絵日記 グルメ ライフスタイル・暮らし ペット 旅行・海外 日記 ニュース スポーツ ビジネス・経済 趣味・創作 音楽 書籍・雑誌 漫画・アニメ ゲーム 受験・学校 ヘルス・ビューティ IT・家電 学問・科学 まとめ
2008.03.12 1:18 Amazonが今月7日より「ウィッシュリスト」を「ほしい物リスト」へと改名した。ウィッシュの意味あいがより日本人向けになったカタチだ。しかし、この変更で今とんでもないことが起こっている。 「ほしい物リスト」とは、名前の通り欲しい物のリストのことだ。コレが欲しいから送ってくれ!という意味でもある。そして知り合いの欲しい物が調べられるように「ほしい物リスト サーチ」というサービスがあわせて登場したのだが、個人情報がダダ漏れなのだ。 このサービス、名前とメールアドレスのどちらかで検索することができるのだが、このメールアドレスが曲者だ。率直に言おう。メールアドレスが分かればその人の本名を知ることができる。 もちろんAmazonに登録しており、なおかつウィッシュリストを利用していなければいけないのだが、コアなネットユーザーほど登録している場合が多い。某
こんにちは! Amazonほしい物リスト、すごい話題になってますね! なんでも、メールアドレスで検索すればAmazonに登録してある本名がでてくる (ケースもある) とか…。 で、さっそくぼくも試してみたよ! ほしい物リストサーチ! これって、いま話題になっているのは、誰かのメールアドレスを手がかりにして ウィッシュリストや本名、下手すると住所まで知られてしまうってところだよね。 それだけでも面白いんだけど、 あまり注目されていない機能として、こんなものがあったよ。 友だちにほしい物リストについて知らせる これ。 自分のほしい物リストを誰かにメール送信できちゃう機能らしいね! じゃあ試しにメール送信時のリクエストを確認してみると… http://www.amazon.co.jp/gp/registry/send-nudge.html?ie=UTF8&type=wishlist&__mk_j
Rails 2.0はセッションはCookieに入れる、というのを読んで*1Cookie-sessionなんじゃらほい、と思ったのでちょっとソースを見てみました。 「ふつう」セッションに入れるようなちょっとしたデータは4K制限のあるCookieでも十分のはずだよねぇ、ということでセッションにいれる情報をMarshalしてCookieに入れちゃいましょう、というのがこの方式のポイントです。 で、Cookieに入れるっていうとユーザが自由自在にいじれるわけで、信用していいんだっけ?というのが気になったわけです。 見てみた結果はまぁ大丈夫そう。データに突っ込んだ内容とそのdigestの両方をCookieに入れて、受け付けたときはそれを検証するという手順になってるみたいです。digestを生成するときはsecretも必要になりますが、それがconfig/environment.rbで指定することにな
前回のエントリ(パスワードを平文で管理するのはダメだ)のブクマコメントでYappoさんから貴重な情報を頂いた。 MD5が復号できるというのだ。 しかも、それができるDigest::MD5::ReverseというCPANモジュールがあるという。 これには驚いた。いろいろな情報を当たったところ、やはりMD5などのハッシュは復号できないと書いてあるからだ。 http://www5f.biglobe.ne.jp/~h-it/mlcont/mc0200.htm http://gimite.net/bcbqtree/qtreemain.cgi?mode=thread&thread=376 http://www.postgresql.jp/document/pg803doc/html/encryption-options.html しかし、こういうところでいう「復号できない」というのは「復号するアルゴリ
IPsecは,インターネットを介して安全にパケットをやりとりする「インターネットVPN」の定番技術である。その一方で,“最大の難関プロトコル”としても知られている。そのため苦手意識を持っている人も多いのではないだろうか。本特集では,ルーター間のトンネル通信という定番のケースに絞り,ここでやりとりされる10個のパケットの理解に全力を傾ける。“日経NETWORK流”の理解法でIPsecをらくらく攻略しよう。 作戦編:難しい理由を探ったら攻略法が見えてきた 実践編:IPsecの利用を実感,設定項目はたったの五つ 攻略編:全体をつかんで逆から見る,日経NETWORK流で理解しよう これで完璧! IPsecのやりとり完全版
インターネット生活はパスワードといつも隣り合わせです。 でもこのパスワード。 複数もつのは本当に面倒です。 だから意外に共通パスワードを使ってしまわれるクライアントも多い。 ところが、共通して使ってはいけない組み合わせと言うものが結構あります。 今回は、その中でも、最も悪いフリーWEBメールの組み合わせについて。 意外にやってしまうパスワード漏洩 メールアドレスを要求される事は現在のWEBでは一般的です。 そのためWEBメールアドレスを保持しているユーザーも増えてきています。 例えばGoogleが提供するGmailなどがあります。 なにかに登録するときには、メールアドレスをよく求められますが、この時に、Gmailをつかって登録した場合、決してGmailのパスワードを使ってはいけません。 メールアドレスとパスワードだけでログインできるWEBメールは、パスワードだけが重要な鍵になります。 メー
有名人の愛用機種が簡単に分かる ブログなどで有名人が公開したデジタル写真(画像ファイル)を調べ、彼らが利用しているケータイの機種を割り出すのがネットではやり始めた。デジタル写真には撮影に使ったケータイやデジカメの機種、さらには撮影日のデータまでが残っていることがあるのだ。 9月7日付けの「デジタルARENA」の記事「後藤真希さんも絶賛! サンディスク、ドゥカティと提携した高速メモリーカードなど」を例にしよう。この記事のデジタル写真をダウンロードして「プロパティ」を開くと、これを撮影したのは「NIKON D200」であることが分かる。もちろん、撮影日も一目瞭然。デジタル写真は通常、このような撮影情報をEXIF(イグジフ:exchangeable image file format for digital still cameras)という形式で内部に保持しているのだ。 撮影情報は個人情報にな
箇条書きテキストしか用意していなかった。超適当 Webアプリケーションセキュリティ初歩の初歩 〜はまちやの傾向と対策〜 はじめに どうセキュリティに取り組むべきか 脆弱性の殆どは、境界で起きる 基本はバリデーションとエスケープ バリデーション そのシステムで予期しているデータのみ受け入れる エスケープ 出力先に応じて適切な出力を送る 出力先での特殊文字に注意する でも、IEとか バッドノウハウ的に対応せざるを得ないものがある CSSXSS的なのとかContent-Type判別を利用した攻撃とか 当然、自システム内での脆弱性の作り込みには注意する Cなんかでは、Buffer Overflowとか作り込みやすいよね バッドノウハウ/グッドラッパー 金床さんの文章 http://www.jumperz.net/texts/bkgw.htm 脅威のカテゴリ Spoofing(なりすまし/偽装) T
こんにちはこんにちは!! 先日、Twitterで声をかけてもらって、 第一回 Port801 セキュリティ勉強会っていうのに参加してきたよ!! (↑pw: security) そこで、すこし喋った時のビデオを頂いたので、もったいないので公開しちゃいますね! プレゼンだとかそういうの慣れてなくて、ぐだぐだな感じだけど、 よかったら何かの参考にしたり、晩ご飯のおかずにしてください>< Port801 セキュリティ勉強会 - Hamachiya2 その1 (http編) Port801 セキュリティ勉強会 - Hamachiya2 その2 (CSRF編1) Port801 セキュリティ勉強会 - Hamachiya2 その3 (CSRF編2) Port801 セキュリティ勉強会 - Hamachiya2 その4 (XSS編1) Port801 セキュリティ勉強会 - Hamachiya2 その5
PHPの関数にphpinfo()というものがあり、これをPHPファイルに含めるとPHPの設定・動作状況が分かるので使ったことのある方は多いだろう。しかしそのPHPファイルをサイトのドキュメント・ルートに、「phpinfo.php」や「info.php」などと非常に分かりやすい名前で設置している例を非常によく見かける。1度や2度ではない。 本人はすぐ消すから大丈夫だと思ってそうしているのだろうが、人間は忘れる動物である。その証拠に私が発見した事例は全て「運用中」のサイトであり、つまりは「消し忘れ」であった。 PHPの設定・動作状況を他人に晒すことは、セキュリティ・ホールの発見のお手伝いをしているのと同じなのでもっと注意深く設置する必要がある。 対策の一つとしては、パスワードで保護された領域にこれを置くことである。しかしこれは現実性を欠く。既にそういう領域があるならよいが、たかが設定情報
はい! こんにちは!!!!! 今日は、偶然ブラクラ発見しちゃったから、それをお伝えしますね! これだよ! <style>*{position:relative}</style><table><input></table> → サンプル (IEだとブラウザが終了しちゃうよ! 注意してね!) IE6とかIE6のコンポーネントブラウザだと確実に落ちちゃうみたいだね! IE7は確認してないけど! tableとかtrの直下に、inputとかselectがあって、 そのあたりにcssの全称セレクタでposition:relativeがあたっているとダメなかんじかな! ちなみにinputにstyleで直接relativeあてても落ちなかったよ! なにこれ! よくわかんないけど面白いね…! FirefoxとかOpera大好きっ子は、 これをたくさんバラまいてIEのシェアをどんどん下げちゃえばいいと思うよ!
Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在することを確認しました。以下の例では Atom の場合について書いていますが RDF/RSS でも同様です。 例えば、http://example.com/search.cgi?output=atom&q=abcd という URL にアクセスすると、「abcd」という文字列の検索結果を Atom として返すCGIがあったとします。 GET /search.cgi?output=atom&q=abcd Host: example.com HTTP/1.1 200 OK Content-Type: ap
「ウェブリブログ」は 2023年1月31日 をもちましてサービス提供を終了いたしました。 2004年3月のサービス開始より19年近くもの間、沢山の皆さまにご愛用いただきましたことを心よりお礼申し上げます。今後とも、BIGLOBEをご愛顧賜りますよう、よろしくお願い申し上げます。 ※引っ越し先ブログへのリダイレクトサービスは2024年1月31日で終了いたしました。 BIGLOBEのサービス一覧
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く