うっかりしてたらモバツイの延べ登録ユーザー数が10万人を超えていました。
もう既に10.6万人ぐらいになっていました。 今後ともよろしくお願いいたしますm(__)m 10万人のユーザーが中心になってモバツイッター上で確認されてるツイッターユーザーの数が22万人。イメージとしては、ほとんどのユーザーが誰かと誰かのフォロワー関係の大多数を共有しているという構造で世間が狭いハズという認識でいたのですが、日本のツイッターユーザーは5月に77万人を超えているという話でしたので、まだまだ断片的な情報に過ぎないんでしょうね。ただ、もっと少ない時から、モバツイユーザー : 把握してるユーザー全体は、1:2ぐらいの比率だったから、ユーザーを40万人ぐらい抱えたら大多数の日本人ユーザーを把握できるんでしょう。 あと、いずれ対応を迫られると思ったので、さっきoAuthにも対応してみました。Peclのライブラリを使って、5hぐらいの対応時間でした。 oAuthは、あくまでも「PCからの
「OAuth」とは 日本のユーザー襲った“Twitterスパム”の正体
MobsterWorldは、ユーザーはマフィアの1人となってお金を増やすゲーム。ほかのユーザーを敵として戦いを挑み、勝利すれば資金や経験値が得られる。ためた資金を使って武器を買い、攻撃力を高めたりできる。ゲームはTwitterのアカウントと連携しており、ゲーム上での行動がTwitter上でつぶやきとして発言される。 OAuthとは アカウントへのアクセス権を安全に渡せる仕組み Twitterはこの3月からOAuthを導入。ユーザーのアカウントのほぼすべての機能を、ID・パスワードを渡さずに、第三者のサービスから利用できるようにした。 アカウントへのアクセスを提供するだけなら、IDとパスワードを渡すだけでもいい。実際、TwitterのAPIを使ったサービスで、IDとパスワードを入力して利用するものは多い。 ただ、外部サービスにIDとパスワードを渡すとセキュリティ面で不安がある上、パスワードを
[気になる]JSONPの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
![[気になる]JSONPの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
グリモンで OpenSocial - 知らないけどきっとそう。
OpenSocial のなんたるかがわかってきたような今日この頃です 普通は JavaScript API をなんやらかんやらして、SNSのプロフィールページとかにガジェットを表示させるらしい JSだからグリモンからも叩けるわけで、実際にやってみた gooホーム で「はてブチェッカー」を追加、右下にコマンドのリストが出ます Person VIEWER を押すと、ガジェットから取得できる VIEWER の情報が! mixi でクリアできる気がしない憎いあいつも VIEWER の AppData を書き換えて… 50億点!ハイスコア! アクティビティも好きな title で作成できます ったー というわけで、とりあえず gooホーム、mixi、orkut に対応しています OWNER とか VIEWER_FRIENDS の People や AppData も取れていろいろお得 ここにおいとき
署名付きリクエストで外部サーバへデータを保存する - ppworks.jp
今までアプリケーションのデータ保存は永続化データに任せていました。この度、mixiアプリを作成しましたで作成したアプリを機能拡張するにあたり、データを外部サーバに保存してみようと思います。あるユーザの投稿内容を外部サーバへ送る際に気をつけなければ行けないことを調査してみました。 結論からいうと、署名付きの |javascript| gadgets.io.makeRequest ||< を使うようにする、ということになります。 今回はその具体的な使い方を見ていきます。 その前に、OpenSocialアプリケーションとOpenSocialコンテナ、外部サーバの関係について整理しておきます。 ** 署名なしのgadgets.io.makeRequestからのリクエストを確認する まずは署名なしのgadgets.io.makeRequestを使ったリクエストはサーバ側へ、どのようなパラメータを渡す
BigDecimal の DoS 脆弱性
Posted by maki on 10 Jun 2009 Ruby標準ライブラリの一つであるBigDecimalに、DoS(Denial Of Service)状態を引き起こしてしまう脆弱性が存在することが発見されました。 BigDecimalオブジェクトから浮動小数点数(Float)への変換に問題があり、攻撃者はsegmentation faultsを引き起こすことができます。 ActiveRecordライブラリはこのメソッドを使用しているため、多くのRailsアプリケーションはこの脆弱性の影響を受けます。しかしながら、これはRailsのみの問題ではなく、Rubyアプリケーション全体に影響の起こりうる問題です。 影響 攻撃者は巨大なBigDecimalの数値を変換することにより、DoS状態を引き起こすことができます。 その一例を以下に示します。 脆弱性の存在するバージョン 1.8系 1
REXMLのDoS脆弱性
Posted by Shugo Maeda on 23 Aug 2008 Rubyの標準ライブラリに含まれているREXMLに、DoS脆弱性が発見されました。 XML entity explosion attackと呼ばれる攻撃手法により、ユーザから与えられ たXMLを解析するようなアプリケーションをサービス不能(DoS)状態にすること ができます。 Railsはデフォルトの状態でユーザから与えられたXMLを解析するため、大部分の Railsアプリケーションはこの攻撃に対して脆弱です。 影響 攻撃者は、以下のように再帰的にネストした実体参照を含むXML文書をREXMLに 解析させることにより、サービス不能(DoS)状態を引き起こすことができます。 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE member [ <!ENTITY a "&b;
Linux+ApacheのWebサーバを標的とするルートキット | スラド
Open Tech Pressより。 セキュリティ調査会社のFinjanが今月14日に出したプレスリリースによると、Linux+Apacheをプラットフォームとする一群のWebサーバが、Windowsを標的とするJavaScript型のマルウェアをまき散らしているという。問題のWebサーバにはある種のルートキットが仕込まれているものと思われるが、感染経路が不明で、Apache Software Foundationのセキュリティ対策チームに属するMark Cox氏は「現状で攻撃者側がサーバ群のルートアクセスを得た方法の詳細はつかみ切れていませんが、同時にApache HTTP Serverに潜む脆弱性に起因していることを示す証拠も得られていません」とのコメントを寄せている。どうやら、犯人はパスワードクラッキングでroot権限を奪取したのではないかというのが記事の論調である。 ちなみに、件の
[Think IT] 第3回:プロがボットを武器にしたら? (1/3)
【セキュリティ最前線】セキュリティ、全部見せます 第3回:プロがボットを武器にしたら? 監修:シマンテック 濵田 譲治 著者:シンクイット編集部 公開日:2008/1/28(月) ワームに位置付けられる「ボット」とは 本連載では「2007年に発生した」または「2008年に発生が予想される」さまざまなセキュリティリスクから、Think ITが注目するものについて取り上げ、その傾向と対策を紹介している。前回の「第2回:お金儲けがその目的と知れ」では、「プロ用の攻撃キット」と「PDF/グリーンカードスパム」の2つの脅威に注目した。今回は「ボット」と「Webプラグイン」をテーマに解説を行う。 今回、記事の監修を行っているシマンテックでは、実は「ボット」という名前は使っておらず、あくまでウイルスとしてとらえている。「ファイル感染型ウイルス」と「トロイの木馬」そして「ワーム」の3種類に分類しており、ボ
なぞなぞ認証機能を追加し、認証の設定をMyはてなで一括して行うよう変更しました - はてなダイアリー日記
本日、任意の質問とその答えを登録しておき、正しい答えを入力した人だけに閲覧を許可する「なぞなぞ認証」機能を追加しました。はてなダイアリーの閲覧許可にお使いいただけます。 これまではてなダイアリーではユーザー名や自分が参加しているグループ名を直接指定することで、自分のダイアリーを特定のユーザーのみ閲覧を許可することができましたが、はてなのアカウントを持っている人しか許可することができませんでした。 なぞなぞ認証では「私の祖母の名前を漢字4文字で」など、その質問の答えを知っている人にならはてなのアカウントがなくても閲覧を許可することができるようになりました。これによって、ご家族やご親戚、会社の同僚などのプライベートな情報を知っている相手なら誰でも、自分のプライベートな日記を閲覧してもらうことができるようになっています。 また、なぞなぞ認証の追加に伴い、認証の設定をMyはてな以下のユーザー設定ペ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Multiple Ruby security vulnerabilities
MD5破り