高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
個人サービスを作るコツ | ランサーズ社長日記
いいね! 5 ツイート B! はてブ 477 Pocket 96 今、個人発サービスがアツイ。字幕inやSocialTune、コトノハなど人気サービスの一部には個人サービスが多い。その背景には、安い高性能マシン、何でも無料の開発環境、ウェブ上にある各種ノウハウ情報などがある。 個人的には、このような環境であれば、もっともっと個人発サービスが出てきてもよいと感じるのだが、それほどまで爆発的に増えているようには思えない。やはりそこには、誰でもできる超参入障壁の低い個人サービス、自由が多くなんでもできる個人サービスだからこその「自由の中の不自由」みたいなものがある。実際に作る時間を作るのは難しいし、開発をいつでもやめる自由もある。責任もない。飽きる。と現実にサービスを出すとなると大変なのである。 長々とひっぱったが、そんな個人サービスを作るコツを今までの経験から書き出してみた。 個人サービスをつ
もう一つの著作権の話
1 はじめに 私は、まだ中学生または高校生である皆さんのために著作権の仕組みを解説して、 皆さんの自主的な意思のもとに著作権を尊重してもらえるように、 と考えてこの文章を書くことにしました。 皆さんにむけて書かれた著作権の話は、すでにいろいろとあるようです。しかし、 そうした話の大部分は「著作権法を守りましょう」「書籍やコンパクトディスク(CD) やビデオを勝手にコピーすると法律で罰せられます」 ということを皆さんに訴えるだけに止まっているようです。 既にしっかりとした判断力と自分の考えを持っている皆さんにとって、ただ 「法律を守りましょう」といわれるだけでは、 納得がいかない部分もあるのではないかと私は考えます。 そこで、この『もうひとつの著作権の話』では、 「なぜ私たちが著作権を尊重しなければならないのか」 という根本的な理由についていっさい手を抜かずに、 でも難しい用語や概念を使わず
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
