PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
Webアプリにおける11の脆弱性の常識と対策
Webアプリにおける11の脆弱性の常識と対策:Webアプリの常識をJSPとStrutsで身につける(11)(1/4 ページ) 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です 【2013年2月25日】編集部より、おわびと訂正のお知らせ 本稿において読者の皆さまより多数のご指摘をいただきまして、誠にありがとうございます。編集部であらためて調べた結果、間違いを把握し、あらためて修正版を掲載させていただきます。この度は、長期にわたり誤った内容を掲載したので、読者の皆さまに多大なご迷惑をお掛けしたした点をおわび申し上げます。 通常、記事に間違いがあった場合には、筆者確認後に修正版を掲載するのですが、今回の場
ad4Uの隠しリンクを露出させるGreasemonkeyスクリプト - xenoma日記
ソースが一部表示されていなかったようです。今は修正済みです。申し訳ありません。 ライブドア、楽天が使用しているドリコム式行動ターゲティング広告「ad4U」。 ブラウザに残っているサイト訪問履歴を元に広告を出してくる、プライバシーも何もあったもんじゃないアレです。で、ad4u利用サイトでは、閲覧履歴の取得のために大量の隠しリンクが埋め込まれています*1。 さて、この隠しリンクをGreasemonkeyスクリプトで表示させる、というのが今回のお話。 IEにおいては、高木先生が作られたユーザースタイルシートで隠しリンクを露出させることが出来ます(http://takagi-hiromitsu.jp/diary/20081211.html#p01)。アラートを出すようにしておけば、ad4Uな広告が入っているサイトにすぐに気づけて便利です。 私も「楽天ad4U、個人ブログまで監視対象にしていた」を書
楽天がパソコンから検索履歴を収集 個人情報を無断利用? (1/3ページ) - MSN産経ニュース
楽天がパソコンから検索履歴を収集 個人情報を無断利用? (1/3ページ) 2009.8.21 00:18 楽天が同社の検索サイトにアクセスした利用者のパソコンから、他社サイトにアクセスした履歴に関する情報を収集し、広告配信に利用していることが判明した。行政や消費者団体なども巻き込んで問題視する声が強まっている。この行為自体に違法性はないが、「情報が勝手に収集されて気味が悪い」などという利用者の声に加え、インターネット広告事業者なども「広告価値を下げる」と批判している。 問題が指摘されたのは、楽天が昨年6月から自社の検索サイト「インフォシーク」に導入した「楽天ad4U(アドフォーユー)」と呼ばれる広告配信システム。これは、インフォシークを訪れた利用者のパソコン上のブラウザ(閲覧ソフト)内に蓄積された過去のサイト閲覧履歴を15種類に分類。楽天がその情報に基づき、利用者の閲覧履歴に合わせた分野
オンライン上の匿名性
Tor: 匿名インターネットコミュニケーションシステム Torは、インターネット上の安全性とセキュリティを向上させたいと望んでいる 様々な組織または個人のためのツールセットです。Torを使えば、ウェブの閲覧 ないし公開、インスタントメッセージング、IRC、SSHおよびその他の TCPプロトコルを使用するアプリケーションを匿名化することができます。 さらに、Torはソフトウェア開発者がビルトインされた匿名性、安全性および プライバシー保護機能を利用しつつ新しいアプリケーションを構築することが できるようなプラットフォームを提供します。 Torは、個人の匿名性とプライバシーから機密性を要するビジネス上の 活動および関係、国家安全保障までをも脅かすトラフィック解析 という監視手法からインターネットユーザを守ることを目的としています。 この場合、コミュニケーションはオニオンルータと呼ばれる複数のサ
個人情報漏れを防ぐためにすべきこと10選 | ライフハッカー・ジャパン
先日、Internet ExploreやFirefoxで決定的な欠陥が見つかってしまいました。スパイウェアやウイルスに対して脆く、バスワードが盗まれる可能性があったのです。でも、もうダメだとあきらめるのはまだ早いですよ。ちゃんとしたソフトウェアツールを選んで、「上級の」常識があったら、あなたのデータを守ることができるんです。誰かがあなたのメールを読もうとしても、メールボックスに入ることはできないでしょう。今回は、個人情報漏れを防ぐためのソフトウェアアプリと対策を紹介します。 10. iPhoneやBlackberryを手放す前にはデータを消去 現在、iPhoneが「理想のオモチャ」だと感じていても、記録容量が時代遅れになる日は必ず来ます。新しい機種を買ってiPhoneを手放すとき、そこにはまだあなたのデータが残っているということを忘れないでくださいね。そのデータは、ちょっとハックしたらす
ウェブビーコン - Wikipedia
ウェブビーコン(web beacon)あるいはWebビーコンとは、ウェブバグ(web bug)とも呼ばれる、HTMLを利用したメールやウェブページの閲覧者を識別する仕組みのこと。 HTMLメールにおけるウェブビーコン[編集] 受信者を識別する符号を付加した<img>要素を埋め込んだHTMLメールと、その符号を解釈するサーバ側のプログラムとで構成される。メールに埋め込まれた<img>要素を解釈・表示する際はサーバへのリクエストが生ずるが、付加された符号もそのリクエストとともにサーバに伝達される。それにより、サーバ側ではどの受信者がそのメールを表示したかを知ることができる。HTMLメールを送信したサーバ側に受信者の個人情報があれば、特定の個人の行動(メール閲覧)を把握することも技術的には可能である。 埋め込み対象となる<img>要素の実体となる画像はサイズ・種類等を問わない。しかし、受信者にこ
個人情報を追跡するサイトが一発で分かる「Ghostery」 | ライフハッカー・ジャパン
ステータスバーへ埋め込まれるこのアドオンはすべての追跡スクリプトを右上の長方形の部分にリスト表示。個人データ保護の日のコンセプトにはぴったりのツールですが、ウェブサイトの多くが(このページも例外ではないです)広告によってサポートされているので、常に動かしているとかなりの数が表示され、正直結構ウザいと思います。が、オンライン上でのプライバシーに関して懸念を持っている方は一度試してみるのもいいのではないでしょうか。 「Ghostery」はFirefox環境のみで作動するフリーダウンロードです。 Ghostery [Mozilla Add-ons via Download Squad] The How-To Geek(原文/まいるす・ゑびす) 【関連記事】 ・個人情報漏れを防ぐためにすべきこと10選 ・まったくもってGoogleに従順でない『Chrome』風ブラウザ ・財布をなくした! さあどう
各種トラッキングコードを検出してくれるFirefoxのアドオン『Ghostery』 | 100SHIKI
Firefox限定のアドオンだが便利そうなのでご紹介。 Ghosteryは各種トラッキングコードを検出し、そうしたコードが見つかれば教えてくれるというものだ。 最近は主に広告を出す関係で、ユーザーの行動履歴をトラッキングする手法が一般的だ。 そうしたトラッキングの中には、それとはなかなかわからないようなコードで、こっそりと行われるものも多い。 しかしGhosteryを入れておけばそうしたコードが見つかったときにアイコンで教えてくれるので、自分がどういったデータを誰に提供しているかを把握することができるようになる。 高度化するウェブではあるが、こうしたデータを使い、自分のデータは自分で守りたいですね。
うんぬんネット Flashクッキーの削除の仕方
「Google Chrome」や「Internet Explorer 8」のプライベートモードを利用しても、Flashクッキーまでは隠すことはできない。 すべてのFlashクッキーを消去するためには、[C:\Documents and Settings\ユーザー名\Application Data(隠しファイル)\Macromedia]にある[Flash Player]を削除する必要がある(Ubuntuはホーム・フォルダの隠しファイル[.macromedia]-[Flash Player])。 ただし、これによってFlashクッキーに保存するようにしているWebサイトの設定やデータなんかは初期化されてしまう。 ちなみにここでも削除できる。 →Flash Player ヘルプ [Web サイトの記憶領域設定] パネル ただし、この方法だと[C:\Documents and Settings\
Flashのセキュリティ設定 – Flash Cookie
(Last Updated On: 2009年2月10日)Flash Playerの設定はAdobe(Macromedia)のページで行う事は、Web開発者には常識だと思います。このブログをあまり一般的なユーザが見ている、とは思えませんが一般ユーザ向けに書いています。 Flashの設定は以下のWebページから行います。 Flashセキュリティ設定のページ(MomongaLinux x86_64+Flash10 Alpha) http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager03.html デフォルトで「サードパーティ製のFlashコンテンツにコンピュータ上のデータを格納する事を許可します」にはチェックが入っています。 これはFlash Cookie(ローカル共有オブジェクト
Local Shared Object - Wikipedia
この記事は検証可能な参考文献や出典が全く示されていないか、不十分です。 出典を追加して記事の信頼性向上にご協力ください。(このテンプレートの使い方) 出典検索?: "Local Shared Object" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL (2021年3月) Local Shared Object(ローカル・シェアード・オブジェクト、LSO)とはアドビシステムズのFlash Player がユーザーPCの内部に保存するデータ形式である[1]。 データは、HTTP cookieのような使用法であることから「Flashクッキー」とも呼ばれ[2]、ブラウザのクッキーのようにサイト毎の情報を保持する。 Macromedia Flash MX (Flash Player 6) 以降で実装されてい
ユーザーが制御できない「秘密cookie」、半数強のサイトが利用
米研究チームの発表によると、Adobe Flashを使ってネット上のユーザーの行動をひそかに追跡し続けるサイトが増えているという。 Adobe Flashを使ってネット上のユーザーの行動を追跡し続ける「秘密cookie」を利用するサイトが増えているという。米カリフォルニア大学バークリー校などの研究チームがこのほど論文を発表した。 「Flash cookie」は通常のcookieとは異なり、ブラウザのセキュリティ設定ではコントロールできないという。研究チームが大手サイトによる同cookieの利用実態について調べたところ、調査対象としたサイトの半数以上がFlash cookieを使ってユーザー情報を保存していることが判明した。 中にはユーザーが削除したHTTP cookieを、Flash cookieを使って復活させているケースもあった。しかしその存在についてはサイトのプライバシーポリシーでも
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
