情報の共有スペースとして、はたまた、しばらく音信不通となっていた旧友との意外なコミュニケーション復活の場として...。使い方は無数に広がっています。 しかし、便利だ! と無防備に喜んでばかりもいられません。米誌「New York Times」によると、ソーシャルネットワークなどのウェブサイトでユーザにメールアドレスやパスワードを入力させるケースは珍しくなく、これによって、自分の個人情報のみならず、友人・知人のメールアドレスまで知らぬ間に漏洩してしまっている可能性があるのだとか。 「New York Times」のライターAlina Tugendさんもこんな経験をした一人。 米国第3位のユーザ数を持つソーシャルネットワーク「T
» セキュアなサーバを作るために最低限やっておくこと: エスキュービズム ラボ Blog
Recent Entries セキュアなサーバを作るために最低限やっておくこと Yahooキーワード抽出APIライブラリ テスト駆動開発 (test driven development: TDD) のすすめ GoogleAnalyticsAPI on EC-CUBE 土日で作るコンパイラ OPEN ERPに挑戦3 OPEN ERPに挑戦2 OPEN ERPに挑戦 ERPはたくさんあれど・・・ OpenGLで3D、やってみよう Recent Comments No Responses. Recent Trackbacks テスト駆動開発 (test driven development: TDD) のすすめ 06/11 » Yahooキーワード抽出... みなさんはサーバを管理するときに、何を一番気にしますか? 人によって程度の差はあるのでしょうが、誰もが気になるのが「セキュリティ」でしょ
第4回 Ubuntuのバックアップ(1):SBackupによるバックアップ | gihyo.jp
PCを長く利用していくと、どうしてもハードウェア故障は避けられません。不慮の故障による影響を減らすことは非常に重要なことですが、HDDやファイルシステムの異常はバックアップなしに回避することができません。Ubuntuを利用したデスクトップ環境で、バックアップを行うツールを中心にしたレシピを紹介します。 今回は「デスクトップで手軽にバックアップを行う」レシピと、「バックアップとはどう考えるべきか?」ということを説明します。「サーバ用途でのバックアップ」や、「リモートバックアップ」など、より詳細なバックアップを実現する方法を来週お届けする予定です。 Simple Backup(SBackup)によるバックアップ Simple Backup(SBackup)は、Ubuntu向けに開発されている[1]バックアップソフトウェアです。その名の通りきわめてシンプルな機能を持っており、データ保存のた
第30回 アンチウイルスソフトウェアClamAVの活用(1):ClamAV/clamtk, klamav/clamfs | gihyo.jp
Ubuntu Weekly Recipe 第30回アンチウイルスソフトウェアClamAVの活用(1):ClamAV/clamtk, klamav/clamfs ClamAVはLinux・*BSD・Mac OS Xなどの環境で利用できる、GPLで配布されているアンチウイルスソフトウェアです。今回はUbuntu上でClamAVを使いこなすレシピをお届けします。 ClamAVの導入 一般的なデスクトップOSであるWindowsでは、アンチウイルスソフトウェアが欠かせません。これはWindowsがきわめて広く利用されており[1]、マルウェア[2]作者にとって大きなメリットがあるためです。幸いにして(?)Linuxはマイナーですし、Windowsに比べるとマルウェアの対象となることは遙かに少ないのですが、それでもマルウェアへの対処を行う必要があります。たとえばWineを使う場合[3]や、Windo
A Better Login System | Envato Tuts+
Net.tuts+ has published several great tutorials on user login systems. Most tutorials only deal with authenticating the user, which allows for two levels of security: logged in and not logged in. For many sites, a finer degree of control is needed to control where users can go and what they can do. Creating an access control list (ACL) system will give you the flexibility for granular permissions.
13日の金曜日の惨劇からPCを守るための13のヒント - builder by ZDNet Japan
読者が迷信深いかに関わらず、PCの惨劇はいつでも起こる可能性がある(普通は、まったく予想していないときやひどく急いでいるときに起こるものだ)。しかし、長年の間に、私は適切に計画と準備をすれば多くの惨劇は未然に防ぐことができ、起こってしまった場合でも被害を最小限に食い止められることを知った。 問題は、多くの人は、手遅れになって自分が叫び声を上げる時まで、計画と準備をないがしろにしているということだ。将来のPC災害のために備えをしないのは、ハシゴの下の割れた鏡の上を歩きながら13匹の黒猫を蹴って歩くようなものだ。 以下では、現在や将来のPCの惨劇を防ぐために、もっとも役立つ13のヒントをまとめた。自分のPCのセキュリティと健康を運任せにしないように。 楽しんで欲しい。 #13 - バックアップ。とにかくバックアップ!バックアップ!! 私はこの真言をほとんど20年も唱えて続けてきているような気が
あなたのLinuxマシンをセキュアにするために知っておくべきiptablesのルール10選 - builder by ZDNet Japan
iptablesをマスターするには時間がかかるものの、セキュリティに関する基本的なニーズを満たすことのできるいくつかのルールを知っておくだけで、あなたのLinuxシステムのセキュリティを向上させることができる。本記事では、その手始めとなる重要なルールを解説する。 iptablesは、Linuxマシンをセキュアにするための強力なツールだ。とは言うものの、その機能の多さには圧倒されてしまいがちである。そして、コマンドの構造をしっかりと理解し、マシンのどの部分をどのようにセキュアにすべきかを把握した後であっても、ややこしいことに変わりはない。しかし、iptablesの良いところは、極めて広いその適用範囲にある。このため、iptablesのルールのいくつかをスクリプトにまとめておくことで、管理作業をずっと容易にすることができるのだ。 こういったことを念頭に置き、コマンドを10個見ていくことにしよう
起動不能なマシンから最強ツールKasperskyでウイルスを除去 | 教えて君.net
万一ウイルスに感染した場合の緊急脱出テクとして、KasperskyのRescue Diskを覚えておいて欲しい。ウイルスのせいで起動不能なマシンを、CDブートによって起動させ、Kasperskyのアンチウイルスを利用したウイルス駆除を行うためのCDだ。 ウイルスに感染すると、「駆除を行おうにも、そもそもWindowsが起動しない」という状態になってしまうケースがある。マシン/HDDが複数台あれば良いが、一台しか持っていない場合は大問題だ。「Windowsを再インストールさせればウイルスは消える」が、「再インストールする以上、現在HDDに入っているデータは全て諦めなくてはならない」ということになる。 ……ということで、起動不能なマシンを強制的に起動させ、HDD内のウイルスを駆除する「レスキューディスク」というものが必要になる。そして、せっかくレスキューディスクを使うなら、検出率などで「最強」
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IDEA * IDEA
