高木浩光ã•ã‚“ã®ãƒ¦ãƒ¼ã‚¶ãƒ¼ãƒšãƒ¼ã‚¸ã§ã™ã€‚
高木浩光 - ニコニコ
高木浩光ã•ã‚“ã®ãƒ¦ãƒ¼ã‚¶ãƒ¼ãƒšãƒ¼ã‚¸ã§ã™ã€‚
é©å‘½ã®æ—¥ã€…ï¼ å›ã¯ï¼’ã¤ã®å‹˜é•ã„ã‚’ã—ã¦ã„ã‚‹
On Wed, 3 Jun 2009, Rik van Riel wrote: > > Would anybody paranoid run their system without SELinux? You make two very fundamental mistakes. The first is to assume that this is about "paranoid" people. Security is _not_ about people who care deeply about security. It's about everybody. Look at viruses and DDoS attacks - the "paranoid" people absolutely depend on the _non_paranoid people being secu
C-Production – UNIXã¨ãƒ—ãƒã‚°ãƒ©ãƒŸãƒ³ã‚°ã®å‚™å¿˜éŒ²
大変ã”無沙汰ã§ã™ã€‚ç´„1å¹´åŠã¶ã‚Šã®æ›´æ–°ã§ã™ã€‚ 昨日ã€ãƒ–ãƒã‚°ã‚’è¨ç½®ã—ã¦ã„るサーãƒã§OSã®ã‚¢ãƒƒãƒ—デートã«å•é¡ŒãŒç™ºç”Ÿã—ãŸãŸã‚ã€ã“れを機ã«æ–°ã‚µãƒ¼ãƒãƒ»æ–°OSã«ä¹—ã‚Šæ›ãˆã‚‹ã“ã¨ã«ã—ã¾ã—ãŸã€‚ ç¾åœ¨ã®ãƒ–ãƒã‚°ãŒãƒžãƒ«ãƒã‚µã‚¤ãƒˆã®ãŸã‚ã€ãã®ã¾ã¾ã§ã¯æ–°ã‚µãƒ¼ãƒã®æ§‹ç¯‰ã«è‹¦æˆ¦ã™ã‚‹ã¨äºˆæƒ³ã•ã‚Œã‚‹ãŸã‚ã€ä»–ã®ãƒ–ãƒã‚°ã®è¨˜äº‹ã‚’çµ±åˆã—ã¾ã—ãŸã€‚ çµ±åˆå†…容ã¯ä»¥ä¸‹ã®é€šã‚Šã§ã™ã€‚ ・C-Production ・・・ メインサイトã®ãŸã‚ã€ä»–ã®ãƒ–ãƒã‚°ã‚’å¸åŽã—ã¦ç¶™ç¶šã€‚ ・♪8thNote♪ ・・・ メインサイトã«çµ±åˆæ¸ˆã¿ã ã£ãŸã®ã§ã€å‰Šé™¤ã€‚ ・モãƒã‚¤ãƒ«é‚ ・・・ メインサイトã«è¨˜äº‹ã‚’引ã継ãŽã€ä¸¦è¡Œç¨¼åƒä¸ã€‚ ・無線ã®ãƒ‰ã‚ュメント ・・・ ã‚‚ã¨ã‚‚ã¨é–‰éŽ–予定ã ã£ãŸã®ã§ã€ãã®ã¾ã¾å‰Šé™¤ 外部SNSã®ã‚¢ã‚«ã‚¦ãƒ³ãƒˆã«ã¤ã„ã¦ã¯ãã®ã¾ã¾ç¶™ç¶šã—ã¾ã™ã€‚ 今後ã¨ã‚‚よã‚ã—ããŠé¡˜ã„ã—ã¾ã™ã€‚
ヤフーãŒyimg.jpを使ã†æœ¬å½“ã®ãƒ¯ã‚± - 最速é…ä¿¡ç ”ç©¶ä¼š(@yamaz)
ヤフーã®ç”»åƒã¯ãªãœyimg.jpドメインãªã®ã‹ï¼Ÿ サイト高速化ã®æ‰‹æ³•ã¨ãƒ¤ãƒ•ãƒ¼ã®å¤±æ•—例 ã§ãƒ¤ãƒ•ãƒ¼ãŒãªãœãƒ‰ãƒ¡ã‚¤ãƒ³ã‚’変ãˆã¦ç”»åƒã‚µãƒ¼ãƒã‚’é‹ç”¨ã—ã¦ã„ã‚‹ã‹ãŒæ›¸ã‹ã‚Œã¦ã„ã‚‹.「é™çš„ãªã‚³ãƒ³ãƒ†ãƒ³ãƒ„ã«å¯¾ã—ã¦ã‚¯ãƒƒã‚ーフリードメインを使ã†ã“ã¨ã«ã‚ˆã£ã¦é€Ÿåº¦å‘上を狙ã†ã€ã¨ã„ã†ã®ãŒç†ç”±ã¨ã‚ã£ã¦,ã“ã‚Œã¯ã“ã‚Œã§ã‚‚ã¡ã‚ã‚“æ£ã—ã„ã®ã ã‘ã‚Œã©,ã“ã‚Œã¯ã©ã¡ã‚‰ã‹ã¨ã„ã†ã¨å‰¯æ¬¡çš„ãªç†ç”±ã§æœ¬å½“ã®ç†ç”±ã¯é•ã†. クッã‚ーフリードメインを使ã†ã“ã¨ã§æ‚ªæ„ã‚ã‚‹Flashコンテンツãªã©ã‹ã‚‰è‡ªç¤¾ãƒ‰ãƒ¡ã‚¤ãƒ³ã®ã‚¯ãƒƒã‚ーを守るãŸã‚ã¨ã„ã†ã®ãŒæœ¬å½“ã®ç†ç”±ã§,ã“ã‚Œã¯ã‚ã¡ã“ã¡ã§ä½¿ã‚ã‚Œã¦ã„るテクニックã .Flashコンテンツã¯å¤–部ã®æ¥è€…ã•ã‚“ã«ä½œã£ã¦ã‚‚らã£ãŸã‚Š,広告ã®å…¥ç¨¿ç´ æã¨ã—ã¦å…¥ã£ã¦ãã‚‹ã®ã§,ä¿¡é ¼ã§ããªã„データã¨ã—ã¦å–り扱ã†å¿…è¦ãŒã‚ã‚Š,万一ã¾ãšã„データãŒã‚¢ãƒƒãƒ—ã•ã‚Œã‚‹ã“ã¨ãŒã‚ã£ã¦ã‚‚大丈夫ã«ã—ã¦ãŠãå¿…è¦ãŒã‚ã‚‹. 最近ユーザã‹ã‚‰ã®ä»»æ„ã®ã‚³ãƒ³ãƒ†ãƒ³ãƒ„ã‚’å—ã‘ã¤ã‘ã¦åŒä¸€ãƒ‰ãƒ¡ã‚¤ãƒ³ã§é…ä¿¡ã—
Crockford Speaks on "Fixing the Web" and Appears on Channel 9
YUI Blog Development Crockford Speaks on "Fixing the Web" and Appears on Channel 9 Crockford Speaks on "Fixing the Web" and Appears on Channel 9 Frequent YUIBlog contributor Douglas Crockford gave a keynote at the AjaxWorld East 2008 conference in New York City last week. As ever, Douglas was pulling no punches — his title: "Can We Fix the Web?" The browser, Douglas says, was behind the times when
UPnPルータ+Flash=深刻ãªã‚»ã‚ュリティå•é¡Œ
(Last Updated On: 2008å¹´1月18æ—¥)GNUCITIZENã¯é‡è¦ãªã‚»ã‚ュリティå•é¡Œã‚’次々ã«å…¬é–‹ã—ã¦ã„ã‚‹ã®ã§ã‚»ã‚ュリティã«èˆˆå‘³ãŒã‚ã‚‹æ–¹ã¯ãƒã‚§ãƒƒã‚¯ã—ã¦ã„ã‚‹ã®ã§ã”å˜çŸ¥ã¨ã¯æ€ã„ã¾ã™ãŒã€ Hacking The Interwebs http://www.gnucitizen.org/blog/hacking-the-interwebs ã«éžå¸¸ã«ã¯æ·±åˆ»ãªã‚»ã‚ュリティå•é¡ŒãŒè§£èª¬ã—ã¦ã‚ã‚Šã¾ã™ã€‚具体的ãªæ”»æ’ƒæ–¹æ³•ãªã©ã¯GNUCITIZENã‚’å‚ç…§ã—ã¦ãã ã•ã„。日本ã§ã‚‚ã„ã‚ã„ã‚書ã‹ã‚Œã‚‹ã‹ãªã€ã¨æ€ã£ã¦ã„ãŸã®ã§ã™ãŒäºˆæƒ³ã‚ˆã‚Šå°‘ãªã„ã®ã§ãƒ–ãƒã‚°ã«æ›¸ãã“ã¨ã«ã—ã¾ã™ã€‚ã“ã“ã§ã¯é‡è¦ãªéƒ¨åˆ†ã ã‘è¦ç´„ã—ã¦æ›¸ãã¾ã™ã€‚ 攻撃 Flashを利用ã—ãŸUPnPルータã®æ”»æ’ƒã‚·ãƒŠãƒªã‚ªã¯ä»¥ä¸‹ã«ãªã‚Šã¾ã™ã€‚ UPnPãŒæœ‰åŠ¹ãªãƒ«ãƒ¼ã‚¿ãŒã‚ã‚‹ 悪æ„ã®ã‚ã‚‹Flashã‚’Webブラウザã§å‚ç…§ã™ã‚‹ UPnPルータã®è¨å®šã‚’変更ã™ã‚‹SOAPリクエストを
[ã‚»ã‚ュリティ]httponlyã¯æ™®åŠã™ã‚‹ã®ã‹ (2006-12-26 - T.Teradaã®æ—¥è¨˜)
Firefox2ã§ã‚‚httponlyãŒä½¿ãˆã‚‹ã¨ã„ã†è©±ã‚’耳ã«ã—ã¾ã—ãŸã€‚ httpOnly - Firefox Add-ons*1 httponlyãŒã„よã„よ普åŠã™ã‚‹ã‹ï¼Ÿ ã¨ã„ã†ã®ã§ãƒã‚¿ã«ã—ã¦ã¿ã¾ã™ã€‚ ãªãŠã€ã“ã®æ—¥è¨˜ã¯ã€WinXP+IE6SP2環境をå‰æã¨ã—ã¦æ›¸ãã¾ã—ãŸã€‚ ã¯ã˜ã‚ã« httponlyã¯ã€XSS脆弱性ãŒã‚る状æ³ã«ãŠã„ã¦ã‚‚ã€cookieを窃å–ã•ã‚Œãªã„よã†ã«ã™ã‚‹ã“ã¨ã‚’ç‹™ã£ãŸIEã®ç‹¬è‡ªæ©Ÿèƒ½ã§ã™ã€‚ MSDN - Mitigating Cross-site Scripting With HTTP-only Cookies ã“ã®æ©Ÿèƒ½ã‚’有効ã«ã™ã‚‹ãŸã‚ã«ã¯ã€ç™ºè¡Œã™ã‚‹cookieã«httponly属性を付ã‘ã¾ã™ã€‚ Set-Cookie: key=value; domain=example.com; HttpOnly httponly属性ãŒä»˜ã‘られãŸcookieã¯ã€JavaScriptã®docume
![[ã‚»ã‚ュリティ]httponlyã¯æ™®åŠã™ã‚‹ã®ã‹ (2006-12-26 - T.Teradaã®æ—¥è¨˜)](https://cdn-ak-scissors.b.st-hatena.com/image/square/e8a0aea5d375a69b5b38062b6dbabb4cf556055e/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F10257846132711010800%2F10257846132711097230%2F1548045809)
é«˜æœ¨æµ©å…‰ï¼ è‡ªå®…ã®æ—¥è¨˜ - IETFã«è¡Œã£ã¦ããŸ
先週ã¯IETF 70ã«è¡Œã£ã¦ããŸã€‚本æ¥ã®ä»¶ã§ãƒ—ãƒã‚¸ã‚§ã‚¯ãƒˆãƒ¡ãƒ³ãƒãƒ¼é”ã¨ã€‚IETFã«å‚åŠ ã—ãŸã®ã¯ä»Šå›žãŒåˆã‚ã¦ã€‚åˆæ—¥ã®ãƒ¬ã‚»ãƒ—ションã§ã¯ãŸãã•ã‚“ã®æ—¥æœ¬äººã‚’見ã‹ã‘ãŸã€‚é¢è˜ã®ãªã„方々ãŒã»ã¨ã‚“ã©ã ã£ãŸã€‚自分é”ãŒå‚åŠ ã—ãŸHTTPã®åˆ†é‡Žã¨TLSã®åˆ†é‡Žã§ã¯æ—¥æœ¬äººã¯ã»ã¨ã‚“ã©ã¿ã‹ã‘ãªã‹ã£ãŸã€‚ãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯ç³»ã®äººã€…ãŒå¤§åŠãªã®ã ã‚ã†ã‹ã€‚ 本æ¥ã®ã“ã¨ã¯ã“ã“ã«ã¯ã‚ã¾ã‚Šæ›¸ã‹ãªã„ãƒãƒªã‚·ãƒ¼ã ãŒã€å°‘ã—書ãã¨ã€è¡Œã£ã¦ã¿ã¦æ„Ÿã˜ãŸã“ã¨ã¯ã€ã‚³ãƒŸãƒ¥ãƒ‹ãƒ†ã‚£ã®åˆ†æ–。 phishingã®å•é¡Œã¯æ—¥æœ¬ã®çŠ¶æ³ã¨ã¯æ¯”較ã«ãªã‚‰ãªã„ã»ã©è‹±èªžåœã§ã¯æ·±åˆ»ãªã®ã ã‹ã‚‰ã€ã‚‚ã£ã¨çš†ã€é€£æºã™ã‚‹ãªã‚Šã—ã¦å¤šæ–¹é¢ã‹ã‚‰è§£æ±ºã—よã†ã¨ã—ã¦ã„ã‚‹ã®ã§ã¯ãªã„ã‹ã¨æŽ¨æ¸¬ã—ã¦ã„ãŸãŒã€ã©ã†ã‚‚ãã‚“ãªæ„Ÿã˜ãŒã—ãªã„。10月ã«APWGã«è¡Œã£ãŸã¨ãã«æ„Ÿã˜ãŸã®ã¯ã€APWGã®äººãŸã¡ã¯æŠ€è¡“ã«ã‚ˆã‚‹è§£æ±ºã«ã¯ã‚ã¾ã‚Šé–¢å¿ƒãŒãªã„よã†ã§ã€çŠ¯äººé”を分æžã™ã‚‹ã“ã¨ã‚„被害者ã®è¡Œå‹•ã‚’分æžã™ã‚‹ã“ã¨ã«æ³¨è¦–ã—ã¦ã„る様åã ã£ãŸã€‚ã¾ã‚ãã‚Œã¯ãã†
OpenIDã‚’ã¨ã‚Šã¾ãã‚»ã‚ュリティ上ã®è„…å¨ã¨ãã®å¯¾ç– ï¼ ï¼ IT
å‰å›žã¯Consumerサイトを実際ã«ä½œã‚‹éš›ã®ãƒ—ãƒã‚°ãƒ©ãƒŸãƒ³ã‚°ã«é–¢ã—ã¦ãŠè©±ã—ã—ã¾ã—ãŸãŒã€ä»Šå›žã¯OpenIDã«é–¢ã™ã‚‹ã‚»ã‚ュリティã«ã¤ã„ã¦è€ƒãˆã¦ã¿ã¾ã™ã€‚ 今回å–り上ã’るトピックã¨ã—ã¦ã¯ã€ ãªã©ã‚’段階的ã«èª¬æ˜Žã—ã¦ã„ãã¾ã™ã€‚IdPã®æ§‹ç¯‰æ–¹æ³•ã‚’知るå‰ã«OpenIDプãƒãƒˆã‚³ãƒ«ã®ã‚»ã‚ュリティã«é–¢ã—ã¦ç†ŸçŸ¥ã—ã¦ãŠãã¾ã—ょã†ã€‚ OpenIDプãƒãƒˆã‚³ãƒ«ã«ãŠã‘る通信経路ã®ã‚»ã‚ュリティ ã“ã“ã¾ã§è©³ç´°ã«è§£èª¬ã—ã¦ãã¾ã›ã‚“ã§ã—ãŸãŒOpenIDèªè¨¼ãƒ—ãƒãƒˆã‚³ãƒ«ã®ãƒ•ã‚§ã‚¤ã‚ºã«ãŠã„ã¦ã€ã©ã®ã‚ˆã†ã«ã‚»ã‚ュリティ上ã®å®‰å…¨æ€§ã‚’æ‹…ä¿ã—ã¦ã„ã‚‹ã‹ã‚’解説ã—ã¾ã—ょã†ã€‚ ã¾ãšã¯associateモードをæ£å¸¸ã«å®Ÿè¡Œã™ã‚‹Smartモードã®å ´åˆã§ã™ã€‚ Consumerã¯ãƒ¦ãƒ¼ã‚¶ãƒ¼ã‹ã‚‰ã®Claimed Identifierã‚’å—ã‘å–ã‚‹ã¨ã€associateã®ã‚ャッシュãŒå˜åœ¨ã—ãªã„å ´åˆã¯æ–°è¦ã«IdPã«å¯¾ã—ã¦associateモードã®ãƒªã‚¯ã‚¨ã‚¹ãƒˆã‚’è¡Œã„ã¾ã™ã€‚第3回ã§ã€Œas
hiddenã®ã‚ã¾ã‚Šã«ã‚‚馬鹿ã’ãŸä½¿ã„æ–¹ - ockeghem's blog
ã“ã‚Œã¯é¢ç™½ã„ yohei-y:weblog: ステートレスã¨ã¯ä½•ã‹ ã§ã¯ã€ã‚¹ãƒ†ãƒ¼ãƒˆãƒ¬ã‚¹ãªå ´åˆã¯ã©ã†ãªã®ã‹ã€‚ 客: ã“ã‚“ã«ã¡ã¯ 店員: ã„らã£ã—ゃã„ã¾ã›ã€‚â—‹â—‹ãƒãƒ¼ã‚¬ãƒ¼ã¸ã‚ˆã†ã“ã 客: ãƒãƒ³ãƒãƒ¼ã‚¬ãƒ¼ã‚»ãƒƒãƒˆã‚’ãŠé¡˜ã„ã—ã¾ã™ 店員: サイドメニューã¯ä½•ã«ãªã•ã„ã¾ã™ã‹? 客: ãƒãƒ³ãƒãƒ¼ã‚¬ãƒ¼ã‚»ãƒƒãƒˆã‚’ãƒãƒ†ãƒˆã§ãŠé¡˜ã„ã—ã¾ã™ 店員: ドリンクã¯ä½•ã«ãªã•ã„ã¾ã™ã‹? 客: ãƒãƒ³ãƒãƒ¼ã‚¬ãƒ¼ã‚»ãƒƒãƒˆã‚’ãƒãƒ†ãƒˆã¨ã‚¸ãƒ³ã‚¸ãƒ£ãƒ¼ã‚¨ãƒ¼ãƒ«ã§ãŠé¡˜ã„ã—ã¾ã™ 店員: +50円ã§ãƒ‰ãƒªãƒ³ã‚¯ã‚’Lサイズã«ã§ãã¾ã™ãŒã„ã‹ãŒã§ã™ã‹? 客: ãƒãƒ³ãƒãƒ¼ã‚¬ãƒ¼ã‚»ãƒƒãƒˆã‚’ãƒãƒ†ãƒˆã¨ã‚¸ãƒ³ã‚¸ãƒ£ãƒ¼ã‚¨ãƒ¼ãƒ«(M)ã§ãŠé¡˜ã„ã—ã¾ã™ 店員: 以上ã§ã‚ˆã‚ã—ã„ã§ã™ã‹? 客: ãƒãƒ³ãƒãƒ¼ã‚¬ãƒ¼ã‚»ãƒƒãƒˆã‚’ãƒãƒ†ãƒˆã¨ã‚¸ãƒ³ã‚¸ãƒ£ãƒ¼ã‚¨ãƒ¼ãƒ«(M)ã§ãŠé¡˜ã„ã—ã¾ã™ã€‚以上 店員: ã‹ã—ã“ã¾ã‚Šã¾ã—㟠引用元ã«ã¯æ˜Žè¨˜ã•ã‚Œã¦ã„ãªã„ãŒã€å®¢ã®å»¶ã€…ã¨ã—ãŸç¹°ã‚Šè¿”ã—部分ã¯ã€ãƒ›ã‚¹ãƒˆã‹ã‚‰hiddenフィールドã§æ¸¡ã•ã‚Œã¦ããŸã‚‚ã®ã‚’è¿”ã—
Bytes not infosets
Security is the one area where the WS-* world has developed a set of standards that provide significantly more functionality than has so far been standardized in the REST world. I don't believe that this is an inherent limitation of REST; I'm convinced there's an opportunity to standardize better security for the REST world. So I've been giving quite a lot of thought to the issue of what the REST
ã¼ãã¯ã¾ã¡ã¡ã‚ƒã‚“ï¼(Hatena) - Port801 (åˆå¿ƒè€…å‘ã‘)ã‚»ã‚ュリティ勉強会 Hamachiya2ç·¨
ã“ã‚“ã«ã¡ã¯ã“ã‚“ã«ã¡ã¯ï¼ï¼ 先日ã€Twitterã§å£°ã‚’ã‹ã‘ã¦ã‚‚らã£ã¦ã€ 第一回 Port801 ã‚»ã‚ュリティ勉強会ã£ã¦ã„ã†ã®ã«å‚åŠ ã—ã¦ããŸã‚ˆï¼ï¼ (↑pw: security) ãã“ã§ã€ã™ã“ã—å–‹ã£ãŸæ™‚ã®ãƒ“ãƒ‡ã‚ªã‚’é ‚ã„ãŸã®ã§ã€ã‚‚ã£ãŸã„ãªã„ã®ã§å…¬é–‹ã—ã¡ã‚ƒã„ã¾ã™ãï¼ ãƒ—ãƒ¬ã‚¼ãƒ³ã ã¨ã‹ãã†ã„ã†ã®æ…£ã‚Œã¦ãªãã¦ã€ãã ãã ãªæ„Ÿã˜ã ã‘ã©ã€ よã‹ã£ãŸã‚‰ä½•ã‹ã®å‚考ã«ã—ãŸã‚Šã€æ™©ã”飯ã®ãŠã‹ãšã«ã—ã¦ãã ã•ã„>< Port801 ã‚»ã‚ュリティ勉強会 - Hamachiya2 ãã®1 (httpç·¨) Port801 ã‚»ã‚ュリティ勉強会 - Hamachiya2 ãã®2 (CSRFç·¨1) Port801 ã‚»ã‚ュリティ勉強会 - Hamachiya2 ãã®3 (CSRFç·¨2) Port801 ã‚»ã‚ュリティ勉強会 - Hamachiya2 ãã®4 (XSSç·¨1) Port801 ã‚»ã‚ュリティ勉強会 - Hamachiya2 ãã®5
sanonosa システム管ç†ã‚³ãƒ©ãƒ 集: Linuxã§ãã“ãã“安全ã‹ã¤æ¥½ã«ã‚µãƒ¼ãƒã‚’ç«‹ã¦ã‚‹æ–¹æ³•
ã€1.åˆã‚ã«ã€‘ è¦æœ›ãŒã‚ã‚Šã¾ã—ãŸã®ã§ã€ä»Šå›žã¯Linux(実際ã¯Redhatç³»Linux)ã§ãã“ãã“安全ã‹ã¤æ¥½ã«ã‚µãƒ¼ãƒã‚’ç«‹ã¦ã‚‹éš›ã®æ‰‹é †ã‚’記ã—ã¦ã¿ã¾ã™ã€‚ ※一応注æ„:今回ã¯ã€è©¦ã—ã«ã‚µãƒ¼ãƒã‚’ç«‹ã¦ã‚‹ç¨‹åº¦ã§ã‚ã‚Œã°ã“ã®ãらã„ã§å分ã§ã¯ãªã„ã‹ã¨æ€ã†ãƒ¬ãƒ™ãƒ«ã‚’想定ã—ã¦ã„ã¾ã™ã€‚サービスã«æŠ•å…¥ã™ã‚‹ã‚µãƒ¼ãƒã§ã¯ç§ã¯ã‚‚ã£ã¨ç´°ã‹ã„ã¨ã“ã‚ã¾ã§æ‰‹ã‚’入れã¦ã„ã¾ã™ã€‚ ã€2.ãã“ãã“安全ã‹ã¤æ¥½ã«ã‚µãƒ¼ãƒã‚’ç«‹ã¦ã‚‹æ‰‹é †ã€‘ ã•ã¦ã€ã„よã„よ本題ã§ã™ã€‚サーãƒã‚’ç«‹ã¦ã‚‹éš›ã¯ã€ä¸å¿…è¦ãªã‚‚ã®ã‚’å…¨ã¦å–り除ã„ã¦ã‹ã‚‰å¿…è¦ãªã‚‚ã®ã‚’è¿½åŠ ã—ã¦ã„ãã¨ã„ã†ã®ãŒåŸºæœ¬ã«ãªã‚Šã¾ã™ã€‚以下ã®æ‰‹é †1~5ã§ã¯ä¸è¦ãªã‚‚ã®ã®é™¤åŽ»ã€æ‰‹é †6~7ã§å¿…è¦ãªã‚‚ã®ã‚’è¿½åŠ ã—確èªã—ã¦ã„ã¾ã™ã€‚ãれをè¸ã¾ãˆã¾ã—ã¦ã€‚ â– æ‰‹é †1. OSをインストールã—ã¾ã™ã€‚(ç§ã¯Linuxã§ã‚ã‚Œã°CentOSを入れるã“ã¨ãŒå¤šã„ã§ã™ã€‚ãã®éš›ç§ã¯ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ«ã®ç¨®é¡žã‚’カスタムã«ã—パッケージグループã®é¸æŠžã§ã¯é–‹ç™ºãƒ„ール以外全部ãƒ
Atom ã‚„ RDF を利用ã—ãŸXSS - 葉ã£ã±æ—¥è¨˜
Internet Explorer ã®æ‚ªå高ㄠContent-Type: 無視ã¨ã„ã†ä»•æ§˜ã‚’利用ã™ã‚‹ã¨ã€Atom ã‚„ RDF/RSS を利用ã—ã¦XSSを発生ã§ãã‚‹ã“ã¨ãŒã‚ã‚Šã¾ã™ã€‚æ¡ä»¶çš„ã«å¯¾è±¡ã¨ãªã‚‹Webアプリケーションã¯å¤šãã¯ãªã„ã¨æ€ã„ã¾ã™ãŒã€ãã‚Œã§ã‚‚ã„ãã¤ã‹è©²å½“ã™ã‚‹WebアプリケーションãŒå®Ÿåœ¨ã™ã‚‹ã“ã¨ã‚’確èªã—ã¾ã—ãŸã€‚以下ã®ä¾‹ã§ã¯ Atom ã®å ´åˆã«ã¤ã„ã¦æ›¸ã„ã¦ã„ã¾ã™ãŒ RDF/RSS ã§ã‚‚åŒæ§˜ã§ã™ã€‚ 例ãˆã°ã€http://example.com/search.cgi?output=atom&q=abcd ã¨ã„ㆠURL ã«ã‚¢ã‚¯ã‚»ã‚¹ã™ã‚‹ã¨ã€ã€Œabcdã€ã¨ã„ã†æ–‡å—列ã®æ¤œç´¢çµæžœã‚’ Atom ã¨ã—ã¦è¿”ã™CGIãŒã‚ã£ãŸã¨ã—ã¾ã™ã€‚ GET /search.cgi?output=atom&q=abcd Host: example.com HTTP/1.1 200 OK Content-Type: ap
パスワードをdatabase.ymlã®å¤–ã«è¿½ã„出ã™æ–¹æ³• - ã“ã›ãã®æŠ€è¡“日記
Ruby on Railsã§DBã®ãƒ‘スワードをdatabase.ymlã®å¤–ã«æ›¸ã方法。Subversionã«ãƒ‘スワードをコミットã™ã‚‹ã®ãŒå«Œã ã£ãŸã®ã§èª¿ã¹ãŸã€‚ database.ymlã¯ERBã§å‡¦ç†ã•ã‚Œã‚‹ã¨ã„ã†ã®ã‚’知らãªã‹ã£ãŸã€‚ http://skwp.wordpress.com/2006/08/28/encrypted-db-passwords-for-rails-with-databaseyml-and-erb/ ã¨ã„ã†ã‚ã‘ã§ã€ã“ã‚“ãªé¢¨ã«ã—ã¦ã¿ã¾ã—ãŸã€‚æš—å·åŒ–ã¯å–ã‚Šã‚ãˆãšãªã—。 production: adapter: mysql database: db username: user password: <%= File.read("#{RAILS_ROOT}/pass/to/passwordfile").strip %> host: 127.0.0.1
対ç–é…らã›ã‚‹HTMLエンコーディングã®ã€Œç¥žè©±ã€
クãƒã‚¹ã‚µã‚¤ãƒˆãƒ»ã‚¹ã‚¯ãƒªãƒ—ティングã¨ã„ã†è¨€è‘‰ã¯å…ƒã€…,Webアプリケーションã®HTMLエンコードæ¼ã‚Œãªã©ã‚’利用ã™ã‚‹ã“ã¨ã«ã‚ˆã£ã¦ç¬¬ä¸‰è€…ã«JavaScriptを実行ã•ã›ã‚‹æ‰‹æ³•ã‚’指ã™ã€‚広義ã§ã¯ï¼ŒHTMLã®ã‚¨ãƒ³ã‚³ãƒ¼ãƒ‰ã«ã‚ˆã‚‹ç”»é¢æ”¹å¤‰ãªã©ã‚’å«ã‚€ã“ã¨ã‚‚ã‚る。 å‰å›žè¿°ã¹ãŸã‚ˆã†ã«ï¼Œã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆãƒ»ã‚¹ã‚¯ãƒªãƒ—ティングã®ãœã„弱性ã¯Webアプリケーションã«è¦‹ä»˜ã‹ã‚‹ãœã„弱性ã®åŠåˆ†ä»¥ä¸Šã‚’å ã‚る。数年å‰ã‹ã‚‰æŒ‡æ‘˜ã•ã‚Œã¦ã„ã‚‹ã«ã‚‚ã‹ã‹ã‚らãšï¼Œä¸€å‘ã«ãªããªã‚‰ãªã„。ãã®ç†ç”±ã¨ã—ã¦ï¼Œã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆãƒ»ã‚¹ã‚¯ãƒªãƒ—ティング対ç–ã‚ã‚‹ã„ã¯HTMLエンコード注1)ã«å¯¾ã™ã‚‹ã€Œç¥žè©±ã€ãŒã‚り,æ£ã—ã„対ç–ã®æ™®åŠã‚’é…らã›ã¦ã„るよã†ã«æ€ã†ã€‚ãã®ã€Œç¥žè©±ã€ã®æ•°ã€…ã«ã¤ã„ã¦èª¬æ˜Žã—よã†ã€‚ 注1)実体å‚照(entity reference)ã¨ã„ã†ã®ãŒæ£å¼ã ãŒï¼Œã‚ã¾ã‚Šæ™®åŠã—ã¦ã„ãªã„用語ãªã®ã§ï¼ŒHTMLエンコードã¨ã„ã†ç”¨èªžã‚’用ã„ã‚‹ 「ã™ã¹ã‹ã‚‰ãHTMLエンコードã™ã¹ã—ã€ãŒé‰„則 HTM
Implementor's Draft: OpenID Authentication 2.0 - Draft 11
Abstract OpenID Authentication provides a way to prove that an end user controls an Identifier. It does this without the Relying Party needing access to end user credentials such as a password or to other sensitive information such as an email address. OpenID is decentralized. No central authority must approve or register Relying Parties or OpenID Providers. An end user can freely choose which Ope
ランã‚ング
ランã‚ング
ランã‚ング
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
IIS Windows Server
HTTP response signing abstract model
http://wanderingbarque.com/nonintersecting/2007/05/25/message-level-security-and-rest/
{{#tags}}- {{label}}
{{/tags}}