開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
産総研 RCIS: 安全なWebサイト利用の鉄則
お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。 2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。 この解説について 目的: フィッシング被害を防止するWebサイト利用手順の確認 著名なブランド名や会社名を騙った偽のWebサイトを作り、人をそこに誘い込んでパスワードや個人情報を入力させてかすめ取る、「フィッシング」 (phishing)と呼ばれる行為がインターネットの安全を脅かしつつあります。フィッシングの被害を防止するには、利用者ひとりひとりが本物サイトを正しく見分けることが肝心です。 しかしながら、どうやってWebサイトを安全に利用するか、その手順のことはあまり広く知られていないようです。技術者達の間では暗黙の了解となっていることですが、市販のパソコンの取扱説明書には書か
邪魔なJwordプラグインのインストーラウインドウを起動させない方法
手順2 次に、その中の「セキュリティ」タブを選択します。(画像1-�@) 手順3 そして、「制限付きサイト」を選択して(画像1-�A)、「サイト」ボタンを押します(画像1-�B) 手順4 画像2のウインドウが出てきたところで、「次のWebサイトをゾーンに追加する(D):」の欄(画像2-�@)に「jword.jp」と入力し、「追加」ボタン(画像2-�A)を押す。 手順5 都合OKボタンを2回押し、画像2、画像1のウインドウを閉じる。 基本的な手順は以上です。後は確認として、大胆にもjwordのサイトhttp://www.jword.jp/に行き、ステータスバーに「制限付きサイト」の表示が出ていればOKです。(画像3) 2006/2/14追記:Jwordの広告も含め完全に表示させなくする方法 さて、最近はページの表示に重なって出てくるJwordの広告が増えていて、この広告は上で紹介して
ケータイクレジットに致命的な弱点
ケータイクレジットに致命的な弱点 1カ所でも鍵情報が漏れたら、全加盟店の決済端末が即死。乱立で共用もできない。 2006年9月号 DEEP 「決済端末の共通鍵が盗まれたらしい」――2006年X月X日、あるケータイクレジットの会社に舞い込んだ情報に、社長が青ざめた。 どこで? 全国の加盟店のどこかはわからない。誰が? ハッカーか、偽造団に内通した人間か。どうやって? スキミングか、誰かオッチョコチョイが漏らしたのか……。 被害は1人にとどまらない。ケータイクレジットにはICを認証する際の鍵情報が記憶されている。この鍵情報は全国の加盟店に置かれている数十万台の決済端末にも記憶されている。漏れたとなったら、カードの利用者全員が悪用のリスクにさらされるから、全端末を一斉更新しなければならない。 しかしクレジット決済端末はいまだに電話回線に接続している店が多く、更新といっても膨大なコストと時間がかか
スラッシュドット ジャパン | ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解
jbeef曰く、"セキュリティホールmemo経由、葉っぱ日記10月17日のエントリによると、2005年5月にIPAの脆弱性情報届出窓口に届け出られたmixiの欠陥の件が、1年半たってようやく決着したという。この欠陥は、mixi内でアップロードされた画像が、mixiにログインしていなくても画像のURLを指定すれば誰にでも閲覧できてしまうというもの。もっとも、数百万人の会員がいるとされるmixiでは、いずれにせよ誰にでも見られるのに等しいのだから問題じゃないという考え方もあろう。しかし、「友人まで公開」に設定している日記の画像はどうだろうか。普通のユーザなら、写真画像も「友人まで公開」だと信じて貼り付けるのではなかろうか。 葉っぱ日記によると、IPAはこれを脆弱性として受け付け、取り扱いを開始したものの、11か月後の2006年4月になって、ミクシィ側からギブアップの連絡があったという。その内容
Six Apart-Movable Type 新バージョンとパッチの提供について
Movable Typeユーザーの皆様 Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認されました。対策を施した新バージョンをリリースいたします。 概要: Movable Typeの管理画面、検索機能、コメント機能においてクロスサイトスクリプティングの脆弱性があることを、発見された方よりご指摘頂き、弊社にて確認いたしました。 影響のあるバージョン: 現在、Movable Type 3.2以降およびMovable Type Enterpriseにおいてこの脆弱性があることを確認しております。一部の脆弱性については、それ以前のバージョンにも含まれる可能性があります。 対処方法: 9/26 11:15より、対策を施したMovable Typeの新バージョン(Movable Type 3.33)をリリースいたします。すみやかにバージョンアップをお願い致しま
アラビア語で拡張子を偽装出来る件 - LinuxとかperlとかFXとか
http://www.nutsecurity.com/?date=20061209ここに載ってましたが・・・・凄すぎる、というか感動すら覚えましたよ、よくこんな事考え付くなぁ。 こうして・・・で名前の変更でUnicode制御文字の挿入でRLOを選択して「cod.emdaeR.EXE」とか入力するとですね・・・んでこうすると・・・ /\___/ヽ ヽ / ::::::::::::::::\ つ . | ,,-‐‐ ‐‐-、 .:::| わ | 、_(o)_,: _(o)_, :::|ぁぁ . | :: 追記: もっと偽装してみましたブクマコメントに書いてあったのでやってみました、右→左書きの後に左→右書きと続けると拡張子を中央に持ってくる事が可能です・・・アイコン表示だと一目瞭然ですが一覧表示していると騙されるかもしれません。 1.Scre
デバッグ・ネットサポート・ソフトウェア品質検証事業のポールトゥウィン株式会社
企画立案から、リリースされてからの運営・改善までの「サービス・ライフサイクル」 我々は大きく5つに分けられるそのいずれの工程においても、柔軟かつ総合的に各種サポートを行うことが可能です。お困りのことがあればお気軽にご相談ください。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
