P3Pによるプライバシーポリシー設定
P3Pとは? † P3P(The Platform for Privacy Preferences)とはWebサイトが収集しえるプライバシー情報の取り扱い方(プライバシーポリシー)を自然言語ではなく、XMLで定義し、表明する文書です。従来、「顧客情報の取り扱い」「プライバシーポリシー」といったコンテンツで自然言語で表現されていたプライバシーポリシーをP3Pを使うことでプログラムが読める形にし、これによってユーザはあらかじめ自分のポリシーをクライアント(Webブラウザなど)に設定しておくことで当該Webサイトのポリシーが自身が設定しておいたポリシーに抵触しないかを自動的にチェックすることができます。 ただし、P3Pはあくまで当該Webサイトが自身のプライバシーポリシーを表明し、ユーザに通知することを自動化する手段です。つまり、当該Webサイトが実際にプライバシーポリシーに沿った運用をしている
2008-01-03 - SSL - 兼雑記
ずっとある程度まとめて勉強したことが無かった、 SSL について軽く調べてみた。あんま深く調べてないので真に受けんで下さい。
位置ゲーの位置詐称対策で検討すべき事
OHTSUKA Ko-hei @kokogiko @niryuu 後者の前提で一般的な話をすると、結局ケータイでの位置取得はGET/POSTでの経緯度通知にすぎないので、ユーザが嘘情報を流し込むと詐称されてしまいます。なので、確実に自分達のリンクから来たと検証する手段か、GET/POSTの送付先を知られないための隠蔽手段が必要。 OHTSUKA Ko-hei @kokogiko 前者の場合、Cookieに1回限りの使い捨てセッション埋め込んだり、Refererをチェックしたりで防げます。最近はCookieやRefererに対応したケータイが主流になってきたので、古い(と言っても意外と最近までですが)DoCoMoケータイを無視するならこれが一番簡単かと。
Twitterによる簡易版OAuth: "xAuth"
最近にわかにTwitter APIのxAuth認証が話題になっています。これは主にデスクトップアプリケーション向けに用意される認証方式で、簡潔に言うと「Webブラウザで認証画面を開く必要のないOAuth」といったところです。 従来のOAuth認証ではまずアプリケーション(OAuthコンシューマ)がTwitterに接続してRequest Tokenを取得し、認証画面を開いてRequest Tokenを承認させ、承認されたRequest Tokenを使ってAccess TokenとToken Secretを取得することによって各APIにアクセスできるようになります。しかしこれはアプリケーション側の実装が複雑になる上、デスクトップアプリケーションの場合はわざわざWebブラウザへ切り替えなければならず(ブラウザを内包するものもありますが)、ユーザにとっても面倒なものです。 そこで提案されたのがxA
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
OAuthに脆弱性、TwitterやYahoo!がAPIを停止 - @IT
2009/04/23 APIベースでWebアプリケーションやローカルアプリケーションを連携させる技術として普及が期待されている認可プロトコル「OAuth」(オース)にセッション固定攻撃の脆弱性が発見された。OAuthに対応したAPIを公開しているYahoo!やTwitter、YammerがOAuth対応APIによるデータ提供を緊急停止する事態となっている(Yahoo!のコメント、Twitterのコメント、Yammerのコメント)。一方、OpenSocialなどでOAuthを使っているグーグルはコメントで、問題が発見されたものと異なるOAuthを使っているため、現在提供中のサービスについて影響はないとしている。同様に、DVDレンタルサービスのNetflixも影響はないとしているなど、対応が分かれている。 OAuthコミュニティは2009年4月23日に詳細な脆弱性の報告を掲載。問題は「OAut
Re:本当は怖いOpenIDによる認証 - 日向夏特殊応援部隊
このエントリはmitani1207の日記の返信です。 OpenIDによる認証を受け入れるということは、自分のサイトのIDとパスワードの管理を外部サイトに委託することになる。 外部サイトがパスワードをどう管理しているかはわからない。もしかしたら、生でDBに保存してあって、管理者がSELECT * FROM USER_TABLEとかで簡単にとれちゃったりするかもしれない。これは課金情報やプライベートなデータを扱っているサイトにとっては心配だ。 この前提は同感ですね。 OP(IdP)がどのような管理を行っているかなんて、利用者あるいはRP(Consumer)からは判断のしようが無いですからね。 でこの辺りの話は手前味噌ですが、@ITでのOpenIDの連載で書かせて頂きました。 OpenIDをとりまくセキュリティ上の脅威とその対策 (3/3):OpenIDの仕様と技術(4) - @IT にある、「
OAuthと周辺技術の勉強会 — ありえるえりあ
OAuthの典型的シナリオ userがconsumer(Web上のサービス)を利用 userはSP(別のWeb上のサービス)にアカウントを持っている SPは一般にSNSで、userがSP上に蓄積した情報(個人プロファイルや友達リストなど)は原則的にSPの外部に非公開 consumerは、userに許可を得て、SP上の情報を取得する ただし、userはconsumerにSPのパスワードは教えない OAuth 1.0aの動作シーケンス 表記法 リクエストとレスポンスの区別は自明ですが、ひとめで分かるようにリクエストは --> 、レスポンスは ==> にしています。 リクエストやレスポンスペアの上に書いてある数字はOAuth1.0aスペックのセクション番号です。リクエストパラメータやレスポンスの内容はスペックの該当セクションを参照してください。 リクエストやレスポンスペアの下に書いてある文字列は
たけまる / OpenID に向いている認証と向いてない認証
_ OpenID に向いている認証と向いてない認証 [openid] ZIGOROu さんのとこで,OpenID の使い道について面白い議論がされてい ました. Re:本当は怖いOpenIDによる認証 - Yet Another Hackadelic まず大前提として個人情報等、センシティブなデータを取り扱うサイトは 必ず会員登録は行うべきで、認証、認可はRPのIdentifierに対して与えら れるべきです。 RP (Consumer) のユーザID で認証するのであれば,OpenID を無理に使わ なくても良さそうな気がします.この後,ZIGOROu さんのエントリではい くつかの解決策が提案されているのですが,一歩戻って OpenID の使いど ころについて考えてみることにしました. # これから書くことって当たり前のことな気がするけど,そういうことで # も書いて確認できるのがブロ
パスワードが無くなってログインできない Mac に無理矢理ログインする方法
会社で前任者が使用していたMacを使用する際など、管理者ユーザーのパスワードが紛失してしまってログインできなくなってしまう場合があります。っていうか、実際になって大変困りました>< このような場合、Mac OS Xでは「シングルユーザーモード」でOSを起動して、ユーザーのパスワードを自由に書き換えてログインできるようにすることができます。万が一の場合に便利なのでご紹介いたします。 参考にしたページはこちら。 http://d.hatena.ne.jp/viz3/20091029 ■対象環境Mac OS X 10.4以上であること (launchctlを使用するため)UNIX / Linuxの対話環境についてある程度以上の知識があること失敗しても泣かない心があること大変申し訳ありませんが、こちらに記載されている内容を実行して失敗してシステムが起動しなくなっても当方は責任を負いかねます>< 1
Androidアプリに不正ソフト、パスワード盗難の恐れ
GoogleのAndroid携帯向けアプリストアで、銀行アプリに見せかけた不正アプリが販売されていたことが分かった。 米GoogleのAndroid携帯向けアプリストアで、オンラインバンキングアプリに見せかけてパスワードなどの情報を盗み出す不正アプリが販売されていたことが分かり、セキュリティ企業や金融機関が注意を呼び掛けた。 SANS Internet Storm Centerやセキュリティ企業のF-Secureによると、問題の不正アプリは「Droid09」という匿名の開発者が、オンラインバンキングアプリに見せかけて作成した。実在の金融機関名をかたり、Android Market Placeで販売していた。 F-Secureによれば、名前を使われた金融機関は米国の銀行や信用組合など多数に上る。いずれもアプリは無許可で開発されたもので、Android携帯上でオンラインバンキングのWebインタ
Winnyサイトブラウザ "Nyzilla" - Download
発行元: Hiromitsu Takagi, Toshima-ku, Tokyo, JP (期限切れ中) 脆弱性対応期限: 2012年12月23日まで 重要なお知らせ 現在、インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れています。(2011年12月30日) 最新情報 インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れました。(2011年12月30日) 脆弱性対応期限を延長しました。(2011年12月23日) Nyzillaとは Nyzillaは、Winnyのサイトを閲覧するブラウザです。ファイル共有・交換ソフトではないので、ファイルのアップロード機能はありませんし、ダウンロード機能もありません(※1)。WebブラウザやFTPソフトと同じように、1つのサイトとだけ接続して、そのサイトがどんなファイルを公開しているか(
セブン−イレブン、住民票と印鑑登録証明書を発行 - MSN産経ニュース
コンビニエンスストア最大手のセブン−イレブン・ジャパンは21日、店内の専用コピー機に住民基本台帳カード(住基カード)をかざすだけで住民票と印鑑登録証明書が発行できるサービスを来年2月2日から順次、開始すると発表した。 来年3月以降は、それら以外の各種証明書発行についても導入を検討する。店内端末を使い、本格的な行政サービスを行うのはコンビニでは初めて。 まず東京都渋谷区と三鷹市、千葉県市川市の合計6店舗で2月2日から開始。3月には全国5000店、5月には全1万2500店舗に広げる計画だ。 使い方は、各店舗に導入される予定の新型マルチコピー機のICカード読み取り部分に住基カードをかざし、本人を確認。交付手数料を支払うことで住民票などがプリントアウトされる仕組みだ。利用料は、各自治体の200〜400円と同額。 セブンは委託料として収入を得るほか、普段コンビニを使わない高齢者の女性層などを同サービ
URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる
12月10日にPC版がスタートしたサイバーエージェントのミニブログサービス「Amebaなう」で、あるURLをクリックすると、「こんにちは こんにちは!!」というフレーズとクリックしたURL文字列が自動で投稿され、「はまちや2」さんのアカウントを自動でフォローしてしまうという現象が広がった。 URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)を突いたもの。同社は10日夜、URLをクリックしないようユーザーに告知。誤ってクリックした場合は投稿を削除し、はまちや2さんのフォローを外すよう呼び掛けた。11日朝までに脆弱性も修正したという。 mixiでも2005年、あるURLをクリックすると「ぼくはまちちゃん!」という日記が勝手に投稿されるという、CSRFを利用したスパムが流通したことがあった。コミュニティーサイト構
第1回 OAuthとは?―OAuthの概念とOAuthでできること | gihyo.jp
今回から始まった「ゼロから学ぶOAuth」。全4回の特集にて、これからのWebサービスを開発する上で不可欠な技術「OAuth」について取り上げます。初回は、OAuthの概念について取り上げます。 はじめに はじめまして、iKnow!改めsmart.fmの真武です。現在smart.fmでは、OAuthやOpenID、OpenSocial、Semantic WebやActivity Streamなどといった新しい技術の導入を積極的に行いサイトを活性化させるとともに、smart.fm APIを通じて我々の技術を外部のデベロッパの方々にも提供しています。 smart.fmは日本最大のOpenID Relying Partyであるだけでなく、国内では数少ないOAuth Consumer(後述)およびOAuth Service Provider(後述)を兼ねるサービスとなっています。こういった背景
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
FreeBSDいちゃらぶ日記
IDEA * IDEA
はてなブログ | 無料ブログを作成しよう
http://www.machu.jp/posts/20090801/p01/
経済、株価、ビジネス、政治のニュース:日経電子版
