機密にGmail使うなって言ってんだろ - やまもといちろうBLOG(ブログ)
このスノーデン問題で少しは分かったかと思ってたのに、なんでいまだに重要機密のやり取りにgmail使ってんだよ…。 ネット情強「無料のグーグルサービスを賢く利用する(キリッ」 ⇒ 中央官庁の内部情報が外部にダダ漏れ http://alfalfalfa.com/archives/6658276.html 便利なのは分かるけど、内容が筒抜けに決まってんだろ、アメリカ法人のサービスなんだから。 あと、平気でSkype使って連絡取ってきたり、適切な暗号化処置もせずにdropbox使ったり、facebookメッセージでチャットして添付ファイル送んの、ほんとやめてくれよな。 今回バレたのgoogle groupみたいだけど、基本的にgoogleに限らずその手のサービスは全部情報漏れると思って使わないと駄目だと思うよ。分かってると思うんだけどなあ… 何だろうな。
EpisoPass
EpisoPass概要 問題プール編集 EpisoPassページ作成 EpisoPassページ生成 EpisoPass概要 EpisoPass™ は、個人的な記憶をもとにパスワードを生成するシステムです。 自分だけが知っている記憶を利用して、複雑なパスワードを生成できます。 たとえば増井のEpisoPassページの問題に正しく答えると Amazonのパスワードが生成されます。 秘密ファイルを管理したり、パスワードを記憶したりする必要がありません。 EpisoPassページの作成 EpisoPassページ作成には問題プールを使います。 問題プールは、秘密の質問と回答候補を並べたものです。 例: 県名 / ローカル地名 / 海外 / 人名 Webに置いた問題プールデータをURL引数に指定できます。 例: 県名 / ローカル地名 / 海外 / 人名 問題プール編集タブを選択すると 問題プールを編
大手サイトのrobots.txtでわかる「検索でヒットされたくないページ」の特徴
robots.txtとは robots.txtは、検索エンジンのクローラー(bot)に、クロールされたいページや、クロールされたくないページを教えるテキストファイルのことです。多くの検索エンジンのクローラーは、そのドメインの最上位ディレクトリに設置されたrobotst.txtを最初に読み込んで、クロールするべきページとクロールするべきでないページを取得し、それに基づいて巡回します。ただ、一部のクローラーには、このrobots.txtを無視するものもあります。 robots.txtの書き方はおよそ以下の通りです。 User-agent:(ここにbotのユーザーエージェントを記述。ワイルドカード指定も可能) Crawl-Delay:(クロールの時間間隔を指定) Disallow:(クロールされたくないページやディレクトリを指定) Allow:(Disallowで指定されたディレクトリの小階層で
Facebook、偽名を使うユーザーの調査を打ち切る
※この記事は本社サイト「Naked Security」掲載の記事を翻訳したものです※ by Lisa Vaas on September 26, 2012 Facebook は、サイト内で別名を使う友人を報告するようにユーザーに求める調査を打ち切りました。 実名のプライバシーをめぐる騒動は、あるユーザーが Facebook によるこの調査のスクリーンショットをツイートしたことをきっかけに始まりました。Facebook はユーザーに対して友人のアカウント名、プロファイルの写真、および地域を提示し、その友人のユーザー名が実名であるかどうかを質問していました。 Facebook に友人が実名を使っているかどうかを聞かれたら、あなたならどう答えますか? Facebook が TPM に認めたのは、数か月間にわたって友人のユーザー名に関する調査の実験を行っていたという内容でした。しかし調査の規模、期
自分の身を守りたければ、まずはFacebookのオバカ友人を整理すべし
サーバ移転のため、更新がしばらくできませんでした。もう書きたいものが溜まっちゃって・・。でもって有料メルマガの会員が思ったより集まったため、スペックの高いカゴヤの301という専用サーバのコースに移動しました。処理が早いので表示速度が計測値で以前のサーバの約半分くらいになりました。本日の13時にDNSを切り替えたので、まだこのページがNot Foundになってる方はあなたのプロバイダのネームサーバの更新が遅いんです。って・・見えてない人にこんなこと言っても意味ないが。 さてメルマガ第1号は月曜日には配信。初回は1 小さな学習塾が大手に対抗するためには 2 アフリエイトサイトはどうしたら儲かるか 3 販売サイトにスマホ対応は必要か 4 スマホ向けアプリ開発は儲かるか の4つのご質問にお答えしました。配信後でも申し込むと最新版が送られるようです。読みたい方はいまからぜひ。(広告モードおわり) で
もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
Portal Site - with Session
ポータルサイト(セッションの仕組み) ポータルサイトを作ろう 先ほどの個人情報検索システムは、誰でも使えてしまいましたが、これだとやっぱり問題が多いと思います。そこで、世間一般のポータルサイトなるシステムをまねて、ログインしたユーザ毎に異なる情報を表示するようなサンプルを作ってみたいと思います。 ってあまり期待しないで下さいね。 でもその前に、セッションについて説明をしておかないといけません。 セッションとは セッションとはいろいろな意味がありますが、Web システムのプログラミングに限定すれば、「ユーザのアクセスに対してユーザ毎に変数を保持する」という感じになります。Web システムでは、あるページにアクセスし、次のページにアクセスする場合、その間では変数は保持されません。もちろん、GET、POST を使って値を渡すことは出来ますが、「PHP の変数の保持」にはほど遠いものがあります。
恐怖!Twitterの5つの精神的脆弱性 - ココロ社
こんにちは。みなさんは「Twitter」というツールをご存じですか?ブログやmixiと違って、短い言葉をじゃんじゃん入力し、「そのリアルタイム感が『電車男』みたいで最高!」と好評の、アメリカ産のたった4杯で夜も眠れない電子黒船です。 しかし同時に「炎上促進ツール」と恐れられているのも事実。問題点を一言で言うと、「気軽に書けてしまうので脳内情報が流出しているのに等しい」ということだと思うのですが、以下、なぜこんなにTwitterが恐ろしいのか、ココロ子さんに登場していただき、考察していきたいと思いますので、熟読されたのち、注意して行動していただければと思います。 (1)家に居ながら「パーティでひとりぼっち」を体験できる! 誰もが体験したことがある「パーティでひとりぼっち」。あまり知らない人達の輪の後ろに立って、静かにかつ適当にうなずいて、結構時間が経ったかなと思って時計を見ても5分も経ってな
[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!:第1回 HTTPのしくみを復習しよう|gihyo.jp … 技術評論社
こんにちはこんにちは ! ! はまちや2です! 今日からぼくと一緒にWebプログラミングのセキュリティについて、ちょっぴり勉強してみませんか!今回はHTTPがどんなやりとりをしているのか、簡単におさらいしてみましょう!
![[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…!:第1回 HTTPのしくみを復習しよう|gihyo.jp … 技術評論社](https://cdn-ak-scissors.b.st-hatena.com/image/square/29c83b78ddd1366ab14d60f762747032e7fc5f2e/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2008%2F202_hamachiya.png)
webアプリケーションの脆弱性とは? - OKWAVE
こんにちは! 「フォームを勝手にサブミットしてしまう」 その認識でだいたいあってます!たぶん! そのmixiの例だと、 入力画面 → (送信1) → 確認画面 → (送信2) → 完了 ってなるわけですが、 いくら確認画面が間にあったところで、 (送信2)の部分を「勝手にサブミット」しちゃえばいいわけです。 ※ただし今のmixiや、ちゃんとしたwebサービスは送信時にトークンをつけるとかCSRF対策してるのでできません 実際の攻撃の例としては、mixiやtwitterなどの多くの人が繋がっている投稿型サイトで、 「こんにちはこんにちは!! このリンク先すごいよ! http://~」 のような書き込みをしておき、 そのリンク先でformやJavaScript等で「自動的に勝手にサブミット」してしまいます。 画面には何も表示されなくてもかまいません。 そしてさらに勝手に書き込む内容を 「こんに
ほいほいとFacebookのフレンド申請に応じているとアカウントをのっとられてしまうかもしれない
Facebookのアカウントは本名が基本ですので、フレンド申請される人の名前をみていて「以前このハンドル名で会った人かな?」と、確信がないまま承認してしまうことがたまにあります。 しかしそうしたことを繰り返していると、アカウントをのっとられてしまう可能性があることが The Blog Herald の記事で紹介されていました。その方法とは以下の通りです。決して悪用してほしくないですが、簡単にできてしまいますね…。 アカウントをのっとりたい相手にむかって3名分のダミーアカウントでフレンド申請を行う 相手がそれを承認したら、相手のアカウントに対してでたらめなパスワードでログインを数回試みる メールと携帯電話番号、そして秘密の質問による認証にもでたらめに答えて すると「3人の友人にあなたが本人であることを認証してもらってください」という表示があらわれ、3人を選択できます。乗っ取りを目的としている
Facebookのプライバシー設定で気をつけたい3つのポイント - はてなニュース
ソーシャルネットワーキングサービス「Facebook(フェイスブック)」で、入力した出身校や近況をもとに古い友人と再会したり、交流の輪が広がったりした人も多いのではないでしょうか。交流を楽しむ一方で、気を配りたいのがプライバシー設定です。Facebookへの投稿や個人情報の公開範囲など、適切なプライバシー情報の設定方法を紹介します。 ■ 投稿や個人情報の公開範囲を設定する Facebookでは、近況、写真、リンク、動画のほか、連絡先や交際ステータスなど、プライベートに関するさまざまな情報を公開、共有できます。その公開範囲が、Facebookの「推奨」と自分の想定とで違っているかもしれません。Facebookページ上部の「アカウント」から「プライバシー設定」を選び、現在の設定を確認してみましょう。 ▽ Facebook - プライバシー設定 「Facebookでのコンテンツ共有」の欄に、各項
暮らしの情報サイトnanapiはサービスを終了いたしました | nanapi [ナナピ]
2020年8月31日(月)をもちまして、nanapiに関わるすべてのサービスは終了いたしました。 nanapiは、2009年のサービス開始より「みんなで作る暮らしのレシピ」という考えのもと、ユーザーの皆さまに生活に関する様々な「ハウツー」を投稿していただく投稿型ハウツーサービスとして運営してまいりました。 約11年間にわたって皆さまからご支援をいただきサービスを継続できたこと、nanapi編集部一同、心より御礼申し上げます。 掲載されていたコンテンツなどのnanapiについてのお問い合わせは、nanapi@supership.jp までお願いいたします。 長きに渡りnanapiを応援してくださり、本当にありがとうございました。
主人がFacebookアカウントを剥奪されて3週間が過ぎました - 最速転職研究会
http://ma.la/fb/ というのを書いたので、経緯と補足を書きます。 読むのが面倒くさい人向けに、ものすごく簡単に要約しておきます。 Facebookにはリンクを他人と共有するいいねボタン(likeボタン)というのがある。 Facebookの「ファンページ」なるものをつくると、いいねボタンを押したのが誰だか分かる機能がある。 ユーザーに気付かれないように細工したiframe内のボタンをクリックさせたりするクリックジャッキングという攻撃手法があり、いいねボタンを強制的に押させることが出来る これによって悪意のあるサイトは、訪問者のFacebookアカウントを特定することが出来る この手の問題はFacebookに限った話ではない。CSRFやクリックジャッキングで行われたアクションの結果が第三者から観測可能な全てのサービスにある。 例えば強制的にはてなブックマークさせたりはてなスターを
パスワードの定期変更という“不自然なルール”
しばしば「パスワードは○日ごとに変更しましょう」といわれるけれど、それで本当にクラックの危険性は減るの? ペネトレーションテストの現場から検証します(編集部) ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 今回は久しぶりに、ペネトレーションテストの現場の話から始めよう。 ペネトレーショ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
プライバシー対策に誰でもカンタンにできる9つのこと | ライフハッカー・ジャパン
