岡崎市中央図書館に1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について。 当事者からの報告とそれに関連した高木先生などのつぶやきをまとめています。不完全かつ進行中です。
岡崎市中央図書館に1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について
岡崎市中央図書館に1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について。 当事者からの報告とそれに関連した高木先生などのつぶやきをまとめています。不完全かつ進行中です。
定番ソフトが惨敗!ウイルスソフト最強決定戦は意外な結果に | 教えて君.net
ニコニコ動画で、有名セキュリティソフトを使って実際にマルウェアを検出できるかどうかを実験した動画が話題となっている。対象となっているのは国内外の有料・無料ソフトのほぼ全て。注目の結果は、実に驚くべきものになっているぞ。 この動画の投稿主は、100体のマルウェアに感染した状態のパソコンで、各社セキュリティソフトを使ってスキャンを行い、検出力を比較したとのこと。結果は以下の通りだ。 1位 F-secure internet security 94/100 2位 kaspersky 93/100 3位 a-squared Free 89/100 4位 BitDefender 86/100 5位 ウイルスバスター 85/100 6位 GDATA 84/100 6位 COMODO Internet Security 84/100 8位 Mcafee トータルプロテクション 83/100 9位 Avi
にょろぷにらん | FFFTPパスワード漏れ対処版作ってみた
えーっと,すいません.さくらのレンタルサーバでアクセスログONにしていたことを忘れてディスクが容量不足になって肝心の記事が消えました.(最後にコメント入れてくれた人,消えちゃいました.ごめんなさい) FFFTPの対策パッチです. その前に,FFFTPを入れているだけで危ないと誤解している人がいるようなので ライフハッカーのFFFTPに関する誤報 この文章を普通に読めば、ffftpには「マルウェア感染する」と「ID・パスワード・ホスト先の情報を抜かれる」の2つの危険性がある多くの人が思うことだろう。「および」でつながっているのだから当然だ。つまりffftpを使っているとマルウェアに感染するのだ、と。 しかしこれは間違いであり、それもかなり初歩的な間違い、日本語の言い回しの解釈の間違いなのだ。 あと,何となく怖いからやっぱり乗り換えようと思っている人は,こちらも 10 FTP Clients
SQLインジェクションとは何か?その正体とクラッキング対策。
世間では、今Gumblar祭りが勃発中であり、SQLインジェクションがニュースに出てくることは少なくなったが、だからと言ってSQLインジェクションの脅威がなくなったわけではない。SQLインジェクションはGumblarを仕掛ける手段としても利用されることがあり、Webアプリケーションを提供する全ての人にとって、対策を講じなければいけない驚異であることに変わりはない。SQLインジェクションという攻撃手法が認識され、大いに悪用されているにも係わらず、その本質に迫って解説している記事は少ないように思う。従来のWeb屋だけでなく、今やアプリケーション開発の主戦場はWebであると言っても過言ではなく、そういう意味ではSQLインジェクションについて理解することは、全てのプログラマにとっての嗜みであると言えるだろう。 というわけで、今日は改めてSQLインジェクションについて語ってみようと思う。 SQLイン
地球、温暖化してなかった? ハッカーが盗み出したメールからデータの捏造疑惑浮上|デジタルマガジン
photo:Global Green USA わが国でも“鳩山イニシアチブ”という技術とお金を他国に流出させる温暖化対策が行われようとしているが、地球、じつは温暖化してなかったのかもしれない。ハッカーが盗み出したデータから、それが明らかになった。 このハッカーが侵入したのは、気象研究で有名なイギリスのイーストアングリア大学(もちろん地球温暖化人為説を主張している)だ。ハッカーはイーストアングリア大学の気候研究ユニット(CRU)のコンピューターが、1996年から最近まで外部と通信した1,000通以上のメールを根こそぎ持ち帰り、そして公開した。 そしてその公開されたメールの中に、地球温暖化のデータを捏造したのではないかと思わせる記述があったのだ。それが、最初に地球温暖化人為説を主張したアメリカの科学者、マイケル・マンに対してCRUの所長が送ったメールだ。 「私はマイケル・マンがネイチャー誌に掲
PHP で復号化可能な暗号化を行うときのまとめ ( ラボブログ ) - ryuzi_kambe の?D
PHP, crypthttp://blog.spicebox.jp/labs/2009/01/php.html?utm_source=labblogrss&utm_medium=rss ちょっとわけあって、PHP で復号可能な暗号化を処理を組み込むことになりました。いったん暗号化して DB に格納し、あとで復号するという手順です。 さすがに生でパスワードを格納するのは嫌ですし、調べてみると意外と全体の流れを解説したものはあまり多くはなかったもよう。せっかくですのでスタンダードな暗号化/復号についてまとめてみたいと思います。 暗号化が好きだ! - Favorites! けっこう情報が少ないので、順を追って調べていきます。 PHPの可逆暗号化関数について - 教えて!goo とりあえず、mcrypt 系を使うのがよさそうだ、というヒントが得られました。 PHP: mcrypt_generic
Re:htmlspecialcharsに関する残念なお知らせ - 平々毎々(アーカイブ)
<追記 date="2009/10/10"> 岩本さんはレポートを2つ上げていたのだが http://bugs.php.net/bug.php?id=49785 http://bugs.php.net/bug.php?id=49814 1つ目の方で対応してもらえたようです。よかった。 私はPHPはぜんぜん詳しくないし、OSSへのバグレポートの経験は1回しかないので、はずしているかもしれない。 htmlspecialcharsに関する残念なお知らせ - 岩本隆史の日記帳(アーカイブ) 外国語ならなおさら、できる限りのことをしないと伝わらない – 秋元 こんな感じの内容だったらよかったのかな?せっかくいろんな人が検証したりしてたのに無視されるのももったいない。 PHPのhtmlspecialchars関数について、UTF-8以外の文字エンコーディングでは妥当性チェックが不充分であり、場合によっ
SQLの暗黙の型変換はワナがいっぱい
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2009年9月24日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり このエントリでは、SQLにおいて「暗黙の型変換」を使うべきでない理由として、具体的な「ワナ」をいくつか紹介します。 数値項目に対するSQLインジェクション対策のまとめにて説明したように、RDBの数値型の列に対してSQLインジェクション対策をする方法として、以下の三種類が知られています。 バインド機構を用いる パラメータの数値としての妥当性確認を行う パラメータを文字列リテラルとしてエスケープする このうち、方法3を使うべきでない説明の補足です。具体的には、方法3には、「暗黙の型変換」が発生しますが、それが思わ
UTF-8の冗長なエンコードとは何で、なんでそれがセキュリティ的に危ないのか?を文字コード知識レヴェル3くらいの凡プログラマが考えてみる - tohokuaikiのチラシの裏
何故かあたり前にならない文字エンコーディングバリデーション | yohgaki's blog ってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。 SJISの問題は、(2/3)SQLインジェクションを根絶!セキュア開発の極意 - 第5回■注目される文字コードのセキュリティ問題:ITproの記事がわかりやすかった。 というか、やっぱりPHP使ってると誰でも一度は「なんじゃこの『¥』は?」って思うもんなんで。 なるほど、確かに↓の図のように「あるバイト」が2つの意味を持つっていう文字コード形態はやばいんだなと。 EUC-JPはそんなことはしないで、1つのバイトには1つの意味しか取らせない。 だけど、これでも文字化けが起こることがある。経験的には、「マルチバイトをXX文字で切り落としたい」とかやった場合。ちゃんと文字コードを判定してくれるPHPでいえばmb_subst
第2回:SQLインジェクションを防ぐには|株式会社トッパン・マルチソフト
ハッキングを行おうとする者にとって、エラー時に表示される情報は非常に有益です。 例えばDBが出力するエラーが直接表示されている場合、ハッカーに対して攻撃のための大きな手がかりを与えてしまうことになります。 まず、システムが出力するエラー情報をユーザに見せないようにしましょう。エラー発生時は、エラーが発生したことのみを画面に表示し、別途エラーログなどを出力することが懸命です。 その他、HTML内にSQLをコメントで出力したり、公開フォルダ内にエラーログを保管するといったことも避けるべきです。 テーブル名やカラム名など、SQL文を構成する要素をユーザに知られないように、可能な限り情報の隠蔽を心がけることが重要となります。 ユーザが画面からデータを入力でき、その値がSQL文の構成要素になる場合、SQLインジェクションが引き起こされる確率が高くなると言っていいでしょう。 水際対策として、
PHP プログラマが "@" を使うべきでない 5 つの理由 - 肉とビールとパンケーキ by @sotarok
#釣りっぽいタイトルですが大まじめです via. PHP 逆引きレシピ - 肉とご飯と甘いもの @ sotarok で、 @ (エラー制御演算子といいます!)はねーよ的な話をしましたが、著者の方から、「@に対して批判的になる理由が記載されていない」とのメールをいただきました。確かにその通りでした。実は理由を下書きのときには書いたのですが、長くなってしまったので削ってポストしたのですが、かえってわかりづらくなってしまいましたね.すみません。 ということで、PHPプログラマが、エラー制御演算子「@」使うべきでない 5 つの理由を述べます. 始める前に、本質的なところ 色々理由はつけようと、やっぱり前回述べた、 終的に$qに入るものが同じであることと、コードとして同じ意味であるかは、別じゃないでしょうか。 が一番本質的な話で、それ以上の話ではありません。 つまり、発生する可能性があるとわかってい
MySQLのrootのパスワードを忘れた場合に変更する方法メモ - uncertain world
前任の人がrootのパスワード残さないまま居なくなって、 とっても困ったので(grantできない)、 初期化する方法見てたんだけど、日本語マニュアルのじゃ治らなくて、 本家の方みたら治った > UPDATE mysql.user SET Password=PASSWORD('MyNewPass') WHERE User='root'; > FLUSH PRIVILEGES; これでMyNewPassに新しいパスワード入れればokみたい。 ・MySQL :: MySQL 5.1 Reference Manual :: B.1.4.1 How to Reset the Root Password http://dev.mysql.com/doc/refman/5.1/en/resetting-permissions.html ・5/31追記 なぜかホッテントリに上がってしまっていたので、ちょっ
「セキュアなPHPアプリケーションを作成するための7つの習慣」のサンプルがとんでもなく酷い - ockeghem's blog
はてブで250以上のブックマークを得ている以下のエントリ。 PHP アプリケーションを作成する際には、可能な限りセキュアなアプリケーションにするために、次の 7 つの習慣を守る必要があります。 入力を検証する ファイルシステムを保護する データベースを保護する セッション・データを保護する XSS (Cross-Site Scripting: クロスサイト・スクリプティング) の脆弱性から保護する フォームへの投稿を検証する CSRF (Cross-Site Request Forgeries: クロスサイト・リクエスト・フォージェリー) から保護する ほう。しかし、内容はどうだろうか。 読んでびっくりした。説明も微妙なところが多いが、サンプルが酷い。こんなサンプルでは悪い習慣が身についてしまう。全部は書ききれないと思うので、目についたところからピックアップして紹介する。 パストラバーサル
市販ソフトを超えた!タダで使える世界最強ウイルス対策ソフト :教えて君.net
無料でありながら、市販ソフトを超えるセキュリティ性能を持っているのが「AntiVir」だ。セキュリティ界の権威のあるさまざまな調査機関から、世界一検出率の高いウイルス対策ソフトとして認めれた実力は折り紙つき。もう安心をお金で買うという発想は、ウイルス対策においては通用しなくなったのだ! AntiVirは、インストール後に何も設定しない状態でも、ある程度快適に動作する親切設計になっている。しかし、どのウイルス対策ソフトにも共通する不満は残る。デフォルトの状態では、ウイルスが発見されたときに心臓に悪い警告音が鳴ったり、その後の処理操作がわずらわしかったり、何度も手動でスキャンを実行するのが面倒だったり、といった点だ。不満を一気に解決するネトラン流AntiVir設定法を紹介しよう。詳細設定とスケジュール機能をうまく行うことで、初心者ユーザーもヘビーユーザーも満足できる設定が可能となる。動作してい
フリーなMac OS X用ウイルスチェッカー「ClamXav 1.1.0」 | パソコン | マイコミジャーナル
フリーのMac OS X用ウイルスチェッカー最新版「ClamXav 1.1.0」がリリースされた。動作環境はMac OS X 10.4以降、10.5 (Leopard) にも対応する。ユニバーサルバイナリとして提供され、PowerPC / Intel の両アーキテクチャ上でネイティブの速度で動作可能。 今回のリリースでは、オープンソースのウイルス検出エンジン「ClamAV」をアップデート、最新バージョンのv0.92に更新した。フォルダ内容の変更を監視するプログラム「ClamXav Sentry」は全面的に書き換えられ、Mac OS X 10.4以降にかぎりサブフォルダの監視が可能になったほか、スキャンログに日時が記録されるようになった。システムのメッセージを通知するフリーウェア「Growl」もサポート、イベント発生時はポップアップ画面で知らせることができる。 フリーなMac OS X用ウイ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PHPでのセキュリティ対策についてのメモ - Liner Note