タグ

ブックマーク / takagi-hiromitsu.jp (5)

  • 高木浩光@自宅の日記 - 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む

    ■ 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む IPAの「安全なウェブサイトの作り方」(改定第7版2015年、初版2006年)のHTML版が出ている。項目別にページが作られている。 1.1 SQLインジェクション 1.2 OSコマンド・インジェクション 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル 1.4 セッション管理の不備 1.5 クロスサイト・スクリプティング 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) 1.7 HTTPヘッダ・インジェクション 1.8 メールヘッダ・インジェクション 1.9 クリックジャッキング 1.10 バッファオーバーフロー 1.11 アクセス制御や認可制御の欠落 というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の

    seita05
    seita05 2020/08/02
    リンク

  • 高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)

    ■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2

    seita05
    seita05 2019/07/09
    リンク

  • 高木浩光@自宅の日記 - ヤフーの信用スコアはなぜ知恵袋スコアになってしまったのか

    ヤフオク!における取引実績や評価、ショッピングでのレビュー回数、知恵袋での活躍度、Yahoo! JAPANへの支払い滞納の有無および回数、利用規約・ガイドライン違反の有無および回数、宿泊・飲店等の予約キャンセル率、キャンセル連絡有無などの行動実績等 Yahoo!スコアの作成および利用は、お客様のプライバシーの保護に十分に配慮したうえで実施しております。 算出元データには、通信の秘密にあたる情報、スコア化することで不当な差別につながる可能性がある情報(要配慮個人情報、性別や職業等)は使用しません。 知恵袋での行動が知恵袋内での信用評価として使われるのは普通(そういうサービスだということ)だが、それが、知恵袋の外で、お金を借りるときとか、飲店を予約するときに信用として必要になってしまう、そんな社会はまっぴらごめんだ。(だれにもわかりやすくてたいへんよい。) ヤフーが信用スコアの作成をオプト

    seita05
    seita05 2019/06/10
    リンク

  • 高木浩光@自宅の日記 - 電気通信事業法における検閲の禁止とは何か

    ■ 電気通信事業法における検閲の禁止とは何か 目次 通信の秘密に検閲は関係しないの? 昨年のブロッキングを巡る議論のズレっぷり 検閲の禁止と通信の秘密との関係 戦後初期ではどう整理されていたか カワンゴ的な検閲厨の到来は昭和27年の国会で予見され論破されていた インターネット時代における検閲の禁止・通信の秘密とは 通信の秘密に検閲は関係しないの? 前回の日記「アクセス警告方式(「アクセス抑止方策に係る検討の論点」)に対するパブコメ提出意見」では、通信の秘密を単にプライバシーの問題で捉えるのではなく、検閲の禁止との関係で捉えるべきであるとの意見を示したが、実は、昨年いろいろな方々にこのことを言ってみたが、なかなか首肯してもらえなかった。なぜなら、学説でそういうことは言われておらず、電気通信事業法の逐条解説書もそうとは言っていないからだ。 例えば、長谷部編「注釈日国憲法(2)」では、(憲法上

    seita05
    seita05 2019/05/22
    リンク

  • 高木浩光@自宅の日記 - しそうけいさつ化する田舎サイバー警察の驕りを誰が諌めるのか

    ■ しそうけいさつ化する田舎サイバー警察の驕りを誰が諌めるのか 兵庫県警が単なる「無限アラート」を「不正プログラム」と称して不正指令電磁的記録の罪を適用した捜査(家宅捜索)を行ったことが明らかになり、法解釈・適用の誤りである上に法制定時の参議院法務委員会附帯決議の要請をも無視しているとして批判の声が渦巻いているところだが、ここに来て、「すみだセキュリティ勉強会」が活動を休止するとして抗議行動に出たようだ。 「IT業界の萎縮を招きかねない」 “ブラクラURL書き込みで中学生補導”、弁護士に問題点を聞いた, ねとらぼ, 2019年3月5日 Japanese police charge 13-year-old for sharing 'unclosable popup' prank online, ZDNet, 2019年3月5日 「いたずらURL貼って補導」がIT業界の萎縮をまねく理由, IT

    seita05
    seita05 2019/03/17
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.