タグ

関連タグで絞り込む (50)

タグの絞り込みを解除

securityに関するryshinozのブックマーク (191)

  • togetter の『続きを読む』機能が referer を要求する件

    ymrl @ymrl togetter、どうやらwww.togetter.comでアクセスしてると続きを読めなくなるっぽい。続きを読むでリファラチェックしててtogetter.com以外のリファラ弾かれる Kousuke Ebihara💉💉 💉 💉 @co3k ああなんか変だと思ったら Togetter はリファラ送信しないと「残りを読む」できないのか。いつからだろうあんまり使ってないことがバレバレだ

    togetter の『続きを読む』機能が referer を要求する件

  • AWSのIPの再利用間隔が短い為に起こる問題。

    IPの再利用間隔が短すぎるために、発生するセキュリティリスク。 IPが変わって、来送られるべきでないホストcookieも送出してしまう。 関連) クラウド時代はDNS Pinningが落とし穴になる 続きを読む

    AWSのIPの再利用間隔が短い為に起こる問題。

  • 高木浩光@自宅の日記 - JPRSに対する都道府県型JPドメイン名新設に係る公開質問

    ■ JPRSに対する都道府県型JPドメイン名新設に係る公開質問 JPRSから以下のプレスリリースが出ていた。 「JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定」, 株式会社日レジストリサービス, 2011年9月26日 内容を見て仰天。都道府県ドメインに第3レベルでの登録を認める「都道府県型JPドメイン名」を新設するという。そこで以下の公開質問状を送った。 株式会社日レジストリサービス御中 都道府県型JPドメイン名新設に係る公開質問 東京都〓〓区〓〓〓〓〓 高木 浩光 2011年9月27日 貴社2011年9月26日報道発表の「JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定」について、Webのセキュリティ及び可用性の観点から、公共の利益に影響を及ぼす懸念があると思料するため、貴社に対し、以下の通り、公開を前提と

  • cookie monster - どさにっき

    2011年9月21日(水) ■ 帰宅難民 _ 3.11 のときはうちで寝てたから関係なかったんだけど、台風でひっかかるとは。早々と 15:30 に退勤して、帰宅したのは22時過ぎ。タクシー待ち3時間+タクシー2時間で2駅分しか進まないとかかなりヒドい。その2時間の間に電車が動きだして、タクシーなんか待たずに駅で雨宿りしてた方が早くてよけいな出費せずに済んだ。タクシー待ってる間に長傘が壊れて折り畳み傘も壊れたので買い直さないといけないし。雨が降ってなければ歩くのも厭わないんだけどねぇ。傘が壊れてパンツまでずぶ濡れで震えてたのに歩くというのはさすがにありえなかった。 _ 東京の人間は助け合いの精神が足りん。タクシーを待ってる人はどーせみんな同じ沿線に住んでる人ばっかりなんだから、ご近所さん探して相乗りすればいいのに。来ないタクシーを待つ時間が短くなるし割り勘できて安上がりなのになんでひとりで乗

  • 都道府県型JPドメインがCookieに及ぼす影響の調査

    JPRSからのプレスリリース『JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定』や報道などで「都道府県型JPドメイン」というものが新設されることを知りました。 都道府県型JPドメインとは、現在活発に使われていない地域型ドメインを活性化する目的で、地域型ドメインの制約(ドメイン名が長い、一人・一団体あたり1つまで)を簡略化しようというもののようです。 しかし、現在の地域型ドメインは、ブラウザにとって処理がややこしいもので、IEなどは昔からまともに対応していません。このため、Cookie Monster Bugという脆弱性になっているという経緯があります。このルールをさらに複雑にすることになるということから、ブラウザセキュリティに関心の高い人たちが騒ぎ始めています。 そこで、高木浩光氏の日記「JPRSに対する都道府県型JPドメイン名新設に係る公開質問」の以

  • とくまるひろしのSession Fixation攻撃入門 - ockeghem's blog

    やぁ、みんな,元気?とくまるひろしです。今日はSession Fixation攻撃の方法をこっそり教えちゃうよ。 いつもは防御側で漢字の名前でやってるんだけど,きょうは攻撃側ということで,名乗りもひらがなに変えたんだ。だってさ,今度デブサミでご一緒するはせがわようすけさんとか,はまちちゃんとか,ひらがなの人たちの方が格好良さそうじゃないか。 では始めよう。 このエントリは、http://blog.tokumaru.org/2009/01/introduction-to-session-fixation-attack.html に移転しました。恐れ入りますが、続きは、そちらをご覧ください。

    とくまるひろしのSession Fixation攻撃入門 - ockeghem's blog

  • 「安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始します - ockeghem's blog

    このエントリでは「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践」(いわゆる徳丸、#wasbook)の電子書籍版が9月28日(水)に販売開始されるというお知らせをします。 大変要望の多かった徳丸電子書籍版ですが、タイトルのように、9月28日(水)の午前中に販売開始されることになりました。以下に諸データを記します。 販売サイト ブックパブ(http://bookpub.jp/) 販売開始 9/28(水)午前 定価 2,800円 キャンペーン価格 1,800円 キャンペーン期間 9/28(水)〜10/17(月)の20日間 いくつか特記すべき事項があります。 まず、電子書籍の形式ですが、*DRMフリーのPDF* です。従来版元のソフトバンククリエイティブでは、iOSやAndroidのアプリという形式で電子書籍を販売したようですが、この徳丸の電子版から

    「安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始します - ockeghem's blog

  • ウェブアプリのセキュリティをちゃんと知ろう

    7. ウェブアプリの入力、処理、出力入出力ウェブサーバウェブアプリ(PHP など)外部 API サーバ(Facebook API 、決済会社など)入出力処理入出力データベースサーバ(MySQL など)ウェブブラウザ 10. ウェブサーバーを通したウェブブラウザからの入力の仕様を考えようPHP に入ってくる値は何かを知る可変長のバイト列 (文字列ではない!!)GET パラメータPOST パラメータアップロードファイルリクエストヘッダ (Cookie など)実際の処理に渡すべき値は何かを考える文字列か、バイト列か?文字コードは何か?(ウェブサーバーでバイト列を処理することってあまりないので、 PHP では基的に文字コードのバリデーションは必要だと思って良い)長さはどうか?どういう文法や構造を持つデータ?入力された値を実際の処理に渡すべき値かどうかを確認することを「バリデーション」という 11

    ウェブアプリのセキュリティをちゃんと知ろう

  • 証明書発行業務停止のご連絡及びお詫び│SSL・電子証明書ならGMOグローバルサイン

    平素は、グローバルサインをご愛顧いただき誠にありがとうございます。 一連の認証局への不正アクセスの実行犯を名乗る人物により、複数の認証局に対するハッキングを行った旨の声明がなされ、その認証局のひとつとして弊社の名前も挙げられておりました。 声明の内容から一連の認証局への不正アクセスの実行犯自身による声明である可能性が高いと判断し、詳細についての調査が終了するまですべての証明書の発行を停止させていただくことにいたしました。 なお、現在ご利用中の証明書は引き続きご利用いただけます。お客様側での特別な作業は必要ございません。また、現段階において不正アクセスによる具体的な被害は見つかっておりません。 現状、証明書発行業務復旧の目途は立っておりません。証明書発行業務の復旧の目処等、件に関する追加の情報については、サイトにてお知らせいたします。 ご利用のお客様には大変なご迷惑をお掛けいたしますこと

    証明書発行業務停止のご連絡及びお詫び│SSL・電子証明書ならGMOグローバルサイン

  • ずばり、ザ・インタビューズの脆弱性を探しましたか? - hamachiya2インタビュー

    探すもなにもデータ更新されるリクエスト(フォローとか設定とか)でトークン送ってなくて 特にリファラチェックもしてないみたいだから CSRFされまくりなのだと思いますが、とりあえず気にしなくてもいいとおもいます。 個人、小規模なサービスで、 5分以内に脆弱性がみつからないサイトなんて皆無だと思う。 世の中そんなもんなんだから、 売れっ子になったり、誰かにいたずらされたり、余裕が出てきたら対応すればいいんじゃないかな。 そんなわけでぼくは「脆弱性があってあたりまえ」の小規模サービスには いたずらなどはしないようにしています。

  • はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知

    はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28

    はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知

  • DigiNotar偽SSL証明書事件、「twitter.com」などにも拡大、全貌は未だ不明 

  • クラウド時代はDNS Pinningが落とし穴になる | 水無月ばけらのえび日記

    公開: 2011年9月3日19時50分頃 モバツイ (www.movatwi.jp)の作者えふしんさんと、Twitterでこんなやりとりをしました。 OperaってDNSのTTL考慮してない?!多くのブラウザは安全性のために短すぎるTTLを無視したりしますが (DNS Pinning)、それとはまた違う話でしょうか?AWSのElastic Load Balancingで、動的にロードバランサーのサーバが増えたり減ったりするようで、夜明けのOperaがよく全然違うサービスに繋がってしまうことがあるんですよね。少なくともクッキーは送っちゃってますよね...あー、なるほど。それはまずいですね。これは盲点でした……。 OperaやIEなどは、DNSのTTLが短く設定されていても無視してキャッシュし続ける事があります。これはDNSの負荷を減らすというだけはでなく、セキュリティ上の意味もあり、「DNS

  • PHP フレームワークでのクライアント IP アドレス取得メソッドの実装について - A Day in Serenity @ kenjis

    いわゆる 4大フレームワーク(CakePHP, CodeIgniter, Symfony, Zend Framework)のクライアント IP アドレス取得メソッドについて最新のコードを調べてみました。 フレームワークに用意されているメソッドで取得する IP アドレスを偽装できるかどうかについてです。 ただし、CodeIgniter 以外には精通していませんので、解釈に誤りがあるかも知れません。 CakePHP https://github.com/cakephp/cakephp/blob/master/cake/libs/controller/components/request_handler.php#L471 <?php /** * Gets remote client IP * * @return string Client IP address * @access public

    PHP フレームワークでのクライアント IP アドレス取得メソッドの実装について - A Day in Serenity @ kenjis

  • サービス終了のお知らせ - NAVER まとめ

    サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。

  • ひろみちゅ先生による「カレログ」の違法性検証

    Hiromitsu Takagi @HiromitsuTakagi カレログの「お客様情報の入力」ページ、secure.shop-pro.jpにあるのに、「実在性証明のため、日ベリサイン株式会社のSSLサーバ証明書を使用しております」と書いてるけど、何の実在性を証明してるかっていうと、 PAPERBOY AND CO. INC. だってよ。

    ひろみちゅ先生による「カレログ」の違法性検証

  • UDIDが使えなくなりそうなので、UIIDを使えるようにしました

    ■2012/11/11追記 iOS 6より[[UIDevice currentDevice] identifierForVendor]というAPIAppleより提供され、よりプライバシーに配慮した上により安全な方法で自分の開発したアプリケーションを利用するユーザーを個別に認証することが可能になりました。それに伴い拙作のライブラリもidentifierForVendorが利用可能であればこちらを利用するように修正いたしました。今後はこのidentifierForVendor(または広告APIなどを作る場合であれば[[UIDevice sharedManager] advertisingIdentifier])が個体認識の主流になっていくと思われます。identifierForVendorとadvertisingIdentifierの仕様まとめは http://stackoverflow.c

  • UDID及び類似方式による行動ターゲッティング広告のセキュリティ実験に関する呼びかけ

    Hiromitsu Takagi @HiromitsuTakagi いろいろヤバい。ネタのストックは大量にあるが、ウイルス罪やら番号制度やらが優先で、書いていく時間が足りてない。もうTwitterで先出していくしか。 Hiromitsu Takagi @HiromitsuTakagi UDIDやスーパークッキー同等の問題は英語圏でいずれ必ず問題視されて路線変更に至るが、日の人たちがそれに取り残されてしまって、後で困ったことになることが国家的損失。そうならないよう早め早めに啓蒙していくことが重要であるところ。残念ながら政府の取組みは極めてお粗末で、… Hiromitsu Takagi @HiromitsuTakagi …政府の取組みは極めてお粗末で、セキュリティについては2003年ごろから積極的に取り組まれるようになったが、データプライバシーはそれとは全くの別物とみなされていて、政策課題に

    UDID及び類似方式による行動ターゲッティング広告のセキュリティ実験に関する呼びかけ

  • 春山 征吾のくけー : 2011/08/21 携帯端末における「MACアドレスで認証」の問題点 - livedoor Blog(ブログ)

    https://www.unixuser.org/~haruyama/blog/ に移転しました http://wiki.livedoor.jp/haruyama_seigo/d/FrontPage @haruyama タイトルが思いつかないときはそのときかかってた曲をタイトルにしています. 2011/08/21 一日家でだらだらした. yebo blog: iOS 5で、開発者がUDIDにアクセスすることを禁止 で UDID 利用禁止への対策として MACアドレスをMD5にかけて利用というものがあげられている. そもそも端末識別/認証すべきではないという話で, アプリごとにUUIDを生成して利用すればそのUUIDでは名寄せできなくなってよい. しかし, 広告プロバイダなどの立場では楽に名寄せができないのが嫌, ということで騒ぎになっている. UDIDが利用できなくなるリスクは考慮しておく

  • 春山 征吾のくけー : UDID とか MACアドレスについていくつか - livedoor Blog(ブログ)

    UDIDなど根の問題点 UDIDなどは端末に紐付いていてアプリ間でも共通. また機種変更や修理などがなければ不変. 複数のアプリの情報を入手できるものがいたら名寄せが可能 広告ネットワークはすでに行なっている 多くのユーザは2年程度端末を変更しない UDIDなどは収集となりすましが可能 UDIDはアプリのAdHoc配布を名目に収集可能. MACアドレスは無線LANネットワークの傍受で収集可能. 収集用のアプリをでっちあげてもよいだろう. UDIDのなりすましは脱獄したiOSならば可能. MACアドレスも可能 iPhone/touchでMACアドレスを偽装できる「Stealth MAC」 :教えて君.net. いわゆるガラケーの契約者idは,なりすましが困難 収集は携帯サイトを作れば容易だが. もうすこし具体的な話 UDIDなどの広告ネットワークなどへの利用 問題点: 名寄せが可能 解決策

  • 前のページ 1 2 3 4 5 6 7 8 9 10 次のページ

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.