Gmail、非ラテン文字の悪用防止措置を導入
ラテン文字との見分けが付きにくい文字を組み合わせれば、ユーザーが気づかずにメールの文字などをクリックしてしまう恐れもある。 米Googleは、Gmailで非ラテン文字に対応したことに伴い、ラテン文字との見分けが付きにくい文字を組み合わせた文字列の悪用を防ぐ措置を講じたと発表した。 Gmailでは非ラテン文字を含んだアドレスが認識できるようになり、「武@メール.グーグル」といったメールアドレスが利用可能になった。Googleはこれを「メールの国際化に向けた第1歩」と位置付ける一方で、迷惑メールや詐欺メールに悪用される事態を防ぐ対策も必要だと指摘する。 例えばミャンマー語の「Wa」を現す文字(U+101D)や、インドで使われるグジャラート語の「ゼロ」(U+AE6)、ギリシャ語のオミクロン(U+03BF)などの文字は、アルファベットの「o」とほとんど見分けが付かないという。詐欺メールなどにこうし
Blog/2006-12-12 - cubic9.com
°Ê²¼´í¸±¥É¥á¥¤¥ó¤Î.¤Î´Ö¤Ë¥¹¥Ú¡¼¥¹¤òÆþ¤ì¤Þ¤·¤¿¡£ÀäÂФ˥¢¥¯¥»¥¹¤·¤Ê¤¤¤Ç²¼¤µ¤¤¡£ 449 : : 2006/12/11(·î) 21:16:00 0 451 : : 2006/12/11(·î) 21:55:47 0 452 : 451 : 2006/12/11(·î) 22:07:16 0 454 : : 2006/12/11(·î) 22:12:45 0 475 : 454 : 2006/12/11(·î) 23:06:36 0 481 : 454=472 : 2006/12/11(·î) 23:22:46 0 507 : 449=454=472 : 2006/12/12(²Ð) 00:14:20 0 526 : 449=454=472 : 2006/12/12(²Ð) 00:36:49 0 50 : : 200
HELO/EHLO チェックによる spam 拒否 - BSDmad の日記
最近 postfix をいじっているのですが、HELO/EHLO で名乗ってくるホスト名にこちらのホスト名、IP アドレスを名乗る不届きモノ(?)を拒否するようにしてみました。 /etc/postfix/main.cf smtpd_helo_restrictions=permit_mynetworks, check_helo_access hash:/etc/postfix/helo_access /etc/postfix/helo_access example.jp REJECT mx.example.jp REJECT 192.168.0.1 REJECT そんなに多くはないのですが、そこそこ spam を拒否できるようになりました。 Feb 12 12:53:42 hoge postfix/smtpd[2071]: NOQUEUE: reject: RCPT from unknown
仙台経済新聞を2秒でクラックした - omoti の日記
なんか読売だかのサイトで 「仙台経済新聞がスタートする」 って書いてあって、それで 「正式に開始するまでサイトは見れないようになっている」 って書いてあって、そこに書いてあったURLを入れてみたら BASIC認証がかかっていて、IDとパスワードを入れないと 見れないようになっていた。 で、その責任者みたいなやつのインタビューが載っていて 「仙台の良い面をアピールしたい」 とかってインタビュー記事が載っていて、 今回、利用できるデーターはほんとにわずか それだけだったけど、たぶんこいつの頭の中は 「仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台! 仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台! 仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!」 って感じになってるんだろうなーと思って って入れてみたら、一回目の試行で いきなりヒットで、認証通って 本来非公開の
httpOnlyをFirefoxで
(Last Updated On: 2018年8月13日)PHP 5.2.0のsetcookie/setrawcookie関数からhttpOnly属性をクッキーにつける事ができるようになりました。httpOnly属性はMicrosoftが独自に拡張した仕様で、JavaScriptからクッキーの値を使用できなくする機能です。httpsでのみクッキーを送信するsecure属性に似ています。 Microsoftの独自拡張なのでIEでは利用できましたがFirefoxでは利用できません。しかし、アドオンを使用することでhttpOnly属性をFirefoxでも利用できるようです。 httpOnly by Stefan Esser Adds httpOnly cookie support to Firefox by encrypting cookies marked as httpOnly on the
WebAppSec - WebAppSec Wiki - XSSの実例
data スキーマを使ったスクリプトの実行 † data スキーマは、画像やIFRAMEなどのデータをHTML中に埋め込んで使用するための方法で、RFC2397で定義されています。複数のWebメールにてこれを使用してスクリプトの実行が可能な脆弱性がありました。 <iframe src='data:text/html;base64,PHNjcmlwdD5hbGVydCgiZGF0YToiK2RvY3VtZW50LmNvb2tpZSk7PC9zY3JpcHQ+'></iframe> <img src='data:text/html;base64,PHNjcmlwdD5hbGVydCgiZGF0YToiK2RvY3VtZW50LmNvb2tpZSk7PC9zY3JpcHQ+'> 多くのWebアプリケーションでは、http もしくは https スキーマのURIのみを入力値として許可すれば十分だと
HugeDomains.com
Captcha security check sullof.com is for sale Please prove you're not a robot View Price Processing
Third Party Relay Check RBL.JP第三者中継チェック RBL.JP
This service will check your server to see if it is possible for a third party to relay mail from your server. This service will test several techniques for sending relayed mail, but no mail will actually be sent to your server. If your server passes all tests performed by this serivice, no relays accepted in blue will be dispayed at the bottom of the output report. If any or all of the tests f
HTTP通信を行うゲートウェイのセキュリティ問題 | 水無月ばけらのえび日記
少し前に Another-HTML-lint (openlab.ring.gr.jp) のメーリングリストに興味深い話が流れていましたが、今日も別件で興味深いものを目撃したので、軽くメモなど。 HTML の文法チェックやアクセシビリティチェック、その他のチェックや計測ツールにおいて、しばしば「URLを入れるとそのサイトにアクセスしてチェックします」という形のインターフェイスが提供されていることがあります。たとえば、Another-HTML-lint では、URL を入れると HTTP でその URL にアクセスし、HTML を取得してチェックしてくれます。 このようなツールでは、任意のユーザが任意の URL を入力することができます。無条件にその URL にアクセスしに行ってしまいますので、DoS攻撃の踏み台として悪用される可能性があります (Another-HTML-lint の場合は、
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Microsoft がオレオレ証明書を使っている
■ Microsoft がオレオレ証明書を使っている えー、さっき気付きまして、ちょっとビックリした次第。 IE以外のブラウザで MSNのトップページ に行って、左下にある「Hotmail」って言うリンクをクリックしてから「強化されたセキュリティでサインイン」っていうリンクをクリックすると目出度くセキュリティの警告が表示されます。 この不正な証明書の発行元は「Microsoft Secure Server Authority」とか言っちゃってるので自署名ってやつなんでしょうかね。そういえば、MSNのトップにアクセスする時に「お使いの Web ブラウザでは、このサイトが正しく表示されないことがあります。」とか言われたけど、これの事か。なるほど。 このサインインのページ、いくつかのフレームにわかれているんだけど、ヘッダの所とかはちゃんとした証明書だったりするんだよね。何か中途半端な感じ。 とま
PHPで安全なセッション管理を実現する方法
_ 残り容量が数十Mバイトになっていた PCがなんかくそ遅いなーと思ってふと空きディスク容量をみたら、残り数十Mバイトまで減っていた。Folder Size for Windowsで各ディレクトリ単位のディスク使用量をながめてみたところ、 Thunderbirdでimapでアクセスしているアカウントのデータフォルダに、なぜか1GバイトオーバーのINBOXファイルがあった。なにこれ? 削除したけど別に動作には支障はなし。 puttyのlogが無限に追記されたよ……。数Gバイト。 昔ダウンロードしたCD/DVD-ROMのisoイメージファイルが、そこかしこに消されず残ってたよ。10Gバイトオーバー。 あと、細かいテンポラリディレクトリの中身とか消したら、30Gバイトくらい空いた。そこまでやって久しぶりにデフラグを起動したら、表示が真っ赤(ほとんど全部断片化されている)だったので、最適化実行中。
JavaScriptを使わずにCSSをユーザに選ばせる - MugeSoの日記
PHPSPOT開発日誌さんで、JavaScriptを用いずにユーザが好みのCSSを選べる仕組みが紹介されている。 http://phpspot.org/blog/archives/2006/08/javascriptcss.html PHPでクッキーに設定を突っ込んで、表示側でクッキーの値に合わせてcssへのリンクを張っているようだ。単純な仕組みだ。 ところで、次の箇所は思わぬバグを引き起こしかねない。 $ref = (isset($_SERVER['HTTP_REFERER'])) ? $_SERVER['HTTP_REFERER'] : "/"; header("Location: $ref"); RFC2616§14.36でRefererリクエストヘッダは次のように定義されている Referer = "Referer" ":" ( absoluteURI | relativeURI
高木浩光@自宅の日記 - RFIDタグ搭載ランドセルの校門通過記録で仲良しグループを割り出すという小学校教諭の発想は普通?
■ RFIDタグ搭載ランドセルの校門通過記録で仲良しグループを割り出すという小学校教諭の発想は普通? 論座2006年8月号に「IT技術は小学生を守るか」という記事が出ていた。これに次の記述がある。 立教小学校(略)の「登下校管理システム」は、ICタグを用いたセキュリティーシステムの草分けだ。(略)導入を進めた石井輝義教諭(情報科主任)は「動機は、どちらかというとセキュリティーよりも利便性にありました」と語る。(略) 「教師の仕事の一部を肩代わりしてもらうことで、生身の子どもと接することに集中できる」。今後はさらに、記録を時間順にソート(並べ替え)して仲良しグループを割り出す、長期欠席児童を把握するといった可能性を考えている。昨年5月の遠足では、バスに児童が乗り込んだかどうかタグで確認する実験も行った。無線LAN機能と専用ソフトを備えたモバイルPCをリーダーとして用いたという。 さらに、技術
CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね の対策 - 2nd life (移転しました)
hoshikuzu | star_dust の書斎#P20060428MHTMLREDIRECT で指摘されているように、現在の WinIE では mhtml スキームを悪用して、クロスドメインの html を取得することが可能になってしまっています。これを利用したはまちちゃんの実証コードを踏んだ人も居るでしょう(実際に WinIE だと情報が抜かれるので、安易に WinIE で見に行かないで下さい)。 この対策として id:hosikuzu:20060428#P20060428MHTMLREDIRECT では以下のような対策方法が提示されています。 そもそも信頼できないページを見ない IE使わない アクティブスクリプトとAxtiveXを切る レジストリでmhtmlスキームのハンドラを殺す この中で一番簡単かつ安心なのは WinIE を使わないことですが、IE コンポーネントブラウザなどを
なぜCSSXSSに抜本的に対策をとることが難しいか - いしなお! (2006-03-31)
_ なぜCSSXSSに抜本的に対策をとることが難しいか CSSXSSの説明について、その脅威を過剰に表現している部分がありました。その部分について加筆訂正しています。 @ 2006/4/3 tociyukiさんによる「[web]MSIE の CSSXSS 脆弱性とは何か」および「[web]開発者サイドでの CSSXSS 脆弱性対策」には、より正確なCSSXSS脆弱性の内容およびそれに対するサーバーサイド開発者で可能な対策について紹介されていますので、是非そちらもご覧ください。 @ 2006/4/4 今までも何度かこの辺の話はあまり具体的ではなく書いてきたけど、そろそろCSSXSSを悪用したい人には十分情報が行き渡っただろうし、具体的な話を書いてもこれ以上危険が増すということはないだろうから、ちょっと具体的に書いてみる。 ちなみに私自身は、CSSXSSの攻撃コードなどを実際に試したりといった
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Technical documentation
404 Error
https://modernlifeisrubbish.co.uk/top-10-most-common-passwords.asp
Dell trialling Mozilla Firefox on PCs, claim