サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
WEBインベンターのご利用に心から感謝いたします。 さて、当社のカートを利用しているお店で個人情報流出の事故が発生しました。それは、管理プログラムがGoogleにインデックスされてしまったことによるものです。原因は調査中ですが、しかし、そのような場合でも検索エンジンに拾われないような対策を施してありますので、お知らせいたします。 対処方法: 1.パスワードの管理に気をつける 2.最新の管理プログラムを使う 3.検索エンジンにインデックスされてしまったときの対処 4.今後の対応 ━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1.パスワードの管理に気をつける ━━━━━━━━━━━━━━━━━━━━━━━━━━━ パスワード付きのURLが検索エンジンに拾われないようにするために気をつけてください。間違っても、パスワード付きのURLを一時的にもホームページで公開しないようにしてください
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
![[気になる]JSONPの守り方](/image.pl?url=https%3a%2f%2fcdn-ak-scissors.b.st-hatena.com%2fimage%2fsquare%2f6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5%2fheight%3d288%3bversion%3d1%3bwidth%3d512%2fhttps%253A%252F%252Fimage.itmedia.co.jp%252Fimages%252Flogo%252F1200x630_500x500_ait.gif&f=jpg&w=240)
自力でSNSを作りたいのですが作成する上で、基本的な処理や注意する点などを知りたいです。 カテゴリをSNSにしようか、Perlにしょうか迷いましたがプログラミングが重点なのでこちらに質問させていただきます。 リアル・ネットの友達を集めてSNSを作ろうと思っています。 使用している言語はPerlです。 自分なりにもどのような仕組みにしたら良いか考えてみたのですが、本来のSNSの方法が分からないので質問させていただきます。 とりあえず自分なりに考えてみたのが下記です。 ・ログイン IDとPASSを入力させる。 IDとPASSが実在するかファイルから探し出す。 IDが存在し、PASSが一致するならCookieにIDとPASSを保存。 ・マイページCookieからPASSを読み込む。 IDとPASSが存在するかファイルから探し出す。(IDの場合) IDが存在し、PASSが一致するならページを表示
ANY_VALUE(arg) この関数は、MySQL が特定できない理由で有効であるとわかっているクエリーをMySQL が拒否する場合に、ONLY_FULL_GROUP_BYSQL モードが有効な GROUP BY クエリーに役立ちます。 関数の戻り値および型は、その引数の戻り値および型と同じですが、関数の結果は ONLY_FULL_GROUP_BYSQL モードではチェックされません。 たとえば、name がインデックス付けされていないカラムの場合、次のクエリーは ONLY_FULL_GROUP_BY が有効になっていると失敗します:mysql> SELECT name, address, MAX(age) FROM t GROUP BY name;ERROR 1055 (42000): Expression #2 of SELECT list is not in GROUP
_ 残り容量が数十MバイトになっていたPCがなんかくそ遅いなーと思ってふと空きディスク容量をみたら、残り数十Mバイトまで減っていた。Folder Size forWindowsで各ディレクトリ単位のディスク使用量をながめてみたところ、 Thunderbirdでimapでアクセスしているアカウントのデータフォルダに、なぜか1GバイトオーバーのINBOXファイルがあった。なにこれ? 削除したけど別に動作には支障はなし。 puttyのlogが無限に追記されたよ……。数Gバイト。 昔ダウンロードしたCD/DVD-ROMのisoイメージファイルが、そこかしこに消されず残ってたよ。10Gバイトオーバー。 あと、細かいテンポラリディレクトリの中身とか消したら、30Gバイトくらい空いた。そこまでやって久しぶりにデフラグを起動したら、表示が真っ赤(ほとんど全部断片化されている)だったので、最適化実行中。
Ajaxのセキュリティ対策状況 Ajaxのセキュリティは、各ブラウザのAjax実装である「XMLHttpRequest」で対策が行われています。それらのうち、今回は「SSLによる暗号通信」と「クロスドメインの制限」についてご紹介したいと思います。 SSLによる暗号通信 通常のWebページへのアクセスと同様、AjaxにおいてもSSLを利用した暗号通信を行い、ネットワーク上のデータ盗聴に対して備えることができます。Ajaxのプログラミング上では、URIのプロトコル「HTTP」を「HTTPS」に変更するのみでSSLによる暗号通信となります。しかし、Ajaxアプリケーションのロード後に、プロトコルを「HTTP」から「HTTPS」、もしくは「HTTPS」から「HTTP」へといった変更はできません。 クロスドメインの制限 Ajaxアプリケーションは、A)HTML部/B)JavaScript部/C)XM
クロスサイト・スクリプティングという言葉は元々,WebアプリケーションのHTMLエンコード漏れなどを利用することによって第三者にJavaScriptを実行させる手法を指す。広義では,HTMLのエンコードによる画面改変などを含むこともある。 前回述べたように,クロスサイト・スクリプティングのぜい弱性はWebアプリケーションに見付かるぜい弱性の半分以上を占める。数年前から指摘されているにもかかわらず,一向になくならない。その理由として,クロスサイト・スクリプティング対策あるいはHTMLエンコード注1)に対する「神話」があり,正しい対策の普及を遅らせているように思う。その「神話」の数々について説明しよう。 注1)実体参照(entity reference)というのが正式だが,あまり普及していない用語なので,HTMLエンコードという用語を用いる 「すべからくHTMLエンコードすべし」が鉄則 HTM
これはひっかかった・・・ 先日、WEBセキュリティの会社に勤める友人と会った。 私のブログを結構見ているという話から盛り上がり、最近ウィルスってどうなの?何に気をつけたらいい?と聞いてみたんです。 彼の話は面白い話でいっぱいだった。 例えばYouTubeの上のような画像。 この中心の再生ボタンを押すと、ウィルスのダウンロードが始まるプログラムも見せてもらったが、これはかなり引っかかる・・・。 もう一つ、私がひっかかりそうなものとして『Bボタンフィッシング』を教えてくれた。 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。 何気なく私はそれを利用したりしている。 ↑これのこと 彼がサンプルとして作ってくれた物を試してみた。 Bボタンをクリックすると次の画面が
SQL Injection Cheat Sheet Currently only forMySQL andMicrosoftSQL Server, someORACLE and some PostgreSQL. Most of samples are not correct for every single situation. Most of the real world environments may change because of parenthesis, different code bases and unexpected, strangeSQL sentences.SQLインジェクションに関するチートシート。SQLインジェクションの方法についての例が書かれており、SQLインジェクション対策に使えます。MySQL, PostgreSQL,Oracle, M
Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた,2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。従来の脅威対策は全く通用しない。今この瞬間にも,エンドユーザーは個人情報を盗まれる危険にさらされている。 ブログ/SNSなどユーザー発信型のサイト,Ajax,RSS──。華やかさがクローズアップされるWeb 2.0。ところがその裏側では,エンドユーザーに情報盗難などの危険が広がっている(図1)。インターネット・バンキングやEC(電子商取引)サイトのユーザーIDやパスワード,クレジットカード番号はもちろん,企業内のシステムにアクセスするためのパスワードや,パソコンに読み込んだ機密文書データなど,対象はあらゆる情報だ。 2006年12月末,米国のセキュリテ
PHPは,数え切れないほどのWebサイトで使われている非常に有名なプログラミング言語である。基本的にはスクリプト言語であり,実行時にコンパイルされる。PHPは非常に多くのコミュニティによって支えられており,様々な機能を提供する膨大な数のオープン・ソース・ライブラリが公開されている。「WordPress」といった人気アプリケーションも,PHPで記述されている。ただし,PHPにもセキュリティの問題は存在する。PHPのセキュリティ問題は,長年にわたって多くの開発者が問題の修正に取り組んできた。しかし,常に迅速な対応が行われてきたわけではなく,被害を受けるユーザーも存在した。2006年末には,PHP開発者のStefan Esser氏が,この状況に嫌気がさして,PHPSecurity Response Teamを辞任した。 Esser氏は自身のブログで,「(辞任した理由は)いくつかあるが,最も決
ページにクリッカブルなメールアドレスを載せつつスパム対策もする方法「Email Riddler」 2007年02月14日- Dynamic DriveEmail Riddler-email encryption script and tool Updated to version 2.0! Jan 28th, 07. Improved interface, output now XHTML valid, plus added ability tosimply output encryptedemail as aJavaScript variable. ページにクリッカブルなメールアドレスを載せつつスパム対策もする方法「Email Riddler」。 Eメールアドレスの画像化が進んでいますが、メールアドレスをいちいち打つのはやっぱり面倒。クリックでメールを送りたい、アドレスをコピー
2007/02/09 米グーグルのサイトを閲覧しようとして誤ってカメルーンのドメインを入力すると、まったく別のサイトにつながるとして、SANS Internet Storm Centerが注意を促した。 SANSによると、米グーグルのURL「google.com」を入力するとき、間違えて「google.cm」と入力すると、Googleではなく「Agoga」と称する検索ツールのモックアップのようなものが表示される。 このサイトは広告コンテンツで収益を上げているようであり、一見したところ悪質な機能やコンテンツは見つからなかった。だが、いつそれが変わるとも限らないとSANSは警告する。 「.cm」はカメルーンのトップレベルドメインだが、同国のドメイン登録はDNSのワイルドカード状態になっているとSANSは指摘。例えば「onlinebank.cm」「myspace.cm」などのドメインが使われれば
IPAでは、ウェブサイト運営者が、ウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として、『安全なウェブサイトの作り方』を取りまとめ、公開いたしました。 この資料は、昨年(2005年3月4日)にショッピングサイト運営者がウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として発行した『消費者向け電子商取引サイトの運用における注意点』を、より広いウェブサイトの運営者に利用いただくことを目的に、内容の全面改訂を行ったものです。 『安全なウェブサイトの作り方』では、「ウェブアプリケーションのセキュリティ実装」として、IPAが届出を受けたソフトウエア製品およびウェブアプリケーションの脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、脆弱性の原因そのものをなくす根本的な解決策と、攻撃による影響の低減
先日,MySQL 5.0 および 4.1 に関してSQLインジェクションの危険性に対応するためにバージョンアップが行われた。SQLインジェクションとは,入力されたデータにより意図せざるSQL文が実行されてしまうという攻撃である。データベースのデータを書き換えられたり,データが読み出されることにより情報が漏洩したりする恐れがある。セキュリティ・ホールというとWebサーバーやWebアプリケーション言語の専売特許だという印象があるが,データベースにも存在する。十分な注意が必要である。 以下,SQLインジェクションの原理と,MySQLに存在した問題の詳細とその対応について解説する。問題の発見から修正にいたるやりとりはWeb上で公開されており,誰がいつ問題を指摘し修正したのかもたどることができる。mysqli_real_escape_string()関数によるSQLインジェクションの防止 プログ
■data uri変換機 これはそそります。なるほどぉ。 data:text/html;charset=utf-8;base64,aHR0cDovL2xhLm1hLmxhL21pc2MvanMvZGF0YS5odG1s ■FirefoxでWindowsのクリップボードに値を設定する方法 上を踏まえて。 http://la.ma.la/misc/js/setclipboard_for_firefox.html http://la.ma.la/misc/js/setclipboard.txt Opera8.5でもいけてる気がします。 外部のサーバを利用せずにHTML単体でいけているのは、dataスキームが有効だからですね。IE7ではまだdataスキームって有効じゃないのでしたっけ? え?オーバーフローするかって?しないでしょ(笑) Firefoxでテキストをクリップボードにコピーする方法::最
1リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
