EasyBotterで作成したbot.phpに不正にアクセスできる問題について
アクセス数毎日二桁いくかいかないかの自分のはてなブログに書いても誰も見ないし、穴を見つけるたびにいちいち作者の方に連絡するのめんどくさいのでここに書きます。EasyBotterはソースコードだけみて使ったことないし、phpはWordPressのプラグインいじる程度しかできないので間違っている点があったら指摘してくださると嬉しいです。EasyBotterを使用する場合に注意してほしい点EasyBotterを使用する際、botに投稿させたい発言をtxtやdatに記述してサーバにアップロードするかと思いますが、このテキストファイルが検索エンジンにクロールされないようにしてほしいということと、bot本体の名前をbot.phpから変更してどこか別のディレクトリに移動させて欲しいということです。なぜそうしなければならないかbot本体のphpファイルに全然知らないユーザーがアクセスできてしまうからです。
開発者はソフトウェアの欠陥に法的責任を負うべきか?
コーディングに手抜きがあったためにハッカーの攻撃を許してしまい、ユーザーが金銭的な損失を被った場合、そのコーディングを行ったソフトウェア製作者が法的に訴えられてしかるべきだと主張している研究者がケンブリッジ大学にいる。 ハンバーガーを食べて食中毒になった場合、そのハンバーガーを販売したレストランに対して訴訟を起こすことができる。それならば、手抜きコードが存在したためハッカーがあなたの銀行口座からお金を引き出した場合、そのコーディングを行ったソフトウェア開発者を訴えることができてもよいのではないだろうか? この問題提起は、ケンブリッジ大学でセキュリティの研究を行っているRichard Clayton博士によってなされたものである。同博士の主張は、本来であれば除去されていたはずのセキュリティ上の欠陥がアプリケーション内に残存し、それに起因する損害が発生した場合、ソフトウェア製作者の法的責任を追
「Androidアプリのセキュア設計・コーディングガイド」、JSSECが公開
日本スマートフォンセキュリティフォーラム(JSSEC)は2012年6月11日、「Androidアプリのセキュア設計・セキュアコーディングガイド」を公開した。Androidアプリの安全性の高いコーディング方法、サンプルコードとともに解説している。 ガイドではActivtyの作成と利用、Broadcastの送受信、Content Providerの作成と利用、Seviceの作成、SQLiteの仕様、ファイルの扱い、パスワード入力画面の作り方、PermissionとProtection Levelの扱いなどについてコーディングのルールを提示している。 また内容に対するパブリックコメントも受け付けている。「最新かつその時点で正しいとおもわれることをできるだけ記載・公開し、間違いがあればフィードバックをいただいて常に正しい情報に更新する」(JSSEC)。 「Androidアプリのセキュア設計・セキュ
処理開始後の例外処理では「サニタイズ」が有効な場合もある
このエントリでは、脆弱性対処における例外処理について、奥一穂氏(@kazuho)との会話から私が学んだことを共有いたします。セキュアプログラミングの心得として、異常が起これば直ちにプログラムを終了することが推奨される場合がありますが、必ずしもそうではないというのが結論です。 はじめに Webアプリケーションの脆弱性対策では、脆弱性が発生するのはデータを使うところであるので、データを使う際の適切なエスケープ処理などで対処するのがよいと言われます。しかし、処理内容によってはエスケープができない場合もあり、その場合の対処についてはまだ定説がないと考えます。 エスケープができない場合の例としては、以下があります。 SQLの数値リテラルを構成する際に、入力に数値以外の文字が入っていた メール送信しようとしたが、メールアドレスに改行文字が入っていた 入力されたURLにリダイレクトしようとしたところ、U
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
