犯行予告収集サイト「予告.in」公開 「0億円、2時間で作った」
ネット開発者で構成するベンチャー企業・ロケットスタートの矢野さとるさん(26)は6月12日、ネット上の犯行予告を集約するサイト「予告.in」を公開した。フォームから犯行予告情報を投稿してリアルタイムで共有できるほか、2ちゃんねる(2ch)やブログ、はてなブックマークから犯罪予告関連の書き込みを自動収集。犯罪防止に役立ててもらう狙いだ。 トップページには、犯行予告情報投稿フォームと、2ch、ブログ、はてなブックマークの関連情報一覧を掲載した。 フォームに投稿した情報は、Twitterの専用アカウント「yokoku_in」に自動で投稿されるほか、Yahoo!グループの専用メーリングリストに流れる。 2ch検索から「犯行予告」「殺人予告」「殺します」「殺す」「爆破」「通報」というキーワードを含むスレッドを、定期的に自動取得してトップページに掲載。はてなブックマークからは「犯罪予告」「犯行予告」「
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
誰が攻撃しているか突き止めたい:ITpro
ブロードバンド・ルーターを介さずにパソコンをインターネットに直接つないでいたり,ルーターのポートを開けてLAN内のパソコンをサーバーとして外部に公開したりしていると,毎日のように不審なパケットが何者かによって送りつけられてくる。 つい先日も,実験のためにWebサーバーを公開したときの1カ月分のアクセス・ログを見てみたら,攻撃を受けた痕跡が大量に記録されていた。 こうしたインターネットからの攻撃を受けたとき,やるべきことは二つ。まず最優先はサーバーやパソコンが被害を受けていないかをチェックすることだ。被害を受けていたらすぐに修復し,適切なセキュリティ対策を施す。 それから,攻撃してきたのがどこの誰なのかを突き止める。攻撃パケットをいくつか受け取ったからといって目くじらを立てる必要はないが,あまりにしつこいようなら攻撃者が契約しているプロバイダに連絡するなどの手を打つことも考えたい。そのために
第1回 まずは「クッキー」を理解すべし
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
はてなダイアリーに(対応外の)ブログパーツを貼る
はてなダイアリー日記 - 自分のはてなダイアリーにブログパーツを設置できるようになりました これはいいね! さっそく googleガジェットを使って、(対応外の)すきなブログパーツとかを色々貼ってみよう! まずは下のようなテキストファイルをつくって、文字コードをutf-8で保存…! <?xml version="1.0" encoding="UTF-8" ?> <Module> <ModulePrefs title="ここにパーツ名かこうね!"> </ModulePrefs> <Content type="html"> <![CDATA[ (ここにブログパーツ貼り付けコード) ]]> </Content> </Module> たとえばtwitterのブログパーツ(badge)を貼るのなら、ファイル名を「twitter.xml」とかにしておいて、 このファイルをどこかのサーバーにアップロード
セキュリティ過敏症 - ぼくはまちちゃん!(Hatena)
初心者はPHPで脆弱なウェブアプリをどんどん量産すべし ↑のブックマーク うん。増田くんはいつもいいこと書くね! ブックマークの方には 危険だとか迷惑だとか踏み台だとか色々かいてあるけれど(というか踏み台ってなんだろ?) そんなに大切な個人情報をたくさん扱ってるサイトなんてどれだけあるかな。 みんなそういうサービスつくってるの? なんかすごいね。 ぼくの使っている範囲だと、(提供側が気をつけていないと) 本当にまずいのは銀行と証券とカード会社のような、お金のからむサービスくらいだよ。 もちろん、他にメール内容だとか、購読しているフィードだとか、知られたくない個人情報なんてのは、人によってたくさんあるよね。 だけど、例えばぼくがメールサービス作りましたなんて言ったら誰か使う? それか無名の団体だったらどうかな。それで大切なメールやりとりしちゃうの? そう。そもそも、利用者もそれほどバカじゃな
OpenIDが熱狂的に受け入れられる理由 ― @IT
2007/04/23 3月15日、米国の全国紙USA Todayの「Tech」セクションの紙面をOpenIDに関する記事が飾った。その記事では、さまざまなインターネットサービスが利用されるようになる中、増加の一方をたどる「IDとパスワード」を記憶する義務からユーザーを解放する新しい技術としてOpenIDが紹介されている。 OpenIDは、URLをIDとして利用する認証プロトコルである。ユーザーはOpenID認証サーバが提供するIDをコンシューマ(OpenIDによる認証に対応したサービスプロバイダのこと)でのログインに利用することができる。コンシューマはOpenIDをもとに認証サーバを発見し、自身で認証する代わりにサーバへ認証を依頼する。ユーザー認証はすべて認証サーバ上で行われるので、ユーザーはOpenIDを1つだけ覚えておけば複数のサービス(コンシューマ)へログインできるようになる。つまり
サーバにDoS耐性を付ける - stanaka's blog
ウェブサービスでは、アクセスが集中して、サイトが落ちる、というのは、よくある話です。純粋に人気が出てアクセス集中するなら、サーバ管理側の責任と言われても、しかたないと思います。しかし、botやF5アタックによる突発的な集中アクセスで、落ちてしまう、というのは、運営側としても、あまり納得がいくものではありません。 そのような突発的なアクセスに対応するために、大量のアクセスをしてくるクライアントを検出し、優先度を落すか、アクセス禁止にする方法などがあります。 というわけで、Apacheモジュールでそれを検出するためのmod_dosdetectorを開発しました。(ちなみにコア部分の開発期間は、Apacheモジュールって、どう書くんだっけ、という状態から、3日でした。) mod_dosdetectorは、Apacheモジュールとして動作し、クライアントのIPアドレスごとにアクセス頻度を測定し、設
ぼくはまちちゃん!(Hatena) - Port801 (初心者向け)セキュリティ勉強会 Hamachiya2編
こんにちはこんにちは!! 先日、Twitterで声をかけてもらって、 第一回 Port801 セキュリティ勉強会っていうのに参加してきたよ!! (↑pw: security) そこで、すこし喋った時のビデオを頂いたので、もったいないので公開しちゃいますね! プレゼンだとかそういうの慣れてなくて、ぐだぐだな感じだけど、 よかったら何かの参考にしたり、晩ご飯のおかずにしてください>< Port801 セキュリティ勉強会 - Hamachiya2 その1 (http編) Port801 セキュリティ勉強会 - Hamachiya2 その2 (CSRF編1) Port801 セキュリティ勉強会 - Hamachiya2 その3 (CSRF編2) Port801 セキュリティ勉強会 - Hamachiya2 その4 (XSS編1) Port801 セキュリティ勉強会 - Hamachiya2 その5
利用率7割のWEPは「1分」で破られる:ITpro
職場,自宅を問わず根付きつつある無線LAN。ただ,そのセキュリティに関しては,ユーザーの意識は意外に高くない。今回では,最も広くユーザーに利用されている無線LANの暗号化技術がどの程度弱いものかを確認しつつ,より安全な無線LANの使い方を改めて解説しよう。 IEEE 802.11a/b/gの無線LANには3種類のセキュリティ規格がある。WEP(wired equivalent privacy),WPA(Wi-Fi protected access),WPA2である。データを暗号化することで盗聴から保護し,有線メディアと同等のセキュリティを確保することが目的である。 ただ,2007年末に都内某所で調べたところ,受信できる無線LANの電波のうち,暗号化されていないものが16%,WEPでの暗号化が69%存在し,いまだにWEPが広く使われていることを再認識することになった。WPA/WPA2という最
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
会員制ログイン機能を簡単に付加するスクリプト「PHPLogin」 - GIGAZINE
「会員制ログイン機能」を搭載しようと思うとなかなか骨が折れます。で、そういった面倒な部分のみを提供し、簡単に実現できるのがこの「PHPLogin」というスクリプト。既存のスクリプトなどにすこし追記するだけで使用可能です。 実現できる機能としては、会員のログイン率のグラフ化、ユーザーのグループ化、メールの一斉配信、フォームの入力チェック、オンラインかオフラインかの表示、多言語対応、メールによる認証、二度目以降のログインの省略などなど。 ダウンロードと実際の機能の詳細、デモなどは以下から。 PHP Login script http://www.phplogin.net/ 以下のページから無料版がダウンロードできます。無料版は20ユーザーまでという制限があります。ちなみに有料版だとユーザー数が無制限で、価格は29ドル。 Download the trial version of PHPLogi
ITmedia Biz.ID:あやしいサイトにご用心――3つの“素性確認”サービス
知らないサイトをブラウザでいきなり開くのは危険な行為だ。こうした場合、URLを入力するだけでサイトのドメイン情報のほか、評判や周辺情報といった“素性”を確認できるサービスを利用しよう。 ネット上で見つけたURL、メールアドレスの発信元、もしくはアクセスログで得られたサイトやドメインについて、実際にブラウザで開く前に情報を得たいことがある。ドメインに関する基本情報はWHOISを使えば確認できるが、あくまでもテキスト主体でサイトの概要しか知ることができず、ネット上での評判まで知るのは不可能だ。 最近になって、こうした場合に便利な、サイトの詳細情報や周辺情報を提供してくれるサービスが続々登場してきている。今回はその中から代表的なサービスを紹介しよう。 まず1つめは「aguse.net」だ。このサービスでは、WHOISで得られる基本的な運営者情報はもちろんのこと、サイトのスクリーンショットや、サー
IEを華麗に撃墜する一行 - ぼくはまちちゃん!(Hatena)
はい! こんにちは!!!!! 今日は、偶然ブラクラ発見しちゃったから、それをお伝えしますね! これだよ! <style>*{position:relative}</style><table><input></table> → サンプル (IEだとブラウザが終了しちゃうよ! 注意してね!) IE6とかIE6のコンポーネントブラウザだと確実に落ちちゃうみたいだね! IE7は確認してないけど! tableとかtrの直下に、inputとかselectがあって、 そのあたりにcssの全称セレクタでposition:relativeがあたっているとダメなかんじかな! ちなみにinputにstyleで直接relativeあてても落ちなかったよ! なにこれ! よくわかんないけど面白いね…! FirefoxとかOpera大好きっ子は、 これをたくさんバラまいてIEのシェアをどんどん下げちゃえばいいと思うよ!
AAで図解!ずばり一目で全く解らないコンピュータセキュリティ
最終更新日: Wednesday, 29-Nov-2006 02:46:05 JST Webバグ CSRF (Cross Site Request Forgeries) DoS (サービス拒否) サニタイズ オレオレ証明書 Cookie Monster SQL インジェクション HTTP Response Splitting (レスポンス分割) HTTPのページのフレームにHTTPSのページを表示 バッファオーバーフロー フィッシング Forceful Browsing (強制ブラウズ) クロスサイトスクリプティング ゼロデイ(0day)攻撃 ディレクトリトラバーサル セッションハイジャック 権限昇格 OS コマンドインジェクション オープンプロキシ Webバグ \ __ / _ (m) _ビーコーン |ミ| / `´ \ ('A`
今どきWarezとか流行んないと思うけど - ぼくはまちちゃん!(Hatena)
Googleで、 site:http:(消しました) えろまんがのタイトル みたいに検索すると、なんだかとても興味深い感じのものがヒットしちゃうなーってことを 今日、たまたま偶然、すごい偶然に、発見しちゃったのでメモしておきますね! 右側のCAPTCHAみたいなの入力してボタンを押すと、なにか落ちてくるみたいなんだけど、 その時はしっかりと中身を確認して、違法なものだったりした場合は、 すぐに捨てちゃったほうがいいですよ! というか、もし著作権を侵害しているようなファイルがあれば、サイト運営者に通報するべきですよね! あ、べつにえろまんが検索ばかりしてて発見したわけじゃないですよ! ほんとだよ! (追記) http://twitter.com/Hamachiya2/statuses/836520334 http://f.hatena.ne.jp/twitter/20080617121326
Webメール,盗み見されていませんか:ITpro
最近,顧客などからWebメールの利用に関する相談が多くなっている。企業内の個々の社員が勝手に利用している場合はもちろん,企業として利用する場合に,メール本文を外部に置くことで情報漏えいにつながるのではないかという危機感からだ。企業の機密が漏れることはもちろん,個人のプライバシーにかかわる問題でもある。 Webメールは,既に多くのユーザーがプライベートのメールとして利用している。“実名”でビジネス用メールにGoogleやYahoo!などの外部サービスを利用しているユーザーも増えている。ただ,自分の電子メールが他人に読まれていたという事例は過去にいくつもあり,決して珍しい話ではない。事業者のサーバーにメールを置くWebメールとなると,不安はさらに膨らむ。 さすがにWebメール・サービスも,一昔前と比べるとそれなりにセキュリティ対策はとられている。それでも,必ずしも十分とは言えないのが実情である
まだまだあるクロスサイト・スクリプティング攻撃法
前回はクロスサイト・スクリプティングのぜい弱性を突く攻撃の対策としてのHTMLエンコードの有効性を述べた。ただ,HTMLエンコードだけではクロスサイト・スクリプティング攻撃を完全に防御することはできない。そこで今回は,HTMLエンコードで対処できないタイプのクロスサイト・スクリプティング攻撃の手口と,その対策について解説する。 HTMLエンコードで対処できない攻撃には,次のようなものがある。 タグ文字の入力を許容している場合(Webメール,ブログなど) CSS(カスケーディング・スタイルシート)の入力を許容している場合(ブログなど) 文字コードを明示していないケースでUTF-7文字コードによるクロスサイト・スクリプティング <SCRIPT>の内容を動的に生成している場合 AタグなどのURLを動的に生成している場合注) 以下では,HTMLタグやCSSの入力を許容している場合と,文字コードを明
セキュリティレベルの高いサイトを構築する 22 カ条 :: Drk7jp:
最近、何処の会社でもセキュリティに関してうるさく言われているかと思います。自分としても今まで気を遣ってきていたつもりではあります。しかしながら、 なぜSSL利用をケチるのか:IT Pro SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも 安全なWebサイト設計の注意点 を読んでみて、お恥ずかしい限りですが勘違いしていた部分もありました。実際、Amazon とか Yahoo! のログイン画面を見ても、デフォルトが http によるアクセスになっていたりして、メジャーどころでも最新の注意が払われている訳ではないのだなぁ〜と思ったり・・・。本当は全ページ SSL が理想とは知りつつも、SSL の処理負荷の高さ故に、ついついケチったページ遷移にしまうからなのでしょう。。。自分含めて。 自分への情報もかねて、上記ページに記載されている、31箇条の鉄則と最近の事情を加
秋元@サイボウズラボ・プログラマー・ブログ: reCAPTCHA - キャプチャを利用した人力高性能OCR
reCAPTCHA という新サービスはすごい。その構想力には感動させられた。 念のためにCAPTCHA(キャプチャ)について説明しておくと、スパムプログラム(bot)と人間のユーザを見分けるための簡単な(しかし機械にとっ […] reCAPTCHA という新サービスはすごい。その構想力には感動させられた。 念のためにCAPTCHA(キャプチャ)について説明しておくと、スパムプログラム(bot)と人間のユーザを見分けるための簡単な(しかし機械にとっては難しい)クイズのことだ。ある程度ウェブを使っている人なら、ネットサービスの登録時やコメントの書き込み時などに、読みにくく加工されたアルファベットを読まされたりした経験があるだろうと思う。 それらのサイトでは、あなたが人間にしかできないクイズを解いたのを見て、ユーザ登録やコメントの投稿を受け付けたりする仕組みになっているわけだ。文字を読む以外のC
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
