学んでから作るのではなく、作ってから学ぶ - ぼくはまちちゃん!
こんにちはこんにちは!! 先日、ちょっとしたイベントで、学生の方にこんな質問をされました。 「自分は早くプログラマになりたい、作りたいアプリもある。 だけど来年にならないとプログラミングの授業が始まらないから、作れない」 と。 なるほど。 その時、ぼくが答えたのは、 「今日、家に帰ったらプログラミングしてください」 だったんだけど、言葉が足りなかったかもしない。 だからここに、もうちょっと詳しく書いてみますね。 アプリを作る、プログラマになる、一番手っ取り早い方法を。 1. 目標を立てる 作りたいものを思い描くということ。 いきなりすごいものを作るのは大変だから、最初の目標は少し抑えてちょっとしたものがいいね。 できれば、自分にとって便利なものや、少しワクワクするものがいい。 例えば、スマホで動くキッチンタイマーとかでもいい。 (これはワクワクしないかもしれないけど) 2. すぐに作り始め
いちばん簡単なアカウントの乗っ取り方 - ぼくはまちちゃん!
こんにちはこんにちは!! 最近また、アカウントを乗っ取られただとか、ハッキングされたとか、 そういう話をちょくちょく聞くようになってきて物騒な世の中ですね>< そこで、ぼくの考える「いちばん簡単なアカウントの乗っ取り方」について ちょっと書いておきたいと思います! 1. 「パスワードを忘れた」をクリック 2. 「秘密の質問に答える」をクリック 3. ペットの名前や、好きな映画を聞かれるので、対象者のSNSやブログを調べる・または直接聞く 4. アカウントゲット さすがに最近は「秘密の質問」を使っているWebサービスは減ってきたけど、まだまだ結構あるんですよね。 これって人によっては、ものすごく脆弱な仕組みだと思うので、こんなもの早く絶滅すればいいのになーと思ってます。 日記になんでもかんでも書いちゃうような、いわゆる情弱さんなんかは、これで高い確率で乗っ取れるし、 ネットに慣れた人でも、過
CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!
こんにちはこんにちは!! 今日はCSRF脆弱性のちょっとした話です! このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法のひとつ。 わかりやすい例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 <img src="何々SNSの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSの足跡.phpにアクセスしたことになる。 ※詳しくはこちらのマンガで → [はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! : 第2回 しーさーふって何ですか? CSRFってこんな風に、 「ログイン済みの人に何か操作させる」ってイメージが強くて、 対策する側もまた、「既にログイン済みの人を守る」ような考えが強いんだよね。 例えば、勝手に日記に投稿させないように対
アメーバでセキュリティ欠陥 スパム攻撃、プロフ消去相次ぐ
サイバーエージェント運営のブログサービスで、セキュリティの欠陥による被害が相次いでいる。新しいミニブログ「アメーバなう」にスパム感染が広がったほか、「アメーバブログ」でもプロフィールが消える被害が次々見つかった。なぜこんな初歩的な対策漏れがあったのか。 ツイッターのモノマネとして話題の「アメーバなう」が、最初からつまずいた。携帯電話版が始まった翌日の2009年12月9日、古典的なスパム感染が起きたのだ。 2005年4月のミクシィ被害と酷似 それは、「こんにちはこんにちは!!」という投稿を見て、記載のURLをクリックすると起きる現象だ。勝手に同じ投稿をさせられたうえ、「はまちや2」というユーザーを自動的にフォローしてしまうのだ。 ネットユーザーには見覚えのあるスパム投稿に違いない。それは、ミクシィで05年4月に広がった被害と似ているからだ。そのときは、「ぼくはまちちゃん!」という投稿だった。
『アメーバあしあとちょう』
(追記 2009/12/17) アメーバの仕様変更により以下のものは使えなくなりました。 アメブロには「ペタ」っていう、ちょっとイイ機能がありますよね。 これはなにかっていうとmixiの足あとのようなもので、 mixiと違う点はといえば、 訪問者が「ペタボタン」を押さないかぎり、ペタが残らないという点。 ペタを残すか残さないかを、訪問者が決められるわけですね。 でも、このペタボタン、 もし自動でクリックする仕掛けがページ側にあれば mixiのあしあとのように、来訪者のIDを知ることができてしまいます。 そこで、ちょっと調べてみました。 どうやらペタをつけるは、以下のurlにリクエストすればokのようでした。 http://peta.ameba.jp/p/addPetaComplete.do?targetAmebaId=(ユーザーID)だけど少しだけ条件があって、 ・refererが空である
プログラムを書くロボット - 小宮日記
http://www.nurs.or.jp/~ogochan/essay/archives/2156 via http://hyasuura.tumblr.com/post/279075146/web-ameba もう一つは、在野のwebプログラマには常識となっている「はまちちゃ」をAmebaの技術者が知らないということ。 もしかして名前くらいは知ってるのかも知れないが、どういった脆弱性をどう突くかという手口をまるで知らないという点で、webプログラマが コボラー化 していると言なくもないということだ。いやしくも「webプログラマ」だったら、それくらいのこと自習しとけやと。 そしてもう一つは、彼ののいつもの行動を「spam」と言ってしまうリテラシーの低さだ。これはちょっと前にあった ハッカーにやられた というのと同じ臭いを感じる。どれだけたいそうなことかと思ったら、普通のhttpでアクセス
エンジニアが金持ちになって次の世代を作る未来 - 狐の王国
日本にシリコンバレーを作る方法という記事。 おっしゃる通り、日本のエンジニアは一人一人は決して諸外国に負けてないわりに、GoogleやTwitterのような大きなムーブメントは起こせてない。あれができるのはシリコンバレーの伝統があればこそ、という見解には、いろいろ情報を総合するに同意せざるを得ない。 URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がるという記事が話題になっていたが、正直割と俺はAmeba側に同情的である。 なんでかというと元のはまちちゃんの記事を辿るとわかるが、これだけじゃなくて相当長くサービスをやってるはずのアメブロ側にXSS脆弱性なんかも見付かってるわけだ。 そんなのたとえばはてなやライブドアだったら、とっくにユーザーの誰かが見付けてて報告され、適切に修正されてるだろう。そうならないのは、同業や同好の士のハートを掴む何か
amebaなう大変だな - (旧姓)タケルンバ卿日記避難所
amebaなう、アカウント取った。 http://now.ameba.jp/ http://now.ameba.jp/takerunb/ 「takerunba」が既にいるので、「takerunb」にしてみた。まあ、それはいいや。 でだ。すぐに気づいたのね。何人かの発言に「こんにちはこんにちは!!」ってあった。 はまちちゃんだ!!!!!! こういう発言になってた。 こんにちはこんにちは!! http://bit.ly/○○○*1 で、「リンク踏むとこの発言が投稿されるんだろうな」というのは何となく想像できるじゃん。今までのパターンからして。 大量の「はまちちゃん」を生み出したCSRFの脆弱性とは? - ITmedia エンタープライズ 実績あるし。技術素人の俺でも何となくわかる。フォローするだけじゃ何も起こらない。リンク先をクリックすることで反応する。 ところが、こんなことに。 http:/
『【緊急】アメーバなう利用中の皆さんへ【ご注意!】』
お友達の書き込みに「こんにちはこんにちは!!」というものがあったら 絶対にクリックしないでください!!!! アメーバスタッフさんの記事によると、 その書き込みをクリックすると自分の日記にも 自動的に同じ内容の記事が投稿されるそうです! その結果、それを見た他のアメンバーさんにも、どんどん感染していきます! これはワームというウイルスで、 まるでチェーンメールのように悪質です!! その上、プロフィールなどの個人情報が漏洩する場合があるかもしれません! 詳細は不明ですが、とても不気味です…! 「こんにちはこんにちは!!」というタイトルの日記が いつのまにか投稿されていないか、 自分の「ブログ」と「アメーバなう」で、どうかご確認を! あったら即刻削除してください!!!!!! (1日のタイムラグの後にウイルス発動するという説もあります!) 現在、ameba管理者の方でも対応できないほどのスピードで
招待されずに新はてなハイク(h2)を使う方法 - ぼくはまちちゃん!
深夜に… こんにちはこんにちは!! 本日ひっそりとベータテストがスタートした 新はてなハイク ( http://h2.hatena.ne.jp/ ) なんだけど これって招待制らしくて、招待状が届かないことには中に入れないらしいんです…! (アクセスしても http://h2.hatena.ne.jp/x に飛ばされるだけ) 残念… …と、思いきや…! 招待されなくても中に入る方法が、ちゃんと用意されていたみたいなので、 ここで、わかりやすくお伝えしておきますね! (もしかしたら朝には仕様変更されているかもしれないから、興味があるなら早めにやっておいた方がいいかも?) http://h2.hatena.ne.jp/(自分のID)/setting.body_type にアクセス 「からだをえらぶ」という画面になるので、適当なものにチェックをつけて「着替える」ボタンを押す あとは「マイページ」
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
質の高いTwitterのアカウントを増やす方法 - ぼくはまちちゃん!(Hatena)
こんにちはこんにちは!! Twitterはじめていよいよ2年半くらいたっちゃいましたが、 ようやく自作自演用の副アカウントが10を越えようかという段階に達しました!!! ついったーやってる人なら誰だって自演用の副アカ増やしたいですよね…! もちろん、ぼくもそうなんです!! でもね、単純に副アカ増やすだけなら誰だってできますよ! ミエミエの自演アカウントを増やすことが目的じゃなく、 自作自演でありながらも、つぶやいた内容がしっかりと影響力があったりするような、 Google先生にも即インデックスされちゃうくらいのやつ。 質の高い感じのすてきな副アカづくり。 そういったアカウントでの自作自演がTwitter本来の楽しみであるべきかなーと思います!! だけどそんな副アカ、真面目にみっつもよっつも育てるのは大変ですよね…! そこで今回は、 比較的、質の高い副アカウントを簡単に増やすためのチップスを
はてなの書けない「はてなダイアリーでアフィリエイトをはじめよう」 - ぼくはまちちゃん!(Hatena)
こんにちは! いよいよぼくも月に4000円くらい稼げるようになって、すっかり大物アフィリエイターの仲間入りのはまちや2です! さて今日は、ちょっと書評とかでアフィリエイトやってみたいなーなんて人に向けて、 はてなダイアリーでアフィリエイトをやる時のコツなんかを書いてみようかと思います! あ! 今回は先に結論を書いておきますね! はてなダイアリーは無料ユーザーでもアフィリエイトしてOK 実はAmazonの貼り付けコードは、全種類そのままダイアリーに貼り付けられる(iframeでもobjectでもscriptでも) 「はまぞう」は使ってはいけない できればAmazonの貼り付けコードもそのままじゃない方がいいよ はてなダイアリーはじめて間もない人なら、「過去の日記」で審査を通す ニックネームはユニークに、だけど、アソシエイトIDは非ユニークに そんなの常識じゃん!なんて思っちゃったようなプロの
URL貼っただけで逮捕とか物騒な世の中ですね…! - ぼくはまちちゃん!
こんにちはこんにちは!! こんなニュースがありました…! 海外の児童ポルノ・アドレス掲載、19歳私大生ら摘発 : 社会 : YOMIURI ONLINE(読売新聞) 404 Blog Not Found:news - URLを掲示しただけで刑事犯? 痛いニュース(ノ∀`):“2ちゃんねるなども摘発対象に” URL書くだけで逮捕、「ttp:」などでもアウト…児童ポルノ法 たいへんな感じの世の中ですね! なんかこういうのって、ぱっと思いつくのは冤罪が生まれちゃう可能性…なんだけれど、 むしろ捕まえる側が、これまでよりさらに簡単に「好きな奴を捕まえることができる」ってことが、 問題っぽい感じなのかなぁ、なんて思います…! はい。 そんなわけで、なにかの役に立つかなーなんて思って、 とりあえず、時限式の短縮URL(転送URL)サービスみたいなのをつくってみました! TimerURL - 時限式の短
ハマチをちゃんとテリヤキにするのは難しい - エモーショナル昆虫
高木浩光さんリスペクトネタ。何度かエントリに書いているように、私の勤務先にははまちや2というスーパーハカーがいる。彼はあるウェブサービスの開発に関わっているのだけど、どうも彼の遅刻癖のために進行が滞りがちになっている。職場は基本的に10時始まり19時終わりの勤務体系で、毎朝11時にミーティングがある。にもかかわらず、彼は10時はおろか11時の朝ミにすら遅刻する。午後出社も珍しくない。いろいろな原因でダンドリがうまくいかなくなっていて、成り行きで私がプロジェクトの進行管理をすることになった。しかし、肝心かなめの彼が朝のミーティングにいないことが多い。たとえば、ここんとこのTwitterの私の朝の発言を抜き出すとこんな感じになっている。http://twitter.com/semisan/statuses/906360902(・e・) はまちやこない。。。http://twitter.com/
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
『まあぶっちゃけ』
Googleに超べんりな隠しページが - ぼくはまちちゃん!