今なぜHTTPS化なのか?インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景
【変更履歴 2018年2月15日】当初の記事タイトルは「いまなぜHTTPS化なのか? 技術者が知っておきたいSEOよりずっと大切なこと ― TLSの歴史と技術背景」でしたが、現行のものに変更しました。現在GoogleではWebサイトのHTTPS対応と検索結果の関係を強調しておらず、本記事の趣旨の一つにも本来は独立した問題であるSEOとHTTPS化を関連付けるという根強い誤解を解くことがありますが、当初のタイトルではかえってSEOとHTTPSを関連付けて読まれるおそれがあり、また同様の指摘もいただいたことから変更いたしました。 HTTPとHTTPSは、共にTCP通信上で動作します。したがって、いずれもTCPハンドシェイクで通信を開始します。 HTTP通信の場合には、このTCPハンドシェイク直後に、HTTPリクエストとレスポンスのやり取りが始まります。このHTTPのやり取りは平文通信であり、途
piyolog
2024年5月28日、生成AIを使用したマルウエアを作成した容疑で警視庁が男を逮捕したことが報じられました。ここでは関連する情報をまとめます。 対話型生成AIを使用しランサムウエアらしきものを作成 男の容疑は不正指令電磁的記録作成。2023年3月31日に自宅PCやスマートフォンを使用して、対話型生成AIを使用し、不正プログラムの設計情報を組み合わせてマルウエアを作成した疑い。2024年3月に警視庁は男を偽造身分証を使用してSIMカードの不正契約を行ったなどとして詐欺容疑(今回の事案とは別件)で逮捕しており、*1 捜査より自宅から押収されたPCを解析したところマルウエアが発見された。*2 生成AIを使用したマルウエア作成の事案摘発は全国で初めてとされる。*3 男が作成したマルウエアは、実行環境のデータを破壊(暗号化とも報道)し、暗号資産の要求をする機能が含まれており、いわゆるランサムウエアに
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
mixiアプリからの署名付きリクエストの受け側を作る - ppworks.jp
前回、署名付きリクエストで外部サーバへデータを保存する方法を見てきましたが、そんでは受け側はどうやって作ろうかというお話です。 外部サーバのAPIはPHPとMySQLを用いて作成することを前提とします。 ** 署名の確認 OAuthの署名を用いて、リクエストがコンテナから発行されたものであることを確認します。 このときリクエストに含まれる -oauth* -opensocial -xoauth_ といったパラメーターは、コンテナがリクエストの際に付与するパラメーターです。 これらはOAuthの認証や、アプリケーションの情報を確認するために使用します。よって同名のパラメーターは指定出来ない事に注意します。 たとえば、パラメータとして以下のようなパラメータを渡すと || opensocial_owner_id=123456789 ||< とか || opensocial_hogehoge_id
署名付きリクエストで外部サーバへデータを保存する - ppworks.jp
今までアプリケーションのデータ保存は永続化データに任せていました。この度、mixiアプリを作成しましたで作成したアプリを機能拡張するにあたり、データを外部サーバに保存してみようと思います。あるユーザの投稿内容を外部サーバへ送る際に気をつけなければ行けないことを調査してみました。 結論からいうと、署名付きの |javascript| gadgets.io.makeRequest ||< を使うようにする、ということになります。 今回はその具体的な使い方を見ていきます。 その前に、OpenSocialアプリケーションとOpenSocialコンテナ、外部サーバの関係について整理しておきます。 ** 署名なしのgadgets.io.makeRequestからのリクエストを確認する まずは署名なしのgadgets.io.makeRequestを使ったリクエストはサーバ側へ、どのようなパラメータを渡す
第2回 OAuth Consumerの実装(入門 : OAuth Access Tokenの取得と利用) | gihyo.jp
OAuth Consumerサンプルを動かす 第1回では実際にOAuthを利用したサービスを触り、ユーザから見たOAuthを理解しました。またOAuthの大まかな処理フローについても触れました。 第2回と第3回では、OAuth Consumerの実装を通じてより深くOAuthを理解します。とは言っても、ゼロからアプリケーションを実装していくのには限界があるので、ここではあらかじめ(Ruby on Railsで)実装したサンプルアプリケーションを使います。なお、ConsumerとService Providerの実装は、すべてrailsを用いて行います。 Ruby on Railsの構築に関しては、技術評論社『WEB+DB PRESS』やRubyist Magazineの記事などをご覧ください。 まずはgithubに公開されているoauth_sampleを動かしてみてください。gitをお使い
第1回 OAuthとは?―OAuthの概念とOAuthでできること | gihyo.jp
今回から始まった「ゼロから学ぶOAuth」。全4回の特集にて、これからのWebサービスを開発する上で不可欠な技術「OAuth」について取り上げます。初回は、OAuthの概念について取り上げます。 はじめに はじめまして、iKnow!改めsmart.fmの真武です。現在smart.fmでは、OAuthやOpenID、OpenSocial、Semantic WebやActivity Streamなどといった新しい技術の導入を積極的に行いサイトを活性化させるとともに、smart.fm APIを通じて我々の技術を外部のデベロッパの方々にも提供しています。 smart.fmは日本最大のOpenID Relying Partyであるだけでなく、国内では数少ないOAuth Consumer(後述)およびOAuth Service Provider(後述)を兼ねるサービスとなっています。こういった背景
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
配信初日に95%の海賊版を確認−iPhone用ゲームで制作者の嘆きの声 / GameBusiness.jp
iPhoneで再び不正コピー率90%を越えるゲームが出てしまいました。 iPhone用ゲーム『Rally Master Pro』では95%が海賊版だったとのことです。『Rally Master Pro』は3Dグラフィックのラリーゲーム。iPhoneらしいハイクオリティなグラフィックが特徴です。 開発元であるFishlabsは、配信開始日に95%の海賊版を確認したと発言しています。同社はUDID(unique device identifiers)と呼ばれるIDを収集することによって海賊版をチェックしているそうですが、数千の海賊版が見られたとのことです。 95%という不正コピー率が明かされたのは、欧州と米国における『Rally Master Pro』の価格差(北米版が欧州版より少し安い)に関する議論をしているスレッドです。 Fishlabsは「『Rally Master Pro』は練
「9割以上が海賊版」−iPhoneゲームで深刻な著作権侵害 / GameBusiness.jp
9割が海賊版だった・・・iPhoneのゲームもコピー問題とは無縁ではないようです。 iPhone用ゲーム『Tap-Fu』はオンラインランキングの9割が海賊版だったとのことです。 『Tap-Fu』はiPhone用の格闘アクションゲーム。画面上にタッチで図形を描くことで様々な技を繰り出すことができます。 『Tap-Fu』を開発したSmells Like Donkeyは公式サイトにおいて、不正コピーに関する調査結果を公開しています。 『Tap-Fu』のオンラインランキングでは、スコアなどの基本的な情報と共に「デバイスID」と「Pirated Flag(海賊版フラグ)」を送信しており、この集計からオンラインランキングに参加した9割以上が海賊版だったと確認しているとのことです。 同社によれば10月16日の配信開始から40分で海賊版が登場し、オンラインランキングでは海賊版の割合が5
サン牧無双 - 株式会社メキシコシティー
【募集終了】AllReceiver.csの人 ナイスソリューションありがとう あとコマンドラインキャプチャとFirebug教えてくれた人ありがとう 金ください おもな機能 無双ボタン マイミクの畑を自動巡回して無双 家畜ボタン マイミクの畜産広場で無双 人参スパム 金2を経験1に変換しまくる よげんのしょ これから起きるイベントを表示 ※注意:畑レベル10未満が家畜無双すると畜産広場に入れちゃうバグが発動するから絶対使うなよ絶対だからな 使い方 解凍してsanboku.exeを実行 ブラウザでサン牧ひらく 触ると面倒な子のIDをシカトIDにつっこむ(カンマ区切り) 無双 セッションIDは1時間ごとに変化するので(”長時間どうたら”のメッセージが出る) そのつどブラウザ使って取り直しするように リロードが面倒! ちょっとしたツールでどうにかなるかも? 注意 コレ使ってBAN食らったりパソコン
PuTTY ごった煮版
概要 PuTTY は、Simon Tatham 氏によって作成された、フリーの Win32 用 Telnet/SSH クライアントです。 そのPuTTYのbeta 0.54に対しhdkさんの作成された「PuTTY で ISO 2022 による日本語入力・表示を可能にするパッチ」やAritaさんの作成された「PuTTY を INIファイル対応にするパッチ」や「PuTTY を PortForwarder みたいにするパッチ」をあててコンパイルが通るようにしたあと、私が必要とする機能をいくつか付け加えてみました。 当時のhdkさんやAritaさんのパッチがbeta 0.53b用だったためこのパッチを作成したのですが、その後hdkさんが0.55対応したパッチを公開され、それ以降も随時本家PuTTYリリースにあわせてリリースされていますので、このパッチの役目は終わりましたが、折角なので公開は続けます
「無料で遊べる」携帯ゲーム高額請求相次ぐ(読売新聞) - Yahoo!ニュース
「無料で遊べる」とうたう大手携帯ゲームサイトから高額な情報料を請求され、トラブルになるケースが相次いでいる。 5歳の子どもが親の携帯電話で遊ぶうち、10万円もの高額アイテムを購入してしまった事例も。親は電話料金に上乗せされた請求を見て初めて気付くことが多いという。国民生活センターは携帯電話会社などに対し、高額請求の場合は一時的に請求を止めて調べるなどの改善策を求めた。 山形県内の主婦(37)が、ソフトバンクモバイルからの請求金額が急増したことに気づいたのは今年5月。明細には「情報コンテンツ料 4万5150円」とある。小学3年生の長男(9)に聞くと、大手サイト「グリー」で自分の分身(アバター)を飾るアイテムを買っていたという。 ゲームは原則無料だが、アバターを飾ったり、ゲームを有利に進めたりするための特別アイテムは有料で、1点5250円するものもある。テレビコマーシャルでは「無料で遊び
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
TwitterでスパムDM出回る フォロワーに自動でDM送りつけ
Twitterで8月1日ごろから、スパムDM(ダイレクトメッセージ)が出回っている。DMに書かれたURLのページにアクセスし、ボタンをクリックすると、同じDMを自動でフォロワーに送り付けるという仕組み。ITmedia Newsのアカウントにも数通届いており、日本のユーザーも被害にあっている。 DMとは、2人のユーザー間でやりとりできるメッセージ機能。通常の投稿「つぶやき」(Tweet)と異なり、内容は送ったユーザーと受け取ったユーザーしか見られず、相手が自分をフォローしていないと送れない。スパムDMも、見知らぬアカウントではなくフォローしているアカウントから送られてくるため、内容を信頼し、書かれたURLを思わずクリックしてしまう人が多いようだ。 スパムDMは英文で、「has sent you a FREE GIFT to join MobsterWorld. Accept you free
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
とある診断員とSQLインジェクション
mixiアプリが危険な件、幾つか追記。 | day by day
mixiアプリの件、一段落のようです。 | day by day
有効なWikiNameではありません - namespace gimite