CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!
こんにちはこんにちは!! 今日はCSRF脆弱性のちょっとした話です! このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法のひとつ。 わかりやすい例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 <img src="何々SNSの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSの足跡.phpにアクセスしたことになる。 ※詳しくはこちらのマンガで → [はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! : 第2回 しーさーふって何ですか? CSRFってこんな風に、 「ログイン済みの人に何か操作させる」ってイメージが強くて、 対策する側もまた、「既にログイン済みの人を守る」ような考えが強いんだよね。 例えば、勝手に日記に投稿させないように対
ふつうのformをつかいたい - はまちや2 - ニコニコ超会議2012
こんにちはこんにちは!! はまちや2 (@Hamachiya2) ブロガー、クラッカー。特技は洗濯、趣味は破壊、苦手なことはプログラミング。 WEB+DB PRESS のお便りコーナー担当。 「はまちちゃん」とかで適当にググってください。 無料で プレミアム機能を 使う方法 見つける時間がありませんでした。 何話そう? プログラムは苦手だし… セキュリティとか興味ないし… そんなわけで普通のことを話します。 本日のテーマ: 『ふつうのformを使いたい』 <form> 電話番号はハイフン抜きの半角で…(はいはい) フリガナはカナで… (カナで名前を学習してしまうのが嫌だけど…) 郵便番号は前と後ろに分けて… (めんどくさいなぁ…) 住所は全角で… (あーはいはい…) … (できた!) (これで送信、と…) ※エラー:住所を正しく入力してください (え、なんで!?) ※住所は全角で入力してく
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
ソーシャルゲームのブームはすぐ終わる - ぼくはまちちゃん!
こんにちはこんにちは!! 最近ソーシャルゲームが熱いらしいですね! いわゆるmixiアプリのゲームとか…! ああいうのって、なんで流行ったかなー。 色々あるんだろうけど、 やっぱり一番の理由は潜在的な需要へのアプローチってことでしょうか…! 「ゲームやりたいなー。そんな暇ないけど」って人はたくさんいるんだろうけれど、 みんなゲーム機やパッケージを買ってきてまでは、 あるいはPCにインストールしてまでは、ゲームやらないんだよね。 やらないやらない。忙しいから。 もし買っても、やらずに積むね…。 でも、なにかのきっかけでやりはじめちゃうと、 「そんな暇ない」と言いつつ、むりやり暇をつくってでもやっちゃうんだよね。 だからきっと、そういう層がクリックひとつでできるブラウザゲームを(うっかり)はじめたのかな。 毎日みてるサイトの画面から2クリックくらいでゲームスタートしてしまうなら、 そしてそこに
『ぼくの名前をかたったウイルス?』
前の日記にも書いたけれど、 ぼくの名前をかたったウイルスがアメブロに広まっていたみたいなので、 ちょっとだけ調べてみたよ。 (参考) [ほまち] gooブログ検索 ぼくのIDって「hamachiya2」なんだけど、それとすごくよく似たIDを誰かが取得して、そのIDのプロフィールページに変なコードが仕掛けられてあったみたい。 ざざっと調べた感じだと、下の4つのIDを確認したよ。 homatiya2 (ほまちや2) [プロフィールの魚拓] [画面キャプチャ] homachiya2 (ほまちや2) [プロフィールの魚拓] [画面キャプチャ] hamatiya2 (はまtiや2) [プロフィールの魚拓] [画面キャプチャ] hamachya2 (ぼくはまちちゃん!こんにちは…) ※綴りに「i」がない [プロフィールの魚拓] [画面キャプチャ] いずれもプロフィールページに「 http://bit.
URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる
12月10日にPC版がスタートしたサイバーエージェントのミニブログサービス「Amebaなう」で、あるURLをクリックすると、「こんにちは こんにちは!!」というフレーズとクリックしたURL文字列が自動で投稿され、「はまちや2」さんのアカウントを自動でフォローしてしまうという現象が広がった。 URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)を突いたもの。同社は10日夜、URLをクリックしないようユーザーに告知。誤ってクリックした場合は投稿を削除し、はまちや2さんのフォローを外すよう呼び掛けた。11日朝までに脆弱性も修正したという。 mixiでも2005年、あるURLをクリックすると「ぼくはまちちゃん!」という日記が勝手に投稿されるという、CSRFを利用したスパムが流通したことがあった。コミュニティーサイト構
ちょっとセキュアな「いつもの」パスワード - ぼくはまちちゃん!
こんにちはこんにちは!! 最近はメールでもなんでもWEB上の便利なサービスが増えてきましたね…! でも、いろいろ登録しすぎて、いよいよぼくもパスワードが管理できなくなってきました…! えっ! もしかして面倒だから、ぜんぶ同じパスワード使ってたりするるんでしょうか…! だめです!だめだめ!それはだめ。 全部のサイトで同じパスワードにするのってものすごく危険ですよ!!! これはほんと! だって、もしなにかあって、どれかひとつのパスワードがばれちゃったら全部芋づるだから…! 登録したWEBサイトの管理者の中に悪い人がいる可能性もあるし。 (個人運営のサイトはもちろん、たとえ大きな企業のサイトでもバイトちゃんが見れたりとか…) でもだからといって全部別のものにすると覚えられないんだよね。 たとえば自分宛にメールしておくとか… Dropboxのような共有フォルダにパスワードのメモいれとくとか… パス
ちょっと慣れてきた人の為のハテブの使い方 - ぼくはまちちゃん!(Hatena)
こんにちはこんにちは!! 近頃は、はてなブックマーク人口もめっきり増えてきた感じがしませんか! 2chまとめサイトのようなアクセス多いところがどんどん活用しはじめたり ベストセラー本で紹介されたりとかの影響なんでしょうか! 数年前とくらべてアクティブなユーザーも増えて、 人気エントリーだと1000や2000といった4桁ブックマーク数もあたりまえになってきました!! そんなこんなで、最近はてブをはじめた人も結構いるんじゃないかと思いますが…! 最初のうちは、トップページとか、人気エントリーを眺めているだけでも充分楽しいですよね! でも慣れてしまって、つい「記事に飢える」状態になっちゃったりすると 注目エントリーまでも追いかけるようになったり… それでもまだまだ飢えがおさまらなくって気がつけばハテブ依存症…! …あるいは、単なる外部ブックマークとして使っているだけの人も多いのかも? だけど、は
質の高いTwitterのアカウントを増やす方法 - ぼくはまちちゃん!(Hatena)
こんにちはこんにちは!! Twitterはじめていよいよ2年半くらいたっちゃいましたが、 ようやく自作自演用の副アカウントが10を越えようかという段階に達しました!!! ついったーやってる人なら誰だって自演用の副アカ増やしたいですよね…! もちろん、ぼくもそうなんです!! でもね、単純に副アカ増やすだけなら誰だってできますよ! ミエミエの自演アカウントを増やすことが目的じゃなく、 自作自演でありながらも、つぶやいた内容がしっかりと影響力があったりするような、 Google先生にも即インデックスされちゃうくらいのやつ。 質の高い感じのすてきな副アカづくり。 そういったアカウントでの自作自演がTwitter本来の楽しみであるべきかなーと思います!! だけどそんな副アカ、真面目にみっつもよっつも育てるのは大変ですよね…! そこで今回は、 比較的、質の高い副アカウントを簡単に増やすためのチップスを
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
hamachiyaloveのブックマーク - はてなブックマーク
キーボードショートカット一覧 j次のブックマーク k前のブックマーク lあとで読む eコメント一覧を開く oページを開く ✕
はてなブックマークのやりすぎちゃったかもしれないSEO - ぼくはまちちゃん!
はい!こんにちはこんにちは!! もうすぐ梅雨ですね! 2009年も半ばって感じです…! 2009年といえば…、 そう! マネタイズですね!! はてなのマネタイズ!! マネーだいじ…! だってお金がなくなっちゃうと、みんなの大好きなはてなもなくなっちゃうもんね…。 そうそう、ところで! ぼくさっきGoogleで検索していて、ちょっとしたことに気がついちゃったんですが! 今日はちょっとそれを、ここにメモしておきますね! ↓ほらこれ、 site:b.hatena.ne.jp エゴサーチしよう - Google 検索 はてなが URLの末尾にタイトルの文字列を含めてる。 あれれ…、前からこうだったっけ…! URLにキーワード文字列を含めてやるのって今のところものすごく強力なSEOのひとつで、 Amazonとかもその手法をつかっているからか、 本のタイトルなんかで検索すると、よくAmazonが一番上
2年前に入社したはまちや君は、全然仕事をしません。
履歴書には、うちには勿体ないような経歴が書かれていたので採用しましたが、 ふたを開けてみたら、 寝坊していつまでたっても職場に出社してこないし、 お願いした書類を一ヶ月かかっても書き上げることができないし、 プロジェクトを任せてもいい加減で彼女とけんかを始めたり、 全く困ったもんなんです。 でもね、もうフリーダム過ぎる彼を首にしてしまったら、 次に雇ってくれるところはないんじゃないかと思って、我慢しています。 そんな彼ですが、仕事へのやる気はまるっきりだめでも、 実はセキュリティホール探しを任せたらピカイチってことに最近気付きました。 根気よく使っていれば、長所が見つかるもんです。 このように、うちはエリートの集まりではありません。 Lanタソから、「この子、ニートにしておくのはもったいないですよ」と 頼まれて仕方なく採用したり、公募で採用してもはまちや君のような人しかきません。 それでも
JavaScriptでかんたんAIRアプリに挑戦 - ぼくはまちちゃん!
こんにちは! みなさんガジェットつくってますか! なんだか最近、色々な種類があるみたいですね! Yahooナントカとか、Googleガジェットとか、Adobe AIRとか、シルバーナントカとか、あとWindowsサイドバーだとか…。 こういうガジェット的な、ちょっとしたデスクトップ用のツールって、 どうやってつくるのかなーなんて思って、ちょっと調べてみました! そしたら意外と簡単だった…! これならぼくにも作れそう!! ってことで、ちょっとメモしておきますね! どれにしようかな…! つくるのが簡単なこと WinでもMacでも動いてほしい 使う人がインストールしやすそうなのがいい こんな感じで考えていくと… 最終的に、Googleガジェット か AIRなのかなー、ってことになりました! でも実際ぼくはGoogleガジェットなんて使ったことないし…! (なんとなくGoogleデスクトップとかも
空から女の子が降ってくる - ぼくはまちちゃん!
こんにちはこんにちは!! はてな見てたら、こんなのがありました! 【降臨賞】空から女の子が降ってくるオリジナルの創作小説・漫画を募集します - 人力検索はてな 条件は「空から女の子が降ってくること」です。要約すると「空から女の子が降ってくる」としか言いようのない話であれば、それ以外の点は自由です。 字数制限 : 200〜1000 字程度 締め切り : 2009-01-12 18:00 で募集を止めます。 優勝賞品 : もっとも稀少な(と質問者が判断する)作品を書いてくださった方に 200 ポイントを贈ります。 面白そうですね! さっそくぼくも応募してみたよ! 応募した内容はこれ! javascript:(function(){scroll(0,0);H='http://hamachiya.com/';D=document;F=Math.floor;R=Math.random;Q=new I
今年ぼくが書いたはてな匿名ダイアリーまとめ - ぼくはまちちゃん!
2008/10/20 エガミくんの脆弱性のやつ とその返事 2008/11/11 彼氏がphp使ってた。別れたい… 2008/11/12 取締役がありえない失言をしてた。ユーザーサポート辞めたい… 2008/11/13 ウェブカレ1000万て (参考) 今年書いた主なはてな匿名ダイアリーまとめ - 俺のターン
となりの技術者をイラッとさせる10の方法 - ぼくはまちちゃん!(Hatena)
人の画面をじっと見る あるいは人の後ろにずっと立つ。 人の画面を指で触る せめて爪側、できればペン等で…! 作業中に話しかけて、そのまま長話 質問や要点をまとめておいてから→いまいい?って確認するとか。 急ぎでなければ、たとえ隣の席でもメールかメッセンジャー的なもので…! 自分じゃなくても答えられる質問 その技術者が「誰でも知ってて当然だろ」と思っているようなことを質問しちゃうのはだめ。 逆に技術者が「これは俺の得意分野」って思っていることを質問すると機嫌が良くなる場合も。 知ったかぶりによる言語批判 「****(言語)って汚い or 気持ち悪い」 これを言うのはほとんどその言語をちゃんと使ったことない人ばかりでは…! バグの犯人捜し・犯人叩き 開き直っちゃうけどバグが出るのは仕方がないよ…! 日経新聞から得たような(あるいは広告業界特有の)IT(?)用語 「WEB2.0のインフルエンサー
はてなの知られざる求人採用ルール - ぼくはまちちゃん!
こんにちはこんにちは!! みんなげんきに就職活動してますか! 先日、はてなの人事担当のひとの日記で、こんな記事がありましたね! はてな、求人活動はじめました はてなも他の会社と同様、ずっと前からスタッフ募集をしているのですが、これまで「受け身な求人活動」しかできていませんでした。 そこで、ここ数か月間は人材採用フローの構築に注力しています。 「2008年末までに50人」 なんと…! はてなって少数精鋭って雰囲気があって、中の人はみんな日本有数のスーパーハッカー揃いな感じなのに…、年末までに50人!? ハッカーが50人>< まさに日本のGoogleですね! さてさて、そんなはてななんだけど、 50人になるからといって、さすがに誰でも採用しちゃうってわけじゃないですよね! 「俺、超PHPかけるよ!」って自信満々のきみも 「私…SchemeとHaskellくらいしか書けないよ…」って満身創痍のき
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
2カ月で6万人突破の女性向けSNS「ウェブカレ」 ウェブ開発物語»インターネット-最新ニュース:IT-PLUS
