高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて
■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
IIS 7.5 详细错误 - 404.0 - Not Found
错误摘要 HTTP 错误 404.0 - Not Found 您要找的资源已被删除、已更名或暂时不可用。
パスコードを入力しない快適さを求めて - ザリガニが見ていた...。
iPhoneやiPod touchを使っている方々は、パスコードロックしているだろうか?もし、紛失したり、盗難された場合を考えると、4桁の暗証コードを設定しておいた方が安心ではある。iPhone関連の情報サイトを見ても、まず最初にやることとしてパスコードロックの設定が紹介されていることが多い。 しかし、敢えて自分はパスコードロックしないことを選択したい。なぜか?それは一日でもやってみれば分かるが、とっても快適だから。一般的に、一日に何回くらいiPhoneを操作する機会があるのだろうか?もし、20回と考えれば、安全のために80タッチ余分な操作をしているのだ。微々たるものかもしれない。でも、スライド操作だけでロックが解除される快適さは、自分の中では結構捨て難い。 パスコードロックしないなんて、暴挙と言われるかもしれない。アドレス帳から他人の情報が漏れたら、本人だけでなく他人にも迷惑がかかるから
現在進行中の WordPress に対する攻撃の詳細と再現
WordPress フォーラムの http://wordpress.org/support/topic/307518 にて今回の攻撃方法が議論されていました。クラッカーの攻撃手法が解明されていましたのでご説明したいと思います。 と、特に攻撃方法が命名されていなかったので、「現在進行中の WordPress に対する攻撃」のことを今回の攻撃と記載しています…ややこしいので誰かとっとと名前付けてくれないかしら?wordpress.org のサイト構造にあまり詳しくないので実際はもう命名されてるのかもしれませんがw で、先に結論から言いますと、今回の攻撃は権限チェックのバグとスクリプトインジェクションが組み合わされたもののようです。攻撃が成功すると、ダッシュボードから見えない管理者アカウントが作成されます。また、バックドアが仕込まれることもあるようです。 攻撃条件 まず最初に、今回の攻撃が成功す
Twitterに深刻な脆弱性? つぶやきを見ただけでアカウント乗っ取りの恐れ - ITmedia News
Twitterのサードパーティーアプリケーションにまつわる深刻な脆弱性情報が英国のブログに掲載された。 Twitterには深刻な脆弱性があり、ユーザーが特定のつぶやきを見ただけでアカウントを乗っ取られてしまう恐れがある――。英国のSEO情報ブログにそんな情報が掲載された。 この情報は、SEOサービスの専門家デビッド・ネイラー氏のブログに8月25~26日に掲載された。それによると、脆弱性はサードパーティーのアプリケーションに起因する。Twitterのつぶやきは、例えばTweetDeck、TwitterFox、HootSuiteといった専用アプリケーションから投稿することもでき、この場合は使われたアプリケーション名がつぶやきの下に表示される。 しかしこの部分は、外部のアプリケーション開発者がTwitterのフォームに入力した内容がそのまま反映され、例えばHTMLコードやJavaScriptのs
APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
クリックジャッキングの本質的な解決策 - IT戦記
誰か書いてそうだけど、気にせずに投下 現実的な解決策ではなくて、本質的な解決策 クリックジャッキングはそもそも CSS の問題なので CSS の枠組みで解決すればいい。 CSS での解決策 具体的には、以下のルールをユーザースタイルシートに追加すればいい。 * { opacity: 1 !important } CSS2, CSS2.1, CSS3 では、ユーザースタイルシートの !important な宣言は他のどの宣言よりも優先されるはずなので、ちゃんと仕様を満たしているブラウザを使っていれば問題ないはず。 (IE の場合は、 opacity じゃなくて filter を。。というか、オプションで何か filter とか無効に出来た気がするけど、忘れた><) ユーザースタイルシートは、 IE, Firefox, Opera, Safari ほとんどのブラウザで使うことができる。 あと、
教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
TinyURL等30の短縮URLをIE/Fxで元に戻すLong URL Please | 教えて君.net
TinyURLなど、長いURLを短くするための「短縮URL」と呼ばれるサービスがある。アクセスする側からすると、どんなアドレスに飛ばされるのか分からず不便だ。30種の短縮URLに対応した「Long URL Please」を利用すると、ページを開いた段階で短縮URLの本当のリンク先が分かるようになる。本来はFirefox用だが、IE+IE7Pro用ファイルも用意した。 「Long URL Please」は、「開いたページ内の短縮URLリンクを書き換え本当のリンク先を表示する」という機能を持ったブラウザ拡張。それだけなら他にも同種ツール等は存在するのだが、ポイントは以下。 この手のサービスの最大手TinyURLだけでなく、後述するような30種のサービスに対応している公開されているブックマークレットは、基本的に全てのブラウザで動作する。ページを開く→ブックマークレットクリック、で短縮URLが書き
これだけは知っておきたいセッション変数の基礎
これだけは知っておきたいセッション変数の基礎:もいちどイチから! HTTP基礎訓練中(8)(1/4 ページ) 前回の「基礎のキソ、エブリバディ・セッション管理!」に続き、セッション管理の基本を解説します。宿題の解答編もありますので、クイズを解く感覚でぜひ皆さんも挑戦してみてください(編集部)
【ユーザー認証論】OpenIDも良いけどtwitter認証ってのもアリなんじゃないかと。
セミッターみたいに、twitter認証ってのもアリなんじゃねの? ただtwitter apiで認証通ったらOKみたいな。 なんとプロフィール画像もついてくるし、その気になればtwitterへも投稿可能、と。 とはいえ、それはtwitterと連携するという文脈ありきであるべきか、、、それと同様に、あくまで主観なのだけどOpenIDは仕様の話ではなく、サービスが並んでるところが、あくまでブランディングとして今ひとつ感が・・・。 論理的に便利という気持ちはわかるんだけど、何かが違う感じがしていて、Open IDでログインする気にならない・・・なんというか、もやもや感があるのは何故なのだろうか。 単純に変革期における不慣れの問題なのかな?同じようなこと感じてる人いますか?いないかなー。 アカウントって、やっぱり帰属意識が重要で、その帰属意識が持てないサービスってのは、やっぱりサービスとしては成立し
PHP で復号可能な暗号化を行うときのまとめ ( ラボブログ )
スパイスラボ神部です。 ちょっとわけあって、PHP で複合化可能な暗号化を処理を組み込むことになりました。いったん暗号化して DB に格納し、あとで複合化するという手順です。 さすがに生でパスワードを格納するのは嫌ですし、調べてみると意外と全体の流れを解説したものはあまり多くはなかったもよう。せっかくですのでスタンダードな暗号化/複合化についてまとめてみたいと思います。 -暗号化が好きだ! - Favorites! 順を追ってあたりをつけていきます けっこう情報が少ないので、順を追って調べていきます。 -PHPの可逆暗号化関数について - 教えて!goo とりあえず、mcrypt 系を使うのがよさそうだ、というヒントが得られました。 -PHP: mcrypt_generic - Manual まずは上から mcrypt_cbc がいいかな?と思ってみてみると、mcrypt_generi
現実的だが最適ではない電子メールによるコラボレーション
民間調査会社のアイ・ティ・アールが1月6日に公表したホワイトペーパーで、企業内外のコラボレーションが依然として電子メールに依存していることが分かった。コラボレーションツールとして企業向けのブログやSNSが注目集めているが、ほとんど使われていないのが実状のようだ。 調査は企業の文書作成、管理ソフトウェアの選定に関わる人を対象に2008年10月に実施。有効回答は700件だった。 社内で使用するコラボレーション方法では電子メールにファイルを添付する方法が圧倒的に多い。複数回答では81%の回答者が使っていると答えた。社外とのやりとりでは87%が利用と回答。電子メール本文だけのコラボレーションも社内で61%、社外で69%と幅広く使われている。電子メールに次いで使われているコラボレーションツールは電話で、社内では63%、社外とのやりとりでは72%が使っていた。ファクスも社内41%、社外59%と依然とし
IPA職員がまさかの情報流出 - 「Share」の可能性も「現在本人に確認中」 | ネット | マイコミジャーナル
情報処理推進機構(IPA)は4日、同機構の職員の私物PCから、ファイル交換ソフトを介し、IPAが開催したイベントの画像や同職員の個人情報がネット上に流出したと発表した。IPA広報クループは、「流出の原因となったソフトはShareと推測されるが、現在本人に確認中」としている。業務関連の非公開情報は含まれていないという。 IPAによると、流出したのは、2007年に開かれたIPAフォーラム表彰式の記念写真と、流出元となった職員の個人情報。2008年12月に流出した可能性が高いという。 4日午後、IPAホームページの問い合わせフォームから流出を指摘する投稿が数件あったことから発覚した。 IPAでは、業務で使用するPCでのファイル交換ソフトの使用は禁止しているが、私物PCでの使用は特に禁止していない。今回のケースでも、「自宅に業務上のデータを持ち込んだわけではない」としている。 だが、情報保護に最も
iPhoneの盗聴ツール登場
フィンランドのセキュリティ企業F-Secureは12月18日、Apple iPhoneのメールや通話記録などを盗み見できるとうたったスパイツールが登場したと伝えた。 同社によると、SymbianおよびWindows Mobile向けのスパイツールは2~3年前から存在したが、iPhone向けは初めてだという。スパイツールは2種類あり、そのうち1つはロック解除されたiPhone 3Gだけに対応している。もう1つはインストールの過程でいったんiPhoneのロックを解除して、その後ロックを元に戻せる機能があるのかもしれないという。 F-Secureがブログに掲載したスパイツールの広告では、iPhoneでやり取りしたメールや通話記録、GPSの位置情報などをこっそり盗み見できるとうたっている。Appleはこれに対してどのような立場を取るのだろうかと、F-Secureは疑問を投げ掛けている。 過去のセキ
新米Linux管理者がよくやる10の間違い
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 多くの人にとって、Linuxへの移行は喜びに等しい出来事だ。だが、悪夢を経験する人もいる。前者ならば素晴らしいが、もし後者なら最悪だ。しかし、悪夢は必ずしも起きるわけではない。特に、新米のLinux管理者が犯しやすい、よくある間違いをあらかじめ知っていれば、悪夢を避けられる可能性は高いだろう。この記事では、いくつかの典型的なLinuxでのミスを列挙する。 #1:さまざまな手段でアプリケーションをインストールする これは最初は悪いアイデアではないように思える。もしUbuntuを使っていれば、パッケージ管理システムが.debパッケージを使っていることを知っているだろう。しかし、ソースコードでしか見つけられないアプリケーションも多くある。大し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
キングソフト
主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは
http://japan.internet.com/webtech/20090213/10.html