http://plus.appgiga.jp/masatolan/2013/12/05/49712/
ãƒã‚°ã‚¢ã‚¦ãƒˆæ©Ÿèƒ½ã®ç›®çš„ã¨å®Ÿç¾æ–¹æ³•
ã“ã®ã‚¨ãƒ³ãƒˆãƒªã§ã¯ã€Webアプリケーションã«ãŠã‘ã‚‹ãƒã‚°ã‚¢ã‚¦ãƒˆæ©Ÿèƒ½ã«é–¢é€£ã—ã¦ã€ãã®ç›®çš„ã¨å®Ÿç¾æ–¹æ³•ã«ã¤ã„ã¦èª¬æ˜Žã—ã¾ã™ã€‚ è°è«–ã®å‰æ ã“ã®ã‚¨ãƒ³ãƒˆãƒªã§ã¯ã€èªè¨¼æ–¹å¼ã¨ã—ã¦ã€ã„ã‚ゆるフォームèªè¨¼ã‚’å‰æã¨ã—ã¦ã„ã¾ã™ã€‚フォームèªè¨¼ã¯ä¿—ãªè¨€ã„æ–¹ã‹ã‚‚ã—ã‚Œã¾ã›ã‚“ãŒã€HTMLフォームã§IDã¨ãƒ‘スワードã®å…¥åŠ›ãƒ•ã‚©ãƒ¼ãƒ を作æˆã—ã€ãã®å…¥åŠ›å€¤ã‚’アプリケーションå´ã§æ¤œè¨¼ã™ã‚‹èªè¨¼æ–¹å¼ã®ã“ã¨ã§ã™ã€‚IDã¨ãƒ‘スワードã®å…¥åŠ›ã¯æœ€åˆã®1回ã§ã™ã¾ã›ãŸã„ãŸã‚ã€é€šå¸¸ã¯Cookieを用ã„ã¦èªè¨¼çŠ¶æ…‹ã‚’ä¿æŒã—ã¾ã™ã€‚ãƒã‚°ã‚¢ã‚¦ãƒˆæ©Ÿèƒ½ã¨ã¯ã€ä¿æŒã•ã‚ŒãŸèªè¨¼çŠ¶æ…‹ã‚’ç ´æ£„ã—ã¦ã€èªè¨¼ã—ã¦ã„ãªã„状態ã«æˆ»ã™ã“ã¨ã§ã™ã€‚ Cookieを用ã„ãŸèªè¨¼çŠ¶æ…‹ä¿æŒ å‰è¿°ã®ã‚ˆã†ã«ã€èªè¨¼çŠ¶æ…‹ã®ä¿æŒã«ã¯Cookieを用ã„ã‚‹ã“ã¨ãŒä¸€èˆ¬çš„ã§ã™ãŒã€Cookieã« auth=1 ã¨ã‹ã€userid=tokumaru ãªã©ã®ã‚ˆã†ã«ã€ãƒã‚°ã‚¤ãƒ³çŠ¶æ…‹ã‚’「ãã®ã¾ã¾ã€Cookieã«ä¿æŒã™ã‚‹ã¨è„†å¼±æ€§ã«ãªã‚Šã¾ã™
就活生ã®ã¿ãªã•ã‚“㸠~文系?ç†ç³»ï¼Ÿï½ž « サーãƒãƒ¼ãƒ¯ãƒ¼ã‚¯ã‚¹ç¤¾é•·ãƒ–ãƒã‚°
サーãƒãƒ¼ã‚¯ã‚¹CEOブãƒã‚°ã€€å¤§çŸ³è”µäººä¹‹åŠ©ã®ã€Œé›²ã‚’ã¤ã‹ã‚€ã‚ˆã†ãªè©±ã€ã¯ã€ 「ã¯ã¦ãªãƒ–ãƒã‚°ã€ã¸ç§»è¡Œè‡´ã—ã¾ã—ãŸã€‚ 旧ブãƒã‚°è¨˜äº‹ã®URLã‹ã‚‰ãŠè¶Šã—ã®çš†æ§˜ã¯è‡ªå‹•ã§æ–°ãƒ–ãƒã‚°ã¸è»¢é€ã•ã‚Œã¾ã™ã€‚ 転é€ã•ã‚Œãªã„å ´åˆã€æれ入りã¾ã™ãŒä¸‹è¨˜URLã‹ã‚‰ç§»å‹•ã‚’ãŠé¡˜ã„致ã—ã¾ã™ã€‚ æ–°URL:https://ceo.serverworks.co.jp/ 引ã続ãã€å¤§çŸ³è”µäººä¹‹åŠ©ã®ã€Œé›²ã‚’ã¤ã‹ã‚€ã‚ˆã†ãªè©±ã€ã‚’宜ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ã€‚
Yahoo!ã€å€‹äººæƒ…å ±ç®¡ç†æ‰‹æ®µã€ŒDo Not Trackã€æ©Ÿèƒ½ã‚’åˆå¤ã«ä¸–界全体ã§æä¾›ã¸
ç±³Yahoo!ã¯ç¾åœ°æ™‚é–“2012å¹´3月29æ—¥ã€å€‹äººæƒ…å ±ç®¡ç†æ‰‹æ®µã€ŒDo Not Trackã€ã‚’åˆå¤ã¾ã§ã«å…¨é¢å°Žå…¥ã™ã‚‹ã¨ç™ºè¡¨ã—ãŸã€‚åŒç¤¾ã®ä¸–ç•Œãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯å…¨ä½“ã«ã‚ãŸã£ã¦Do Not Trackヘッダーを利用å¯èƒ½ã«ã™ã‚‹ã€‚導入対象ã«ã¯ã€åŒç¤¾å‚˜ä¸‹ã®ã‚ªãƒ³ãƒ©ã‚¤ãƒ³åºƒå‘Šã‚ªãƒ¼ã‚¯ã‚·ãƒ§ãƒ³äº‹æ¥Right Mediaã¨ã‚¿ãƒ¼ã‚²ãƒƒãƒˆåž‹ã‚ªãƒ³ãƒ©ã‚¤ãƒ³åºƒå‘ŠæŠ€è¡“ã®interclickã‚‚å«ã¾ã‚Œã‚‹ã€‚ Do Not Trackã¯ã‚¤ãƒ³ã‚¿ãƒ¼ãƒãƒƒãƒˆãƒ¦ãƒ¼ã‚¶ãƒ¼ãŒã‚ªãƒ³ãƒ©ã‚¤ãƒ³è¡Œå‹•ã®è¿½è·¡ã‚’æ‹’å¦ã§ãるよã†ã«ã™ã‚‹ãŸã‚ã®æ‰‹æ®µã€‚米連邦å–引委員会(FTC)ã¯ãƒ—ライãƒã‚·ãƒ¼ä¿è·ã®æž 組ã¿æ案ã«åŒæ‰‹æ®µã®æŽ¡ç”¨ã‚’盛り込んã§ãŠã‚Šã€3月26æ—¥ã«ç™ºè¡¨ã—ãŸæœ€çµ‚å ±å‘Šæ›¸ã§ã¯ã€Œ2012年末ã¾ã§ã«åŠ¹æžœçš„ã§ä½¿ã„ã‚„ã™ã„Do Not Trackオプションを消費者ã«æä¾›ã§ãるよã†ã«ãªã‚‹ã¨ç¢ºä¿¡ã—ã¦ã„ã‚‹ã€ã¨ã®è¦‹è§£ã‚’示ã—ãŸï¼ˆé–¢é€£è¨˜äº‹ï¼šFTCãŒãƒ—ライãƒã‚·ãƒ¼ä¿è·ã®å ±å‘Šæ›¸ã€ãƒ‡ãƒ¼ã‚¿ãƒ–ãƒãƒ¼ã‚«ãƒ¼å‘ã‘法整備ãªã©è¿½åŠ )。
ãƒãƒ¼ã‚½ãƒ³Wi-FiãŒèª•ç”Ÿæ—¥ã¨é›»è©±ç•ªå·ã‚’誰ã‹ã«ä¼ãˆã‚‹ã“ã¨ã‚’ç¦æ¢ï¼ - Togetter
先日始ã¾ã£ãŸ LAWSON Wi-Fi を利用ã™ã‚‹ãŸã‚ã«å¿…è¦ãªãƒãƒ¼ã‚½ãƒ³ã‚¢ãƒ—リã®åˆ©ç”¨è¦ç´„ãŒã¨ã‚“ã§ã‚‚ãªã‹ã£ãŸä»¶ã€‚ アプリ利用ä¸ã¯èª°ã®èª•ç”Ÿæ—¥ã‚‚電話番å·ã‚‚知らã›ã¦ã¯ã„ã‘ãªã„ã—ã€çŸ¥ã‚ã†ã¨ã—ã¦ã‚‚ã„ã‘ãªã„ï¼ Pontaカードを解約ã—よã†ã¨ã—ã¦ã‚‚ãƒãƒ¼ã‚½ãƒ³ã‚¢ãƒ—リã®è¦ç´„ã§é€€ä¼šå‡ºæ¥ç„¡ã„ï¼è©°ã‚“ã ï¼ ã€4/10 22:10】 続ãã‚’èªã‚€
ゆã†ã¡ã‚‡éŠ€è¡Œã®ãƒ‘スワード紛失ã—ãŸã®ã§ã€å†ç™ºè¡Œæ‰‹ç¶šã—ãŸã‚‰ã€ãƒ‘スワードå°å—ã—ãŸè—åŠç´™ãŒå±Šã„ãŸã€‚ï¼¼(^o^)ï¼ - ãれマグã§ï¼
ゆã†ã¡ã‚‡éŠ€è¡Œã®ã‚¹ã‚¯ãƒ¬ãƒ¼ãƒ‘ーを書ãã«å½“ãŸã‚Šã€ãƒ‘スワードã¨åˆè¨€è‘‰ãŒã‚ã‹ã‚‰ãªã‹ã£ãŸã®ã§åˆæœŸåŒ–ã‚’ãŠé¡˜ã„ã—ãŸã€‚ åˆæœŸåŒ–ã‚’ãŠé¡˜ã„ã—ãŸã®ã«ã€çª“å£ã®ãŠå§‰ã•ã‚“ã«ã€Œå†é€šçŸ¥ã§ã™ãï¼ã€ã¨ã‹è¨€ã‚ã‚ŒãŸã€‚ãã£ã¨è¨€ã„é–“é•ã„ã ã‚ã†ã¨æ€ã£ã¦ãŸã‚‰ã€æœ¬å½“ã«ãƒ‘スワードãŒå¹³æ–‡ã§å±Šã„ãŸã€‚ パスワードを忘れãŸã®ã§éƒµé€é€šçŸ¥ã‚’ãŠé¡˜ã„ã—ãŸã€‚ å‰ã®ãƒ‘スワードå°å—ã—ãŸè—åŠç´™ãŒå±Šã„ãŸã€‚ï¼¼(^o^)ï¼ ãŠãŠç´™ã‚ˆã€‚ã‚ãªãŸã¯è¦šãˆã¦ã„らã£ã—ゃã£ãŸã€‚忘れãŸãƒ‘スワードãŒå°å—ã•ã‚Œã¦éƒµé€ã•ã‚Œã¦ããŸã€‚ マジã§ãƒ‰ãƒ³å¼•ãã—ãŸã‚。 忘れãŸãƒ‘スワードãŒé€ã‚‰ã‚Œã¦ããŸã‚ˆã€‚ (パスワードãŒå°å—ã•ã‚Œã¦å±Šã„ãŸã€‚) (暗証番å·ã‚‚å°å—ã•ã‚Œã¦å±Šã„ãŸã€‚ ) ã•ã™ãŒã«ã“ã‚Œã¯ãƒ‰ãƒ³å¼•ãã—ãŸã‚。 ã“ã‚Œæƒ…å ±å‡¦ç†ã‚»ãƒ³ã‚¿ã®ãƒã‚¤ãƒˆãŒæ‰‹ä½œæ¥ã§å°ã—ã¦ã‚‹ã‚“ã§ã™ã‚ˆã・・・ ã“ã‚Œãã€ç´›å¤±ã—ãŸãƒ‘スワードãŒå¹³æ–‡ã§ãã®ã¾ã¾å±Šãã¾ã—ãŸã‚ˆã€‚å†ç™ºè¡Œã˜ã‚ƒãªãã¦ã€ä»¥å‰ã®ã‚‚ã®ãŒãã®ã¾ã¾ã€‚ 郵é€ã§é€ã‚‹ã‹ã。。。。 パスワードを平文ã§ä¿æŒ
å˜ãªã‚‹ OAuth 2.0 ã‚’èªè¨¼ã«ä½¿ã†ã¨ã€è»ŠãŒé€šã‚Œã‚‹ã»ã©ã®ã©ã§ã‹ã„ã‚»ã‚ュリティー・ホールãŒã§ãã‚‹
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語èªã¿ãŸããªã„ã¨ã„ã†äººã®ãŸã‚ã«ç°¡å˜ã«è§£èª¬ã™ã‚‹ã¨â€¦ OAuth 2.0 ã® implicit flow を使ã£ã¦ã€Œèªè¨¼ã€ã‚’ã—よã†ã¨ã™ã‚‹ã¨ã€ã¨ã£ã¦ã‚‚大ããªç©´ãŒé–‹ãã¾ã™ã€‚ カット&ペーストアタックãŒå¯èƒ½ã ã‹ã‚‰ã§ã™ã€‚ OAuth èªè¨¼ï¼Ÿã¯ã€å›³ï¼‘ã®ã‚ˆã†ãªæµã‚Œã«ãªã‚Šã¾ã™ã€‚ 図1 OAuth èªè¨¼ï¼Ÿã®æµã‚Œ 一見ã€å•é¡Œãªã•ãã†ã«è¦‹ãˆã¾ã™ã€‚ã—ã‹ã—ã€ãã‚Œã¯ã™ã¹ã¦ã®ã‚µã‚¤ãƒˆãŒã€Œè‰¯ã„サイトã€ãªã‚‰ã°ã§ã™ã€‚ Site_A
クãƒã‚¹ã‚µã‚¤ãƒˆãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ•ã‚©ãƒ¼ã‚¸ã‚§ãƒª - Wikipedia
クãƒã‚¹ã‚µã‚¤ãƒˆãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒ•ã‚©ãƒ¼ã‚¸ã‚§ãƒª (cross-site request forgery) ã¯ã€Webアプリケーションã®è„†å¼±æ€§ã®ä¸€ã¤[1]ã‚‚ã—ãã¯ãれを利用ã—ãŸæ”»æ’ƒã€‚略称ã¯CSRF(シーサーフ (sea-surf) ã¨èªã¾ã‚Œã‚‹äº‹ã‚‚ã‚ã‚‹[2][3])ã€ã¾ãŸã¯XSRF。リクエスト強è¦[4]ã€ã‚»ãƒƒã‚·ãƒ§ãƒ³ãƒ©ã‚¤ãƒ‡ã‚£ãƒ³ã‚° (session riding[3]) ã¨ã‚‚呼ã°ã‚Œã‚‹ã€‚1990年代ã¯ã‚¤ãƒ¡ã‚¿ã‚°æ”»æ’ƒã¨ã‚‚呼ã°ã‚Œã¦ã„ãŸ[è¦å‡ºå…¸]。脆弱性をツリー型ã«åˆ†é¡žã™ã‚‹CWEã§ã¯CSRFをデータèªè¨¼ã®ä¸å分ãªæ¤œè¨¼ (CWE-345) ã«ã‚ˆã‚‹è„†å¼±æ€§ã®ã²ã¨ã¤ã¨ã—ã¦åˆ†é¡žã—ã¦ã„ã‚‹ (CWE-352)[5]。 ãªãŠCSRFã®æ£å¼å称ã¯ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング (XSS) ã¨ä¼¼ã¦ã„ã‚‹ãŒã€XSSã¯ä¸é©åˆ‡ãªå…¥åŠ›ç¢ºèª (CWE-20) ã«ã‚ˆã‚‹ã‚¤ãƒ³ã‚¸ã‚§ã‚¯ã‚·ãƒ§ãƒ³ (CWE-74) ã®ã²ã¨ã¤ã¨ã—ã¦åˆ†é¡žã•ã‚Œã¦ãŠã‚Š[5]ã€å…¨ãç•°ãªã‚‹ç¨®é¡žã®
[書ç±]実践DNS - DNSSEC時代ã®DNSã®è¨å®šã¨é‹ç”¨ -:Geekãªãºãƒ¼ã˜
「実践DNS - DNSSEC時代ã®DNSã®è¨å®šã¨é‹ç”¨ -ã€ã®çŒ®æœ¬ã‚’é ‚ãã¾ã—ãŸã€‚ ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã™ã€‚ ç§ã¯DNSã®ã“ã¨ãŒè‰¯ãã‚ã‹ã‚‰ãªãã¦ã€Œå‹‰å¼·ã—ãŸã„ã€ã¨æ€ã„ã¤ã¤è‰²ã€…調ã¹ã¦ã¯ã„ã‚‹ã®ã§ã™ãŒã€DNSã®æƒ…å ±ãŒã¾ã¨ã¾ã£ã¦è¿°ã¹ã‚‰ã‚Œã¦ã„る書ç±ãŒç™ºè¦‹ã§ããšã«å›°ã£ã¦ã„ã‚‹ã¨ã“ã‚ã ã£ãŸã®ã§ã€éžå¸¸ã«å‚考ã«ãªã‚Šã¾ã—ãŸã€‚ ã“ã‚Œã¾ã§ã€é€šç§°ã€Œãƒãƒƒã‚¿æœ¬ã€ã¨å‘¼ã°ã‚Œã¦ã„ã‚‹DNS & BINDãŒæœ€ã‚‚詳ã—ã„DNS本ã ã£ãŸã¨æ€ã†ã®ã§ã™ãŒã€ãƒãƒƒã‚¿æœ¬ã¯BINDã®æœ¬ã§ã‚ã£ã¦ã€DNSã®æœ¬ã§ã¯ã‚ã‚Šã¾ã›ã‚“ã§ã—ãŸã€‚ ãã†ã„ã†æ„味ã§ã€ã€Œå®Ÿè·µDNSã€ã¯ã€æŠ€è¡“ã¨ã—ã¦ã®DNSã«é–¢ã—ã¦ã‚ッãƒãƒªæ›¸ã„ã¦ã‚る良書ã ã¨æ€ã„ã¾ã™ã€‚ 豪è¯ãªåŸ·ç†é™£ 「実践DNSã€ã¯ã€DNSã‚„DNSSECã«é–¢ã—ã¦æ—¥æœ¬å›½å†…ã§è€ƒãˆå¾—る最高レベルã®åŸ·ç†é™£ã«ã‚ˆã£ã¦åŸ·ç†ã•ã‚Œã¦ã„ã‚‹ã¨æ€ã„ã¾ã—ãŸã€‚ 著者ã¯3åã¨ã‚‚「.jpã€ã®JPドメインåã®ç™»éŒ²ç®¡ç†æ¥å‹™ã¨DNSã®é‹ç”¨ã‚’è¡Œã£ã¦ã„ã‚‹æ ªå¼ä¼šç¤¾æ—¥æœ¬ãƒ¬ã‚¸ã‚¹ãƒˆ
モãƒã‚²ãƒ¼ãŒé€€ä¼šã—ã¦ã‚‚å€‹äººæƒ…å ±ã‚’å‰Šé™¤ã—ã¦ãã‚Œãªã„ - LazyLoadLife
ã‚ーã€ã©ã£ã‹ã‚‰è©±ã›ã°ã„ã„ã‹ãªã€‚æ£ç›´ã«ãã‚‚ãã‚‚ã®ã¨ã“ã‚ã‹ã‚‰æ›¸ãã®ãŒå…¬å¹³ã§ã—ょã†ã€‚ã‚ã‚Œãªã‚“ã™ã‚ã€Twitter ã§ã‚¦ã‚ªãƒƒãƒã—ã¦ã‚‹äººã¯ã‚ã‹ã‚‹ã¨ãŠã‚Šã€ã¼ãオカマãªã‚“ã™ã‚。女装も女ã£ã½ã„言動もã—ã¦ãªã„ã‘ã©ã€å¿ƒã¯å¥³ã¨ã„ã†ã‹ã€ä¼¼åˆã„ã•ãˆã™ã‚Œã°å¥³ã®åã®æ ¼å¥½ã—ãŸã„ã‚“ã™ã‚ã€ã‚²ãƒ¼ãƒ ã®ã‚ャラやアãƒã‚¿ãƒ¼ã¯å¿…ãšå¥³æ€§ã«ã™ã‚‹ã‚“ã§ã™ã‚。ãƒã‚«ãƒžã¨è¨€ã£ãŸã»ã†ãŒæ£ã—ã„ã‹ãªã€‚ ã‚“ã§ã€ã¡ã‚‡ã£ã¨å‰ã«ã‚¦ã‚§ãƒ–æ¥ç•Œã®èª¿æŸ»ã¨å¥½å¥‡å¿ƒã§ãƒ¢ãƒã‚²ãƒ¼ã«å…¥ä¼šã—ã¾ã—ãŸã€‚ã‚ã€ã‚¹ãƒžãƒ¼ãƒˆãƒ•ã‚©ãƒ³ç‰ˆã§ã™ï¼ˆç§ã®æ‰€æŒç«¯æœ«ã¯ iPhone 3G)。ãã®éš›ã€ã‚ã¨ã§ã‚¢ãƒã‚¿ãƒ¼ã¯è‡ªç”±ã«ç€ã›æ›¿ãˆã‚‰ã‚Œã‚‹ã¨æ€ã£ã¦ã€æ€§åˆ¥ã®æ¬„ã¯ã€Œç”·æ€§ã€ã«ã—ãŸã‚“ã™ã‚。戸ç±ä¸Šã€ç”·æ€§ã ã—。ãã—ãŸã‚‰ã€ã‚¢ãƒã‚¿ãƒ¼ã„ã˜ã‚ã†ã‚¦ãƒ•ãƒ•ã¨æ€ã£ãŸã‚‰ã€ç”·æ€§å½¢å›ºå®šã§å¥³æ€§å½¢ã«ã§ããªã„ã‚“ã™ã‚。 ã‚“ã§ã€ã—ょã†ãŒãªã„ã‹ã‚‰åˆ¥ã‚¢ã‚«ã‚¦ãƒ³ãƒˆä½œã‚ã†ã¨æ€ã£ã¦ã€åˆ¥ã®ãƒ¡ã‚¢ãƒ‰ã§ã‚¢ã‚«ã‚¦ãƒ³ãƒˆä½œã£ãŸã€‚ãã“ã§ç«‹ã¡å¡žãŒã‚‹ã®ãŒã€Œæºå¸¯é›»è©±ç•ªå·èªè¨¼ã€ã€‚æºå¸¯é›»è©±ç•ªå·ã‚’入力ã—ã¦
404 Blog Not Found:ã“ã‚Œã§æœ€ä½Žé™! - 書評 - 体系的ã«å¦ã¶ 安全ãªWebアプリケーションã®ä½œã‚Šæ–¹
2011å¹´10月05æ—¥22:30 カテゴリ書評/画評/å“è©•iTech ã“ã‚Œã§æœ€ä½Žé™! - 書評 - 体系的ã«å¦ã¶ 安全ãªWebアプリケーションã®ä½œã‚Šæ–¹ ソフトãƒãƒ³ã‚¯ã‚¯ãƒªã‚¨ã‚¤ãƒ†ã‚£ãƒ–å‹ä¿æ§˜ã‚ˆã‚ŠçŒ®æœ¬å¾¡ç¤¼ã€‚ 体系的ã«å¦ã¶ 安全ãªWebアプリケーションã®ä½œã‚Šæ–¹ 脆弱性ãŒç”Ÿã¾ã‚Œã‚‹åŽŸç†ã¨å¯¾ç–ã®å®Ÿè·µ 徳丸浩 [é›»å版@bookpub.jp] åˆå‡º2011.02.24; 2011.10.05 é›»å版ã¸ã®ãƒªãƒ³ã‚¯ã‚’è¿½åŠ ã“ã†ã„ã†æœ¬ã‚’å¾…ã£ã¦ã„ãŸã€‚Web制作ã«é–¢ã‚ã‚‹å…¨ã¦ã®äººã€å¿…æºã€‚ ã¨åŒæ™‚ã«è¨€ã£ã¦ãŠããŸã„ã®ã¯ã€å®‰å…¨ãªWebアプリケーションを作るã«ã‚ãŸã£ã¦ã€æœ¬æ›¸ã®å†…容ã¯ã‚ãã¾ã§å¿…è¦æ¡ä»¶ã§ã‚ã£ã¦å……分æ¡ä»¶ã§ã¯ãªã„ã¨ã„ã†ã“ã¨ã€‚原ç†çš„ã«ã€‚ ãªãœã‹ã€‚ ã‚ãªãŸã®Webサイトã§ä½•ãŒå‡ºæ¥ã¦ã¯ãªã‚‰ãªã„ã‹ã¯ã€ã‚ãªãŸã«ã—ã‹æ±ºã‚られãªã„ã‹ã‚‰ã 。 本書「体系的ã«å¦ã¶ 安全ãªWebアプリケーションã®ä½œã‚Šæ–¹ã€ã¯ã€å‰¯é¡Œã«ã€Œè„†å¼±æ€§ãŒç”Ÿã¾ã‚Œã‚‹åŽŸç†ã¨å¯¾ç–
ã•ãらã®VPSã§ãƒ•ã‚¡ã‚¤ã‚¢ãƒ¼ã‚¦ã‚©ãƒ¼ãƒ«ãŒä½•ã‚‚è¨å®šã•ã‚Œã¦ã„ãªã„ã®ã«é©šæ„•ã—ãŸãŒ ufw ã§è§£æ±º - babie, you're my home
ã•ãらã®VPS ã£ã¦ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã§ã¯ãƒ•ã‚¡ã‚¤ã‚¢ãƒ¼ã‚¦ã‚©ãƒ¼ãƒ«ã®è¨å®šä½•ã‚‚ã•ã‚Œã¦ãªã„ã¨ã„ã†è¨˜äº‹ã‚’ã¿ã¦é©šæ„•ã—ãŸã€‚ã¨ã€ã‚ˆã考ãˆãŸã‚‰ Ubuntu 10.04 LTS ã‚’å†ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ«ã—ãŸã‹ã‚‰ã€ã©ã£ã¡ã«ã—ã¦ã‚‚åˆæœŸçŠ¶æ…‹ã ãªã€‚ ã¨ã‚Šã‚ãˆãšç¢ºã‹ã‚ãŸã€‚ $ sudo iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination オウフã€ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆã¯ç©ºãªã®ã‹â€¦â€¦ iptables ã®è¨å®šã‚ã‚“ã©ãã›ã‡ãªãƒ¼ã©ã†ã—よã†ã‹ãªãƒ¼ã€ã¨æ€ã£ã¦ã„ãŸã‚‰ã€ã©ã†ã‚‚ Ubuntu ã§ã¯ ufw ã¨ã„ã†
1分ã§ã‚ã‹ã‚‹ã€ŒX-ナントカã€HTTPレスãƒãƒ³ã‚¹ãƒ˜ãƒƒãƒ€ - 葉ã£ã±æ—¥è¨˜
最近ã®ãƒ¢ãƒ€ãƒ³ãªWebブラウザãŒã‚µãƒãƒ¼ãƒˆã—ã¦ã„ã‚‹ã€ã‚»ã‚ュリティã«é–¢é€£ã—ãã†ãª X- ãªHTTPレスãƒãƒ³ã‚¹ãƒ˜ãƒƒãƒ€ã‚’ã¾ã¨ã‚ã¦ã¿ã¾ã—ãŸã€‚ãれ以外ã«ã‚‚ã‚ã£ãŸã‚‰æ•™ãˆã¦ãã ã•ã„。 X-XSS-Protection 0:XSSフィルタを無効ã«ã™ã‚‹ã€‚ 1:XSSフィルタを有効ã«ã™ã‚‹ã€‚ XSSフィルタを有効ã«ã™ã‚‹ã“ã¨ã§ã‚¨ãƒ³ãƒ‰ãƒ¦ãƒ¼ã‚¶ãŒXSSã®è¢«å®³ã«ã‚ã†å¯èƒ½æ€§ãŒä½Žæ¸›ã™ã‚‹ãŒã€ã¾ã‚Œã«èª¤æ¤œçŸ¥ã™ã‚‹ã“ã¨ã§ç”»é¢ã®è¡¨ç¤ºãŒä¹±ã‚Œã‚‹ã“ã¨ã‚‚ã‚る。IE8+ã€Safariã€Chrome(多分) ã§æœ‰åŠ¹ã€‚IEã§ã¯ã€ŒX-XSS-Protection: 1; mode=blockã€ã¨ã„ã†æŒ‡å®šã‚‚å¯èƒ½ã€‚ 2008/7/2 - IE8 Security Part IV: The XSS FilterBug 27312 – [XSSAuditor] Add support for header X-XSS-Protection X-Content-Ty
岡崎市ä¸å¤®å›³æ›¸é¤¨ #librahack 事件をå–æã—ãŸæœæ—¥æ–°èžè¨˜è€…ã•ã‚“ã¸ã®è³ªå•ã¨å›žç”ã¾ã¨ã‚ (8月21日分)
神田 大介 @kanda_daisuke ã¿ãªã•ã¾ã€ãŠã¯ã‚ˆã†ã”ã–ã„ã¾ã™ã€‚記事を書ãã¾ã—ãŸæœæ—¥æ–°èžã®ç¥žç”°ã¨ç”³ã—ã¾ã™ã€‚今回ã®ä»¶ã§ã¯ã€ãƒ„イッターやブãƒã‚°ãªã©ãƒãƒƒãƒˆä¸Šã®æƒ…å ±ã‚’ãŸãã•ã‚“å‚考ã«ã•ã›ã¦ã„ãŸã ãã¾ã—ãŸã€‚ã¾ãšã¯ãŠç¤¼ã‚’申ã—上ã’ã¾ã™ã€‚ #librahack 2010-08-21 08:50:36 神田 大介 @kanda_daisuke ã“ã®ä»¶ã§ã¯ã€ãŠã‚ˆãï¼’ã‹æœˆé–“ã«ã‚ãŸã£ã¦å–æを続ã‘ã¦ãã¾ã—ãŸï¼ˆæ¯Žæ—¥ã“ã®å•é¡Œã ã‘ã«å°‚従ã—ã¦ã„ãŸã‚ã‘ã§ã¯ã‚ã‚Šã¾ã›ã‚“ãŒï¼‰ã€‚記事ã«æ›¸ã‹ã‚Œã¦ã„ã‚‹ã“ã¨ã¯ã»ã‚“ã®ã‚¨ãƒƒã‚»ãƒ³ã‚¹ã«éŽãŽãšã€ã¾ãŸåºƒç¯„囲ãªæ–°èžèªè€…を想定ã—ã¦ã„ã‚‹ãŸã‚ã€ã„ã‚ã„ã‚ã¨è¡¨ç¾ã‚’「丸ã‚ã¦ã€ã‚ã‚Šã¾ã™ã€‚ #librahack 2010-08-21 08:53:14
æƒ…å ±å‡¦ç†æŽ¨é€²æ©Ÿæ§‹ï¼šã€ŒTomcatã€ã«ãŠã‘るリクエスト処ç†ã«é–¢ã™ã‚‹è„†å¼±æ€§ã«é–¢ã™ã‚‹è§£èª¬.
本資料ã¯ã€JVNã§å…¬è¡¨ã—ãŸã€ŒJVN#79314822:『Tomcatã€ã«ãŠã‘るリクエスト処ç†ã«é–¢ã™ã‚‹è„†å¼±æ€§ã€ã«ã¤ã„ã¦è§£èª¬ã™ã‚‹ã‚‚ã®ã§ã™ã€‚ 「Apache Tomcatã€ï¼ˆä»¥ä¸‹ 「Tomcatã€ï¼‰ã¯ã€ã‚µãƒ¼ãƒä¸Šã§ Java アプリケーションを動作ã•ã›ã‚‹ãŸã‚ã®ã‚½ãƒ•ãƒˆã‚¦ã‚§ã‚¢ã§ã™ã€‚Java サーブレット仕様㨠JavaServer Pages 仕様ã®ãƒªãƒ•ã‚¡ãƒ¬ãƒ³ã‚¹å®Ÿè£…ã¨ãªã£ã¦ã„ã¾ã™ã€‚ 「Tomcatã€ã«ã¯ã€ã‚¦ã‚§ãƒ–サーãƒã¨é€£å‹•ã™ã‚‹æ©Ÿèƒ½ãŒã‚ã‚Šã¾ã™ã€‚AJP (Apache JServ Protocol) 1.3 ã¯é€£å‹•ã®ãŸã‚ã®ãƒ—ãƒãƒˆã‚³ãƒ«ã®ä¸€ã¤ã§ã€AJP 1.3 Connector (org.apache.ajp.tomcat4.Ajp13Connector) 㯠AJP 1.3 を使用ã™ã‚‹ã‚³ãƒã‚¯ã‚¿ã®ä¸€ã¤ã§ã™ã€‚ã“ã®ã‚³ãƒã‚¯ã‚¿ã‚’使用ã—ãŸå ´åˆã€ã€ŒTomcatã€ã¯ã‚¦ã‚§ãƒ–サーãƒã‹ã‚‰ AJP 1.3 リクエストをå—ã‘å–ã‚Šã€
ã‚»ã‚ãƒ¥ãƒªãƒ†ã‚£æƒ…å ± - iモードIDを用ã„ãŸã€Œã‹ã‚“ãŸã‚“ãƒã‚°ã‚¤ãƒ³ã€ã®DNS Rebinding脆弱性
HASHã‚³ãƒ³ã‚µãƒ«ãƒ†ã‚£ãƒ³ã‚°æ ªå¼ä¼šç¤¾ 公開日:2009å¹´11月24æ—¥ 追記日:2010å¹´1月21æ—¥ æ¦‚è¦ iモードブラウザ2.0ã®JavaScriptã¨DNS Rebinding(DNSリãƒã‚¤ãƒ³ãƒ‡ã‚£ãƒ³ã‚°)å•é¡Œã®çµ„ã¿åˆã‚ã›ã«ã‚ˆã‚Šã€iモードIDを利用ã—ãŸèªè¨¼æ©Ÿèƒ½ï¼ˆä»¥ä¸‹ã‹ã‚“ãŸã‚“ãƒã‚°ã‚¤ãƒ³ï¼‰ã«å¯¾ã™ã‚‹ä¸æ£ã‚¢ã‚¯ã‚»ã‚¹ãŒå¯èƒ½ã¨ãªã‚‹å ´åˆãŒã‚ã‚‹ã“ã¨ã‚’確èªã—ãŸã®ã§å ±å‘Šã™ã‚‹ã€‚å±é™ºåº¦ã®é«˜ã„攻撃手法ã§ã‚ã‚‹ã®ã§ã€ã‚µã‚¤ãƒˆé‹å–¶è€…ã«ã¯è‡³æ€¥ã®å¯¾ç–を推奨ã™ã‚‹ã€‚ 背景 æºå¸¯é›»è©±ã®ã‹ã‚“ãŸã‚“ãƒã‚°ã‚¤ãƒ³ã¨ã¯ã€ã‚±ãƒ¼ã‚¿ã‚¤ãƒ–ラウザ(ãŸã¨ãˆã°iモードブラウザ)ã«ç”¨æ„ã•ã‚ŒãŸå¥‘約者固有IDを利用ã—ãŸç°¡æ˜“çš„ãªèªè¨¼ã§ã‚ã‚Šã€ãƒ¦ãƒ¼ã‚¶ãŒIDやパスワードを入力ã—ãªãã¦ã‚‚èªè¨¼ãŒå¯èƒ½ã¨ãªã‚‹ã€‚iモードIDã¯ã€NTTドコモã®æä¾›ã™ã‚‹å¥‘約者固有IDã®ä¸€ç¨®ã§ã€URLã«guid=ONã¨ã„ã†ã‚¯ã‚¨ãƒªã‚¹ãƒˆãƒªãƒ³ã‚°ã‚’å«ã‚ã‚‹ã“ã¨ã«ã‚ˆã‚Šã€ç«¯æœ«å›ºæœ‰ã®7æ¡ã®IDãŒWebサーãƒã«é€å‡ºã•ã‚Œã‚‹ã€‚ç¾åœ¨ã€iモ
é«˜æœ¨æµ©å…‰ï¼ è‡ªå®…ã®æ—¥è¨˜ - 「WPA-TKIPãŒ1分ã§ç ´ã‚‰ã‚Œã‚‹ã€ã¯èª¤å ±
■「WPA-TKIPãŒ1分ã§ç ´ã‚‰ã‚Œã‚‹ã€ã¯èª¤å ± 先月ã€ç„¡ç·šLANã®WPA-TKIPãŒ1分以内ã«ç ´ã‚‰ã‚Œã‚‹ã¨ã„ã†å ±é“ãŒã‚ã‚Šã€è©±é¡Œã¨ãªã£ãŸã€‚ ç„¡ç·šLANã®WPAã‚’ã‚ãšã‹æ•°ç§’ã‹ã‚‰æ•°å秒ã§çªç ´ã™ã‚‹æ–°ã—ã„攻撃方法ãŒç™»å ´ã€æ—©æœŸã«WPA2ã«ç§»è¡Œã™ã‚‹å¿…è¦ã‚ã‚Š, Gigazine, 2009å¹´8月5æ—¥ 今回ã®æ–¹æ³•ã¯æ˜¨å¹´11月ã«ç™ºè¡¨ã•ã‚ŒãŸã€ŒTews-Beck攻撃ã€ï¼ˆç•¥ï¼‰ãŒQoS制御を利用ã™ã‚‹æ©Ÿå™¨ã«é™å®šã•ã‚Œã‚‹ã‚‚ã®ã§ã‚ã‚Šã€éµã®å°Žå‡ºã«15分もã®æ™‚é–“ãŒå¿…è¦ã§ã‚ã£ãŸã®ã«å¯¾ã—ã¦ã€ã‚ãšã‹æ•°ç§’ã‹ã‚‰æ•°å秒ã§å°Žå‡ºã—ã¦ã—ã¾ã†ã“ã¨ãŒã§ãã‚‹ã¨ã„ã†ã‚‚ã®ã€‚(略) 今回発表ã•ã‚Œã‚‹æ–¹æ³•ã§ã¯ã€TKIPã«ãŠã‘る定期的ã«å¤‰æ›´ã•ã‚Œã‚‹éµã«ã¤ã„ã¦ã€TKIPã®ãƒ—ãƒãƒˆã‚³ãƒ«ã®æ–°ãŸãªè„†å¼±æ€§ã‚’利用ã—ã¦æ¥µã‚ã¦çŸæ™‚間(数秒ã‹ã‚‰æ•°å秒)ã§å°Žå‡ºã—ã€ãã®éµã‚’効率よã利用ã™ã‚‹æ–¹æ³•ã¨ã—ã¦æ–°ãŸãªä¸é–“者攻撃を開発ã—ãŸã¨ã®ã“ã¨ã€‚ ç„¡ç·šLANã‚»ã‚ュリティ「WPAã€ã‚’ã‚ãšã‹1分以内ã§ç ´ã‚‹æ‰‹
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
ソニーã€æœ€å¤§7500万件ã®å€‹äººæƒ…å ±ãŒæµå‡ºã€€ã‚¯ãƒ¬ã‚«æƒ…å ±ã‚‚ã€Œå¦å®šã§ããªã„ã€:ã€2ch】ニュー速VIPブãƒã‚°(`・ω・´)
https://jp.techcrunch.com/2011/02/11/20110210google-rolls-out-two-factor-authentication-for-everyone-you-should-use-it/
Site Under Maintenance
{{#tags}}- {{label}}
{{/tags}}