タグ

WebとSecurityに関するryuzi_kambeのブックマーク (33)

  • 「わざと脆弱性を持たせたWebアプリ」で練習を

    命名・「やられWebアプリケーション」(仮) 構築したWebアプリケーションがセキュアかどうかを確かめる方法として、疑似的に攻撃を行うことで問題を発見する「脆弱性診断」があります。脆弱性診断は専門業者が実施することがほとんどだと思いますが、あなた自らが脆弱性診断の技術を身につけることで、セキュアWebアプリケーションについての理解が深まるとか、自社内で脆弱性診断ができるようになるといったこともあるかもしれません。 脆弱性診断の技術を身につける過程では、脆弱性を見つける手法を試したり、診断ツールを試したりする必要がありますが、診断といえど攻撃と同様のことを行うので、気軽に実稼働環境で実験するわけにもいきません。ましてや、他人や他社のWebサイトで試すなどはもってのほかです。 そこで、わざと脆弱性を持たせたWebアプリケーションと、それを動作させる環境が必要になります。 このような環境をわざわ

    「わざと脆弱性を持たせたWebアプリ」で練習を
    ryuzi_kambe
    ryuzi_kambe 2009/10/23
    BadStore.net『きょうもやられやく』
  • 【ハウツー】Webデバッガに新星登場!? 操作を記録し、イベント/DOMを一発解析 - FireCrystal (1) FireCrystalとは | エンタープライズ | マイコミジャーナル

    複雑な機能をいくつも実装したWebアプリケーションのデバッグはツールなしでは一苦労だ。Ajax処理やこまかいイベント制御・DOM操作をおこなっている箇所でバグを出してしまった日には、解析だけで大変な時間を割かなければならない。 そんなときは、FireCrystalを使えば解決するかもしれない。ユーザの操作を記録し「どのタイミングで」「なにがおこなわれているか」を一発で表示してくれる便利なアドオンだ。 稿では、そのFireCrystalについて紹介しよう。 FireCrystalとは Stephen Oney氏は8月21日(米国時間)、Firefox上で動作するアドオン「FireCrystal」をリリースした。FireCrystalはThe MIT Licenseのもとで公開されている、Webデザイナ・デベロッパ向けのデバッガ。Webページ上でユーザの操作を記録し、内部でどのようなイベント

    ryuzi_kambe
    ryuzi_kambe 2009/09/15
    F5アタックならぬFCアタックが出来てしまいそうだな。もしくは『ポケットモンスター ファイヤークリスタル』みたいな。
  • 「Twitter」や「Facebook」へのDoS攻撃の標的はたった1人の活動家

    Facebookの幹部によると、米国時間8月6日に「Twitter」でサイト全体のサービス停止を、そして、「Facebook」と「LiveJournal」、Googleの「Blogger」と「YouTube」で障害を引き起こしたサービス拒否(DoS)攻撃は、これらのサイトにアカウントを持つ親グルジア派の活動家ブロガー1人を標的にしたものだったという。 Facebookの最高セキュリティ責任者であるMax Kelly氏がCNET Newsに語ったところによると、「Cyxymu」というアカウント名を使用するこの親グルジア派のブロガーは、同時に攻撃されたこれらすべてのサイトでアカウントを所有していたという。 「これは、この活動家を標的として実行された、複数のサイトに対する同時攻撃で、目的は彼の発言を封じることだった」とKelly氏は述べた。「われわれは、今回の攻撃元を積極的に調査している。そして

    「Twitter」や「Facebook」へのDoS攻撃の標的はたった1人の活動家
    ryuzi_kambe
    ryuzi_kambe 2009/08/07
    おそロシア。活動かっ!
  • 高木浩光@自宅の日記 - 児童ポルノ単純所持処罰化とタイムマシン

    ■ 児童ポルノ単純所持処罰化とタイムマシン 日曜が休日出勤だったので今日は代休をとった。 先週末、はてブ界隈で児童ポルノ法改正の国会審議の話題が上がってきていたので、所謂「まとめサイト」を見たところ、参考人のアグネスチャンがずいぶん酷く言われていた。いったいどんなだったんだと、衆議院TVで録画を観たところ、そんなにひどい話ではなく、やはりネットのこの手の「まとめ」は真に受けてはいけないなと思った。それはともかく、与党案と民主党案の2つの法案が出ていて、法案提出者との質疑がなかなかディベートとして面白いものになっていた。単純所持での冤罪の懸念に関する議論では、コンピュータ技術に関わる部分があり、興味深い。 まず、提出されている法案を確認しておくと、与党提出法案では、(1)目的によらず、「何人も、みだりに、児童ポルノを所持し、又は(略)記録した電磁的記録を保管してはならない」と、罰則なしで禁止

    ryuzi_kambe
    ryuzi_kambe 2009/06/30
    pictures.zip こわいです/削除したファイルのキャッシュから立件された事例が海外であった気がしたけど/http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1324120478 ←これのソースの事件、見覚えがあるんだが、どこだったかなぁ
  • 重要なお知らせ | 小林製薬株式会社

    2024/08/21 当社の厚生労働省等に対する報告(死亡との関連性を調査している対象事例数)について(続報) 2024/08/13 当社の厚生労働省等に対する報告(死亡との関連性を調査している対象事例数)について 2024/08/08 当社の紅麹コレステヘルプ等の摂取により健康被害にあわれたお客様への補償について 2024/08/08 紅麹事業からの撤退に関するお知らせ 2024/08/01 当社の厚生労働省に対する報告(3月29日付及び4月4日付)について(続報) 2024/07/29 お客様相談室 夏季休暇のお知らせ 2024/07/26 当社の厚生労働省に対する報告(3月29日付及び4月4日付)について 2024/07/23 事実検証委員会の調査報告を踏まえた取締役会の総括について 2024/07/22 一部報道について 2024/07/22 お客様相談室 電話システム障害復旧のお

    重要なお知らせ | 小林製薬株式会社
  • ブラウザに彼氏の秘密を教えてもらう

    検索サイトの検索ワードを入れるやつでさ、 以前に検索したやつがバァーって一覧で出るよね。 わたしは色々考えて出ないようにしているんだけど、 彼氏が使ってるのは出るようになってるんだよ。 何で知ってるかっていうか、 たまに結構な頻度で使わせてもらってたりする。 で、検索ワードがわぁって出る。もちろん見たい。 でも、ずっと自重してた。 だって、自分がやられて嫌なことはしちゃいけないから・・・。 でも、見てしまった。理性の敗北! 見ても案外楽しくはなかった。というか、よくわかんねぇ。 たくさんある中でえっちぃワードが目に引く。いや、特に理由はないけど・・・。 「そのワードを検索する」=「そういうのが見たい」=「そういうのが好き」 =「わたしがそういう風になると嬉しい」? 変身してみようかな・・・・。

    ブラウザに彼氏の秘密を教えてもらう
    ryuzi_kambe
    ryuzi_kambe 2009/03/30
    「携帯の発信・着信履歴を見る」「PC・携帯のメールをこっそりのぞき見」そして「PCの検索履歴を閲覧」。間違いない、女性という生き物にはスパイの素質がある。
  • 2009年のWebサービスは"安全性"が流行る?

    ここ数年、野菜に生産者の名前や顔写真が付くようになった。安全性を示すためのものである。おかげで、安心して買い物ができるようになった。これを応用して、Webサイトにも「私が作りました」ということを示す顔写真を付けるのが流行るのではないかと言う人がいる。『株式会社すみましん』というサイトの運営者、住正徳さんだ。 「昨年はの安全が問題になった。今年はサイトの安全に注目が集まると思う。というわけで、サイトを作った人間が顔を出してアピールすべきだと考えた。野菜とかにある「私が作りました」マークをサイトにも配置するのはどうだろう?これが2009年のWebスタンダードになる、かもしれない」とのこと。もちろん彼は実際に、このサイト上に顔写真を付けている。 何故こんなことを始めたのか?実際に効果はあるのか?詳しい話を聞いてみた。 記者: 「私が作りました」という顔写真を付けることについて、詳しくお話を伺っ

    2009年のWebサービスは"安全性"が流行る?
    ryuzi_kambe
    ryuzi_kambe 2009/02/09
    やってみようかな。でもこれ問題が発覚したときも同様に責任追及されるリスクが。
  • はてなフォトライフが実はプライベートな画像を全世界に公開している件 - 公開こまたく日記

    タイトルは釣りですJK。はしたなくてすみません。 以前書いたEye-fiを手に入れたので利用できる有料オンラインストレージサービスを比較検討してみた以降、Flickrの有料アカウントを利用してフォトライフを送っています。無意識的に何気なくパシパシ撮っていた画像がお構いなしにすべてUPされてしまうので、ひたすら便利なもののセキュリティという意味ではトレードオフかななんて思いつつ使っています。 さて、はてなフォトライフやFlickrに代表されるオンラインストレージサービスですが釣りタイトルのように、例えプライベートフォルダを作成して保存をしている画像であっても第三者に表示されてしまう、ということはご存じでしょうか(有名な話ですが)。 例をあげてみます。 id:komatakアカウントのプライベートフォルダにはハンバーガーべてるkomatakさんがいらっしゃいました。このURLです。 http

    はてなフォトライフが実はプライベートな画像を全世界に公開している件 - 公開こまたく日記
    ryuzi_kambe
    ryuzi_kambe 2009/02/02
    これぶっちゃけ7~8年前に RealAudio で課金サーバ作ったときにめちゃ悩んだ。とはいえ rstp 使ってると採算あわないしなぁ。途中で Helix が出てきたので解決したけど。
  • ネットのウイルスを監視するIPA(独立行政法人 情報処理機構)職員、Winny/Shareの殺人系ウイルス(通称 シャレタマ)に感染し、個人情報をネットにばらまく→IPAが1/4付で「おわび」をサイトに掲載 - 天漢日乗

    ネットのウイルスを監視するIPA(独立行政法人 情報処理機構)職員、Winny/Shareの殺人系ウイルス(通称 シャレタマ)に感染し、個人情報をネットにばらまく→IPAが1/4付で「おわび」をサイトに掲載 去年の暮れ、IPA(独立行政法人 情報処理機構)は、こんな注意喚起を行っている。 年末年始における注意喚起 第08-29-139号 掲載日 2008年12月22日 独立行政法人 情報処理推進機構 セキュリティセンター 一般利用者の方へ メールの添付ファイルや USB メモリなどでウイルス等の被害に遭わないように ワンクリック不正請求やセキュリティ対策ソフトの押し売りにご用心 もしものときの対応策 システム管理者の方へ ~年末年始休暇における対策のお願い~ (以下略) IPAというのは、理事長挨拶によれば、こんな独立行政法人だ。 理事長挨拶 (略) IPAは、産学官の結節点として情報サー

    ネットのウイルスを監視するIPA(独立行政法人 情報処理機構)職員、Winny/Shareの殺人系ウイルス(通称 シャレタマ)に感染し、個人情報をネットにばらまく→IPAが1/4付で「おわび」をサイトに掲載 - 天漢日乗
    ryuzi_kambe
    ryuzi_kambe 2009/01/05
    なんかメインストリームのニュースで読むのと更に印象が違うなぁ。真偽のほどは別として、情報量の差というのは事象の意味に大きく変動をもたらすということの実感が沸いた
  • ザッピングのURLが変わりました : ロケスタ社長日記

    ザッピングというサイトがあり、ブログウォッチャーというところが提供しているのですが、それのドメインがcom→jpに変更になったようです。 【お知らせ】ザッピングthatspingをご利用に皆様へ (銀座・新橋らへんの社長ブログ) ザッピングのブログパーツをご利用の皆様へ 既にお気づきの方も多いかと思いますが、 弊社のシステムの都合により、ザッピングのドメインを thatsping.jpへと移行することになりました。 ご利用の皆様には、多大なご迷惑をおかけし、申し訳ありませんでした。 僕自身、ブログウォッチャー自体は、7月くらいから離れてしまっています。そのため、ブログウォッチャー内部については詳しくわからないのですが、ドメイン関連のトラブルが原因です、、、 ドメイン管理については僕の引き継ぎ方にも激しく問題があったので、そのへんで今サポートもしている状態です。ただ、お問い合

    ryuzi_kambe
    ryuzi_kambe 2008/10/29
    結構アイディアの実装されたサービスって一巡とはいわないまでも半巡してるから、それのメンテナンスやブラッシュアップみたいなところに注目してみたいなぁ。SEOとかも。
  • 主に使うブラウザは「IE7」「Firefox」がツートップ、半数が「Google Chrome」に関心 | もずはっく日記 - WebStudio

     もずはっく日記(2008年10月) 2008年10月24日 主に使うブラウザは「IE7」「Firefox」がツートップ、半数が「Google Chrome」に関心 | ひと・話題 | nikkei BPnet 〈日経BPネット〉 初回投稿日時: 2008年10月24日08時19分23秒 最終更新日時: 2008年10月24日15時57分01秒 カテゴリ: Firefox Google Chrome IE 雑談 SNS: Tweet (list) 結構興味深い数字が多いので、私見を書いてみます。 まず、前提条件を把握しておく必要がありますが、何故かこれが6ページ目に記述されています。詳しいことはそちらを直接見てもらうとして、この情報から私が推測する回答した集団のイメージは、もともとブラウザに興味のある人、ブラウザには興味ないけど日経読者でPCもしくはWebに興味のある人、との混成で、加え

    ryuzi_kambe
    ryuzi_kambe 2008/10/24
    セキュリティインシデントがあるなら、マイナーアップデートの際にメジャーアップグレードするようもっと目立ったアラートなりお知らせが出るようにしたらいいいのでは/性能や安定性向上より新機能に惹かれるのかも
  • 「本当に逮捕されるか実験です」――2chでまた「小女子焼き殺す」予告

    「○○小学校(実在の小学校名)で小女子を焼き殺します。当に逮捕されるか実験です」――こんな犯行予告が10月21日、「2ちゃんねる」に投稿された。2ちゃんねらーや「予告.in」ユーザーによって警察に通報された模様だ。 2ちゃんねるの「自己紹介板」「ニュース速報(VIP)板」に21日午後2時25分ごろ、同じ固定ハンドルで「○○小学校で小女子を焼き殺します」というタイトルのスレッドが作成され、それぞれ「当に逮捕されるか実験です」などと書き込まれた。 その直後の午後2時33分には、同じ固定ハンドルでテレビ局の爆破予告スレッドが、同34分には大学の爆破予告スレッドが作成されている。 2ちゃんねるの「犯罪予告をするアフォな人。」スレッドでは、21日午後8時前に、「ニュース速報(VIP)」板以外の3つの投稿についてIPアドレスが公開されており、3投稿が同じIPアドレスから行われたことが確認できる。

    「本当に逮捕されるか実験です」――2chでまた「小女子焼き殺す」予告
    ryuzi_kambe
    ryuzi_kambe 2008/10/23
    もう刑事罰じゃなくて、交通違反みたいに罰金刑にしたら?国庫も潤うよ
  • 藤川優里(藤川ゆり).in

    This domain may be for sale!

    ryuzi_kambe
    ryuzi_kambe 2008/09/14
    ↓毎回穴開けてるのは突っ込み釣りだと思うな~
  • 志田未来への殺害予告。具体的な犯人の文章については、URLの... - 予告in

    表示している情報は、予告inに情報提供された通報内容です。 犯行予告のあったサイトからの予告文の転載等が含まれる場合があります。 実際の犯行内容の確認は リンク先(外部サイト)、もしくは キャッシュ からご確認ください。

    ryuzi_kambe
    ryuzi_kambe 2008/08/12
    実行する側からすると、2ch に予告するよりも予告.inに予告する方が注目される率が高くてメリットが感じられるのかもしれないな。
  • NHKとリニアと原発の関係。- セキュリティホール memo

    Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基的なターゲットは UNIX、WindowsMac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。 このページの情報を利用される前に、注意書きをお読みください。

    ryuzi_kambe
    ryuzi_kambe 2008/08/08
    なんか消えてる?前もあった気がするけど。
  • 個人だから甘いのかな - ぼくはまちちゃん!

    あらあら予告inがXSSやられちゃったらしいですね! 使い古された手法? いまどきエスケープ処理すらしてなくてダサい? 関連の記事に対して、はてなブックマークでも色々言われていたり、 http://b.hatena.ne.jp/t/%E4%BA%88%E5%91%8A.in?threshold=1 ニュースサイトでも、こんな煽り記事を書かれていたりするけれど… 今回の件についてIT企業に勤めるエンジニアに聞いてみると、 「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの?」 と語る。 予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」 http://news.livedoor.com/article/detail/3759632/ それってどうだろうね。 GoogleやAmazo

    個人だから甘いのかな - ぼくはまちちゃん!
    ryuzi_kambe
    ryuzi_kambe 2008/08/04
    被弾率みたいなのを、自分で認識しておくのもよいかもですね。/XSSによる攻撃ってまさしく挨拶代わり的に行われるけど、”こんにちはこんにちは!!”ってつまりはそういう意味なのかな・・・。
  • 仮想ブラウザでWebからの脅威を防ぐ「ZoneAlarm ForceField」

    Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を

    ryuzi_kambe
    ryuzi_kambe 2008/07/30
    これは興味深い。Webクライアント防壁ってことね。むしろわざと脆弱なエリアで取り巻いて防衛ラインを突破してくる様子を見たい。
  • お前ら知ってる?彼女とか他人のPCで、恥ずかしいWebページ見た後とか、キャッシュとか履歴消去するだろ?:アルファルファモザイク

    12 名前:名無しさん@八周年 投稿日:2008/03/21(金) 15:55:50 ID:KBMS0bQP0 お前ら知ってる? 彼女とか他人のPCで、恥ずかしいWebページ見た後とか、キャッシュとか履歴消去するだろ? あれ、全然消えてないんだぜ エクセル立ち上げて、どこでも良いからセル選んで、右クリしてハイパーリンクを選んで、「ファイル・ウェブページ」の「ブラウズしたページ」に全部出てくる(;^ω^) 俺はこれで2回痛い目にあった

    ryuzi_kambe
    ryuzi_kambe 2008/07/18
    一方 Firefoxはスマートロケーションバーで息子がゲイであることを母親にバラした http://slashdot.jp/yro/article.pl?sid=08/07/16/0538244
  • Firefox3のオレオレ警告 | 水無月ばけらのえび日記

    ……なんと「そのままアクセスする」とか「一時的に受け入れる」とかいう選択肢がありません。そのかわり「例外として扱うこともできます」という謎のリンクがあります。クリックすると、「例外を追加」というボタンが現れます。 「インターネット接続環境を完全には信頼できない場合や、これまでこのサーバではこの警告が表示されなかった場合は、このサイトを例外として追加しないでください。」という注意書きが。そして例外に追加しようとすると、だめ押しの一撃。 「物の銀行、ショップ、その他公共サイトがこの操作を求めることはありません。」太字で断言ですよ。これは気持ち良い! ここまでされると、物サイトをオレオレ証明書で運用するのもかなり抵抗が出てくるでしょう。 ※興味位で一時的にアクセスしてみたりするのがやりにくくなりますが……。まあ、一般の人はそんなことをする必要がありませんしね。 「Firefox3のオレオレ

  • サーバシグニチャは隠すのが当たり前

    (Last Updated On: 2007年9月4日)私も何年も前からセミナーではサーバ、モジュールバージョンは隠すようにと言っています。何故こんな事で賛否両論になるのか全く理解できません。犯罪者がどのように攻撃するか?を考えればなぜ隠す必要があるのか理由は明白です。サーバのバージョン情報が詳しく公開されていれば、その情報を使うに決まっています。攻撃に使える情報は全て使わない訳がありません。 最新版を使っているから安全ではない事も明白です。サーバに0day攻撃の脆弱性が発見された場合どの情報を使います?公開または推測できるバージョン情報に決まっています。 フィンガープリンティングでかなりの確率で推測可能、という議論もあるとは思います。しかし、適切に運用/設定されているシステムなら細かいバージョン番号までは推測できない場合が多いと考えられます。 犯罪者が攻撃に利用している、利用する可能性が

    サーバシグニチャは隠すのが当たり前
    ryuzi_kambe
    ryuzi_kambe 2007/09/04
    いっそ隠すんじゃなくて偽のサーバシグニチャを返すような仕組みを考えては?遠回りさせるために。