JALの不正ログイン事件について徳丸さんに聞いてみた
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、JALの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。日本航空のホームページに不正アクセスがあり、JALマイレージバンク(JMB)のマイルが、Amazonのギフト券に勝手に交換される被害がありました。日本航空の発表では、1月31日から2月2日にかけて、身に覚えがないマイル交換がされているという問い合わせが複数ありました。調査の結果、40人の利用者のマイルがアマゾンのギフト券、数百万円相当と交換されていたというものです。 徳丸: ここで問題となるのは、パスワードは数字6桁ということなんですよね。 高橋: やはりそこですか。パスワードが数字6桁だとどのような攻撃ができるのでしょうか? ブルートフォース攻撃 徳丸: まず、ブルートフ
OAuth 2.0になると2-legged OAuthはどうなってしまうのか - r-weblife
こんばんは、ritouです。 今回は、OpenSocial等で利用されている2-legged OAuthがOAuth 2.0時代になるとどうなってしまうのかをちょっと考えました。 けっこう使われている2-legged OAuth 説明は省略します。 2-legged OAuthによるAPIアクセス << mixi Developer Center (ミクシィ デベロッパーセンター) 下記のような特徴があります。 Consumer Key をリクエストに含み、Signatureによりそのリクエストを検証可能 Timestamp,nonceもついてる で、これがOAuth 2.0時代になるとどうなるかを考えます。 OAuth 2.0だとどうなるのか OAuth 2.0の仕様とは、簡単に言うと"なんとかしてAccess Tokenを取得"して、あとはそれを使って"なんとかしてリソースアクセスする
なんとなくOAuth怖いって思ってるやつちょっと来い - r-weblife
こんばんは、ritouです。 Twitterの問題が発覚した際、こんなgistも書きました。 gist:5053810 · GitHub 今朝、こんなTweetしました。 https://twitter.com/ritou/status/317429458657222657:twitter:detail:left gistに書いた通り、私の考える今回の問題の本質はoauth_callbackの管理、その一言に尽きます。他に2legged OAuthが入るとごちゃごちゃするので、OAuth 1.0の実装のポイントについてまとめてみました。 なんとなくOAuth怖いって思ってるやつちょっと来い from Ryo Ito もちろんこれだけではわけがわからないと思うので、説明が聞きたければどこかで話してもいいです。ぜひ声をかけてください。 普段は秋田にいますが、唯一この勉強会にはよく参加しているの
Cookie使ったセッション管理も認可だと思うわって話 - r-weblife
こんばんは、ritouです。 OAuthが認可の仕組みだっていうのはだいぶ広まった感ありますね。 でも、なんかまだしっくりこないっていう人いると思います。 その理由の一つとして、Webアプリケーションでよく使われている”Cookieを使ってログインセッションを保持する”しくみ、あれが一般的に認証って言われてるせいじゃないかと思ったりします。 こいつ、OAuthと同じで、途中で認証もしてるけど、全体で見ると認可のしくみじゃねーか的な感じで書いて見ます。 いわゆる”Webアプリケーションの認証フロー”は次のような感じでしょう。 ブラウザはログイン画面を表示 ブラウザは入力されたメアド/パスワードをログイン用URLにを送信 Webサーバーが組み合わせを検証 有効な場合、WebサーバーはSession Cookieを発行 ブラウザはSession Cookieつきで会員情報を表示するURLにアクセ
レッチリ、スーパーボウルでのテープ演奏についてフリーの公開書簡の全文訳を掲載-rockinon.com|https://rockinon.com/news/detail/96662
2月2日に行われたNFLスーパーボウル・ハーフタイム・ショーのブルーノ・マーズのステージに客演したレッド・ホット・チリ・ペッパーズだが、実はアンソニー・キーディスのヴォーカル以外のバンドのパフォーマンスはテープ演奏だったことを認めている。 レッド・ホット・チリ・ペッパーズはブルーノ・マーズのパフォーマンスの5曲目で登場し、“Give It Away”の演奏を披露したが、この時のフリーのベースがまるでアンプとは繋がっていない様子だったことがネットの画像などで指摘されていた。これに対してフリーは次のように公開書簡で答えている。全文訳は以下の通り。 「スーパー・ボウルで“Give It Away”をやってくれないかとNFLとブルーノから要請を受けた時、ヴォーカルはライヴになるが、ベース、ギター、ドラムはあらかじめレコーディングされることになると事前にも通告されていたんだ。ステージの設置に数分間し
コンソールから切れたプロセスを標準出力につなげなおす - 絶品ゆどうふのタレ
不慣れな環境を不意にいじった時にあるあるネタ。 とりあえずー とか言って勢いで書いたsetupスクリプトを実行してみたら意外と時間かかって、 ちょっと目を離した隙にsshの接続が切れちゃいました! 。。。ありますよね。ほんとよくありますよね。 そうなる予感はあったんだ なんて後の祭りです。ふとした油断から、screenもnohupすらも使わずにやってしまって、こんなことに。 shellがHUPしなかったからプロセスは生きてるものの、ログが見れないから進行状況がわからない。 うまく行ってるのかどうかモヤモヤした気持ちのまま、プロセスが終わるのをじっと待つ。。。 まぁ実に切ないです。 こんな時、いつも思うこと。 このプロセスの出力、もっかいstdoutに繋げられたらいいのに。。。 はい。というわけでつなげましょう。 長い前座ですみません。 切り離したプロセスを用意 #!/bin/bash wh
翻訳はあなたの記事ではない
ウェブ開発を始めとした様々なジャンルにおいて、その有用な文書の多くは日本語以外で書かれている。幸いなことに多くの人がその翻訳を公開してくれている。僕も自分が強く興味をもった範囲で訳したりもしている。良い時代だなと思うが、その翻訳がブログの記事として公開されてしまうと、「んんっ?」と思ってしまう。 もちろんブログが技術文書のようなものを読みやすいデザインじゃないこととか、そのブログのスタイリング上の制限によって元文書から一部情報が欠落する可能性が高いこととか、そういう実際上の問題もある。そういった問題だけでなく、翻訳はあなたの記事ではないし、そうは成りえないということがある。それをブログの記事として公開してしまうと、様々な悪影響があると思う。 よくあるパターンは翻訳の前に訳であることの明示と同時に訳者の意見が書かれているパターン。前置きとして訳者の意見があったりすると先入観を読者に与えてしま
LiveClip という chrome app を作りました - kurainの壺
動画を見てもらうのが早いのですが、Chrome で開いている Web Site の好きな部分を、フチ無しのPopup Window で表示できるという Chrome App です。 なにが嬉しいの? という感じかもですが、 youtube, ニコ動 など popup window 表示に対応してない動画サイトでも小さな window で表示できる しかも、どの window よりも最前面で表示される (dev channel のみの機能) 更に、拡大縮小しても動画再生が可能(操作は不能になります) という機能があります。ようは、"小さい画面でも動画を画面端で再生しっぱなしにしたい" という欲求のために作ったソフトウェアです。 Chrome App と Chrome Extension が協調して動いているので LiveClip (App) LiveClipExtension (Extens
Requirements and Installation on Mac OS X 10.6 Snow Leopard - Docker Documentation
Note These instructions are available with the new release of Docker (version 0.8). However, they are subject to change. Note Docker is still under heavy development! We don’t recommend using it in production yet, but we’re getting closer with each release. Please see our blog post, “Getting to Docker 1.0”
エンディアン - Wikipedia
コンピュータで扱う数値(やデータ)は、1バイトで表現されるもの以外に、2バイト、4バイト、8バイトなど複数バイト(多バイト)で表現されるものがある。一方、記憶装置は汎用化され、最小の1バイト単位でも扱えるように、1バイト毎に番地(アドレス)が連続して割り振られている。すると、多バイトの数値やデータの各バイトをどのような順序で記憶装置に格納するかについての規則(バイトオーダ、バイト順)は、いくつか種類(選択肢)があることになる。 ビッグエンディアン(右)とリトルエンディアン(左) 数値の1番小さい桁1バイト分を、1番大きいアドレスの記憶装置に配置し順に並べる規則をビッグエンディアンという。それと対称的に、数値の1番小さい桁1バイト分を、1番小さいアドレスの記憶装置に配置し順に並べる規則をリトルエンディアンという[1][2]。 ビッグエンディアンを採用しているコンピュータやCPUとしては、IB
Why I stopped contributing to vundle
Table Of Contents ↓Vundle is my most popular OSS project. Yet I stopped contributing to it a while ago. Here I’ll try cover my reasons and also to initiate discussion about Vundle’s future. HistoryVundle was written to serve my personal needs as an experiment. It took me a day(while I was sick) to get initial version out and I spent significant time after polishing it towards v1.0 which hasn’t see
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews
[q][perl] fork したプロセスで Data::Section::Simple::get_data_section すると読み込みに失敗することがある? | いわぶろ(ろてん)