Intro IETF の RFC は、いくつかの場所で同じものが公開されている。 どの URL が最適なのか、という話。 結論は www.rfc-editor.org だ。 RFC Hosting Site 例えば RFC 9110 - HTTP Semantics で言うと、以下の 4 つがある。 https://tools.ietf.org/html/rfc9110 https://datatracker.ietf.org/doc/html/rfc9110 https://www.rfc-editor.org/rfc/rfc9110.html https://httpwg.org/specs/rfc9110.html まずは、これらの違いを簡単に解説する。 tools.ietf.org IETF がホストする RFC は、 tools.ietf.org だった。 RFC 2616: H
コロナ禍で行われた「Go Toイート」事業では、農林水産省から委託を受けた民間の会社や商工会議所などが「ドメイン」と呼ばれるインターネット上の住所を新たに取得するなどして、都道府県ごとにウェブサイトが設けられました。 ところが、「Go Toイート」の終了に伴ってウェブサイトが閉鎖されたことから、ドメインが手放されるようになっていて、ドメインの登録サービス会社のオークションを通じて落札されるなどして、同じURLで別のサイトが表示されるケースがあることがわかりました。 NHKが調べたところ、少なくとも15のドメインにこれまでと異なるサイトが開設されていて、中には、オンラインカジノの情報サイトや「パパ活」に関するサイトなどが開設されているケースもありました。 こうしたドメインの扱いについて、政府のガイドラインでは「正規のウェブサイトになりすました不正なウェブサイトに誘導されないよう、対策を講じた
MBSDでWebアプリケーションスキャナの開発をしている寺田です。 前記事では正規表現でのURLのチェックについて書きました。今回はその続きでマルチバイト文字を使った攻撃について書きたいと思います。 前提条件 本記事で想定するのは、ブラウザからパラメータとして渡されて来るURLを、リダイレクトやリンク等のURLとして使うケースです。その中でも、以下のようにサブドメイン部分(★の部分)を可変にする状況を主に想定します。 https://★.example.jp/… 攻撃の目標は、異なるドメイン(evil)のURLを与えてチェックをすり抜けることです。前回の記事にも書きましたが、この状況は(半角英数等のサブドメインしか受け入れないような場合を除き)「/」「?」「#」「\」のいずれかをサブドメインに入れることで攻略できることが大半です。 今回はこれらの記号が全て使用できないように対策されているこ
無料&オープンソースで使える自動化サービス「n8n」を利用して、「GIGAZINEのRSSフィードから1日1回タイトルとURLを取得し、既存のGoogle スプレッドシートに出力する」という基本的なワークフローを構築してみました。 n8n.io - a powerful workflow automation tool https://n8n.io/ GIGAZINEは以前にn8nを自サーバー上に構築しており、そのときの手順を記事化しています。n8nの導入方法を知りたい人はまず以下の記事をチェックしてください。 無料でIFTTTやZapierっぽく全自動連携できる「n8n」を自サーバー上に構築してみた - GIGAZINE まずはn8nにアクセスして「Add Workflow」をクリックします。 次に中央の+アイコンをクリック。 「On a schedule」をクリックします。 トリガーの
【追記】Firefox 版も出しました。 はてなミュート - Chrome ウェブストア https://chrome.google.com/webstore/detail/agomiblbpgcimbonnfmlcealkjlegbnf 機能指定したワードを含む記事をミュート指定した URL (の一部) を URL に含む記事をミュート指定した記事を単体で非表示にする訪問済みの記事を目立たなくする( on/off 選択可)ブコメページを訪問済みの記事を目立たなくする( on/off 選択可)1, 2 をする拡張は既にあるけど、下記の機能はこの拡張だけで使える。 記事をその場でミュートするhttps://cdn-ak.f.st-hatena.com/images/fotolife/a/anond_user/20230305/20230305094515.png ミュートアイコンを押すと、ポ
旧TwitterがXへブランド変更されたのは2023年7月下旬。それまで使われていた青い鳥のロゴから、黒いXへと変わった他、アプリ名などもXへと変更されていた。一方、URLについてはtwitter.comのままであった。 関連記事 「Twitter.com」を「X.com」に自動変換 Xが仕様変更も、批判相次ぎすぐ撤回 ネット失笑 Xでポストした「Twitter.com」の文字列が自動的に「X.com」に変換されてしまう――。4月上旬、Xでそんな現象が発生し、詐欺に利用されかねないとしてユーザーが警戒を呼びかけた。間もなく問題は解消されたが、Xの混乱ぶりにあきれる声などが相次いでいる。 YOSHIKI氏、イーロン・マスク氏に「“X JAPAN”の名称で争いたくない」 Twitter改名騒動にコメント X JAPAN・YOSHIKIさんが、新曲「Angel」のリリースに併せて、Twitter
最近はMBSDでWebアプリケーションスキャナの開発をしている寺田です。 Webアプリケーションを開発していると、セキュリティの観点でURLをチェックしなければならないことがしばしばあります。本日の記事では、そのようなURLのチェックを如何に行うか、正規表現を使う場合の注意点や、バイパス方法などについて書きたいと思います。 本記事で想定するのは、ブラウザからパラメータとして来るURLをチェックしてリダイレクトやリンクのURL等として使ったり、ブラウザから来たOriginヘッダ等のURLをチェックしてアクセス制御をするケースです。その中でも、以下のようにサブドメイン部分(★の部分)を可変にする状況を主に想定します。 https://★.example.jp/… よく使われてそうなチェック用の正規表現と、そのバイパスは以下のとおりです。 正規表現: ^https://.+\.example\.
Cloudflare PagesでURL短縮サービスを作ってみましょう!これを作ることであなたは以下を体験することができるしょう。 HonoでWebページをつくること Cloudflare KVをアプリケーションの中で使うこと アプリケーションをCloudflare Pagesへデプロイすること アプリケーションの特徴 今回作ってもらうアプリケーションはこのような特徴があります。 Viteを使って開発 UI付き JSXを使ってHTMLを書ける メインのコードは100行以下! Zodを使ったバリデーション バリデーションエラーも表示 簡易なCSRF対策 デモ 完成品を使っている様子です。 完成品 完成済みのコードは以下にあります。 アカウント 今回、アプリケーションを作ってCloudflare PagesへデプロイするにはCloudflareのアカウントが必要です。無料の範囲で遊べるので、も
文化庁のサイトに公開されていた漫画海賊版サイトの資料から。黒塗り部分にカーソルを合わせるとURLが表示され、海賊版サイトにアクセスできるようになっていた 文化庁のサイトで、漫画をインターネット上に無断公開した海賊版サイトのURLが誤って半年以上、公開されていたことが16日分かった。著作権に関する講習会で使用した資料から海賊版サイトにアクセス可能な状態になっていた。SNSで話題になっていることに気付いた文化庁職員が16日朝に削除した。 文化庁は「今後、同様の事態がないよう、チェック体制を確実にする」としている。 資料は昨年8月に開催された教職員向けの著作権講習会で使用されたもので、出版物の海賊版対策に取り組む一般社団法人「ABJ」(東京)が作成した。文化庁はチェックしていなかった。 日本国内からアクセスが多い海賊版サイト上位10件を紹介しており、サイト名とURLは黒塗りになっていたが、マウス
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く