[Werkzeug][Flask]FlaskをSalted
本当は怖いパスワードの話(1/4) - @ITを読んでなるほどなぁって思っていたのですが、それじゃあFlaskでソルト化(ソルト化っていう言葉が正しいかわかりませんが今回はこう書きます)ってどうやるんだろうかと調べたら、そのものズバリの事例がスニペット集に載っていました。 Salted Passwords | Flask (A Python Microframework) つまりはWerkzeug(ヴェルクツォィグって読む)がソルト化とそのチェック機能を提供してくれるとのこと。せっかくなのでこのBlogの管理者ログインパスワードをソルト化しました。 generate_password_hashを使ったパスワードのハッシュ+ソルト化 スニペットではwerkzeug.securityのgenerate_password_hashとcheck_password_hashを使ったclassを作成し
![[Werkzeug][Flask]FlaskをSalted](https://cdn-ak-scissors.b.st-hatena.com/image/square/37dab126ab00b98bab1e3000dd7ff479528f9e0b/height=288;version=1;width=512/http%3A%2F%2Fecx.images-amazon.com%2Fimages%2FI%2F41lX6Fg5KpL._SL160_.jpg)
mixi足あと廃止に寄せて - 最速転職研究会 | コメント mixiって今ほとんどがモバイルでアクセスされてたはずだけど、スマホ以外のガラケーでもこの問題が起きるの?
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
第1回 まずは「クッキー」を理解すべし
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
Flask | The Pallets Projects
Flask is a lightweight WSGI web application framework. It is designed to make getting started quick and easy, with the ability to scale up to complex applications. It began as a simple wrapper around Werkzeug and Jinja and has become one of the most popular Python web application frameworks. Flask offers suggestions, but doesn't enforce any dependencies or project layout. It is up to the developer
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Dropboxでセキュリティ障害--一時的にパスワード不要のアクセス可能に
ウェブベースのストレージを手がけるDropboxは米国時間6月20日午後、プログラマーのミスによって一時的なセキュリティ障害が発生し、任意のパスワードであらゆるユーザーアカウントにアクセスできる状態になっていたことを認めた。 サンフランシスコに拠点を置く新興企業のDropboxは今回のセキュリティ障害について、「コードアップデート」によって「Dropboxの認証メカニズムに影響を及ぼすバグが発生した」ことが原因だったとしている。同社によると、太平洋時間19日午後1時54分~午後5時46分の間、パスワード不要のアクセスが可能になっていたという。 Dropboxの共同創設者兼最高技術責任者(CTO)であるArash Ferdowsi氏はブログ投稿で、「これは決して起きてはならないことだ。われわれは現在、Dropboxのコントロール機能の詳細な確認作業を行っているところで、今後こうした問題が起き
「無料Wi-Fi」には要注意 公衆無線LAN装いユーザーおびき寄せ
ホテルや空港などでWi-Fi(無線LAN)接続の人気が高まっているが、「無料」をうたったサービスには注意した方がいいと、ロシアのセキュリティ企業Kaspersky Labが呼びかけている。 Kaspersky Labのブログ筆者はオランダ・アムステルダムの空港で乗り換え便を待つ間、利用できるWi-Fi接続を検索し、画面に幾つかの候補が表示された。 そのうち2件は正規のWi-Fiだったが、「Free Public WiFi」「US Airways Free WiFi」と表示された2件は、実際にはWi-Fiアクセスポイント(AP)ではなく他人のコンピュータで、ユーザーをだましてアクセスさせる目的で、意図的に無料接続を思わせるような名称を付けたものだった。 このようなネットワークにアクセスすれば、自分のトラフィックを傍受され、パスワードなどの個人情報を盗まれたり、ネットワークレベルのエクスプロイ
きまぐれ日記: sudo のGUIダイアログはセキュリティ的に大丈夫なのか?
UbuntuやMac OSXを使っていると、権限の高いオペレーションを実行しようとしたときに、ユーザのパスワードを要求するダイアログが起動します。毎回ハイハイと思いつつ入力しているのですが、ふと考えるとこのセキュリティモデルというかユーザビリティー的に大丈夫なのかどうかと思うようになりました。 例えば、インストーラーでダミーのパスワードダイアログを表示させればマルウェア作者はユーザのパスワードを取り放題だし、OSのファイル保存ダイアログをクラックして、適当なファイル保存のタイミングで同ダイアログを出せば、無知なユーザはホイホイパスワードを入力してしまうのではないでしょうか。Webサイトのフィッシングと全く同じ話です。 このダイアログはそもそも CUIプログラム sudo のラッパーにすぎません。しかし、話はそんなに単純ではありません。CUIの場合は、ほとんどの操作が「能動的」なために、su
Google ToolbarやGoogle Chromeで秘密のURLが漏れるといった話 - 最速転職研究会
http://d.hatena.ne.jp/m-bird/20100402/1270190863 とか http://anond.hatelabo.jp/20100403084111 とか ずいぶん適当なこと書いてあるなと思ったので調べた。 見ているページのURLが送られるかという話 ツールバーは使ってないのでChromeについてだけ軽く検証したので書いておく。検証したバージョンはGoogle Chrome 5.0.366.2 devでモニタに使ったのはFiddler。 見ているページのURLを自動で送信する機能はChrome自体には無い。アドレスバーにURLを貼りつければ検索語句の補完機能が動いて送られることがある。 ただしhttpsの場合はホスト名まで、httpの場合はクエリストリング(URLの?以降)は含まれない。 フォームの自動入力を有効にしたらなんかXMLが送られるけど、これは見
[PDF] 「Ameba」オフィシャルブログ、不正アクセス被害について
2010 年 1 月 1 日 各位 東京都渋谷区道玄坂一丁目 12 番 1 号 株式会社サイバーエージェント 代表取締役社長 CEO 藤田晋 (コード番号: 4751) 「Ameba」オフィシャルブログ、不正アクセス被害について 株式会社サイバーエージェント(本社:東京都渋谷区、代表取締役社長CEO:藤田晋、東証マザーズ上場:証券コード 4751)が運営する「Ameba」のオフィシャルブログにおいて、2010年1月1日未明、不正アクセスの被害を確認いたしました。 また同時に、オフィシャルブログの ID、パスワード約 450 件等を記述したエクセルファイルが外部に流出したことを確認 しております。 当社は、本不正アクセスに関して迅速に対応するため緊急対策チームを結成し、流出したパスワードを本日正午までに 変更するなど、対応策を実施しております。また合わせて、渋谷警察署に被害状況の報告及
おごちゃんの雑文 » Blog Archive » これは「エンジニアの反乱」ではないか?
ヨーカドーのネット通販が酷いことになっている。 セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される セブンアンドワイ、XSS脆弱性が見つかる。また社員が2chを覗いていたことが判明 セブンアンドワイ、Google検索で個人情報が丸見えだった模様。また今回の件でアフィリエイトにまで影響が とうとう「オープンソース化」までされる始末。 セブンアンドワイ、今度はソースコードを流出させる。 svnで公開なんてやってくれるぜ。私は初期版をcvsの類で出すのは消極的なんだけど(これはいずれ連載の方で)。 ただ、この前の「はまちちゃん」もそうなんだが、これは実は「エンジニアの反乱」ではないか? もちろん、一連の事件はエンジニアが結託してサボタージュをやったとか、そーゆー類では断じてないだろう。みんなそれぞれのエンジニアは、自分の能力の範囲、自分の仕事の範囲では
IIS 7.5 详细错误 - 404.0 - Not Found
错误摘要 HTTP 错误 404.0 - Not Found 您要找的资源已被删除、已更名或暂时不可用。
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
無線LANアクセスポイントを機能強化する無料ファームウェア「Tomato Firmware」 - GIGAZINE
現在市販されているさまざまな無線LANアクセスポイント(無線LANブロードバンドルータとか呼び方はいろいろ)について、その機能について設定を変更するコントロールパネルみたいなものがどれでも付いていますが、それを入れ替えることで使えなかった機能を使えるようにしようというのが無料で利用できる代替ファームウェアの特徴。 今の無線LANブロードバンドルータが数万円クラスの高級機と同等の機能を備えるようになり、さらにそれ以上の機能が付くこともあります。 というわけで、そういうお得な使い方ができる無料代替ファームウェア「Tomato Firmware」を今回は取り上げます。詳細は以下。その他の無料代替ファームウェアも集めてみました。 リンクシスのWRT54G/GL/GSシリーズと、BUFFALOのWHR-G54SおよびWHR-HP-G54で利用可能なのが以下のファームウェア、「Tomato Firmw
もじゃもじゃVIP、略してもっぷ 隣の部屋のクソガキが無線LANはいってくるんだが・・・
隣の部屋のクソガキが無線LANはいってくるんだが・・・ 1 名前:以下、名無しにかわりましてVIPがお送りします:2009/09/20(日) 03:25:39.83 ID:QYndHUdN0電波ジャッカー死ね('A`) 勝手にPSPやらDSやら繋げんな 入った理由が「WEPだったし俺の家有線ケーブルしかない」じゃねーよ 何がaircrackで余裕だっただこのスクリプトキディが MACアドレスで接続弾くこと出来る? 3 名前:以下、名無しにかわりましてVIPがお送りします:2009/09/20(日) 03:27:05.65 ID:BaY7o6x6Oよく分からないけど 暗号化しても使われてるなら通報しろ 4 名前:以下、名無しにかわりましてVIPがお送りします:2009/09/20(日) 03:27:20.03 ID:t3zBYysZ0友達ができてよかったね 6 名前:以下、名無しにかわりま
最強のパスワード管理ソフト 1Password [Mac OS X]
Agile Web Solutions のパスワード管理アプリ、1Password をようやく使いこなし始めました。予想外のエラーのせいで(後述)手間取りましたが、うまく動き始めるとこれほど便利なものもありません。$30 という値段は決して安くはありませんが、それだけの価値はあります。 1Password はスタンドアローンのパスワード管理ソフトであり、ブラウザの拡張機能を通じてフォームの自動入力を便利にしてくれるツールです。一つだけマスターパスワードを決めておけば、残りのパスワードは 1Password が一元管理して、ブラウザのフォームなどに自動入力してくれます。 Firefox のパスワードマネージャもよいのですが、いろいろな理由でブラウザとパスワード管理を分離したいという方もいると思いますし、1Password を使えば対応しているブラウザに横断してパスワードを利用することができる
![最強のパスワード管理ソフト 1Password [Mac OS X]](https://cdn-ak-scissors.b.st-hatena.com/image/square/e6769fafa39c163db60881a97871d1393ca6a3d2/height=288;version=1;width=512/https%3A%2F%2Flifehacking.jp%2Fwp-content%2Fuploads%2F2017%2F01%2Fcropped-favicon2.png)
高木浩光@自宅の日記 - Googleドキュメントの「招待メール」の危険
■ Googleドキュメントの「招待メール」の危険 ことの始まり 先々週の話。1月23日に次の記事が出ていた。 『Google Docs』の設定にご用心:知らないうちに書き換えも?, WIRED VISION, 2009年1月23日 この記事の趣旨は、「Googleスプレッドシート」の共有設定の画面の説明文「Let people edit without signing in」が誤解を招くために、誤って、誰にでも閲覧や編集を許す設定にしてしまいかねないという話である。この画面は、日本語表示では図1の表記となっている。 WIRED VISIONの記事の言い分では、「people」が上の招待メール送信先の人々のことを指すように読めて、下の「プライバシー」設定も変更しないといけないように誤解してしまうという。 そもそも、この機能の意図されている動作はどういうものか。私も試しているうちに一時混乱し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Werkzeugを使ってのパスワードの暗号化とパスワードのチェック - Ponsukeのプログラミング日記
FreeBSDいちゃらぶ日記
高木浩光@自宅の日記 - はてブiPhoneアプリでログインしてはいけない