はてなスターの認証強化について - はてなスター日記
先ほど、はてなスターの仕組みを変更し、正常なはてなスターのコード以外で☆が付けにくくなりました。 これまでの仕様では、画像(img)タグなどに☆を追加するためのURLを仕込ませるだけで、そのページにアクセスしただけで☆をつけたことになってしまうなどの問題が発生していましたが、今回の変更により、セッションごとに暗号化された文字列を追加でやりとりするようになり、意図しない☆がつきにくい仕組みになりました。 なお、既存のはてなスターを設置のユーザー様は、特に設定の変更などは必要ございません。 新しい仕様でも、JavaScriptが実行可能な環境で意図的にスクリプトを仕込むことで意図しない☆が付く動作を実行させることが可能ですが、はてなダイアリーやグループなどのJavaScriptを自由に書くことができない環境ではこのようなことはできなくなっています。 はてなスターでは、外部のブログサイトなど様々
2007-07-31
1か月以上ご利用いただいていない日記の「スパムコメント・トラックバックの拒否」を有効にしました 先ほど、はてなダイアリーとはてなグループにおいて、1か月以上更新のない休眠状態のブログに対して「スパムコメント・トラックバックの拒否」設定をはてなにより有効とさせていただきました。 はてなダイアリー及びはてなグループにはコメントやトラックバックを外部から受け付ける機能があり、以前からご利用いただいております。しかしこの数ヶ月間、スパムコメントやトラックバックの数が非常に増加しており、日記一覧ページやアンテナで記事が更新されたと思って見に行ったらスパムコメントだけがついていたり、あるいは毎日のように大量のスパムトラックバックが飛んでくるため、いつもスパムへの誘導リンクを見てしまうといった被害が大量に発生しています。 はてなでは、先日からDNSBLを用いたトラックバックフィルターやコメント時の画像認
#6 IT戦士 天野 仁史/こんにちはこんにちは! Hamachiya2(後編) Webアプリ開発でもっとも重要なこと | gihyo.jp
小飼弾のアルファギークに逢いたい♥ #6IT戦士 天野 仁史/こんにちはこんにちは! Hamachiya2(後編) Webアプリ開発でもっとも重要なこと 天野 仁史さん、Hamachiya2さん(はまちちゃん)との対談の後編です。 編集部注) 本対談は2007年3月に行われたものです。 撮影:武田康宏 優れたエンジニアって 弾:毎度おなじみの質問です。優れたエンジニアとして重要なのはどんなことでしょうか。タグは綴じようとか(笑)。 天:俺は自分1人でどこまで作れるかっていうことだと思います。上から下まで自分でどのくらい作れるか。そういう意味では、自分はまだまだかなぁと思うんですけど。 は:そういう人がそばにいたら、何でもお願いしたくなっちゃうかも。アイディアが湧いたら「こんなの作って」とかって。この人に言ったら、上から下まで全部できちゃうみたいな。 弾:いやでも何でもやら
てっく煮ブログ - あまり語られていない Apollo のセキュリティについてまとめてみた
(2007年10月追記) この記事は、Adobe AIR と呼ばれている技術のα版時点でのセキュリティについて述べています。2007年10月現在での最新版についての情報は、以下のページを参照してください。akihiro kamijo: Adobe AIR ベータ 2 セキュリティ関連の変更点akihiro kamijo: Adobe AIR のデジタル署名機能について(追記ここまで) void element blog: いろんな意味でしゃれにならないApollo にて Apollo はセキュリティ的に危ないよ、という話が出ていたので、ちょっと調べてみました。Web 技術を使っているとはいえ、ローカル環境で動くので、ある程度の覚悟をもってインストールする必要があります。今回は、その心構え(?)のようなものをまとめてみました。セキュリティは専門ではないので、つっこみは大歓迎です。Apollo
第3回 Web 2.0で事態が悪化
前回ではWeb 2.0の興隆とともに,JavaScriptが多用され,使用をできないようにするととたんに,Webが使い物にならなくなる現状が,脅威を生んでいることを示した。今回は,RSSといった新しい技術や,ユーザーからの情報公開といったWeb 2.0の特徴がさらに火に油を注ぐことになることを示す。 RSS,ATOMのリーダー・ソフトなど新しいアプリケーションの台頭は,ブラウザ以外にもJavaScript実行環境が増えることにほかならない。 RSSやATOMのリーダー・ソフトは本来,最新情報のリストを表示するための仕組み。JavaScriptを解釈する必要はない。しかし多くが,Internet Explorerなど既存のソフトのコンポーネントを使用してリストを表示しているため,JavaScriptを解釈してしまうケースがある。 実際,無償で配布されているRSSリーダーのいくつかでXSSのぜ
機密情報にJSONPでアクセスするな
2007年6月7日 はてなブックマークのコメントをうけて、「常にJSONP、JSON、JavaScriptに機密事項を含めないように」という主張を改め、「クロスドメインアクセスの対策をとっていない状態ではJSONP、JSON、JavaScriptに機密事項を含めないように」という主張に関して記述しました。 こんにちは、SEの進地です。 今回から週単位でWebアプリケーションのセキュリティに関するエントリーを書いていこうと思います。 僕自身、日々勉強して精進というところですので、もし何らかの誤りがあれば是非ご指摘ください。 つっこみ大歓迎です。 今回取り上げるのはWeb 2.0なアプリケーションでセキュリティ面で気をつけるべきことの一つ、機密情報にJSONPでアクセスするなです。 JSON(JavaScript Object Notation)はJavaScript(ECMAScript)の
AjaxでHTTPSを使わずに暗号化通信を行うライブラリが登場:CodeZine
HTTPSを使わずに、PHPやASPで暗号化通信を行うAjaxライブラリ「aSSL」が登場した。RC4暗号化アルゴリズムを使うことでSSLと同様の機能を実現する。 aSSLは自動的に送信内容を暗号化しながらサーバとやりとりをする。セッションが切れそうになるたびにキーを生成し、同一のキーは再利用されない。 aSSLライブラリはJavaScriptファイルとサーバーコンポーネントから成り、PHPとASP環境で利用できる。将来的にはPerlやPython、TKLなどでも使用できるようにするという。 ただ現在、脆弱性のバグが見つかり、修正しているようだ。 aSSL - Ajax Secure Service Layer
mixCipher - mixi Diary Cryptographer - Lab MagicVox.net
mixCipher は mixi の日記本文やコメントを暗号化することで,心無いユーザによる情報漏えいを防ぐためのソリューション(?)です。 "みっくすさいふぁー"と読みます。投稿者が設定したパスワードを正しく入力しない限り元の文章を読むことはできません。しかし貴方が信頼してパスワードを教えた人が,実は情報漏えいの黒幕であった場合にはどうしようもありません。マイミクは大切にしましょう。 どうやって読むの? mixi 日記を読んでいて -----BEGIN BLOWFISH DATA BLOCK----- DWVKdwrD2vbTQiDeeHN5ZoKGi9YOUZdiMClHGHXj Wub+YxpRqvobqw== -----END BLOWFISH DATA BLOCK----- のような日記本文やコメントを見かけたら,すかさず次の Bookmarklet(ブックマークレット) を実行
「Web 2.0」導入が進む中、後回しにされるセキュリティ
だが、クロスサイトスクリプティングの問題は、リスクの1つに過ぎない。Fortify SoftwareのチーフサイエンティストBrian Chess氏によれば、Ajaxのコードで問題を引き起こすおそれがあるものとして、レースコンディション、妥当でないコード、オブジェクトモデルの違反、不完全な乱数、不適切なエラー処理などがあるという。 このようなエラーから、ユーザーのデータが外部に流出したり、あるユーザーが他のユーザーのセッション制御を奪い、悪意のあるプログラムの実行その他の攻撃を行ったりする可能性があると、Fortify Softwareは説明している。同社が2005年12月に「Foundations of Ajax」というソフトウェア開発者向けの解説書を調べたところ、掲載されているAjaxのサンプルコード中に、こうした問題がすべて見つかったという。 「(同書に載っている)サンプルコードは、
JavaScriptを悪用した攻撃手法--セキュリティ研究者らが発見
JavaScriptを使って家庭や企業におけるネットワークの構成を把握し、接続されたサーバやプリンタ、ルータなどのデバイスを攻撃する方法を、セキュリティ研究者らが発見した。 こうした悪質なJavaScriptが埋め込まれたウェブページを一般のブラウザ上に表示すると、スクリプトが何の警告も表示しないまま実行されてしまうと、研究者らは述べる。また、これはユーザーのブラウザ上で動作するため、ファイアウォールなどのセキュリティ対策も回避するという。 ウェブセキュリティを専門にするSPI DynamicsのリードエンジニアBilly Hoffman氏は「われわれは、ネットワークをスキャンして見つかったすべてのウェブ対応デバイスを識別し、これらのデバイスに攻撃を仕掛けたり、コマンドを送信したりする技術を発見した。このテクニックを使えば、ファイアウォールで守られた企業のネットワークもスキャンできるように
Ajaxの特徴に潜むリスクをサンプルアプリで確認しよう ― @IT
Ajaxのセキュリティ対策状況 Ajaxのセキュリティは、各ブラウザのAjax実装である「XMLHttpRequest」で対策が行われています。それらのうち、今回は「SSLによる暗号通信」と「クロスドメインの制限」についてご紹介したいと思います。 SSLによる暗号通信 通常のWebページへのアクセスと同様、AjaxにおいてもSSLを利用した暗号通信を行い、ネットワーク上のデータ盗聴に対して備えることができます。Ajaxのプログラミング上では、URIのプロトコル「HTTP」を「HTTPS」に変更するのみでSSLによる暗号通信となります。しかし、Ajaxアプリケーションのロード後に、プロトコルを「HTTP」から「HTTPS」、もしくは「HTTPS」から「HTTP」へといった変更はできません。 クロスドメインの制限 Ajaxアプリケーションは、A)HTML部/B)JavaScript部/C)XM
Ajaxの特徴に潜むリスクをサンプルアプリで確認しよう
セキュリティ低下のサンプル 前述のとおり、Ajaxの実行環境では、原則としてJavaScriptの有効化が前提となっています。このため、JavaScriptによって収集可能なユーザー情報が、無意識なうちにサーバに転送されてしまう可能性も考えられます。つまり、悪意を持った開発者が作成したAjaxアプリケーションは、あなたのパソコンに送り込まれたスパイのように振る舞う「スパイウェア注1)」となっているかもしれません。スパイウェアには、さまざまな定義がありますが、ここでは以下のような振る舞いに着目して紹介することにします。 注1) スパイウェア:PCユーザーが気付かないうちに、ユーザーの情報を集め、特定の団体に送信するアプリケーション 注2) PCのキーボード入力を監視し記録するソフトウェア/ハードウェア 注3) キーロガーと同様に、ユーザーのマウス操作を監視して、それを記録するソフトウェア 参
Ajaxの特徴に潜むリスクをサンプルアプリで確認しよう ― @IT
第1回 Ajax技術の目に見えない通信内容をのぞいてみようでは、Ajaxの技術背景を解説しました。今回は、「セキュリティ」という観点でAjaxを見ていきたいと思います。 2回目の今回は、非常に幅広く、奥が深い「Ajaxの特徴に潜むセキュリティリスク」を、実際のサンプルアプリケーションの通信や、マウスの動きを動画で見ながら、理解しましょう。スパイウェアやキーロガーへの基本的な対策も解説します。 通常のWebアプリと異なるAjaxの特徴に潜むリスク 「Ajaxのセキュリティ」といきなりいっても、『Ajaxとはいえ、単なるWebブラウザで動作するアプリケーションなのだから、これまでのWebアプリケーションのセキュリティとあまり変わらないのでは?』と予想される方も多いでしょう。確かに、Webアプリケーションとして注意すべきセキュリティのポイントは、Ajaxにおいても共通して当てはまると考えて問題あ
IEBlog
Internet Explorer Team Blog We've moved! Find us at the new Microsoft Edge Dev Blog As we announced last week, with the reveal of Microsoft Edge we are archiving the IEBlog. Future... Date: 05/08/2015 Microsoft Edge is the browser for Windows 10 This morning, Joe Belfiore took to the stage at Build 2015 to share more about the next chapter in... Date: 04/29/2015 Announcing improvements to Enterpri
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://youmos.com/reference/greybox_sample.html
JavaScript XmlHttpRequest tests
https://labs.cybozu.co.jp/blog/kazuho/archives/2007/01/jsonp-security.php
https://labs.cybozu.co.jp/blog/kazuho/archives/2007/01/crosssite_security.php