知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
iモード専用サイトのhtmlソースの閲覧方法 « mpw.jp管理人のBlog
iモードブラウザ2.0のJavaScriptを調査・研究する過程で、iモード専用サイトのhtmlソースを閲覧する方法を発見しました。 今回発見した方法を用いれば、「ドコモ・ゲートウェイ以外からのアクセスを禁止している」、「サーチエンジンのクロールを禁止している」、「XSS脆弱性が存在しない」の三つの条件を満たしているiモード専用サイトでも、htmlソースを閲覧することができます。 しかし、htmlソースを閲覧するためには、そのiモード専用サイトが別の二つの条件を満たしている必要があります。 htmlソースが閲覧可能なiモード専用サイトの条件 デフォルトホストで運用されている。(ヴァーチャルホストではない) iモードブラウザ2.0のJavaScriptからのアクセスを禁止していない。 iモード専用サイトのhtmlソースの閲覧方法 iモードブラウザ2.0のJavaScriptで、htmlソース
Amazon EC2/S3がついにアジアにサービス拡大へ - @IT
2009/11/12 米Amazon Web Servicesは11月12日、同社のクラウドサービス群のサービス範囲を2010年前半にアジア太平洋地域に拡大すると発表した。現在同社は北米の東海岸に4つ、ヨーロッパに1つの計3個所にデータセンターを設けてサービス提供を行っている。これに加えて、2010年上半期にはシンガポール、下半期にはアジアのほかの場所にもデータセンターの拠点(Availability Zones)を構えるとしている。 提供するサービスは、Amazon EC2/S3、Amazon SimpleDB、Amazon Relational Database Service、Amazon Simple Queue Service、Amazon Elastic MapReduce、Amazon CloudFront。 これまで同社のサービスを日本などから利用する場合、太平洋をまたぐ遅
【電子経済産業省アイディアボックス】 ホーム
� �Vm��6 �~�BU��T� ��L/ M�soI�v�)cla� �c��믏$�� \�N�e����ճ��G�~�� ' =L���� 6�hژT� #�́�V����+�eY�y.�"�� /�4ی ��lrބ�^��,E ^eY6�`%r5����O�{ V. ��c����q���'���&� _�e�xh� ;(i��h��*��PB`C � ��� ���82�I F�93Myi�?f�8��nd!�� y�D�� � ��%߰xH��$|��-IZN��i��t���w��c�����ӼT �V� �ۗa
GREE、Twitter対抗サービスに--PC版を140字の「ひとこと」SNSにリニューアル
携帯電話向けソーシャルネットワーキングサービス(SNS)「GREE」を運営するグリーが11月上旬にPC版サイトをリニューアルする。代表取締役社長の田中良和氏が「いままでのPC版サイトは、なかったことになりました」と語るように、大胆な方向転換を打ち出した。今後は140字以内の一言コメント機能を前面に押し出し、人気のミニブログサービス「Twitter」に対抗する。 正式リニューアルに先立って、FireFox3.5、Safari4、Google Chromeのユーザーのみ利用できるベータ版サイトが10月26日から公開されている。 新しいPC版GREEのトップページには自分がいま何をしているか、何を考えているかを140文字以内で投稿する機能「ひとこと」の入力欄が目立つ位置に据えられている。Twitterのように現在の状態を短いメッセージで友人と共有できるリアルタイムなSNSへと変貌を遂げた。 これ
モバツイッターがEC2に移転したその後の話を聞いてきた(Amazon EC2 ナイトセミナ 第2回) - 元RX-7乗りの適当な日々
恵比寿で開催されたJJUG主催のナイトセミナー「アマゾンEC2 ナイトセミナ 第2回」に参加してきました。 目的は、モバツイッターの中の人である、えふしんさんによる、モバツイをEC2へ移行した話が聞きたかったのと、ついでにご挨拶したかったので早々と仕事を切り上げて行ってきました。 参考: F's Garage @fshin2000 :そろそろモバツイがEC2に移転した話でも書くとするか。 現在のサービスの状況やシステム構成、自宅サーバ運用の限界点など、裏側の話が特に興味深かった!面白かったです。 せっかくメモをとったので、ここに残しておきます。 究極のスモールスタート 自宅サーバからEC2へ 講演者 藤川真一(えふしん)さん (株)paperboy&co. ECコミュニティ事業部 ペパボはGMOインターネットグループ、レンタルサーバ(lolipop)、ブログ(JUGEM)などが有名 カラメ
何故かあたり前にならない文字エンコーディングバリデーション
(Last Updated On: 2018年8月8日)私が4年前(2005年)に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り上げられていました。/.で取り上げられたので、そこら中のWebサイトとユーザが被害に合うのでは?とヒヤヒヤしたので良く覚えています。 不正な文字エンコーディングを利用した攻撃は、文字エンコーディングを厳格に取り扱い、文字エンコーディングをバリデーションすれば無くなります。これを怠ると、システムのどこで問題が発生するか予想できなくなります。つまり、いい加減に文字エンコーディングを取り扱うと安全なシステムは作れないのです。 参考:エンジニア向けに
リアルタイムWebを促進する·Reverse HTTP MOONGIFT
これは技術的に相当面白い。勘違いがありそうな気もするので、間違った記述があればコメントなりTwitterなりでご指摘いただきたい。これまでのWebはプル型がメインだった。それはRSSフィードなどWeb2.0が騒がれるようになっても変わらず、Cometでも接続していなければ意味がない。 Reverse HTTPのデモ そんな制限を超えるのがWebHooksだ。そしてWebHooksを使いつつ、リアルタイム連携を強めたのがReverse HTTPだ。 今回紹介するオープンソース・ソフトウェアはReverse HTTP、リアルタイムWebを実現するソフトウェアだ。 Reverse HTTPではデモが用意されている。一つはテキストエリアが表示され、その文字を書き換えると別URLの表示がリアルタイムに書き変わるというものだ。ユーザが入力した情報を読み取る部分と、その結果を別な画面に反映するという二つ
Big Sky :: C++で軽量Webサーバ書いた。
書いたといっても結構前からあったのですが、いらん所を削ぎ落として軽量Webサーバとして仕立て上げました。 軽量とは言えど、CGIを使って結構色々動きます。 例えば、ソースアーカイブを解凍したらCGIがあって、apacheから見える場所にコピーして...とか面倒くさかったりしますよね。 おれは今すぐWebサーバを起動したいんだ!そして今いるディレクトリのファイルをWebサーバからサーブしたいんだー! って事ないですか?blogソフトウェアをダウンロードして今すぐ試したいけど、apacheインストールされてなかった...とか悲しすぎます。 今回紹介する"tinytinyhttpd"(tthttpd)はそんな、小さい様で大きな問題を解決出来るかもしれないソフトウェアです。 mattn's tinytinyhttpd at master - GitHub tiny tiny httpd http:
Khronos Press Releases - Khronos Details WebGL Initiative to Bring Hardware-Accelerated 3D Graphics to the Internet
Quick Links Japanese Translation (PDF) Media Contacts: For more information: Jonathan Hirshon, Principal, Horizon PR Email: .(JavaScript must be enabled to view this email address) Phone: +1 (408) 393-4900 JavaScript Binding to OpenGL ES 2.0 for Rich 3D Web Graphics without Browser Plugins; Wide industry Support from Major Browser Vendors including Google, Mozilla and Opera; Specification wil
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
http://www.witha.jp/blog/archives/2006/03/rest.html
See related links to what you are looking for.
100行のCプログラムでWebチャットを実装する方法 - mixi engineer blog
例の冷却ファンを修理してもらいに秋葉原に行ったのですが、最近の同人ゲームのクオリティはすごいなあと感心していたら、その二階はもっととんでもないことになってて、ひとつ大人になってしまったmikioです。今回は、Tokyo Cabinetのテンプレート直列化機能を駆使して、たった100行のCプログラムでWebチャットシステムを実装してみます。 古式ゆかしいWebチャットシステム 10年くらい前にCGIスクリプトでチャットシステムを作るのが流行していたのを覚えている方も多いと思います。チャットログは現在のようにデータベースサーバに転送して格納するのではなく、ローカルファイルシステム上のファイルにCSVやTSVなどのフォーマットで格納したり、同じくローカルのDBMファイルに格納するのが主流でした。2ちゃんねるの「datファイル」もそのようなデータファイルの一種と言えるでしょう。 その頃から、CGI
ドワンゴ、上半期が黒字に ニコ動有料会員数は計画以上
ドワンゴは5月7日、2008年10月~2009年3月期(上半期)の連結業績予想を修正し、営業損益が4億1000万円の黒字となるなど、赤字を見込んでいた損益が黒字になる見通しだと発表した。 売上高は当初予想から減る見通しだが、コスト圧縮や広告宣伝費が下半期にずれ込むことで費用が減少。当初予想で5000万円の赤字としていた営業損益で黒字を見込み、経常損益も3億8000万円の黒字(当初予想は7000万円の赤字)、最終損益も2億1000万円の黒字(同1億5000万円の赤字)となる見通し。ただ、通期見通しは据え置く。 ニコニコ動画のプレミアム会員(有料会員)数は計画以上に推移しているが、広告収入は景気悪化の影響などから未達だった。ニコニコ動画関連の費用はほぼ計画通りだとしている。 着うたフルサイトの会員数は順調に推移。ゲーム事業では11月に発売した人気シリーズタイトル2作が売り上げに貢献したが、一部
ネットサービス、閉鎖の作法とは?
NTTデータがブログサービス「Doblog」を5月30日をもって終了します。サービス終了の理由は、ブログシステムの技術的知見、コミュニティサービス運営のノウハウを蓄積できたから、だそうです。 インターネットサービスには企業側の事情によって、実験的サービス、ベータサービスと銘打たれたものが多くあります。一方でユーザーが情報発信の重要な担い手として活躍する時代でもあります。ブログ、ソーシャルネットワーキングサービスなどに代表されるネットメディアは、ユーザーの生み出すコンテンツなくして成り立ちません。 ネットサービスを閉じるときに企業はどのようなことに気をつけるべきなのでしょうか。パネリストの皆さんの考える「ネットサービス閉鎖の作法」について、ご意見を聞かせてください。読者の皆様からのコメントもお待ちしています。
Webサイトのスクリーンショットを撮るサービスの作り方
SimpleAPIなどで有名な「Webサイトのスクリーンショットを撮ってサムネイル画像を作成してくれる」サービス。 SimpleAPIは、 「1人で作るなら、一気にやるのが重要」SimpleAPI・伊藤まさおさん の伊藤まさおさんが一人で作っています。 今回は、各スクリーンショット提供サービスを紹介した後、実際にこのサービスを作る手順を検証し、さらなる応用サービスにつなげる方法を考えてみます。 Webサイトのスクリーンショットを撮ってサムネイル画像にしてくれるサイト まずは、Webサイトのスクリーンショットを撮ってサムネイル画像にしてくれるサービスとして有名なサイトを紹介しておきます。 SimpleAPI - ウェブサイト・サムネイル化ツール 日本国内、海外からも大人気。ややサムネイル結果が不安定。 Mozshot ページごとにきれいに出力。大規模利用は禁止。 サムネイルAPI APIとし
tumblr? no tumblr! - ニート=>ネトゲ屋=>ブラック=>電話屋
秋葉原は半端ないですね、という話なのですが、 今日は友人が秋葉原でライブするというので販売とかのお手伝いに行って参りました。 猫耳つけたりサングラスでフリルのエプロンとか、ええ、奇人っぽいですけど 秋葉原なら大丈夫です。いい街だわ。 まぁ秋葉原にやさしくたしなめられて終劇というおきまりのパターンでしたが、 ここでタイトルになります。 今回、無料でCDを配りまして、ホームページのアドレスが入ったシートを挟んで配って追ったんですが ある外国の方にお渡ししたんです。 外国の方は皆さん笑顔で受け取ってくれるので大変助かるのですが その方はホームページのアドレスを見た瞬間に笑顔を無くされたんですね。 「tumblr?....no tumblr!」 とても機嫌を害してしまわれました。意味がわかりません。 とても悪い雰囲気です。こまりました。 ナニが起こったのかわからないまま私フリーズしてしまいました。
ブログ等のアカウントを削除すると、そのアカウントを悪用される恐れを考慮すべき - 新しいTERRAZINE
作家の田口ランディ氏が以前エキサイトブログでやっていた『不眠に悩むコヨーテ』が何者かに乗っ取られたようだ。 『不眠に悩むコヨーテ』(現在) 『不眠に悩むコヨーテ』(Web Arcive) ブログタイトルとユーザー名の「flammableskirt」もそのままで、映画『おくりびと』の受賞歴をコピペしただけのページになっている。 ページ最下段の 「お小遣い ジャパンネット銀行 イーバンク銀行 新生銀行 ライフマイル マクロミル」へのリンクが目的だろう。 閉鎖、サーバ契約失効後に乗っ取られた『ていたらくてぃぶ』 少し前では、俺ニュースクローンの『ていたらくてぃぶ』が記憶に新しい。 サイトの運営方針を決めないまま、サクラサーバーと契約したところ、前管理人様の存在を知り、方針が決まるまで、前管理人様のサイトの体裁をアップさせていただいておりました。前管理人様に対して失礼な行動だったと深く反省しており
The 50 Most Important People on the Web | PCWorld
Artwork: Chip TaylorDespite what Time magazine would have you believe, you are not the most powerful or influential person on the Web. At PC World we love online personals, social networks, and videos of people falling on their keisters as much as the next person, but without the folks who create the Craigslists, MySpaces, and YouTubes of the world, much of the Web's potential would be lost among
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://scalr.net/login.php