タグ

ブックマーク / bakera.jp (16)

  • クラウド時代はDNS Pinningが落とし穴になる | 水無月ばけらのえび日記

    公開: 2011年9月3日19時50分頃 モバツイ (www.movatwi.jp)の作者えふしんさんと、Twitterでこんなやりとりをしました。 OperaってDNSのTTL考慮してない?!多くのブラウザは安全性のために短すぎるTTLを無視したりしますが (DNS Pinning)、それとはまた違う話でしょうか?AWSのElastic Load Balancingで、動的にロードバランサーのサーバが増えたり減ったりするようで、夜明けのOperaがよく全然違うサービスに繋がってしまうことがあるんですよね。少なくともクッキーは送っちゃってますよね...あー、なるほど。それはまずいですね。これは盲点でした……。 OperaやIEなどは、DNSのTTLが短く設定されていても無視してキャッシュし続ける事があります。これはDNSの負荷を減らすというだけはでなく、セキュリティ上の意味もあり、「DNS

    tenkoma
    tenkoma 2011/09/04
  • なぜ人はTwitterに顧客の悪口を書いてしまうのか | 水無月ばけらのえび日記

    公開: 2011年9月3日13時40分頃 こんな記事が……セキュリティ&プログラミングキャンプ2011レポート Lisp竹内氏「プログラミングには地を這うような努力が必要」 (jibun.atmarkit.co.jp)。 セキュリティ&プログラミングキャンプ2011、いわゆるセプキャンのレポートですね。タイトルが一瞬「Lispプログラミングには地を這うような努力が必要」と読めて「Lispってそんなにしんどいのかぁ」と思ってしまったりしましたが……。 それはさておき、興味深いと思ったのは園田さん (d.hatena.ne.jp)のお話。 「Twitterはバカ発見器と言われている――なぜ人はTwitterやmixiなどで秘密を話すのか?」 8月10日、情報セキュリティ基礎の講義を担当する、サイバー大学IT総合学部准教授の園田道夫氏は、こう問い掛けた。 「例えば、未成年者が飲酒・喫煙を暴露する

    tenkoma
    tenkoma 2011/09/04
    #fb
  • 療養費の通知書を作るシステムの仕様がすごい | 水無月ばけらのえび日記

    公開: 2011年8月21日15時55分頃 こんなニュースが……「療養費支給額「3兆円」 都広域連合がケタ違いのミス (www.asahi.com)」。 東京都後期高齢者医療広域連合からはおわびの文書が出ていますね。 後期高齢者医療高額療養費支給決定通知書誤記載についてのお詫び (www.tokyo-ikiiki.net)後期高齢者医療高額療養費支給決定通知書の誤記載について (PDF) (www.tokyo-ikiiki.net)来は「平成23年8月16日」「¥1,351」となるはずのものが、「平成23年80月16日」「¥3,510,000,000,000」となってしまったそうで。 その理由がちょっと驚きです。 同広域連合によると、通知書を作る際、職員がパソコン操作を誤った。支給額欄には13桁の数字を入れることになっているが、1351円を支給する場合も千の位の「1」の前にゼロを9個入力

    tenkoma
    tenkoma 2011/08/22
    最大入力桁数に満たない場合、下の桁を0詰めする仕様。どんなハードウェアなのか気になる
  • 最近ありがちなHTTPSの罠 | 水無月ばけらのえび日記

    公開: 2011年8月14日0時50分頃 こんな話が……「SSL サイトの大半に脆弱性が存在 (japan.internet.com)」。 Ristic 氏によると、Web アプリケーション レベルでは、不適切な実行によって SSL のセキュリティを無効にするものは数多く存在するという。今回の研究で、Ristic 氏は世界の人気の高い SSL セキュアサイト30万件を分析し、SSL に関連する脆弱性の有無を調べた。その結果、保護されていないクッキーを使用したり、保護されたトラフィックと保護されていないトラフィックを混在させたりといった脆弱性が複数見つかったという。 Cookieのsecure属性なしとか、HTTPSとHTTPが混在しているといった話のようで。いずれも、HTTPSを無意味にする Cookieの話は、日では2003年から警告されている定番の話ですね。 経路のセキュリティと同時

  • 徳丸本のあれこれを実践してみて気付いたこと | 水無月ばけらのえび日記

    更新: 2011年7月9日23時0分頃 とあるシステムで徳丸のストレッチングを採用することにしたという話がありましたが、その実装が佳境に入ってきました。私は指示だけ出して、実装はお任せ……と思っていたのですが、基的な部分を作ってもらったところでバトンタッチされ、私が引き継ぐ形で実際にコードを書くことになりました。 基的には徳丸 (www.amazon.co.jp)のオススメどおりの実装にするという方針なのですが、実際にコードを書いてみると、いろいろと気になったり迷ったりした事も出てきました。そのあたりを簡単にメモしておきます。 ※ちなみに、このシステムはRuby1.9.2 + Ruby on Rails3での実装なので、PHPのコードサンプルをそのまま使っているわけではありません。 ストレッチ回数をどう決めるのか徳丸327ページにあるコード例を参考にして実装。アプリケーションごと

  • WEBインベンターがCookieを使うようになった | 水無月ばけらのえび日記

    公開: 2010年4月11日21時50分頃 「URLを知られたらアウトな管理画面」の話ですが、「管理プログラムのセキュリティーの向上 (mag.wb-i.net)」というアナウンスが出ていますね。 WEBインベンターのご利用に心から感謝いたします。ショッピングカートの管理プログラムのセキュリティーを一層向上させましたのでお知らせいたします。 追加された機能は、次の4つです。 (1)クッキーによるログイン方式。 (2)指定したIPアドレスからのみ管理プログラムにアクセスできる。 (3)パスワードの暗号化。 (4)メールフォームのスパム対策など。 以上、管理プログラムのセキュリティーの向上 より パスワードをURLにつけて引き回すのをやめて、Cookieを使うようにした模様です。下の方にサンプルへのリンクがあるので、早速確認してみると……。 サンプルのログイン画面にアクセス: http://w

    tenkoma
    tenkoma 2010/04/26
    やっつけ
  • 企業のリンクポリシーが無茶な要求をする理由 | 水無月ばけらのえび日記

    公開: 2010年4月7日20時5分頃 「日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆 (slashdot.jp)」。 またまた出ました。無断リンク禁止。このような主張は、古い企業にありがちなものですね。 リンクを張る場合は連絡してください。リンクはトップページへお願いします。個別記事へのリンクはお断りします。個別記事にリンクさせないのはナンセンスだ、リンクするたびに連絡しなければならないなんて手間がかかりすぎる。どうしてこんな無茶な要求をするのか全く理解できない。……そう思われる方が多いと思います。 しかし、実はこの要求には理由があります。仕事柄、大企業のWeb担当の方や法務の方と議論させていただく機会もあるのですが、「なぜこんなポリシーを作ったのか」という問いに対する答えは、おおむね以下のようなものでした。 リンク元のサイトとの関係性を誤解されたくない

  • URLを知られたらアウトな管理画面 | 水無月ばけらのえび日記

    更新: 2010年4月3日23時20分頃 メッセサンオー (www.messe-sanoh.co.jp)で個人情報が流出したというお話が。 秋葉原ゲームショップの顧客情報が閲覧可能に - アダルトソフト購入履歴なども流出 (www.security-next.com)PCゲーム通販大手の顧客名簿が流出 (www.yomiuri.co.jp)メッセサンオー、PCゲーム通販の顧客情報がネットで流出 (internet.watch.impress.co.jp)Internet Watch の記事には追記がありますね。 なお、メッセサンオーが通販サイトで導入していたショッピングカートを提供するWEBインベンターは、Googleにインデックスされないように対策した最新の管理プログラムを公開し、利用者に対して適用を呼びかけている。 以上、メッセサンオー、PCゲーム通販の顧客情報がネットで流出 より ほ

  • サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話

    「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し

  • W2Cマークアップエンジニア・ワーキンググループ 「マークアップエンジニアが知っておきたい3つの脆弱性」 | 作者プロフィール

    2009年9月16日、W2Cマークアップエンジニア・ワーキンググループでお話しした「マークアップエンジニアが知っておきたい3つの脆弱性」に関するサポートページです。とりあえず資料がダウンロードできます。 資料ダウンロードプレゼンテーション資料の PDF 版がダウンロードできます。 bakera_w2cWG.pdf (PDFファイル 487KB) 無断での再配布はご遠慮ください。また、資料内に含まれる画面キャプチャは全て削除されていますので、一部不自然な空白があります。 以下に若干の補足があります。 マークアップエンジニアが知っておきたい3つの脆弱性:補足 参考サイト話の中で触れたり、参考にしたりしたサイトです。 情報処理推進機構 (www.ipa.go.jp)経済産業省告示「ソフトウエア製品等脆弱性関連情報取扱基準」(PDF) (www.meti.go.jp)ソフトウェア等の脆弱性関連情報

  • ドラクエ9 プレイ | 水無月ばけらのえび日記

    公開: 2009年7月14日15時20分頃 というわけで、ドラゴンクエスト9 星空の守り人 (www.amazon.co.jp)をプレイ。 噂通り、セーブデータはひとつだけですね。「ぼうけんをする」を選ぶとぼうけんのしょを選択しないで始まります。気づいたことなどを箇条書きに。 主人公の顔は8種、体型は5種から選んでカスタマイズできます。あと肌、髪、目の色をそれぞれ8種から選択。フィールド上で敵が見えるようになりました。ロマサガと比べると回避は容易なので、戦いたくなければ結構スムーズに進めます。また、狩りたいときは積極的に狙った敵を狩れます。戦闘シーンは、キャラが無意味に動き回ったりして、最初はややもっさり気味かなと感じます。まあ、慣れます。ポポまり (www.amazon.co.jp)と比べたら快適快適。主人公のデフォルトの職業は旅芸人で固定の模様 (選べるなら僧侶にしようかとか考えていま

    tenkoma
    tenkoma 2009/07/15
  • ドラクエの セーブデータは ただひとつ | 水無月ばけらのえび日記

    公開: 2009年6月30日13時20分頃 「ドラゴンクエスト9のセーブに関する大事なこと (sp-game.cocolog-nifty.com)」。 1のソフトにセーブできるデータは1つまでだよ! (~中略~) ちなみに、DS版のドラクエ4や5では1枚のDSカードに複数のセーブデータがセーブできました。 ドラクエ9 (www.amazon.co.jp)のセーブデータは一つしかないそうです! ポケモンと一緒……なのですが、くりきんの時にも書いたように、ストーリーが淡泊でやり直しのニーズがあまりないから許されていると思うのですよね。ドラクエはそういうゲームじゃないんで。 ※それに、ポケモンは色違いがでるので、色違いを両方とも即買いするやり込み派の人はストーリーのやり直しができます。 ちなみに、ポケモンの場合にはもう一つ現実的な理由があるのだと思っています。以下の条件を両方とも満たすと、困っ

    tenkoma
    tenkoma 2009/06/30
  • IT Pro がまたやっちゃった | 水無月ばけらのえび日記

    実際にページとして表示されているのは,どのタグで指定した部分でしょうか。 1.<title>タグ 2.<body>タグ 3.<head>タグ 4.<table>タグ

    tenkoma
    tenkoma 2008/10/17
    正解があったw いや、表示しないUAもあるかもしれない。
  • くりきんは危険かも | 水無月ばけらのえび日記

    バトル準備画面で、キンのステータスが見づらいキンのステータス (HP、攻撃力、防御力、増殖力) と必殺技名が同じ場所に交互に表示されるようになっています。そのせいで、ステータスを見ている途中で技名が表示されてしまい、またステータスが出るまでしばらく待つことを強いられます。 バトル準備画面で、よく使うキンを探しづらいデフォルトはレベル順で、名前順のソートもできるのですが……むしろ任意の順に並び替えられる機能が欲しいです。単純に、よく使うキンを上に置いておきたいからです。レベルが低いキンを育てるときなどは、バトルのたびに探さなくてはいけません。後半になると所持しているキンの数は 200 を超えるので、けっこう洒落にならなかったりします。

    tenkoma
    tenkoma 2007/12/04
  • 最新のHTMLって何? | 水無月ばけらのえび日記

    更新: 2007年5月16日 「全問正解できる? HTML文法基礎クイズ (allabout.co.jp)」というものがあるようですが、難易度がとても高いですね。全問正解できる人いるんでしょうか? 私が悩んだ難問だけメモ。 Q1. 非推奨要素 以下の4つの記述のうち、文法的に最新のHTMLでは使わないことが推奨されているものがあります。それはどれでしょうか? 1. <strong> ~ </strong> 2. <b> ~ </b> 3. <table> ~ </table> 4. <h1> ~ </h1> 以上、全問正解できる? HTML文法基礎クイズ より 初っぱなから超難問で、私には答えが全く分からないのですが……。ちなみに、b要素は使わない方が良いと個人的には思いますが、HTML4.01 では deprecated になっていませんし、XHTML1.1 でも Presentatio

  • マリオカートDS | ゲームのメモ

    tenkoma
    tenkoma 2006/02/22
    タイムアタック,ベスト,記録
  • 1