パスワード強度を表示するインタフェースやスクリプト色々:phpspot開発日誌
10 Password Strength Meter Scripts For A Better Registration Interface パスワード強度を表示するインタフェースやスクリプト色々が紹介されていました。 パスワード作成時や、ログインフォーム作成時に使えそうです。 PasswordMeter 入力したパスワードの強度を色々な視点からチェックできる 色々な項目を集計してScoreという形で点数が出ます。 Yet Another Password Meter 上記と同様のパスワード強度チェッカー Ultimate Password Strength Meter script.aculo.us で強度をグラフ表示するようにしたスクリプト Password Strength Field (A jQuery Plugin) パスワード強度表示用のjQueryプラグイン How to M
あなた、こんなサイト見たことあるでしょう?を次々に当てていく『StartPanic』 | 100SHIKI
これはちょっと意地悪ではありますが、大事なメッセージを伝えてくれるサイトですな。 StartPanicで「Let’s Start」ボタンを押してしばらくすると「あなた、こんなサイトに行ったことあるでしょう?」ってなサイトをずらずら表示してくれます。 「うわ、なんでわかるの?」という人もいるかもしれないが、ちょっとしたトリックを使えばこんなことをわかってしまうことを知っておくべきでしょう。 個人のウェブ閲覧履歴はこうして取得することができるので気をつけるべき人は気を付けましょうね、というメッセージにこのサイトは気づかせてくれるだろう。 最近はこの技術を使って広告を仕込んでくる技術もあるので(気をつけたい人は)気をつけましょうね・・・。
C/C++ セキュアコーディングセミナー資料 | JPCERT コーディネーションセンター
これまでにC/C++ セキュアコーディングセミナーで使用した講義資料を公開しています。2010年度にセミナを実施した、文字列、整数、動的メモリ管理、書式指定文字列、CERT C セキュアコーディングスタンダード、ROSE については、それぞれ最新版の資料を掲載しています。 文字列 ユーザとソフトウエア間に発生するデータのやりとりの大部分は文字列によって行われます。 また、プログラム間でのデータ交換も文字列形式で行われるようになり、その結果、文字列表現や文字列管理、文字列操作における弱点がソフトウエア脆弱性を生み出しています。 文字列では、C/C++ 言語における文字列操作、一般的なセキュリティ上の欠陥と、その結果発生する脆弱性と対処方法について解説します。 C/C++ における文字列の特性 犯しやすい文字列操作の間違い 文字列の脆弱性 プロセスのメモリ構成 スタック破壊の仕組み コードイン
Firefoxアドオンの「Web Developer」を使ってセキュリティ問題を発見
「作業にツールが必要だが適当なものがない」という状況に陥ったことはないだろうか。例えば、煙探知器の電池を交換しようというときや、ドアノブのがたつきを直そうというときのように。 こうしたときに必要なツールはいつも手元にあるわけではなく、場合によっては買いに行かなければならないかもしれない。開発者が忘れがちなのは、プロジェクトで対処しなければならない問題は、意外にも、バターナイフやつめ切りといった日用品になぞらえられるようなありふれたツールを使って解決できる場合が多いということだ。 アプリケーションセキュリティの分野に目を向けると、そうしたツールとしてFirefoxのアドオン「Web Developer」が挙げられる。 Web Developerは、セキュリティテスト用のツールと思われることはまずないが、この用途に重宝する。作者のサイトから手軽にダウンロード、インストールできて便利な上、無料だ
Web 2.0時代のWebアプリケーションセキュリティー
はじめに Ajax(Asynchronous JavaScript + XML)やマッシュアップ(Mashup)に代表されるWeb 2.0技術は、そのリッチで使いやすいユーザーインターフェイスや高速なレスポンス性から、現在のWebアプリケーション開発のトレンドの一つとなっています。現在注目を集めているクラウド・コンピューティングにおいても、雲(=インターネット)から提供されるサービスを使用したり連携するために、AjaxやJavaScriptはよく用いられます。しかし、セキュリティーの観点から見ると、これらWebアプリケーションやその主要な実行環境環境であるWebブラウザーには、さまざまなセキュリティー上の脅威が存在します。図1は、IBMのセキュリティ部門の一つであるISSが公開しているセキュリティ脅威のトレンドとリスクに関するレポート2008年版によるもので、ISSが検知したWebアプリケ
404 Not Found
実名などの個人情報を公開することは大変危険です。 実名さえ分かれば、住所や電話番号などを調べることが可能なのです。 TELECOREというテレコア株式会社が運営する個人情報紹介サービスをご存知ですか。 このサイトを利用すれば、あなたの住所や電話番号を調べることができてしまうかもしれません。 私の住所や電話番号は簡単に検索することができてしまいました。 TELECORE(テレコア)無料電話番号検索サービス ■TELECOREで個人情報を検索する方法 「無料検索ログオン」と書かれたボタンをクリックすると、個人情報を検索するページへ移動します。 このサイトで個人情報を調べる方法は、大きく分けて3つあります。 1. 都道府県と市区町村を入力し、苗字を入力し、検索ボタンを押す。 2. 都道府県と市区町村を入力し、苗字と名前を入力し、検索ボタンを押す。 3.
Sony Japan|ソフトウェア脆弱性防止コーディングルール
ソニーが仕様を定めて作成・納品を依頼するソフトウェアにおいては、ソフトウェアセキュリティ上の脆弱性を出来るかぎり防止するために、原則として「ソフトウェア脆弱性防止コーディングルール(STM-0117 一般公開版)」*に規定するコーディングルールに従ったプログラミングをお願いしております。 ソニーはビジネスパートナーの皆様とともに、ソフトウェア脆弱性の防止に努力を重ねてまいりますので、ご協力のほど、よろしくお願いいたします。
Twitter XSS 騒動 - Yaks
(2009/04/12 6:40 pm 追記しました) (2009/04/12 7:24 pm 再度追記しました) 先ほどから Twitter上にて XSS のよる被害が出ています。 既に海外のブログなどでも取り上げられています。 HOWTO: Remove StalkDaily.com Auto-Tweets From Your Infected Twitter Profile (Twittercsm) Warning: Twitter Hit By StalkDaily Worm (TechCrunch) 既に XSS の部分は改修されて大分収まったようですが、念のために書いておきます。 内容としては、 1. StalkDaily.com を宣伝するつぶやきが勝手に投稿される 2. プロフィールの Web が改ざんされる 3. 改ざんされたユーザーのページを見ると、自分のプロフィールも
無料オンラインスキャン10選、PCの安全性をブラウザでチェック
PCの安全性は守りたいけれども、セキュリティソフトをインストールすることでマシンの動作が重くなるのは嫌だ――そんな人はまず、オンラインスキャンから試してみてはいかがだろう。ブラウザから手軽に利用できるのがオンラインスキャンのメリットだ。ここでは、無料で利用できるオンラインスキャンサービスを、利用画面とともに紹介する。なお、オンラインスキャンだけでは問題のあるファイルの駆除ができない場合もある。問題の有無をチェックしたうえで、セキュリティソフトを併用することをお勧めする。 シマンテックは「Symantec Security Check」において、コンピュータが認証されていないインターネット接続を許可していないかどうかをなどをチェックする「セキュリティスキャン」サービスと、ウイルスなどに感染していないかをチェックする「ウイルス検出」サービスを提供している。なお、利用するにはMicrosoft
Webアプリケーション開発に伴うセキュリティ要件をまとめた「発注者のためのWebシステム/Webアプリケーションセキュリティ要件書」をクリエイティブコモンズライセンスにより無償で公開 ~ 株式会社トライコーダ
Webアプリケーション開発に伴うセキュリティ要件をまとめた「発注者のためのWebシステム/Webアプリケーションセキュリティ要件書」をクリエイティブコモンズライセンスにより無償で公開 セキュリティ教育を専門とする株式会社トライコーダ(東京都新宿区、代表取締役:上野宣、以下トライコーダ)は、株式会社アイアクト(東京事務所:東京都渋谷区、本社:大阪市中央区、代表取締役社長:鈴木統夫、以下アイアクト)と協力して、Webアプリケーションの脆弱性に特化した情報サイト「脆弱性診断.jp」にて、Webサイトの脆弱性を防ぐセキュリティ要件をまとめた仕様書「発注者のためのWebシステム/アプリケーションセキュリティ要件書」を、クリエイティブコモンズライセンスにより無償で公開いたしました。 Webアプリケーションの開発においては、認証方法、セッション管理、HTTPS、Cookieなどセキュリティに関して考慮す
無料でコンピュータの安全を守る、セキュリティソフト10選
就職や転職、異動などで、新しい環境に変わる人も多い4月。心機一転、PC環境の整理とともに、PCの安全性も見直してみよう。ここでは、不景気でもお財布に優しい、無料のセキュリティソフトを紹介する。 こちらは日本語化がされており、愛用しているファンも多いアンチウイルスソフト「AVG Anti-Virus Free Edition 8.5」。個人向けの製品で、ウイルスやスパイウェアの対策ができる。1家に1台のコンピュータでのみ使用可能。企業や学校などでは利用できない。 就職や転職、異動などで、新しい環境に変わる人も多い4月。心機一転、PC環境の整理とともに、PCの安全性も見直してみよう。ここでは、不景気でもお財布に優しい、無料のセキュリティソフトを紹介する。 こちらは日本語化がされており、愛用しているファンも多いアンチウイルスソフト「AVG Anti-Virus Free Edition 8.5」
第1回 UTF-7によるクロスサイトスクリプティング攻撃[前編] | gihyo.jp
みなさん、はじめまして。はせがわようすけと申します。 最近、文字コードと関連したセキュリティの話題を目にすることが増えてきました。文字コードを利用した攻撃は技術的に未開拓ということもあり、参考となる情報がなかなか見当たりません。この連載では、文字コードを利用した攻撃やそれに対する対策について正しい知識を解説していきます。 文字コードとセキュリティが関連するもっとも大きな点は、やはり文字列の比較でしょう。「危険な文字列の検出」「安全な文字列であることの確認」といった文字列の比較は、セキュリティを考えるうえで避けて通れない処理だと思います。 文字列の比較においては、単純にバイト列を比較するだけでは不十分で、文字列がメモリ上でどのようなバイト列として格納されているのか(このルールを符号化方式あるいは文字エンコーディングと言います)に注意しなければならないこともあるでしょう。攻撃者は巧みに文字
![第1回 UTF-7によるクロスサイトスクリプティング攻撃[前編] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/762fdaf17889a9d833f0bd06908e69f5624e1f46/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2009%2F343_charcode.png)
SQLインジェクション攻撃、最近は「自動化してパワーアップ」 - @IT
2009/03/13 「『SQLインジェクション 2.0』とでも表現できる攻撃が登場している」――先日来日した米インパーバのプロダクトマーケティング担当ディレクター、ディーン・P・オカンポ(Dean P. Ocampo)氏は、現在のセキュリティ状況についてこのように警告する。 SQLインジェクションは、Webページを介して悪意あるコードを挿入し、データベースからの情報漏えいや改ざんにつなげるという攻撃だ。数年前から見られる手法であり、決して目新しいものではない。「だが、自動化されたツールが登場し、さらにパワーアップしている」とオカンポ氏は述べた。 「データベースの構造やプロファイルの収集も含めて自動化されている。また、Googleなどの検索エンジンを利用して脆弱性を見つけ出すなど、さまざまな要素を自動化し、ひとまとめに提供するツールが登場している」(同氏)。 しかも、攻撃していることに気付
クレジットカード業界の情報セキュリティを学ぶ
上記はすべて、海外のWebサイトを経由したサイバー攻撃により情報が流出した。具体的にはWebサイトのSQLインジェクションの脆弱(ぜいじゃく)性を利用し、外部から不正なコマンドを発行し、クレジットカード情報を含めた個人情報を抜き取る手法によった。 上記の中で、特にサウンドハウスに関する事故は象徴的であった。事故の教訓を広く知ってもらい、同様の事故の再発を抑止することを目的に、発覚からの対応経緯について同社はつぶさに公表した。 近年のクレジットカード犯罪の傾向 ここで整理しておきたいのは、クレジットカード情報が含まれた個人情報が漏えいする事件/事故の特徴である。 クレジットカードをECサイトなど非対面で使用する際は、ほとんどが16桁(けた)のカード番号と有効期限により承認処理されている。すなわちクレジットカードは、カードの実物がなくとも、その情報だけで盗むことができるという特徴がある。 クレ
クリックジャッキングの本質的な解決策 - IT戦記
誰か書いてそうだけど、気にせずに投下 現実的な解決策ではなくて、本質的な解決策 クリックジャッキングはそもそも CSS の問題なので CSS の枠組みで解決すればいい。 CSS での解決策 具体的には、以下のルールをユーザースタイルシートに追加すればいい。 * { opacity: 1 !important } CSS2, CSS2.1, CSS3 では、ユーザースタイルシートの !important な宣言は他のどの宣言よりも優先されるはずなので、ちゃんと仕様を満たしているブラウザを使っていれば問題ないはず。 (IE の場合は、 opacity じゃなくて filter を。。というか、オプションで何か filter とか無効に出来た気がするけど、忘れた><) ユーザースタイルシートは、 IE, Firefox, Opera, Safari ほとんどのブラウザで使うことができる。 あと、
Yahoo!ショッピングにおけるログ設計と監視
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、ショッピング事業部開発部の吉野と申します。 今回は「アプリケーションログの設計と監視」について、実際にYahoo!ショッピングで採用している方法を少し交えながらお話しさせていただきます。 1.ログ設計のポイント ログ設計は、以下のポイントに注意して行うとよいでしょう。 ・ログ出力のポイントが押さえられているか ⇒セッションの始まりと終わり、処理の過程、例外処理の中など。 フローチャートのような処理フロー図があれば、そこにログ出力ポイントを書き込むとわかりやすくなります。 ・出力する情報に過不足はないか ⇒「いつ(システム時間)」「だれが(プロセスID・IPアドレスなど)」 「どこで(パスなど)」「なにをした(実行コマン
文字コードのセキュリティ問題はどう対策すべきか: U+00A5を用いたXSSの可能性 - 徳丸浩の日記(2009-03-11)
_U+00A5を用いたXSSの可能性 前回の日記では、昨年のBlack Hat Japanにおける長谷川陽介氏の講演に「趣味と実益の文字コード攻撃(講演資料)」に刺激される形で、Unicodeの円記号U+00A5によるSQLインジェクションの可能性について指摘した。 はせがわ氏の元資料ではパストラバーサルの可能性を指摘しておられるので、残る脆弱性パターンとしてクロスサイト・スクリプティング(XSS)の可能性があるかどうかがずっと気になっていた。独自の調査により、XSS攻撃の起点となる「<」や「"」、「'」などについて「多対一の変換」がされる文字を探してきたが、現実的なWebアプリケーションで出現しそうな組み合わせは見つけられていない。 一方、U+00A5が処理系によっては0x5C「\」に変換されることに起因してXSSが発生する可能性はある。JavaScriptがからむ場合がそれだ。しかし、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「安全なWebブラウザ」を選定するための手引き - Computerworld.jp
サイフにやさしいSSL証明書 by エスロジカル
IDEA * IDEA
