タグ

関連タグで絞り込む (156)

タグの絞り込みを解除

Securityに関するyogoのブックマーク (260)

  • クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告

    文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2008-09-27 10:55 セキュリティ研究者が、すべての主要なデスクトッププラットフォームに影響のある、新たな恐ろしいブラウザに対する脅威に対する警告を発している。その対象となるのは、Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Opera、そしてAdobe Flashだ。 この脅威は「クリックジャッキング」と呼ばれるもので、OWASP NYC AppSec 2008カンファレンスで議論されるはずだったものだが、Adobeやその他の影響を受けるベンダーの要望で、包括的な修正が準備されるまではこの話題を公にすることが取りやめられていたものだ。 これを発見したのは、Robert Hansen氏とJeremiah Grossm

    クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告

  • ライブドアデータホテルパトロール 無料サーバ・ネットワーク監視サービス

    「DATAHOTEL PATROL」サービスからのアラートメール誤配信のお知らせ(2019年4月3日) 2019.04.03 平素は大変お世話になっております。 掲題の通り、既にサービス提供を終了しております、「DATAHOTEL PATROL」 サービスにおきまして、3月30日から31日にかけて、以前ご利用のお客様のメールアドレス に対してアラートメールが誤って配信されました。 メールを受信された皆様には、ご迷惑お掛けしまして、大変申し訳ありませんでした。 事象の原因は、サーバ撤去時の誤作動により、誤って監視が再開され、アラートメールが 配信されたことによるものでございます。 該当サーバは既に撤去及びデータ消去を実施済みのため、メールは配信されないよう 対応させて頂いております。 お客様におかれましてはご不便をお掛けいたしましたことをお詫び申し上げます。 今後とも弊社をご愛顧くださいま

    ライブドアデータホテルパトロール 無料サーバ・ネットワーク監視サービス

  • サイボウズ株式会社

    サイボウズはクラウドベースのグループウェアや業務改善サービスを軸に、社会のチームワーク向上を支援しています。

    サイボウズ株式会社

  • 知っておきたいSSLサーバ証明書の取得まで - livedoor ディレクター Blog(ブログ)

    こんにちわ。モバイルディレクターの飯田瞬です。 ウェブディレクターの中には、SSL サーバ証明書が必要なウェブサイトの構築を担当した人は少なくないと思います。 今回は SSL サーバ証明書を取得するにあたり、ディレクターが知っておいた方が幸せになれる必要最低限な事項を簡潔にまとめてみました。 割愛している部分もかなりありますが、詳細まで突っ込むと1エントリーでは収まりきらないため、何卒ご理解いただければと思います... 【01】SSLサーバ証明書って何だろう? SSL を一言でまとめると、住所やカード番号などを暗号化して第三者が傍受してもデータの改ざんや盗聴を防ぐといった技術が SSL です。 SSL サーバ証明書というのは、その SSL の暗号化技術を利用するサーバの身元を、第三者である認証局が保証することを示すものです。この証明書の中には SSL でクライアントとサーバ間の通信を暗号化

  • ウノウラボ Unoh Labs: 脆弱性検知ツールratproxyをCygwin上で動かしてみました

    こんにちは!やまもと@テスト番長です。 先日Googleからプロキシ型の脆弱性発見ツール「ratproxy」が公開されました。 これは触らないと!ということでCygwin上で動かしてみました。 ratproxy http://code.google.com/p/ratproxy/ cc1:error: unrecognized command line option "-Wno-pointer-sign" ので、 Makefileの23行目 CFLAGS = -Wall -O3 -Wno-pointer-sign -D_GNU_SOURCE のところから-Wno-pointer-sign を消して再チャレンジします。 すると今度はこの警告が出ます。 *** WARNING: flare-dist/flare binary is not operational. *** Plea

  • Google Code Archive - Long-term storage for Google Code Project Hosting.

    Code Archive Skip to content Google About Google Privacy Terms

  • PHP/脆弱性リスト/メモ - yohgaki's wiki

    なんだかやけに長い説明ばかり検索に引っかかったので書きました。 Linuxのローカル環境でDockerコンテナ内のXアプリ(GUIアプリ)を利用するには $ xhost localhost + を実行した後に $ docker run --rm --net host -e "DISPLAY" container_image_name x_app_binary_path とすれば良いです。 もっと読む SSHなどよく知られたサービスポートで何も対策せずにいると数えきらないくらいの攻撃リクエストが来ます。不必要なログを増やしてリソースを無駄にし、もし不用意なユーザーやシステムがあると攻撃に成功する場合もあります。 SshguardはC作られており、flex/bisonのパーサールールを足せば拡張できますがカスタム版をメンテナンスするのも面倒です。必要なルールを足してプルリクエストを送ってもマー

    PHP/脆弱性リスト/メモ - yohgaki's wiki

  • WordPressを安全に運営するための10のTips | コリス

    noupeのエントリー「Wordpress Security Tips and Hacks」から、WordPressを安全に運営するための10のTipsを紹介します。 Wordpress Security Tips and Hacks 追記: 2008年2月20日 9の「FilesMatch」の記述を修正しました。 併せて「FilesMatch」の関連リンクを追加しました。 タロタローグ ブログ さん、ありがとうございました。 全てのユーザーにサーバー全部の検索を許可しない。 「search.php」で下記の検索コードは使用しない。 <?php echo $_SERVER ['PHP_SELF']; ?> 代わりに下記のコードを使用する。 <?php bloginfo ('home'); ?> 「wp-」がついているフォルダをサーチエンジンなどに登録されないように、「robots.

  • 連載:なぜPHPアプリにセキュリティホールが多いのか?|gihyo.jp

    第42回PostgreSQL 9.0に見るSQLインジェクション対策 大垣靖男 2011-05-19

    連載:なぜPHPアプリにセキュリティホールが多いのか?|gihyo.jp

  • 58. すごいリロード対策

    まず、日のサイトにある一般的な登録フォームの画面遷移は 入力画面→入力確認画面→完了画面 となっている場合が多いようです。ここでリロード問題となるのは完了画面でのDBへのINSERT処理やCSV書き出し処理、メール送信処理など「一度しか行わない処理」です。例えば完了画面へ遷移した際にブラウザのリロードボタンが押された場合、確認画面よりsubmitした情報が再度submitされて上記の一度しか行わない処理が二度行われてしまいます。そうならないよう、リロード対策はスクリプトで制御します。 まずは確認画面のスクリプト 確認画面でチケットを発行し、セッションに保存しておきます。同時に完了画面へチケットがPOSTされるよう、hiddenにセット。こうして完了画面へ遷移させます。それでは完了画面のスクリプトを見てみましょう。 このように、確認画面で発行されたチケットは一度使い切ってしまえば2度処理さ

    58. すごいリロード対策

  • あなたのWordpress(ワードプレス)をより安全に作るための6つの方法*ホームページを作る人のネタ帳

    あなたのWordpress(ワードプレス)をより安全に作るための6つの方法*ホームページを作る人のネタ帳

  • 404 Blog Not Found:tips - sshでパスワード無しログイン

    2007年09月30日13:30 カテゴリTips tips - sshでパスワード無しログイン 以下に加えて、これも覚えておくといいかも。 odz buffer - SSH の接続を共有する パスワード無しの認証ファイルを作る $ ssh-keygen -d -f ~/.ssh/nopass-dsa -N '' または $ ssh-keygen -d -f ~/.ssh/nopass-dsa -N '' -C you@your.example.com -N ''がポイントです。 前者の場合、ssh commentは$USER@$HOSTになりますが、最近はDHCPホスト名を決めちゃう場合も多いので、それがいやな場合は後者の方法で決め打ちするのがいいでしょう。 完了すると、~/.ssh/nopass-dsaと、~/.ssh/nopass-dsa.pubの二つのファイルが出来ます。前者は絶

    404 Blog Not Found:tips - sshでパスワード無しログイン

  • 10代の安全は、こうして守る──“モバゲー流”ケータイサイト悪用の防ぎ方

    DeNAの南場智子社長。「モバゲータウンはSNSゲームだけのサイトではない。eコマースやニュース、天気予報などの便利な情報を入れ、、PCにおけるYahoo!のような“携帯の総合ポータル”を目指して展開している」 2006年のサービス開始から約1年半弱で、644万ユーザーを擁するコミュニティサイトへと成長したのがDeNAの「モバゲータウン」。月間ページビューは120億超に達し、モバイル分野ではSNS大手のmixiモバイルやポータルサイトのYahoo!モバイルを超えるページビューを稼ぎ出している。 このサイトの大きな特徴といえるのが、10代ユーザーが約半数を占める会員構成。2007年6月時点で10代の会員が48%を占め、日の全人口の中でモバゲーを使っているユーザーが何割を占めるかで計算すると、16歳の男性では52.4%がモバゲータウンに登録していることになるという。無料サイトのため退会する

    10代の安全は、こうして守る──“モバゲー流”ケータイサイト悪用の防ぎ方

  • sanonosa システム管理コラム集: Linuxでそこそこ安全かつ楽にサーバを立てる方法

    【1.初めに】 要望がありましたので、今回はLinux(実際はRedhat系Linux)でそこそこ安全かつ楽にサーバを立てる際の手順を記してみます。 ※一応注意:今回は、試しにサーバを立てる程度であればこのくらいで十分ではないかと思うレベルを想定しています。サービスに投入するサーバでは私はもっと細かいところまで手を入れています。 【2.そこそこ安全かつ楽にサーバを立てる手順】 さて、いよいよ題です。サーバを立てる際は、不必要なものを全て取り除いてから必要なものを追加していくというのが基になります。以下の手順1~5では不要なものの除去、手順6~7で必要なものを追加し確認しています。それを踏まえまして。 ■手順1. OSをインストールします。(私はLinuxであればCentOSを入れることが多いです。その際私はインストールの種類をカスタムにしパッケージグループの選択では開発ツール以外全部チ

    sanonosa システム管理コラム集: Linuxでそこそこ安全かつ楽にサーバを立てる方法

  • Webアプリケーションセキュリティフォーラム - Journal InTime(2007-07-05)

    _ Webアプリケーションセキュリティフォーラム というわけで、発表して来た。 スライド(PDF) スライド原稿(RD) 自分の発表はともかく興味深い話を色々聞けてよかった。 とくに奥さんと高木先生のバトルが面白かった。 追記: リクエストがあったのでバトルの内容について少し。 (曖昧な記憶に基づく再現で言い回しは違うと思うし、内容にも私の勘違いがあるかもしれません。念のため) 高木先生 Greasemonkeyの説明の部分がよく聞こえなかったんですが。 奥さん (内容を説明) 高木先生 ええと、「クッキーが漏洩する程度なので問題ない」と聞こえたような気がしたんですが。 私の心の声 (最初から聞こえてたんじゃ…) 奥さん ローカルファイルにアクセスできたり、任意のコマンドを実行されたりするのに比べれば、ということですね。 高木先生 いや、それは違うと思うんですよ。銀行サイトのクッキーが漏洩

  • IPA セキュア・プログラミング講座:Webアプリケーション編

    IPA 独立行政法人 情報処理推進機構 セキュリティセンターによるセキュア・プログラミング講座:Webアプリケーション編

  • ひまぐらま:Pマーク伝説の終焉

    キンタマウィルス?山田ウイルス?髑髏ウィルス? 山田オルタナティブ?そんなもん、ダブルクリックするなっ!(゚Д゚)クワッ ※Gumblar(ガンブラー)はAdobeプラグインを最新にしておけば感染しませんよ! Pマークの大営が自らメッキをはがしてくれました。 個人情報を適切に取り扱う企業に対し「プライバシーマーク(Pマーク)」を発行している日情報処理開発協会は23日、800万件以上の個人情報を流出させた大日印刷に対する処分として改善要請を出したと発表した。Pマーク取り消しには至らず、関係業界では「流出規模の割に処分が軽く、マークの信頼性にかかわる」との声も出ており、議論を呼びそうだ。 NIKKEI-NETより一部引用 大日印刷(DNP)は、Pマーク大営(財団法人日情報処理開発協会(JIPDIC))の上得意様。 「たかが800万件では、情報漏えいのうちに入りません」 という発表を

  • NPO 日本ネットワ-クセキュリティ協会

    JNSAセキュアシステム開発ガイドライン 「Webシステム セキュリティ要求仕様(RFP)」編 β版 セキュアシステム開発ガイドラインワーキンググループ ドキュメントは、発注者(ユーザー)に対しては、RFP(提案依頼書)に盛り込むセキュリティ対策のサンプルとして参照していただけることを目指している。ドキュメントの作成にあたっては、JNSAの会員企業を中心とした、システム開発とネットワークセキュリティに携わる企業の方々によりレビューされているので、このドキュメントに記載されている内容をWebアプリケーションに実装することで、現時点で必要十分と言える対策を施していると考えていただいてよいだろう。受注者(ソフトウェアベンダー)にとっては、Webアプリケーションのセキュリティに関する要件を要件定義・基設計の段階から盛り込んでいただくことにより、セキュリティに関する要件を「機能要件」として算出

  • 安全なWebアプリ開発の鉄則 2004

  • Webアプリケーションを作る前に知るべき10の脆弱性 ― @IT

    Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ

    Webアプリケーションを作る前に知るべき10の脆弱性 ― @IT
  • 前のページ 4 5 6 7 8 9 10 11 12 13 次のページ

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.