PHPでの携帯端末IDを取得方法について - はじめまして。PHP初めてまだ浅いのでご理解のほどご教授お願いいたします。携... - Yahoo!知恵袋
まずはHOSTを取得します。 $host = gethostbyaddr(getenv('REMOTE_ADDR')); これは携帯キャリアごとに取得方法が異なるので キャリア判別するためです。 判別したあとは if(preg_match('/docomo/',$host)) { $subsc = $_SERVER['HTTP_X_DCMGUID']; } elseif(preg_match('/ezweb/',$host)) { $subsc = $_SERVER['HTTP_X_UP_SUBNO']; } elseif(preg_match('/jp-d.ne.jp|jp-h.ne.jp|jp-t.ne.jp|jp-c.ne.jp|jp-k.ne.jp|jp-r.ne.jp|jp-n.ne.jp|jp-s.ne.jp|jp-q.ne.jp/',$host)) { $subsc = $_
プレスリリース - UNIQLO ユニクロ - UNIQLO LUCKY LINEに関するお知らせ
平素はユニクロをご愛顧いただき誠にありがとうございます。 5月24日よりご提供させていただいているUNIQLO LUCKY LINEに関しまして、当コンテンツが皆さまのTwitterパスワードを保存している、また、そのパスワードが漏洩している、という情報がインターネット上に流れておりますが、そのような事実はございません。 当コンテンツでは、皆さまのTwitterアカウントと通信・連携するためにパスワードを入力していただきますが、このパスワードはTwitterと通信される際のみ利用され、当コンテンツ上のデータベースに保存を一切行っておりません。 また、パスワードが載っているテキストファイルが公開されているとの情報がインターネット上に流れておりますが、UNIQLO LUCKY LINE上の行列を表示するための公開情報(コンテンツ上に表示されるTwitter ID・名前・アイコン画像パス・ツイー
Webブラウザのタブがいつの間にか詐欺サイトに、新手の攻撃を実証
Webブラウザのタブがいつの間にか詐欺サイトに切り替われば、大抵のユーザーは気付かないままログイン情報を入力してしまうという。 Firefoxのクリエイティブを率いるエイザ・ラスキン氏は、Webブラウザのタブでユーザーが見ていたページをこっそり詐欺サイトに切り替え、ログイン情報を盗み出す新たな手口を報告している。同氏はこの攻撃を「タブナッピング」と名付け、解説・実証するページを公開した。 この攻撃では、ユーザーが普段からアクセスしているWebサイトを閲覧した後にしばらくそのままにしておき、別のタブで別のWebサイトを見ている間に、攻撃者がJavaScriptを使って最初のサイトのお気に入りアイコンをGmailのアイコンにすり替えてしまう。すると、「Gmail: Email from Google」のタイトルを付けて、Gmailのログインページに見せかけた画面を表示することができてしまうとい
高木浩光@自宅の日記 - 利用者視点ICT諸問題「利用者年齢認証の確実化」パブリックコメント提出意見
■ 利用者視点ICT諸問題「利用者年齢認証の確実化」パブリックコメント提出意見 前々回の「ケータイIDに添えて年齢情報も送信されるようになる?」の件、パブリックコメントに以下の意見を提出した。 利用者視点を踏まえたICTサービスに係る諸問題に関する研究会 第二次提言(案)に対する意見 ■意見1: セキュリティ上の欠陥を解決しない限り年齢情報の送信をしてはならない (CGMに関する検討、利用者年齢認証の確実化) 要旨 以下の2つの要件のいずれかが満たされない限り、送信された年齢情報は不特定サイトが入手可能になってしまう。したがって、以下の2つのいずれかが満たされない限り、年齢情報の送信を実施してはならない。 (a) 携帯電話事業者が契約者固有IDの不特定サイトへの送信を中止する(公式サイトへの送信に限る)こと。 (b) 年齢認証の結果を反映して表示されるWebページの全てについて、その反映内
Firefox、ログインとログアウトの簡単操作ボタン | エンタープライズ | マイコミジャーナル
Firefox web browser - Faster, more secure & customizable Mozilla Labs ≫ Concept Series ≫ Welcome To Account ManagerにおいてFirefoxの新しい機能が実験的に公開された。公開されたのはプロトタイプという位置づけにあり、UIもシンプルなもの。しかし、可能なかぎり早い段階でマージすることが計画されており、今後はデフォルトで提供される機能のひとつになる見通し。 WebアプリケーションやWebサービスの依存度が高まるにつれ、ブラウザからサイトやサービスへのログイン・ログアウトは今まで以上に重要な操作になりつつある。しかし、サイトやサービスごとにログインの操作やログアウトの操作は違っており、統一されていないというのが現実だ。今回公開されたAccount Managerはこうしたログイン
Pwn2Ownのハッカー、Charlie Miller氏へのインタビュー
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009-03-21 22:44 バンクーバー発 -- CanSecWestセキュリティカンファレンスで、私はCharlie Miller氏と話をする機会を得ることができた。同氏はSafariのコード実行脆弱性を利用して、完全にパッチを適用したMacBookに侵入した。 われわれはウェブブラウザのセキュリティの現状、脆弱性市場、現代のオペレーティングシステムでの耐攻撃措置の必要性について議論した。 --今回の脆弱性について、話せることはありますか。 Charlie Miller氏:あまりありません。コンテストのルールの一部として、私は技術的な詳細に関する守秘義務契約に縛られています。あのコンピュータ(MacBook Air)には、完全にパッチが適用されていたということは言ってもいいでしょう。使っ
Twitterで「なりすまし」しているアカウントを削除する方法
by Paul Snelling 個人だけでなくいろいろな企業もTwitterを利用し始め、着実にユーザー数が増えているわけですが、そうなってくると本人ではないのに本人を名乗る「なりすまし」などの問題が発生します。Twitter側では認証済みアカウントを用意するなどして本人証明する方法を提供していますが、それは単純に「ここが公式だよ」「これが本人だよ」と証明しているだけであり、Twitterを利用していない場合などにはまったく意味がありません。 そこで、勝手に自分になりすましているアカウント自体を削除するにはどうすればいいのか、実際にGIGAZINEもなりすましアカウントを作られたのでその際の対応手順をメモしておきます。同じような問題で困っている個人・団体・企業などは参考にして下さい。 詳細は以下から。 まずTwitterの規約については以下のページ内にある「コンテンツの範囲とTwitte
InfoQ: HTTPSコネクションの最初の数ミリ秒
ほとんどの人がHTTPSとSSL (Secure Sockets Layer) を結びつけて考えます。SSLは1990年代半ばにNetscape社が開発した仕組みですが、今ではこの事実はあまり正確でないかもしれません。Netscape社が市場のシェアを失うにしたがって、SSLのメンテナンスはインターネット技術タスクフォース(IETF)へ移管されました。Netscape社から移管されて以降の初めてバージョンはTransport Layer Security (TLS)1.0と名付けられ、1999年1月にリリースされました。TLSが使われだして10年も経っているので、純粋な"SSL"のトラフィックを見ることはほとんどありません。 Client Hello TLSはすべてのトラフィックを異なるタイプの"レコード"で包みます。ブラウザが出す先頭のバイト値は16進数表記で0x16 = 22。 これは
もっとも危ないプログラミングエラー25、+16 | エンタープライズ | マイコミジャーナル
CWE is a Software Assurance strategic initiative sponsored by the National Cyber Security Division of the U.S. Department of Homeland Security. CWE - 2010 CWE/SANS Top 25 Most Dangerous Programming Errorsにおいて脆弱性の原因となる危険なプログラミングエラー25が発表された。開発者にセキュリティ問題の原因となるプログラミングに関する注意を促し、実際にソフトウェアが動作する前の段階で問題を発見し対処できるようにすることを目指したもの。2009年に発表されたリストの更新版にあたり、内容の多くが更新されている。2009年版を使っていた場合には、今回発表された2010年版を再度検討する価値がある。
はてなのXSSをはてなダイアリーで公表したら強制非公開にされた
こちらははてなサポート窓口です。 このたび、ご利用いただいているはてなダイアリーにつきまして はてな利用規約に抵触する内容が掲載されていることが確認されましたため 勝手ながら当該ダイアリーを非公開状態にする措置を行わせて頂きました。 これは、ダイアリー内に下記のいずれかの内容が掲載されていたことによります。 ・はてなの承認していない広告リンク ・副業の勧誘や情報商材の販売などを目的としたリンク ・倫理的に問題のある内容、成人向け情報、ポルノ、風俗情報など ・多数のキーワードリンクを意図的に掲載し別サイトへの誘導を行う、 あるいは隠しリンクなどで検索順位の操作を行うなど、スパム行為と みなされる内容 ・犯罪に関わる内容、法令に違反する内容 ・複数のメインアカウントを取得しての利用 ・そのほか、はてなが不適切であると判断する内容 はてなでは、利用規約(6)禁止事項にて以下のように定めております
ソフトバンク携帯の端末シリアル番号リサイクル問題 - Narusaseの日記 -ハニポってどうよ?(仮)-
ソフトバンクの携帯には端末自体に紐付く端末シリアル番号と契約に紐付くUID(x-jphone-uid)が存在しています。 このうち端末シリアル番号は「SN************」の様なフォーマットで表され、固有の値であり同一の値は存在しないと言われています。 しかし、この端末シリアル番号は「あくまでユニークな値」ではありますが、「再利用されない」ものではないらしいと言うことが最近解りました。 端末シリアル番号は実例として修理前後で端末シリアル番号が異なる場合があることが確認されています。 これは推測になるのですが、その際、修理済みの同型携帯(あるいは端末シリアル番号がリサイクルされた新品)をバックするような仕組みになっているようです。(あるいは、修理不可能な携帯の再利用可能な部分のみ再利用している可能性もあります) これによって、以前ほかの誰かが使っていた端末シリアル番号が割り当てられた
内閣府ウェブサイトの常時暗号化による「https:」への切り替え - 内閣府
内閣府ウェブサイトの常時暗号化による「https:」への切り替え Always on TLS of Cabinet Office Website 2019(令和元)年11月更新 Update,November,2019 内閣府ウェブサイトは、2018年11月29日より、常時暗号化通信(TLS1.2)となり、URLが以下のとおり、「https:」に変更となりました。※ ブックマーク機能等に「http:」で始まるURLを登録している場合や、リンクを貼っている場合等は、「https:」から始まるURLに切り替えていただきますよう、お願いいたします。 ※参考:2018年11月から2019年10月までは、httpによる接続を可能とする自動遷移の経過措置をとっておりました。 内閣府ホームページ(https://www.cao.go.jp/) 内閣府共通検索システム Cabinet Office has
パスワードを忘れたお客様には、新規に発行するのが昔からの伝統だな。
パスワードを忘れたお客様には、新規に発行するのが昔からの伝統だな。 忘れた人に答えられると言うことは、システム側で平文で保存していると言うことをお客様に伝えているので都合が悪い。 逆に、その会社のセキュリティを調べるために真っ先にするのは、パスワードを忘れた振りをして復元するだ。 それで平文が帰ってきた場合、セキュリティがザルだと思って良い。 そもそも、本人を偽られた場合(ソーシャルハッキングをされた場合に)個人情報であるパスワードを教えた責任は、騙されたでは済まない。 教えないで、新規にランダムパスワードを設定すれば十分。にもかかわらず、元のパスワードを教えろと言ってきた場合、それは、犯罪に関わっている可能性が高いと判断して問題ない。 そういう意味では、忘れた場合に自分が設定したパスワードが平文で帰ってくるサービスはセキュリティがザルなので、使い捨てパスワードを設定しない利用者も悪いとい
鳩山由紀夫の偽者にインタビュー!「悪意はない。楽しくやれればと思った」|ガジェット通信 GetNews
インターネットのコミュニケーションサービス『Twitter』(ツイッター)に鳩山由紀夫首相の偽者が出現したと話題になっていたが、当編集部の独自取材により、その真犯人が明らかになった。『Twitter』で “nihonwokaeyou” というIDを使用して鳩山首相になりすましていたのは、ソーシャルワーキングサービス『非モテSNS』のスタッフ “メガネ王” 氏。彼は『Twitter』で “meganeou” というIDを使用して活動しているものの、別アカウントを取得して鳩山首相になりすましていたという。 メガネ王氏は鳩山首相になりすまし、『Twitter』で「辞職はしません。政治生命をかけて、内閣総理大臣として一生懸命、国民の期待にこたえるために一生懸命頑張らせていただきます」や「すっかり忘れていましたが、最後に一言言わせてください。本日この大切な日に、私にお時間を割いていただいた、全ての、
高木浩光@自宅の日記 - Nyzillaは12月23日公開予定
■ Nyzillaは12月23日公開予定 アイコンやロゴのデザインは外注した。今回はその他の費用を含めてけっこうな額の私財を投じてしまった。 デバッグは終了。あとは、コード署名用クラス2証明書を取得するための、StartCom CAからの本人確認の郵便物が届くのを待つのみ。間に合うのだろうか。*1 Winnyネットワーク観測関係者向けの連絡事項 今回、Winnyプロトコル互換の閲覧ソフト「Nyzilla」を一般公開することにより、少なからず、Winnyネットワークの観測結果に影響を及ぼす可能性があります。すなわち、Nyzillaの利用者がWinny利用者として計数され、無視できない数に及ぶ可能性を否定しきれません。できるだけその影響を小さくするために、いくつかの工夫を施しています。 (1) Nyzillaは、標準設定ではPort0接続だけを使用するようになっています。Nyzilla利用者が
セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
他人のドメインのGoogleAppsが取得できてしまうんだが(汗 - y-kawazの日記
前エントリ(中古ドメインでGoogleAppsを使ったら)でGoogleAppsネタを書いている最中に更に思いついてしまったネタがあって、試してみたら出来ちゃったので追加でネタにしてみます。 なんとGoogleAppsで、自分所有でないドメインで「ドメインの所有権の確認」もクリアした上での取得が出来てしまいました(^^; これは脆弱性の発見だと思います。ただし、後述するように厳密にはGoogleAppsの脆弱性ではなく、ドメインのWEBサイトの問題だと思います。もしくは「htmlアップロードに寄るサイト所有者の確認という手法」に関する脆弱性かもしれません。 取得が成功する条件は「http://example.jp/googlehostedservice.htmlのページを編集できること」だけです。 なんだ普通は出来ないから平気でしょ?と思いましたよね。僕もそう思いました。ですが偶にあります
捨印を言われるがままに押していませんか? | スラド セキュリティ
連帯保証人制度 改革フォーラムというサイトにある「捨印の恐ろしい本当の話し」という記事を読んでびっくりした。例えば新規にクレジットカードを作る際など、通常の捺印とは別に欄外にある「捨印」という箇所に押印した経験は皆さんもおありだと思うが、この捨印のお話である。 金融機関相手の金銭消費貸借契約書や保証契約書に捨印があれば、金融機関側が契約書の内容を、契約者に未承諾で書き換えても、その書き換えた内容が有効になるらしい。つまり、実質白紙委任と同様の状態になってしまうようだ。実際にいくつかの判例もあり、最高裁もその有効性を認めている。その法的根拠は民事訴訟法 228 条の 4とのこと。 敗訴事例には、出典付きで実際の事例・判例も紹介されている。「捨印が金融機関に流用され、本人が自覚しないうちに連帯保証人に切り替わっていたケース」(平成 16 年 9 月 10 日日本経済新聞記事) だ。 谷岡さんは
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch | Startup and Technology News
パスワードをハッシュ化(暗号化)保存することを法律で義務化するくらいのことが必要だと思う