CAPTCHAは愚策:江島健太郎 / Kenn's Clairvoyance - CNET Japan
最近ようやく初級プログラマーを卒業できた手応えのようなものを感じており、いよいよコードを読み書きするのが楽しくてしょうがない段階になってまいりました。 こういうとき、Rubyは初心者にもやさしいけど、上達すればどこまでも上のステージが用意されているような、まるで自然言語のようななめらかさ・しなやかさがあって、ほれぼれとします。デザインの美しいものに触れているときには人間はこんなにも幸せになれるのか、という感じですね。ときに、今回のブログネタは、デザインの悪いものに出会うとこんなにも気分が悪くなるのか、という話なのですが。 なお、新プロジェクトではデザイナーのクリスの勧めでHamlを使うことにしたり、アーキテクトのダニーの設計でJavascriptにPublish-Subscribe型の(つまり一対多の)コールバックのフレームワークを作ってみたり、ReallySimpleHistoryを使い
printenv at xss-quiz.int21h.jp
printenv at xss-quiz.int21h.jp Your IP address: 133.242.243.6 () NameValue HTTP_ACCEPT*/* HTTP_CACHE_CONTROLno-cache HTTP_CONNECTIONclose HTTP_HOSTxss-quiz.int21h.jp HTTP_USER_AGENTHatenaBookmark/4.0 (Hatena::Bookmark; Analyzer) QUERY_STRING REMOTE_ADDR133.242.243.6 REQUEST_METHODGET REQUEST_SCHEMEhttp REQUEST_URI/
SSLセキュア | SSLサーバ証明書を格安販売
SSLサーバー証明書で売上げアップ ショッピングカートはもちろん、資料請求やお問合わせなど、個人情報を入力させるフォームがある場合は、SSLサーバ証明書で、暗号化による情報漏えい防止とサイト運営者情報を表示し、ユーザが安心してウェブサイトを利用できるようにしましょう。 SSLセキュアなら年間費用1,185円(リセラー:1,126円)から利用できます。 サイトシールで安全性アピール! サイトシールは各SSL証明書発行会社の認証サービスを受けていることの証明であり、サイトシールの表示により、第三者認証局に認証されていることが一目でわかるため、ユーザに安心してサイトをご利用いただけます。 なりすまし防止強化で安心を フィッシング詐欺対策として有効なのが、実は「SSLサーバー証明書」。「誰が運営者なのか?」を証明する。それがなりすまし対策の重要なポイントです。 携帯サイトやスマホにも対応! 携帯電
書籍 ウェブアプリケーションセキュリティ サポートページ
1章 ウェブアプリケーションセキュリティの基礎 ・HTMLによる制限は回避可能である ・裏側で何が行われているのか ・パケットスニッファ ・プロキシツール ・ウェブブラウザの存在そのものが偽装できる ・リクエストの書き換えでHTMLの制限を回避する ・JavaScriptの制限を回避する ・hiddenフィールドの内容を書き換える ・フォームの値の書き換えとGET/POST ・Cookieを書き換える ・リファラやUser-Agentを書き換える ・リクエストに含まれる情報は信用できない 2章 データ処理の原則と指針 ・データ処理の原則 - 原則1 - 原則2 - 原則3 - 原則4 ・hiddenフィールドとCookieに関する指針 - 指針1 - 指針2 - セキュリティと前提 ・「入力時に型チ
おさかなラボ - 人間様には見えなくて、spamボットには見える不思議なCAPTCHA
それは偶然発見した。なんとGmailのパスワード入力画面にもちゃんと歪んだ画像CAPTCHAが実装されているのだ。しかもほとんどのボットに見え、ほとんどの人間に見えないCAPTCHAである。ちょっとした工夫でCAPTCHAの欠点を補い、利点を生かしているのだ。見つけた時、思わず拍手してしまった。 事の始まりはこうだ。さっき、Gmailにログインしようとしたら、以下のようなエラーが出た。 平凡なエラーだ。しかしまずいことに、2度目、3度目も間違えた。そこでふと「Gmailは何回くらいでアカウントがロックされるんだろう」という疑問が湧いた。そもそも自分には、ブルートフォースアタックに対抗するにはアカウントロックしかないと考えていた。 するとなんと、10回目のミスで、次の画面が現れたのだ。 アカウントがロックされる代わりに、突然CAPTCHAが現れた。 つまりこうだ。パスワードを10回
T.Teradaの日記 - SessionSafe: Implementing XSS Immune Session Handling
SessionSafeは、ハンブルグ大学のMartin Johnsさんが書いたWeb APの方式案です。 もしWeb APにXSS脆弱性があって、これが攻撃されたとしても、 セッションIDが盗まれない 当該ページ以外の情報が窃取・改竄されない ことを目指しています。 面白いなーと思ったので、内容について少し書きます。 なお、元記事を高速斜め読みしたので、この日記の内容には間違いが含まれているかもしれません。興味のある方は原本を見てください。 セッションIDが盗まれない 以下の二つのドメインがあるとします。 www.example.com secure.example.com セッションIDのCookieは、secureサブドメインに発行します。 Webページを表示する際はwww.example.comのURLにアクセスします。そこで返すHTMLに色々と仕掛けを施します。 HTMLの仕掛け
外国からのコメントスパム対策:Geekなぺーじ
外国からのコメントスパム対策を思いついたので、このブログのコメント欄にコメントスパム対策を実装してみました。 このサイトに来るコメントスパムは、ほとんどが外国からのものです。 日に日に量が増えてきています。 最初はIPアドレスや禁止ワードなどで弾こうとしましたが、同じスパマーと思われる書き込みでもIPアドレスはバラバラだったり、内容が多岐に渡っていたりしていて9割弾けてもいくつかは書き込まれてしまいます。 大抵はスクリプトと思われる書き込みが続き、こちらが対策をしてある程度すると、人間と思われる書き込みが行われます。 人間による書き込みは、禁止ワードなどの調査をしているようです。 相手もプロのようで、一般的なフィルタリング手法は良く知っていて、巧みにこちらの設定を調べていきます。 例えば、特定の禁止ワードを含むものと含まないものを入れてみたり、同じ内容を複数のIPアドレスから入れてみたりし
2006年4月 - Walrus, Visit. - ハニーポット・フィールドによるスパム・クローラ対策。
なんだか盛り上がっていますね。 Charsbar::Note - タブとスペースの話。 最速インターフェース研究会 :: タブとスペースと萌ディタの話。 404 Blog Not Found:タブのスペース化はタブ幅よりも重要である。 Charsbar::Note - タブとスペースの話。 タブにして欲しいな。理由の第一に「醜いコメントイン」があります。以下のようなコードがあって sub test { my %args = @_; map { $args{lc($_)} = delete($args{$_} } keys(%args); # キーを小文字に統一 blah, blah, blah... } ちょっと不都合があって、キーを小文字に変換するのをやめようかと思った時に、ひとまず行頭に"#"を入れてコメントインするということを良くします。この時、空白を使っているとインデントが乱れて、
mod_rewriteでスパム対策
blosxomでのスパム対策は自分で考えたものも含め、いくつか紹介してきたわけですが、どれもwritebackプラグインに対策コードを追加という形を取っているので、blosxom本体が呼ばれまくるというのは避けられないものです。現に、ここ4日ほどランダムプロクシ経由で爆撃(1000近い)受け、ちょっと精神的によろしくない感じでした(全部撃墜できたので、さほど気にすることはないとは思うのですが)。そこで思い出したのが、mod_rewriteによるスパム対策です。 スパム対策をいろいろ探し回っていた時に見つけた、kasia in a nutshellのComment spam and mod_rewriteというエントリが元ネタです。これはMovable Typeでの話ですが、仕組み自体はさほど変わらない(特定のURLにPOSTするだけ)ので、自分の環境に合わせて書き直してみたり。 Rewri
機密情報にJSONPでアクセスするな
2007年6月7日 はてなブックマークのコメントをうけて、「常にJSONP、JSON、JavaScriptに機密事項を含めないように」という主張を改め、「クロスドメインアクセスの対策をとっていない状態ではJSONP、JSON、JavaScriptに機密事項を含めないように」という主張に関して記述しました。 こんにちは、SEの進地です。 今回から週単位でWebアプリケーションのセキュリティに関するエントリーを書いていこうと思います。 僕自身、日々勉強して精進というところですので、もし何らかの誤りがあれば是非ご指摘ください。 つっこみ大歓迎です。 今回取り上げるのはWeb 2.0なアプリケーションでセキュリティ面で気をつけるべきことの一つ、機密情報にJSONPでアクセスするなです。 JSON(JavaScript Object Notation)はJavaScript(ECMAScript)の
WebAppSec - WebAppSec Wiki - XSSの実例
data スキーマを使ったスクリプトの実行 † data スキーマは、画像やIFRAMEなどのデータをHTML中に埋め込んで使用するための方法で、RFC2397で定義されています。複数のWebメールにてこれを使用してスクリプトの実行が可能な脆弱性がありました。 <iframe src='data:text/html;base64,PHNjcmlwdD5hbGVydCgiZGF0YToiK2RvY3VtZW50LmNvb2tpZSk7PC9zY3JpcHQ+'></iframe> <img src='data:text/html;base64,PHNjcmlwdD5hbGVydCgiZGF0YToiK2RvY3VtZW50LmNvb2tpZSk7PC9zY3JpcHQ+'> 多くのWebアプリケーションでは、http もしくは https スキーマのURIのみを入力値として許可すれば十分だと
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
携帯でも使えるSSL証明書を発行してくれる 1万円以下のところを探して下さい。…
SSL Certificates Support
http://blogged-on.de/xss/
無料で使えるSQLインジェクション対策スキャナ トップ15*ホームページを作る人のネタ帳