Webセキュリティのあるきかた2024/10/5 YAPC::Hakodate 2024
「住所は英数字もすべて全角で入力してください」はなぜそうなったのか - Qiita
Webサービスのフォームに住所を入力するとき、丁目や番地などを入れる欄について、数字やハイフンを全角で書かなければいけない「全角縛り」をやっているフォームをよく見ます。半角文字を入力してしまってエラーになったり、咄嗟に変換方法を思い出せなかったり、全角と半角の見分けが付きづらかったり、「全角縛り」であることが明示されていなかったり、「ハイフン」としてどの文字を使うべきかわからなかったり……と、鬱陶しさを感じることが多くあります。 「住所は全角のみ」(数字やハイフンも絶対に半角を受け付けない)という仕様がどういう経緯で生まれて、どう広まっていったのかが気になってる。いま存在しているのは過去の仕様や慣習の踏襲として理解できても、そもそもなぜそれらが生まれたのかが理解できない。 https://t.co/ZLz0Pw9GOK — ymrl (@ymrl) July 29, 2024 これについて
OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
ユニクロ公式サイトが使えません(ついでにレジも)|ブラインドライターズ
ブラインドライターズのスタッフは9割が視覚障害者。 先日、みんなで「どうやって服を買うか」の話になりました。 マネキンの服は見えないので、コーディネートが分からない 下着を買いたいけど、店員さんの性別が分からないので声をかけづらい ロービジョンなので黒なのか紺なのかわかりにくく、店で買いづらい などと、たくさんの悩みごとがありました。 確かに、異性の店員さんに下着の相談はしにくいですよね。 タグが読めなければ、サイズも分からない。リアルでの買い物は一人ではけっこう難しそうです。 そんなときに便利なのがECサイトです。 色もデジタル表記になっていればPCが読み上げてくれるので選びやすい 下着も人に頼まなくていいので買いやすい マネキンのコーディネートは見えないので、サイトで確認したい また「リピ買いするならサイト」という意見もありました。確かに見えていないと広い店内のどこにあるのかサッパリ分
WWWへのアクセス権を持つ7人
7ってところがまたいいですね。 上の画にあるこのカード。世界で7人だけが保持している、大災害時にWorld Wide Webを再起動させる力を持つカードなのです。 もしインターネットで大変動・大惨事が生じたら。例えばDNSSEC(Domain Name System Security)がダメージを受け、URLから目的のウェブサイトに誘導できなくなった時等。そういった緊急事態にこのカードを保持している人が出動するそうです。 7人は、イギリス、アメリカ、ブルキナファソ、トリニダード・トバゴ共和国、カナダ、中国、チェコ共和国の7カ国から選出されており、再起動する際はアメリカにあるベースにこのカードを持って集合しなければなりません。 再起動のためには7人中5人が必要です。それぞれのカードには断片的な情報しかはいっておらず、5人集まると起動が可能に。 マンガみたいだ。かっこいい。 [BBC via
偽セキュリティ警告(サポート詐欺)対策特集ページ | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「偽セキュリティ警告画面」(サポート詐欺)はインターネットを閲覧中に突然表示されます。 あわてて画面をクリックすると、ディスプレイいっぱいに表示されてしまい、マウス操作で閉じることができなくなってしまいます。 このとき、表示されているサポート電話番号に電話をしてしまうと、思わぬ被害に遭います。 画面が表示されただけであれば、 パソコンは「コンピュータウイルス」には感染しておらず、「偽セキュリティ警告画面」を閉じるだけで問題ありません。 当窓口に寄せられる相談では、画面を閉じることができずに電話をかけてしまい被害にあう方が多くなっています。 そのため、偽のセキュリティ警告画面を疑似的に表示して、画面を閉じる操作を練習するための体験サイトを作成しました。 多くの方に画面の閉じ方を体験していただき、被害の未然防止につなげてください。 目次 はじめに(体験を実施する前に必ずご確認ください) 体験サ
どうしてもドメインを永久保持できない企業向け 企業はどうドメインを捨てるべきか - Web > SEO
コロナ禍中に取得された地方自治体のドメインがオークションで高値売買され、中古ドメインとして悪用されるなど、公的機関のドメイン放棄問題が注目されています。 11月25日のNHKニュース7でドメイン流用の件が報じられました。私も取材を受け少しご協力をしています。 www3.nhk.or.jp 公的機関のドメイン放棄問題の理想の解決は、今後は lg.jp、go.jp などの公的機関しか使えないドメインだけを使うようにすることです。 ただ今回の問題はコロナ禍初期の大混乱時、非常にスピーディにサイト立ち上げが求められていた時の話です。 信頼が求められる lg.jp などのドメインの利用には厳格なルールがあるのも当然です。あの混乱時期にルール改定も難しかったと思います。新規ドメインが選ばれた事は仕方がない事と思っています。 ただ、コロナ禍が落ち着いた今、無責任に放棄されるのは明らかな問題です。 今回の
Ajaxから始まった一つの時代の終わり
最近の流れを見ていての感想文なので、ideaとして投稿します。筆者のバックグラウンドとしては、Remixの商業記事を書いたり、App Routerの商業記事を書いたりしている人です。 さて、筆者は2022年の秋から、社内システムではありますがRemixをプロダクション運用しています。また、Next.jsのApp Routerについても、パラダイムとしてはRemixにインスパイアされた部分が多い[1]おかげで、順調にキャッチアップできています。 RemixとApp Routerは、ルーティングとデータフェッチを高度に統合しており、Progressively Enhanced SPA(PESPA)と呼ばれることもあるそうです。PESPAについては、次の記事が話題になりましたね。 このPESPAであるRemixを実運用する中で、フレームワークの手触りが近年触ってきたものと大きく違っている点があっ
あの日・あの時のWebページがそこにある理由 (ボイジャー 鎌田 純子) | 版元ドットコム
電子書籍といえば、みなさん、EPUBファイルを制作して、アマゾンや紀伊國屋書店などのオンライン書店で販売するもの、とわかっていらっしゃるでしょう。でもそのEPUBが日本語対応したのは2011年のことで、とても日が浅いのです。またオンライン書店で売るためには書誌情報が重要だ、ということも理解されていると思います。そしてほとんどの出版社で自社のWebページを作り、書籍のPRをなさっていると思います。 でも、これは10年か20年の間にあたり前になってきたものです。いつの間にか、私たちの社会に入ってきたものなのです。 私が運営する株式会社ボイジャーは電子書籍リーダー開発と電子出版を生業としています。私たちも電子書籍データを末長く、販売するためにずいぶんと荒波に翻弄されてきました。 自社のWebページもそうです。常にサービスの情報を書き換え、スマホが登場したあとはレスポンシブという概念を取り入れ、う
情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開 実習用の題材に
WAF開発を手掛けるEGセキュアソリューションズ(東京都港区)は2月28日、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認したりして実践的に学習できるとしている。 BadTodoは脆弱性診断実習用のアプリ。情報セキュリティの専門家であり同社CTOの徳丸浩さんが制作した。Webブラウザ上で動くToDoリストアプリとして動作するが、情報処理推進機構(IPA)の「IPA ウェブ健康診断仕様」や国際Webセキュリティ標準機構の「OWASP Top 10」で紹介されている脆弱性を網羅的に含む、脆弱性だらけのアプリになっている。 EGセキュアソリューションズによると、BadTodoには各種脆弱性を自然な形で組み込んでおり、脆弱性スキャンで見つかりにくい項目も含んでいるという。 徳
「2022年 検索エンジンの変化」押さえておきたい5つのポイント - Web > SEO
2022年もSEO周りでは沢山の変化がありましたが、検索エンジン周りの全ての情報を追うことは不可能です。 この記事では、2022年の検索エンジンの変化の中で「Webに関わる多くの人が知っておくべき変化」と私が考えます5つのポイントをお届けします。 「2022年 検索エンジンの変化」押さえておきたい5つのポイント 検索結果がよりリッチに これは、12月31日段階のGoogleの[観葉植物]検索結果です。 モバイル検索では表示されていた検索結果へのサムネイル表示が、2022年の頭からPC画面でも多く表示されるようになりました。 このサムネイルは、検索語句によってはクリック率に非常に大きな影響を与えます。特に検索結果で自分のサイトの前後のサイトにサムネイルが表示されている場合は、その有無だけでクリック数は2~3倍に変わることも多いです。 このサムネイルでどの画像をGoogleが使うかを明確に指示
自力でWebサイトを作れるようになるブロックコーディングとは? HTML/CSSの脱初心者を目指して
HTML/CSSの知識を習得しても、いざWebサイトを構築しようとすると手が止まってしまう。それは知識の体系化ができていないから、と語るのが『HTML/CSSブロックコーディング』の著者である笠井枝理依さんです。笠井さんは本書で、そうした悩みを解決する手法としてサイトの要素をブロック単位で分解してコーディングしていくブロックコーディングを解説しています。今回は本書からWebサイトをブロックに分解する方法を紹介します。 本書は『HTML/CSSブロックコーディング デザインをすらすら再現できる』の「Ch01 モックアップをブロック分解」を抜粋したものです。掲載にあたって編集しています。 モックアップとは モックアップとは皆さんが考えるところの「デザイン」であり、日本では「デザインカンプ」と呼ばれることもよくあります。Webページがどのように表示されるのか、実際にブラウザで表示される場合と遜色
HTMLだけでスマホのカメラにアクセスできるの知ってた? 前面・背面カメラにアクセスできるHTMLのcapture属性
HTMLだけでスマホやタブレットのカメラにアクセスできる、HTMLのcapture属性を紹介します。 私はこの属性を知らなかったのですが、実際にiPhoneとiPadで試してみたところ、前面カメラにも背面カメラにもアクセスできました。JavaScriptなどは必要なく、簡単なHTMLでできます。 You Can Access A User’s Camera with Just HTML by Austin Gil (@heyAustinGil) 下記は各ポイントを意訳したものです。 ※当ブログでの翻訳記事は、元サイト様にライセンスを得て翻訳しています。 はじめに HTMLのcapture属性とは capture属性のサポート状況 終わりに はじめに 私は先日、今までに見たことがないHTMLの属性、captureに出会いました。capture属性は非常にクールなので、動画と記事を書くことにし
HTTPS 証明書の Common Name の検証がしれっと禁止されていた件について | IIJ Engineers Blog
開発・運用の現場から、IIJのエンジニアが技術的な情報や取り組みについて執筆する公式ブログを運営しています。 こんにちは。IIJ Engineers Blog編集部です。 IIJの社内掲示板では、エンジニアのちょっとした技術ネタが好評となって多くのコメントが付いたり、お役立ち情報が掲載されています。 今回は、すでにお気づきの方もいるかもしれませんが、いつの間にか HTTPS 証明書の Common Name の検証が禁止 になっていた件について紹介します。 HTTPS 証明書の検証手続きは、RFC2818 で「Subject Alternative Name があればそれで、なければ Common Name を見よ」となっていました。 If a subjectAltName extension of type dNSName is present, that MUST be used as
もう読んでくれる人がいなくなって、話題にも、お金にもならない『ブログ』というもの - いつか電池がきれるまで
yutoma233.hatenablog.com 『おのにち』さんは「はてなブログ」を長い間書いておられる方で、僕とは直接の絡みはほとんどないものの、固定読者も大勢いて、マイペースで更新されているのだろうな、と思っていました。 別にブログをやめるとかそういう話じゃなくて、『はてなブログ』有料版の期限が切れたのを延長せずに無料版でやります、というだけの話ではあるのだけれど、最後のほうに、こんな文章があったのです。 最近は、昔感じていたブログへの熱意みたいなものが残念ながら薄れてきつつあるんですけど、それでもやっぱり書くことは楽しいし、同じブログ仲間だ!と親近感を抱いている人達もたくさんいるので、これからも細々と続けていけたらいいなぁと。 ああ、ブログへの熱意みたいなものが薄れてきているのは、僕だけじゃないんだな、と。 それは別に今にはじまったことではなくて、もう5年前くらいから、僕が書いてい
Web3は本当に日本に必要な技術なのか、あるネット騒動が広げた波紋
最近、Web3について解説したある入門書が「間違いだらけ」とネットで話題になっていた。他社の出版物なので書名を挙げるのは控えるが、検索すればすぐに見つかるはずだ。怪しい出版社の書籍ではなく、インターネット関連の書籍には定評のある技術系出版社が出版したものだ。 ネットでは、この書籍内でイーサリアムをOSと呼んでいたり、TCP/IPやHTTPといったプロトコルを米Googleや米Amazon.comが独占していると書いたりしている点が問題視されていた。これを見て私は当初、「よくある自転車置き場の議論ではないか」と思った。 自転車置き場の議論とは、知識が足りない人は本質的な議論ができず、自分が理解できる範囲のどうでもいい議論しかできないことを指す。この書籍に関していうと「Web3の仕組みを理解できないから、自分に理解できる範囲で揚げ足取りをしているだけではないか」と思ったのだ。 確かにイーサリア
書籍「いちばんやさしいWeb3の教本 人気講師が教えるNFT、DAO、DeFiが織りなす新世界」の回収について - インプレスブックス
トップページ書籍「いちばんやさしいWeb3の教本 人気講師が教えるNFT、DAO、DeFiが織りなす新世界」の回収について 弊社2022年7月20日発行の書籍『いちばんやさしいWeb3の教本 人気講師が教えるNFT、DAO、DeFiが織りなす新世界』の内容に関しまして、SNSを中心に読者の皆様よりさまざまなご意見をいただき、著者ならびに外部有識者、編集部において内容の検証、精査を行ってまいりました(※)が、ご意見いただいた誤りやわかりづらい表現箇所を修正・反映しての本書の販売継続は難しいと判断し、本書の販売を終了させていただくことといたしました。つきましては、本書の回収を実施いたしますとともに、第1章・第2章の無料公開を中止とさせていただきます。改訂版の発売につきましては決定しておりません。 ※検証方法について 2022年7月19日より本書のキャンペーンの一環として第1章・第2章の無料公開
阿部寛のホームページをさらに高速化した猛者現る 35%の高速化に成功し速度制限未満でも一瞬で表示可能に
シンプルな構成により爆速で表示されることで有名な阿部寛のホームページですが、さまざまな技術を駆使してさらに35%の高速化を実現した動画が人気です。ぜひ本家サイトでも取り入れてほしい改善策。 まだ高速化の余地が……!? この動画を公開したのは、コスメティック田中さん(YouTube/Twitter)。動画によると、阿部寛のホームページがホームページビルダーというやや古いソフトで作られているなど、近代的な技術を駆使すれば改善できる余地が見られることを発見し、高速化に乗り出したそうです。 今回実施する高速化 この2点を改善していきます 最初に実施した高速化は、サイトの通信速度の改善から。CDNという技術で通信速度を上げる技術を使用するため、AmazonのCloudFrontにファイルをそのままアップロードして、コピーの阿部寛のホームページを作成しました。 ファイルをアップロードします このCDN
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
某巨大遊園地から僕が取得しているドメインが権利侵害にあたるから寄越せという連絡が...素直に従うべきか抵抗するべきか...→「想像してたより遥かに強大な相手だった」
「とほほ」氏の四半世紀以上続く解説サイトになぜか「広島ラーメン入門」が追加 ほか ~9件を掲載(9月12日のダイジェストニュース)【ダイジェストニュース】
