» セキュアなサーバを作るために最低限やっておくこと: エスキュービズム ラボ Blog
Recent Entries セキュアなサーバを作るために最低限やっておくこと Yahooキーワード抽出APIライブラリ テスト駆動開発 (test driven development: TDD) のすすめ GoogleAnalyticsAPI on EC-CUBE 土日で作るコンパイラ OPEN ERPに挑戦3 OPEN ERPに挑戦2 OPEN ERPに挑戦 ERPはたくさんあれど・・・ OpenGLで3D、やってみよう Recent Comments No Responses. Recent Trackbacks テスト駆動開発 (test driven development: TDD) のすすめ 06/11 » Yahooキーワード抽出... みなさんはサーバを管理するときに、何を一番気にしますか? 人によって程度の差はあるのでしょうが、誰もが気になるのが「セキュリティ」でしょ
ふにゃらぺえじ - Ubuntu(Linux) > Aircrack-ngレポ
無線LANの暗号化方式として、いまだに普及率トップと言われているWEP。2008年に神戸大学の教授が「WEPキーが数分で解読できるアルゴリズムを開発した」というニュースは記憶に新しいところですが、その記事で「今までは特殊な環境で、解読に時間がかかっていた」と、気になる一文が。 調べてみると、特殊な環境とは、「無線LANカードのチップセットがAtheros製のPCで、Linux上でAircrack-ngというソフトを使った場合」のようです。 少し前にUbuntu8.10を入れたaspire oneを見てみると、偶然にもAtheros製のLANカードだったので(右画像)早速いじくってみました。 最近はアマチュア無線機(ワイドバンド レシーバー)を持っていても、なかなかワッチできる“アナログ波”がありません。2011年の地デジ移行に加え、数年後にはFMラジオもデジタル化されるらしく、AMもデ
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2023年5月時点の調査。
JetpackとGreasemonkeyが似ていると言われる件 - hogehoge @teramako
たしかに両者は似ているところもあるのだが... 正直、僕はそんなに似ていると言いたくない。何か誤解を与えそうで怖いからだ。 いろいろと書く前に言葉の定義 Jetpack 拡張本体 Greasemonkey 拡張本体 JetpackScript Jetpackのエンジンで動作するスクリプト UserScript(ユーザスクリプト) Greasemonkeyのエンジンで動作するスクリプト 似ているところ Jetpack, Greasemonkey どちらも拡張機能であること どちらもスクリプトのエンジンであること JetpackScript, UserScript インストール/アンインストールにFirefox自体の再起動が必要ない JavaScriptで記述 制限を緩和するためのAPIがある 値を保持するためのAPI クロスサイトなXMLHttpRequest 似てないところ Jetpack
楽天のサポートに問い合わせた - 最速転職研究会
楽天で商品購入の際に出店者にメールアドレスが通知されるのかということが純粋に気になったので、客として楽天のサポートに問い合わせました。 文面はこんな感じです。 http://gyazo.com/12bdebc38f8412d776836fb5c983a11e.png まともな回答が得られなければ出店者側に聞いてみるつもりでしたが、サポート担当者からはっきりとした回答が得られました。 お問い合わせの件で、ご心配をおかけしております。 この度、「Gigazine」で掲載されておりました「楽天、利用者の メールアドレスを含む個人情報を1件10円でダウンロード販売」は 全くの事実誤認でございます。 (中略) 注文のステップ4で表示されておりますお客様の情報 (お名前、メールアドレス、フリガナ、住所、電話番号等)が [この内容で注文する]のボタンをご利用いただいた時点で、 該当のショップへ送信されま
楽天、利用者のメールアドレスを含む個人情報を「1件10円」でダウンロード販売していることが判明
※この記事は「楽天市場から個人情報がスパム業者に流出か、実名の記載された迷惑メールが楽天でしか使っていないメールアドレスに届き始める」の続きですので、1本目の記事を読んでいない方はまず1本目の記事に目を通してからご覧ください。 「楽天市場から個人情報がスパム業者に流出か、実名の記載された迷惑メールが楽天でしか使っていないメールアドレスに届き始める」という記事中でも触れましたが、楽天は2005年7月の個人情報流出騒動によってシステムを変更し、楽天に出店しているショップに対してはメールアドレスを「非表示」にしているとお伝えしましたが、実際にはまったく違っていました。 なんと、楽天市場に登録した個人情報のほとんどを各ショップは閲覧することが可能で、なおかつメールアドレスを含む個人情報については楽天市場自身が各ショップに1件10円でダウンロード販売しているとのこと。ダウンロードはCSV形式のファイ
今更だけどDNSキャッシュポイズニングについて簡単に説明するよ! - そして、DNSポイズニングがなかなか対応されない理由。 - FreeBSDいちゃらぶ日記
先日IIJの一日インターンに行ってきました。 NDAがあるので、事細かに書くことは出来ないのですが、教育的なプログラムが組まれていて非常に面白かったです。 そこで、色々お話しして、その中でDNSポイズニングがなかなか対応されない理由、当たり前の理由が聞けたので、「DNSポイズニングって何がヤヴァイのか良くわかんね」って人に向けた簡単な解説とあわせて書きたいと思います。 まず、DNSキャッシュポイズニングの何が怖いか? 簡単に言うと、 「googleに繋いだはずが全く別サイトに繋がっちゃう!」 って話です。 本当に繋ぎたいサイトと違うサイトに繋いじゃう事が出来るので、例えば 実在するショッピングサイトそっくりの偽サイト作って、ショッピングさせて。クレジットカードの番号ゲットしちゃったり、住所ゲットしちゃったり。 夢が広がる怖い事が出来ちゃいます。 きちんとしたセキュリティ対策していれば大丈夫
こんなところにも・・ATMに仕掛けられたスキマー -ぱるぷんてにゅーす
こんなところにも・・ATMに仕掛けられたスキマー スキマーとは、読み取られたクレジットカードなどの情報を不正に記録・送信・中継する小型の装置。 クレジットカードをスキマーに挿入し磁気情報を読み取らせ、クレジットカードと同規格の新品のカード(生カード)に読み取ったクレジットカードの情報を書き込むことで、まったく同じものを作り出すというもの。 そんな恐ろしい装置スキマーは、ATMのこんなところに仕掛けられていました。 【PR】 とある一台のATM。スキマーはまだ装着していません。 そして、これが同ATMでスキマーを装着したもの。 そうです。カード挿入口の「あれ」がスキマーです。 先ほどとは別のATM。これが通常の状態です。 今度は挿入口に付いていたもの(察するにスキマー装着防止装置)を取り外しカードリーダーのような物を挿入しています。これはどうしろとっていうぐらいわからないですね・・。 さてス
XSSを修正しないという事 (Kanasansoft Web Lab.)
今読み返すと、あちこちに変な日本語が混じっていますね。 訂正するのも嫌らしいのでそのままにしておきます。 はてなブックマークというサービスで、当エントリーに対してついたコメントに返信していきます。 このエントリーには、「XSSの危険性をわかっていない人に理解してもらう」というのが前提としてありました。 そして、「技術の疎い人にも理解して動いてもらう」という願いもありました。 このために、「多少の誤解を与えたとしてもなんとなく理解してもらう」事を重要視しています。 これを踏まえて以下記述します。 「#」ではじまるのがはてなブックマークのコメントです。 #2008年10月24日 g616blackheart ガードが堅いと言われた……どうしてだろう? #2008年10月24日 anigoka なんかガードが堅いて言われちゃったんだけど、なに,オレが非コミュだって言いたいの!? 申し訳ないです。
高木浩光@自宅の日記 - 無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者
馬鹿じゃないのか。このようなセキュリティに関わる情報公開ページは https:// で提供する(閲覧者が望めば https:// でも閲覧できるようにする)のが当然なのに、携帯電話会社ともあろうものが、そろいもそろってこんな認識なのだ。 (8月2日追記: ソフトバンクモバイルについては「7月27日の日記に追記」参照のこと。) それをまた、ケータイWeb関係者の誰ひとり、疑問の声をあげていないことがまた、信じ難い。何の疑問も抱かずにこれをそのまま設定しているのだろう。 こんな状態では、ケータイWebの運営者は、DNSポイゾニング等で偽ページを閲覧させられても、気付かずに、偽アドレス入りの帯域表を信じてしまうだろう。 つまり、たとえば、example.jp というケータイサイトを運営している会社が example.co.jp であるときに、攻撃者は、example.co.jp のDNSサーバに
盗難されたキャッシュカードを引き出されにくくするための簡単な方法 - 空中の杜
今日、某銀行で「引き出し中の画面で、キャッシュローンの広告出すな! しかも『ご案内しますか』で『いいえ』か『はい』を選択しないと先に進めないタイプの! 鬱陶しいわ!」とか思いながらATMの操作をしていたわけですが、ふと前を見てみると、暗証番号の設定の注意みたいなことが書いてありました。それは、類推できる暗証番号だとカードを盗まれて引き出される恐れがあるから、わかりにくい番号にしておけというタイプのもの。 たしかに財布ごとキャッシュカードを盗まれ、その中の免許に書かれている暗証番号を入力され、金を引き出されるということがけっこうあるようです。もっとやっかいなのは身内や知り合いで、そういう人に盗難された場合、暗証番号(誕生日)などのデータが判明しているので、引き出しも安易にされてしまう場合もあります。それで「誕生日などとは関係ないものに」と銀行も呼びかけているのですが、くくりつけられる数字でな
変形文字「CAPTCHA」はもう無意味?
Webサービスの認証などに利用される変形文字のCAPTCHAはユーザーの妨げになるだけで、不正アカウント取得を防ぐ役には立たなくなったのか。 Webサービスでアカウントの不正取得を防ぐために使われている変形文字の「CAPTCHA」は、もう役に立たなくなっている――。人気WebメールのCAPTCHAを破るボットの相次ぐ登場を受け、セキュリティ研究者がこう指摘した。 セキュリティ企業のWebsenseは先に、米Microsoftの無料Webメール「Windows Live Mail」のCAPTCHAを破るボットが出現したと報告。続いてGoogleのGmailのCAPTCHAも破られたと伝えている。 IBM傘下のセキュリティ企業Internet Security Systems(ISS)のガンター・オルマン氏は2月25日のブログでこうした現状について紹介。CAPTCHAはかつてはいいアイデアだっ
Googleを脆弱性スキャナに。ハッカー集団が新ツール
ハッカー集団Cult of the Dead Cowが、脆弱なWebアプリケーションやパスワードなどをGoogle検索するツールをリリースした。 検閲反対のスタンスで知られるハッカー集団Cult of the Dead Cow(cDc)が、Google検索エンジンを使い勝手のいい脆弱性スキャナに変える新ツールをリリースした。 ジョニー・ロング氏の「Google Dorks」――機密情報を見つけるための検索クエリー――にヒントを得たcDcの「Goolag Scan」は、さらに限界に挑み、Windows GUIベースのスタンドアロン検索アプリケーションを提供している。 オープンソースのGoolag Scanには、脆弱なWebアプリケーション、設定ミスでバックドアが開いているWebサーバ、ユーザー名とパスワードなど、インターネット上で誤ってさらされてしまっている文書を検索するための約1500種の
セキュリティ過敏症 - ぼくはまちちゃん!(Hatena)
初心者はPHPで脆弱なウェブアプリをどんどん量産すべし ↑のブックマーク うん。増田くんはいつもいいこと書くね! ブックマークの方には 危険だとか迷惑だとか踏み台だとか色々かいてあるけれど(というか踏み台ってなんだろ?) そんなに大切な個人情報をたくさん扱ってるサイトなんてどれだけあるかな。 みんなそういうサービスつくってるの? なんかすごいね。 ぼくの使っている範囲だと、(提供側が気をつけていないと) 本当にまずいのは銀行と証券とカード会社のような、お金のからむサービスくらいだよ。 もちろん、他にメール内容だとか、購読しているフィードだとか、知られたくない個人情報なんてのは、人によってたくさんあるよね。 だけど、例えばぼくがメールサービス作りましたなんて言ったら誰か使う? それか無名の団体だったらどうかな。それで大切なメールやりとりしちゃうの? そう。そもそも、利用者もそれほどバカじゃな
PHPで画像XSSの一味変わった対策。 - cybertのセキュリティ日記
IE仕様?をついた画像ファイルを使用したXSSというのがあります。なかなか決定的な対策がなく、私も困っています。画像の再コンバートとか、画像のファイルヘッダを確認するのも。コメントとかカラーパレットとかで、決定的なものがありません。 が、ちょっと作ってみたのが、 1.空の画像を作って 2.ユーザのアップロードしてきた画像を空の画像にコピーする これだといけそうな気がしたので作っていました。 PHPのimagecopyを使って画像XSSをやっつける。どうぞHACKしてください。 http://tepppei.com/hackme/img.php 画像XSSの詳しくは有名な方々のブログの方にお任せ。 <html> 画像XSSの対策をしました。<br> 任意の画像ファイルをアップロードしてください。<br> 完了したら対策した画像のリンクが出ます。<br> XSSが動いたらおめでとうですね。連絡
ガキはガキとして扱え : 404 Blog Not Found
2006年10月26日19:00 カテゴリTaxpayer ガキはガキとして扱え 理由の分析は同意するが、対策案は全く持って同意できない。 なんでかフラメンコ この件の最大の問題点は、子供の短絡思考ではなく「売春が何故いけないか」をキッチリ説明できる大人がいないということだろう。「法律で禁止されてるから」では限りなく黒に近い風俗産業の説明がつかないし、「道徳」や「倫理」では毛が生えたばかりの子供をねじ伏せることはできない。つまり、こういうクソガキを抑止するには、セックスに伴うリスクをあげつらい、恐怖感を与えるしかないのである。 悪いのは売春ではない。事実売春が犯罪でない国や地域は少なくないし、日本でも罰せられるのは「売女」ではなく「ヒモ」であるというのは以前何度か書いた通りである。 404 Blog Not Found:未成年特別価格 404 Blog Not Found:一人上手道 40
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://twitter.com/nanto_vi/statuses/849984251
「被害を隠すな」サウンドハウス社長が不正アクセス体験語る
PC
はてなブログ
