知っておきたいSSLサーバ証明書の取得まで - livedoor ディレクター Blog(ブログ)
こんにちわ。モバイルディレクターの飯田瞬です。 ウェブディレクターの中には、SSL サーバ証明書が必要なウェブサイトの構築を担当した人は少なくないと思います。 今回は SSL サーバ証明書を取得するにあたり、ディレクターが知っておいた方が幸せになれる必要最低限な事項を簡潔にまとめてみました。 割愛している部分もかなりありますが、詳細まで突っ込むと1エントリーでは収まりきらないため、何卒ご理解いただければと思います... 【01】SSLサーバ証明書って何だろう? SSL を一言でまとめると、住所やカード番号などを暗号化して第三者が傍受してもデータの改ざんや盗聴を防ぐといった技術が SSL です。 SSL サーバ証明書というのは、その SSL の暗号化技術を利用するサーバの身元を、第三者である認証局が保証することを示すものです。この証明書の中には SSL でクライアントとサーバ間の通信を暗号化
JavaScriptを使ってイントラネット内を外から攻撃する方法:Geekなぺーじ
「Hacking Intranet Websites from the Outside」という講演が2006年にありました。 Black Hatでの講演です。 以下に説明する手法は既に公開されてある程度時間が経過している情報なので、ご存知の方にとっては既に古いとは思います。 詳細はプレゼン資料をご覧下さい。 概要 ファイアウォールなどに守られたイントラネットやホームネットワークの内部を攻撃する手法が解説してありました。 JavaScriptの基本仕様を組み合わせて情報を収集するというものでした。 最終的には、プリンタから印刷を行ったり、ルータの設定を変更するなどの攻撃が可能になるようです。 それ以外にも、Web経由で設定変更が出来るものは状況によっては影響されるかも知れません。 プレゼン後半ではCSRF(XSRF, cross-site request forgery)も解説されていました
1-5. hiddenは危険(セッション変数を利用しよう)
hiddenフィールドは画面には表示されず,複数のWebページ間でデータの受渡しを行う際に利用されるHTMLフォーム項目である。(hidden[ヒドゥン]は「隠された」 の意) 画面1,画面2を見てほしい。これは,最初の「ログインページ」への入力でユーザの種別が識別され,その種別に応じて次の「記事メニューページ」から呼び出せる記事が制限されるという簡単なWebアプリケーションの例である。ユーザはログインページでパスワードを入力する。このパスワードが会員用パスワードであるか否かにより「会員」と「ゲスト」の2つの種別に分類される。会員は記事メニューページの全ての記事を見ることができ,ゲストが会員専用の記事を見ようとすると「会員登録ページ」が現れる。 ログインページのHTMLをリスト1に,そこからパスワードを受け取って記事メニューページを表示するプログラムをリスト2に,記事メニューページでの選択
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
