トラックバックスパムよけにも使える「mod_security」
Apacheをセキュアにするモジュールで「mod_security」というのがあるそうで。いわゆるWeb Application Firewall (WAF)というものに分類される仕組みなのですが、非常に機能が強力。ヘッダ、GET、POST、レスポンスを含むINとOUTの全リクエスト(HTTPS含む)に対してフィルタリング可能。通常では記録されないPOSTのログも記録可能。 で、この機能を使えばトラックバックスパムもサーバ側で始末できるので、PHPなどが動いて判定する前に処理でき、トラックバックスパムによる負荷が軽くなるというわけ。 設定の詳細などは以下の通り。mod_security用のブラックリストもダウンロードできるので設定も簡単です。 公式サイトは以下。 ModSecurity (mod_security) - Open Source Web Application Firewal
Bridge Word
This shop will be powered by Are you the store owner? Log in here
CNET Japan Blog - 近藤淳也の新ネットコミュニティ論:不具合と信頼性
2003年1月、国内では初期のブログサービスとしてはてなダイアリーベータ版を開始しました。それまでのブログやウェブ日記には無いキーワード機能などを備えたはてなダイアリーは、無料で利用できることもあり当初から利用申し込みが多く、100名のベータテスター枠はすぐに埋まってしまいました。 初期のベータテスト段階では、システムにはまだバグや脆弱性が含まれていました。本来動作するはずの機能がうまく動作しない、という不具合に加え、ログイン中のユーザーのCookieを抜き取ることのできるXSS(クロスサイトスクリプティング)脆弱性が一部に存在していました。 XSS脆弱性は、ユーザーがHTMLやCSSを記述可能なサービスについてまわる問題で、しっかりとした対策を行わないと悪意のあるJavaScriptを動作してアカウントののっとり行為などが可能になってしまいます。 正直なところ、当時の社内ではXSS脆弱性
SQL Injection Attacks by Example
A customer asked that we check out his intranet site, which was used by the company's employees and customers. This was part of a larger security review, and though we'd not actually used SQL injection to penetrate a network before, we were pretty familiar with the general concepts. We were completely successful in this engagement, and wanted to recount the steps taken as an illustration. "SQL Inj
swatchとipfwでsshの不正アクセスを自動拒否する方法
はじめに sshのポートを開いていると、世界中からrootログインやありがちなアカウント(guestとか)でのログインを試すアクセスがやってきます。 通常はsshでrootログインなど許可していないので(してませんよね?)、被害がないはずなのですが、立て続けに何度もアクセスされると気持ち悪いことは確かなので、そのような接続元を自動的にアクセス拒否してしまおうというのが目的です。 OSはFreeBSD 5.4Rを前提とします。 swatchのインストール&起動 swatch 3.1.1をportよりインストールします。(詳細省略) /etc/rc.confに以下を追加します。 swatch_enable="YES" swatch_rules="1" swatch_1_flags="--tail-file=/var/log/auth.log --awk-field-syntax --co
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
■ クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古く から存在したこの問題がなぜ今まであまり注目されてこなかったかについて考 えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策 方法について書いておくとする。 クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。 前提 ログインしていないWeb閲覧者に対するCSRF攻撃(掲示板荒らしや、ユーザ登 録を他人にさせる等、サイト運営者に対する業務妨害行為)はここでは対象と しない。 ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション 追
in between days - mixiにCSRF脆弱性「ぼくはまちちゃん!」トラップ
2005-04-20 mixiにCSRF脆弱性「ぼくはまちちゃん!」トラップ mixi 昨日書いた「まちちゃん!」トラップがバージョンアップ(ver 3.0)したもよお。以前のは日記を書き込むためのCGIへの引数付きのリンクがそのまま貼ってあったんだけど、今回はサイトを経由させるようになってて手が凝っているもよお。mixiの対策としてはリ… 2005-04-20 え?「はまち」ちゃんなの? mixi はまちちゃん関連で思ったこと - おれはおまえのパパじゃない“I am MACHI-CHANG”なのかと思ってたっす。あと「【日刊】mixiニュース」というコミュニティで“「ぼくはまちちゃん」ウイルス”というタイトルのトピックが立ってて、それはまあまだいいんだけど、… 2005-04-20 はまちちゃん関連 mixi 恐がりさん経由でやじうまWatchからたくさん人がくるよう怖いようとか震えて
On Off and Beyond: サーチ・独立・株式市場ー1
アメリカは昨日から夏時間になった。急に日が長くなって、8時くらいまで明るい。この間ラジオで聞いたのだが、初めて夏時間を導入したとき、ゴルフボールの売上が30%増えたそうだ。8時とか9時まで明るければ、仕事の後にゴルフできますので。 もとい。 ちょっと古いが、Scientific American 2004年12月号のCommon Senseは、どういうときに、全体が、それを構成する個人より優れた知恵を生み出すか、という話。構成員が「独立し」、「分散して」、「それぞれが勝手な理解の仕方をする」という条件を満たしていなければならない、と。 記事では全体が個より優れている例をいくつかあげている。 例1 In one experiment, participants were asked to estimate the number of jelly beans in a jar. The gro
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
キングソフト