第2回 しーさーふって何ですか? | gihyo.jp
※ src: 画像の場所を指定する属性。相対パスではなくURLで書けば、他のドメインにある画像を表示することも可能。つまりURLに対してGETリクエストを行う(閲覧者に行わせる)お手軽な手段とも言え、これを用いてなんらかの攻撃が行われることもしばしば。 まとめ このように、imgタグなどによって、閲覧者のブラウザからどこかのURLへ任意のリクエストを「送らせる」ことは簡単にできてしまいます。しかも、それで発生するリクエストは、閲覧者自身がリンクをクリックしたときとなんら変わりはありません。では、これを攻撃として用いられた場合(つまりCSRF)、Webプログラム側ではどのように防げばよいのでしょう。 きっとまっさきに思いつくのは、「POSTリクエストを使うようにする」、あるいは「リファラヘッダ(リンク元が記載されているヘッダ行)のチェックを行う」などでしょうか。しかしそれだけでは不
ぼくはまちちゃん!(Hatena) - Port801 (初心者向け)セキュリティ勉強会 Hamachiya2編
こんにちはこんにちは!! 先日、Twitterで声をかけてもらって、 第一回 Port801 セキュリティ勉強会っていうのに参加してきたよ!! (↑pw: security) そこで、すこし喋った時のビデオを頂いたので、もったいないので公開しちゃいますね! プレゼンだとかそういうの慣れてなくて、ぐだぐだな感じだけど、 よかったら何かの参考にしたり、晩ご飯のおかずにしてください>< Port801 セキュリティ勉強会 - Hamachiya2 その1 (http編) Port801 セキュリティ勉強会 - Hamachiya2 その2 (CSRF編1) Port801 セキュリティ勉強会 - Hamachiya2 その3 (CSRF編2) Port801 セキュリティ勉強会 - Hamachiya2 その4 (XSS編1) Port801 セキュリティ勉強会 - Hamachiya2 その5
はてなダイアリーに(対応外の)ブログパーツを貼る
はてなダイアリー日記 - 自分のはてなダイアリーにブログパーツを設置できるようになりました これはいいね! さっそく googleガジェットを使って、(対応外の)すきなブログパーツとかを色々貼ってみよう! まずは下のようなテキストファイルをつくって、文字コードをutf-8で保存…! <?xml version="1.0" encoding="UTF-8" ?> <Module> <ModulePrefs title="ここにパーツ名かこうね!"> </ModulePrefs> <Content type="html"> <![CDATA[ (ここにブログパーツ貼り付けコード) ]]> </Content> </Module> たとえばtwitterのブログパーツ(badge)を貼るのなら、ファイル名を「twitter.xml」とかにしておいて、 このファイルをどこかのサーバーにアップロード
IEを華麗に撃墜する一行 - ぼくはまちちゃん!(Hatena)
はい! こんにちは!!!!! 今日は、偶然ブラクラ発見しちゃったから、それをお伝えしますね! これだよ! <style>*{position:relative}</style><table><input></table> → サンプル (IEだとブラウザが終了しちゃうよ! 注意してね!) IE6とかIE6のコンポーネントブラウザだと確実に落ちちゃうみたいだね! IE7は確認してないけど! tableとかtrの直下に、inputとかselectがあって、 そのあたりにcssの全称セレクタでposition:relativeがあたっているとダメなかんじかな! ちなみにinputにstyleで直接relativeあてても落ちなかったよ! なにこれ! よくわかんないけど面白いね…! FirefoxとかOpera大好きっ子は、 これをたくさんバラまいてIEのシェアをどんどん下げちゃえばいいと思うよ!
はてな足あとちょう - ぼくはまちちゃん!
☆よみこみ中だと思うよ! 5分くらいまってね! http://d.hatena.ne.jp/hatenadiary/20070711/1184149449 http://s.hatena.ne.jp/ http://d.hatena.ne.jp/hatenastar/20070711/1184152733 http://d.hatena.ne.jp/hatenadiary/20070711/1184149817 http://d.hatena.ne.jp/Hamachiya2/20070711/star http://s.hatena.ne.jp/guide http://d.hatena.ne.jp/hatenastar/20070711/1184149175
0.999... について考えた - ぼくはまちちゃん!
「0.999... は 1 に等しい」っていうのが話題ですね! これを見て、なんだか面白そうだったから、 算数のテストでいつも 10てんくらいだったぼくも、ぼくなりに必死で考えてみました! 1 わる 3 は 1/3 に等しい。 1 わる 3 は少数で書こうとすると 0.333 に近い数字。 それを 0.333... とか書いちゃうとややこしいので 「0.333(1/3計算中。まだ終了してません)」と表記する。 0.333(1/3計算中。まだ終了してません) の定義は 1 を 3で割ろうとしたもの。 ただしこれは超計算中。まだまだ計算中途中なので、 現時点では 1/3 とは等しくない。(たぶんいま 0.33333333333 くらい) 0.333(1/3計算中。まだ終了してません) の計算を完全に終わらせたものを、 ふつうの少数で表記することはできない。 0.3のあと、いつまでも3がつづいち
はてなダイアリーのPermalink - ぼくはまちちゃん!
長年、疑問に思っていたことが、ひとつ解決しました!!! それはなにかっていうと、話せば長くなるんだけど…! 「ARTIFACT@ハテナ系」っていうブログがあるんですよ! すごく有名なところ! ここって、ぼくと同じはてなダイアリーのはずなのに、 エントリーのurlが、なぜかいつも、すてきurl…! ↓たとえば、このエントリー ARTIFACT@ハテナ系 - 高木浩光さんのシュッシュッブックマーク ( http://d.hatena.ne.jp/kanose/20061226/hiromitsu ) ほらちゃんとurlの末尾が hiromitsu になってるでしょ! なんですかこれ! ぼくもこんなふうにしたいです>< もういつもARTIFACTさまのエントリーをみかけるたびに、いいなーどうやるのこれ!っておもって設定をいじりまわして、さっぱりわかんなくてあきらめて なんでぼくのPermalin
ITmedia エンタープライズ:大量の「はまちちゃん」を生み出したCSRFの脆弱性とは?
「mixi」上で、あるURLをクリックすると「ぼくはまちちゃん!」という日記が勝手にアップされてしまうという現象が多発した。その原因はCSRFの脆弱性だ。 4月19日以降、ソーシャル・ネットワーキングサイトの「mixi」で、URLをクリックすると勝手に「ぼくはまちちゃん!」というタイトルで日記がアップされてしまうという現象が多発した。 サービスを提供しているイー・マーキュリーでは、この現象について一応の対処は取った模様だ。ただ、技術的な詳細については「ハッキングでもなく、サーバ攻撃やウイルスでもない。ID盗難などの被害は発生していない」という回答のみで、「それ以上はコメントできない」と述べるにとどまっている。 だがある意味、このコメントは正しい。「はまちちゃん」現象は、ウイルスなどの仕業ではないからだ。 正規ユーザーの操作で「意図しない」結果に URLをクリックすると勝手に日記が書き込まれ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
