コメントスパム対策として、ニセのコメントフォームを設置する
いわゆるネガティブキャプチャ(Negative Captcha)というもので、全自動でフォーム入力を行うボットが引っかかりそうなニセのフォームを設置し、そこに入力がある場合にはスパムと判断し、弾いてしまおうというアイディアです。 自動ではない手動スパムだと効果がないのですが、相手が日本人でない場合にはさらにもう一段階、罠を仕掛けることが可能です。 詳細は以下の通り。 ハニーポット・フィールドによるスパム・クローラ対策。 同様のことをWordPressで実装する例は以下に。 Reduce WordPress Spam By Creating Fake Comment Forms For Spam Bots | OneTipADay.com 以下にも簡単な例があります。おとり用のフォームを設置して、CSSで「visibility: hidden」というようにして非表示にすれば人間が投稿する際に
Six Apart-Movable Type 新バージョンとパッチの提供について
Movable Typeユーザーの皆様 Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認されました。対策を施した新バージョンをリリースいたします。 概要: Movable Typeの管理画面、検索機能、コメント機能においてクロスサイトスクリプティングの脆弱性があることを、発見された方よりご指摘頂き、弊社にて確認いたしました。 影響のあるバージョン: 現在、Movable Type 3.2以降およびMovable Type Enterpriseにおいてこの脆弱性があることを確認しております。一部の脆弱性については、それ以前のバージョンにも含まれる可能性があります。 対処方法: 9/26 11:15より、対策を施したMovable Typeの新バージョン(Movable Type 3.33)をリリースいたします。すみやかにバージョンアップをお願い致しま
高木浩光@自宅の日記 - CAPTCHAのレベルはblog主が選択できるようblogサービスが提供してはどうか
■ CAPTCHAのレベルはblog主が選択できるようblogサービスが提供してはどうか 先月末、江島健太郎氏の、 CAPTCHAは愚策, 江島健太郎 / Kenn's Clairvoyance, 2008年2月28日 というブログエントリが話題になっていた。そのはてなブックマークを見ると、以下のように非難轟々だった。 temtan [セキュリティ][プログラム] この人プログラム初心者って自覚あるみたいだけど、だったらこれが有効かどうかも判らないはずじゃない。なんで自信満々に言うんだろう。googleのプログラマより頭良いと思ってるのかな。★ hatest [ダメな例] Javascriptおぼえたての人は、なんでもJavascriptで出来ると思っちゃう典型的な例。Spamに狙われるような人気サービスでもない限りhttp://www.geekpage.jp/blog/のようなCaptc
高木浩光@自宅の日記 - 無線LANのMACアドレス制限の無意味さがあまり理解されていない
■ 無線LANのMACアドレス制限の無意味さがあまり理解されていない 職業マスメディアに代わって、ブログスタイルのニュースサイトが人気を博す時代になってきた。海外の話題を写真の転載で紹介する安直なニュースも人気だ。 このことろなぜか、無線LANのセキュリティ設定について書かれた記事を何度か見た。おそらく、ニンテンドーDSがWEPしかサポートしていないことが不安をもたらしている(そして実際に危険をもたらしている)ためだろうと思われる。 セキュリティの解説が増えてきたのはよいことなのだが、内容に誤りのあるものが少なくない。 実は危険な無線LAN, らばQ, 2007年10月21日 この記事には次の記述があるが、「接続されなければMACアドレスは盗まれない」という誤解があるようだ。 MACアドレスというのは、機器固有のIDのようなものです。たいていの無線LANアクセスポイントにはMACアドレスフ
忍者 TOOLS の悪行 : にぽたん研究所
忍者 TOOLS という、無料アクセス解析ツールを提供するサービス (よく shinobi.jp と書いてある手裏剣マークの小さいバナーが出るやつ) があるけど、アレってちょっとヒドいかも。。。 というのは、忍者 TOOLS で読み込まれる JavaScript が、ブラウザのバグを使用しているっぽくて、サードパーティの Cookie のクセに、何やらうまい具合に「忍者 TOOLS を設置しているサイトのドメイン以下」で勝手に長めの Cookie を送りつけている模様 (js から)。 一個の Cookie を吐くのなら別にまだ許されそうだけど、例えば livedoor Blog で忍者 TOOLS を設置している人の Blog を沢山見たりすると、雪ダルマ式に Cookie が増えていく…。 ふと気づくと、軽く 1KB ぐらいになっていたりする。 んで問題となるのは、Cookie の仕様
ITmediaニュース:ブログにスパムの悪夢再び 抜本的対策なく
かつてメールがそうだったように、ブログがスパムにまみれる危険性が高まっている。トラックバックスパムの被害が深刻化しているのだ。 トラックバックスパムとは、ブログ記事とは無関係な迷惑トラックバック。アダルト系や出会い系サイト、ワンクリック詐欺サイトに誘導するほか、SEO(検索エンジン最適化)用キーワードとアフィリエイトリンクだけで構成した、アフィリエイト目当てのブログへリンクするものも多い。 トラックバックスパムの構造は、スパムメールと似ている。無差別・機械的に送ることができ、スパマー側に配信リスクはほとんどない。受信側は、フィルタリングなどで被害を軽減することはできても、根絶は難しい。 ブログサービスに実害も 「レスポンスが大幅に悪くなり皆様にご迷惑をおかけしています」──ニフティの古河建純社長は11月末、自らのブログでユーザーに謝罪した(関連記事参照)。同社のブログサービス「ココログ」で
高木浩光@自宅の日記 - 素人メディアに脆弱性報告文化を破壊されるおそれ
■ 素人メディアに脆弱性報告文化を破壊されるおそれ みなさんは、「ニセ脆弱性」という言葉を耳にしたことがあるでしょうか。 これは、見かけは脆弱性のようだけれども、実は、脆弱性とはとても言えないもののことで、「疑似エクスプロイト」や「似非ゼロデイ」などとも呼ばれます。 「そんなものがどこにあるんだ」とお思いの方も、例として、「サニタイジング」や、「hiddenは危険」や、「非接触スキミング」などの名前を挙げれば、「ああ、そういうもののことか」と納得されるかもしれません。それとも、かえって、「え?」と驚かれるでしょうか。 例えば、皆さんもよくご存知のように、「サニタイジングは脆弱性対策にいい」と盛んに言われ、ひところは大手コーディネーション機関もこぞって解説を出すほどのブームになりました。サニタイジングがよく語られたのは、もちろん、サニタイジングの対策効果に裏づけがあると信じた人が多かったから
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
