バリデーション、エスケープ、フィルタリング、サニタイズのイメージ
バリデーション、エスケープ、フィルタリング、サニタイズの用語は分かりにくいので、イメージで説明します。 “><script>alert(‘xss’);</script> という入力文字列が、それぞれどうなるかを示します。 ※1 厳密な定義ではありません(要件や文脈により変化します) ※2 バリデーションという用語は非常に幅があります(ここの「名称補足」参照)。 ※3 サニタイズという用語は非常に幅があるで、使う場合は事前に語義を定義しましょう(参照)。
はてなブックマークの更新を再開します
こちらに書いたとおり、2012年4月からはてなブックマークの更新を停止しておりました(ただし、ツールの設定ミスで更新したものはあります)が、再開することにしました。 停止の理由はこちらに書いたとおりですが、はてなブックマークボタンを設置した(はてな外の)当方のサイトにて、はてなのトラッキングが動いていたことが問題でした。 再開の理由は、正直に言って、はてなブックマークの代替がなかったということです。当初ライブドアクリップに移行しておりましたが、2012年10月10日にサービス停止して、過去のブックマークも見られなくなってしまいました。そのため、deliciousに移行しましたが、日本では活発でないようで、あまり「ソーシャル」に使えてない状態です。 そもそも、私がはてなブックマークを更新すること自体は、誰にも迷惑を掛けずにできることです(一方、はてなブックマークボタンの過去の問題は、知らない
データベースのデータを信用してはいけないか?
ネットを見ていたら「問題集 : PHP技術者認定・初級」というのを見つけました。 【セキュリティ対策】 セキュリティ対策について、正しいものを1つ次の記述の中から選択せよ。 入力のフィルタリングのみ行う。出力のエスケープのみ行う。少なくとも、入力のフィルタリングと出力のエスケープを行う。データベースのデータは信頼してよい。ITトレメ PHP技術者認定・初級 - @IT自分戦略研究所より引用 過去問なのか練習用の想定問題なのかわかりませんが、「問題提供: PHP技術者認定機構」とあります。 PHPアプリケーションの問題ですから、Webアプリケーションセキュリティの問題ですね。茫漠とした問題文ですが、実は正答を得るのは難しくありません。選択肢から技術的な中味を抜いてみると下記になります。 ○○のみ行う。○○のみ行う。少なくとも、□□を行う。○○は信頼してよい。このように並べてみると、○○の選択
Webアプリの脆弱性を検出するツールはありますか?
MSDNフォーラムで表記の質問を見かけました。同フォーラムの活動実績がないせいか、回答にリンクを貼ると拒否されましたので、こちらに回答します。 ここからが質問なのですが、プログラムの実装が完了したあと、脆弱性が潜んでいないかをチェックする必要があるのですが、脆弱性を検出するツールなどがありましたら教えてください。できれば、無償で使える物で、環境にあまり依存しないもの(Windows Serverのバージョンや、DBMSの種類に依存しないもの)がよいです。 Webアプリの脆弱性を検出するツールはありますか? 以下、回答です。 ご要望の条件をすべて満たすツールは、おそらくないと思います。 少し古いエントリになりますが、以下のブログにWebアプリケーションの脆弱性を調べるツールがまとめられています。 サーバ/Webアプリケーション脆弱性チェックツールの個人的まとめ(フリー/有償) 良い物は高価、
IE10にはパスワード表示ボタンが付いている
昨日のブログエントリ「楽天koboのログイン画面にも「パスワードの表示」ボタンがついた」に対して、twitterでコメントを頂戴しました。 そういえばIE10には目アイコン(マウスボタン押下している間伏せ字解除)が付いてたような…… QT @ockeghem: 日記書いた 楽天koboのログイン画面にも「パスワードの表示」ボタンがついた - ockeghemのtumblr bit.ly/Tnk0I8 11月 11, 2012手元のノートPCにWindows8を導入してIE10のパスワード欄を確認したら、確かに目アイコン(というのかな?)があり、マウスボタンを押下している間だけパスワードを表示しますね。 以下は、Windows8上のIE10で、evernoteのログイン画面を表示しているところです。IDとパスワードは架空のものです。 上記のように、通常はパスワードが伏せ字になっていますが、パ
Gmailの成りすまし事件、傾向と対策
池田信夫氏のGmailアカウントがハックされて、寸借詐欺メールが送信されたようです。 Gmailの振り込め詐欺にご注意池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す私の周囲でも、知人が同種の被害にあっていますので、他人事ではない気がします。池田氏が被害にあった原因は不明のようですが、このエントリではその原因を予想(妄想)し、対策について検討します。 池田氏の主張:twitter連携アプリからの漏洩池田氏は自らのブログエントリで以下のように主張しています。 Gmailのパスワードを知らせたことはないのですが、ツイッターと共通にしていたため、「連携アプリ」を認証するときパスワードを入力します。これはシステム側に通知されないことになっていますが、悪意をもって偽装することは容易です。かなりあやしげなアプリも含めて20ぐらい使っていたので、そこから推測してGmailにログインされ
hostsファイルにループバックアドレスを指定することは危険か?
Androidの広告よけにhostsファイルを書き換えるAdAwayというアプリ(ルート化必要)が紹介されています。それがきっかけとなり、hostsファイルを書き換えることの危険性、とくに他人が作ったhostsファイルをそのまま自端末に適用してしまうリスクがtwitterで話題になりました。 これはまったく正しいのですが、なかのきえた氏から、以下のようにlocalhostのIPアドレスを記述することも問題と指摘がありました。 @shigecchi2007 @ks_desire localhost系を書くこともヤバイのです。WindowsでローカルのIISが回り込まれたりWinNTの頃から既知の問題なんです。やるならFirewall機能で適切にブロックする事が必要です。 9月 23, 2012これに対して、ko-zuさんから、ループバックやLAN内ホストでの脆弱性対策についてというブログ記事
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サポーターズの新オフィスオープン記念イベントで講演します