SQLインジェクションについてのスライドを作成した - Kentaro Kuribayashi's blog
社内で、SQLインジェクションについてあらためて原理・原則から議論したいねという風潮がにわかに起こったので、ひとまずは叩き台として僕の方でまとめて皆で議論しましょうというわけで、以下のような資料を作成した。 社内勉強会用の資料なのだけど、僕は別にセキュリティに詳しいわけでもないし、ましてやPHPのことは素人なので、外部の識者にレビューしていただいて、できるだけ正しい知識に基づいて議論できればと思い、まずスライドを先行公開することにした。そうしたところ、Twitter上で多数の識者よりいろいろとご指摘いただいて、少くとも決定的におかしな内容にはなっていないものになったようだ。ありがとうございます。 僕らの職務のひとつに「セキュリティ関連」というものも謳われているので、そのあたりの知識普及・基盤整備についても、仕事のひとつとして行っている。先にも書いた通り、僕自身がその点についてよく理解できて
FFFTP開発終了で大騒ぎしている人たちへ - OR6 blog
最初に断っておきますが、FFFTP自体は良いアプリケーションソフトウェアだったと思います。UIがWindowsのエクスプローラに倣っていると同時にエクスプローラとはひと目で見分けがつくデザインだったので、使いやすかったはずです。 ぼくもインターネットをはじめたごく最初の頃に使っていました。ほどなくしてWindows自体を使わなくなったので、それ以来触ることはなくなったわけなのですが。 FFFTPは何故開発終了したのか開発者は「開発を継続するためのモチベーションが維持できなくなった」と述べているそうですが、まあ当たり前だと思います。 FFFTPが動作するWindowsとFFFTPが扱うプロトコルであるFTP自体がオワコンだからです。前者については幾ばくかの反論の余地もあるでしょうが、後者については異論は認めません。 「終わった」プロトコルのためのソフトウェアを作り続けるというのは、プログラマ
うさんくさいサービスを回避するためのチェックポイント
先日、ペニーオークションについてまとめてみたが、自分の目から見て明らかに危険なサービスなのに、お金を払ってしまう人が一定の割合で存在しているのはどうしてだろうと考えていた。これは信頼できるサイトかどうかの判断基準が人によって大きく違うのではないだろうか? というわけで、自分がよくチェックしている箇所をリストアップしてみたので参考にするか、ネットストーカーキモいとつぶやいてください。 ここで上げたチェックポイントをすべて使用するケースはほとんどないと思うが、このあたりを確認しておけばネットで変な悪徳商法には引っかかりにくいよ、というまとめだ。普段から詳しく確認しておくようにしておけば、うさんくさいサービスに対する嗅覚が鍛えられてすぐに危険度を察知できるようになる。実際、ここまで詳しく調べる必要に迫られることはほとんどない。 運営者情報は掲載されているか? ・なし→問題外 ・あり→掲載されてい
Winny、Shareウィルスを利用した著作権詐欺に注意 - P2Pとかその辺のお話@はてな
P2Pファイル共有ネットワークにばらまかれたウィルスによって、スクリーンショットや氏名、住所などのユーザの個人情報が不正に取得され、ウェブ上に公開されたことで騒ぎとなっている。一部ネタ的な扱いを受けているが、これは単なる愉快犯的なものではなく、ファイル共有ユーザの個人情報を不正に取得し、プライバシーを脅威にさらし、金銭を要求するという恐喝である。 ウィルスを利用した恐喝 ファイル共有ネットワークに流通するアダルトゲームやアプリケーションの名前に偽装されたウィルスをダウンロードし、それをインストールしたユーザが、個人情報(メールアドレスやパスワード含む)やスクリーンショット、最新使用したファイル、アプリケーションのインストール履歴などが不正に取得され、国際著作権機構(ICO)なるサイトにそれらの個人情報を送信、そのままサイト上で一般に公開されている模様。 ある2ちゃんねるユーザの報告によると
UTF-8の冗長なエンコードとは何で、なんでそれがセキュリティ的に危ないのか?を文字コード知識レヴェル3くらいの凡プログラマが考えてみる - tohokuaikiのチラシの裏
何故かあたり前にならない文字エンコーディングバリデーション | yohgaki's blog ってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。 SJISの問題は、(2/3)SQLインジェクションを根絶!セキュア開発の極意 - 第5回■注目される文字コードのセキュリティ問題:ITproの記事がわかりやすかった。 というか、やっぱりPHP使ってると誰でも一度は「なんじゃこの『¥』は?」って思うもんなんで。 なるほど、確かに↓の図のように「あるバイト」が2つの意味を持つっていう文字コード形態はやばいんだなと。 EUC-JPはそんなことはしないで、1つのバイトには1つの意味しか取らせない。 だけど、これでも文字化けが起こることがある。経験的には、「マルチバイトをXX文字で切り落としたい」とかやった場合。ちゃんと文字コードを判定してくれるPHPでいえばmb_subst
FreeSearchLogOn
ユーザーID:パスワード:TELECORE会員の方は、ユーザーIDとパスワードを入力してください。1日10回の制限付きでの無料検索ご利用はこちらのボタンをクリックしてください。TELECORE会員のご案内 TELECORE会員に登録しますと、TELECORE電話帳検索を1日3000回まで検索を実行することができます。 会費:1年間 6万円 注意事項: 無料検索と同様に、一回の検索につき最大30件しか表示されません。 TELECORE会員登録の流れ 1.下記お申し込みのボタンをクリックして、必要事項(名義、希望のユーザーID、メールアドレス等)を入力して、「送信する」のボタンをクリックします。 2.入力したメールアドレスに、ご入金いただく口座をお知らせいたしますので、指定金額をお振込みいただきます。(ご本人確認のため、連絡先電話番号に確認の連絡をさせていただく場合がございます。)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.machu.jp/posts/20110722/p01/
YouTube人気急上昇
IDEA * IDEA