タグ

2007年12月6日のブックマーク (6件)

  • おさかなラボ - 人間様には見えなくて、spamボットには見える不思議なCAPTCHA

    それは偶然発見した。なんとGmailのパスワード入力画面にもちゃんと歪んだ画像CAPTCHAが実装されているのだ。しかもほとんどのボットに見え、ほとんどの人間に見えないCAPTCHAである。ちょっとした工夫でCAPTCHAの欠点を補い、利点を生かしているのだ。見つけた時、思わず拍手してしまった。 事の始まりはこうだ。さっき、Gmailにログインしようとしたら、以下のようなエラーが出た。 平凡なエラーだ。しかしまずいことに、2度目、3度目も間違えた。そこでふと「Gmailは何回くらいでアカウントがロックされるんだろう」という疑問が湧いた。そもそも自分には、ブルートフォースアタックに対抗するにはアカウントロックしかないと考えていた。 するとなんと、10回目のミスで、次の画面が現れたのだ。 アカウントがロックされる代わりに、突然CAPTCHAが現れた。 つまりこうだ。パスワードを10回

    stibbar
    stibbar 2007/12/06
    もはや基本になってるんでしょうか?
  • セキュリティレベルの高いサイトを構築する 22 カ条 :: Drk7jp:

    最近、何処の会社でもセキュリティに関してうるさく言われているかと思います。自分としても今まで気を遣ってきていたつもりではあります。しかしながら、 なぜSSL利用をケチるのか:IT Pro SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも 安全なWebサイト設計の注意点 を読んでみて、お恥ずかしい限りですが勘違いしていた部分もありました。実際、Amazon とか Yahoo! のログイン画面を見ても、デフォルトが http によるアクセスになっていたりして、メジャーどころでも最新の注意が払われている訳ではないのだなぁ〜と思ったり・・・。当は全ページ SSL が理想とは知りつつも、SSL の処理負荷の高さ故に、ついついケチったページ遷移にしまうからなのでしょう。。。自分含めて。 自分への情報もかねて、上記ページに記載されている、31箇条の鉄則と最近の事情を加

  • ユーザー認証によるアクセス制限(ベーシック認証編)

    前回はIP認証を用いたアクセス制限方法を紹介した。今回は、パスワードなどの入力を要求するユーザー認証について解説しよう。ユーザーをグループ化すれば複雑な認証体系にも対応できる。 ユーザー認証とは 前回「IP認証によるアクセス制限のテクニック」の予告どおり、今回は「ユーザー認証」について解説する。ユーザー認証は、Webサイトへのアクセスに対してユーザー名とパスワードの入力を求めるアクセス制御方法である。入力されたユーザー名とパスワードが、あらかじめ登録されたものと一致すればアクセスを許可し、要求どおりのページを表示する。 前回紹介した「IP認証」は、アクセスしてきたコンピュータのIPアドレスを認識し、許可されたIPアドレスと一致するかどうかを確認する方法だった。これがアクセスするコンピュータを限定する方法であるのに対し、今回のユーザー認証は人間を限定する。重要なポイントは、どちらも確実な方法

    ユーザー認証によるアクセス制限(ベーシック認証編)
  • サーバのスペックを調べる方法について - OKWAVE

    ssh でログインできるのなら、/proc というディレクトリの中にある仮想ファイルでアクセスできます。 # cd /proc # cat cpuinfo CPU情報(モデル名やクロック周波数など) # cat meminfo メモリ情報(総容量や空き容量など) ディスクに関しては、通常ユーザーも使える df コマンドで情報が取れると思います。 # df パーティションごとの総容量、使用量、空き容量 ※dfの空き容量は、スーパーユーザーのみが使える予約ブロックの分が差し引かれます(デフォルト=5%)ので、送料量-使用量の計算結果より少なく表示されます。

    サーバのスペックを調べる方法について - OKWAVE
  • スプーフィング - HackingWiki

    FrontPage スプーフィングとは † スプーフィングとは、いわゆるだましのことで、何らかの方法を用いてあたかも正常な処理が行われているとみせかけ、実際にはそうではない結果を得ることが可能です。 様々な手法がありますが、ここではセッションをなりすましてパスワード認証を回避したアクセス/データ取得のことを書くことにします。 ↑ IPスプーフィング † TCP通信ではサーバとの通信時のスリーウェイハンドシェイクの際シーケンス番号を毎回発行するのですが、その番号が規則性を持って発行されている場合、推測が可能となります*1。 これを利用して攻撃対象サーバーの初期シーケンス番号を推測してACKパケットを送信し、発信元を偽装することで発信元になりすますことが可能となります。 信頼されたサーバAクライアントB間で通信を行っている際、信頼されていない攻撃者Cがサーバにアクセスするためは発信元を偽装

  • 24時間稼動サーバ@自宅なら電気料金プランの再考を | スラド

    以下、計算を簡単にするため24時間コンスタントに電気を使用する場合を想定してみました。 月間120kWh使用する場合(平均160W)、ナイト8は昼間80kWh夜間40kWh、ナイト10昼間70kWh、夜間50kWh 従量電灯B: 2,745円 [google.co.jp]=基料金(30A)819円+電力量料金120kWh×16.05円/kWh ナイト8: 3,158円 [google.co.jp]=基料金1260円+昼間料金80kWh×20.05円/kWh+夜間料金40kWh×7.35円/kWh ナイト10: 3,186円 [google.co.jp]=基料金1260円+昼間料金70kWh×22.05円/kWh+夜間料金50kWh×7.66円/kWh 月間240kWh使用する場合(平均330W)、ナイト8は昼間160kWh夜間80kWh、ナイト10昼間140kWh、夜間100kWh