Apache HTTPD: `Options -FollowSymLinks` は不完全 - ダメ出し Blog
シンボリックリンク攻撃を防ぐための Apache HTTPD モジュールの解説はこちら: Apache HTTPD: mod_allowfileowner https://fumiyas.github.io/apache/mod-allowfileowner.html 背景 ロリポップの共有 Web サービス下のサイト改ざん事件で、 攻撃手法の一つとして 「他ユーザー所有のファイルへのシンボリックリンクを自分のコンテンツディレクトリ下に作り、Apache HTTPD 経由でアクセスする」手順が利用されたらしい。 参考: http://blog.tokumaru.org/2013/09/symlink-attack.html 当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について http://lolipop.jp/info/news/4149/#090
エンジニアならウェブサーバーのひとつでも自腹で立てて運用すべき理由と、サーバー環境の選び方 : akiyan.com
エンジニアならウェブサーバーのひとつでも自腹で立てて運用すべき理由と、サーバー環境の選び方 2013-08-26 なんかスイッチが入ったので書いてみる。 目次 技術的なレイヤーは掘り下げるべきなので、ソフトウェア・エンジニアだってサーバー運用は経験すべき ウェブ系のソフトウェアエンジニアを職業としているのであれば、ウェブサーバーのひとつやふたつは自腹で立てて、実際に運用したほうがいい。 なぜかというと、技術的な仕事にはなんでもあてはまることなんだけど、技術的なレイヤーを掘り下げることには大きな意味がある。他にもやったほうがいいことは多々あるにせよ、レイヤーの掘り下げは特に重要だ。 ウェブ系ソフトウェアエンジニアであれば、仕事で使っているサーバーや言語を支えているOSレイヤーやミドルウェアのレイヤーが、どうセットアップされて、どう管理されているのか、知っているのと知っていないのでは、ソフトウ
IPアドレス・クッキー・JavaScript・UAなどを使わずユーザーを個別に追跡する方法
by Vernon Swanepoel ウェブサイトのユーザーがどれぐらいページを見てくれているのか、訪問頻度はどれぐらいなのかといった情報を追跡するのにはクッキー(Cookie)やJavaScriptなどが使用されますが、そうやって追跡されるのがイヤだということでCookieを受け入れないように設定したり、JavaScriptをオフにしているという人もいるはず。しかし、それでもユーザーを個別に追跡する方法があります。 Lucb1e.com :: Cookieless Cookies http://lucb1e.com/rp/cookielesscookies/ これはオランダ在住でコード・セキュリティ・ネットワークを愛しているというlucb1eさんが明らかにしたもの。手法としては新しいものではなく、多数のサイトで使われているにもかかわらず、そのことを認識している人はほとんどいないというも
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
Tor匿名化サーバに不正コード混入、捜査当局が容疑者割り出しに利用か
FBIの児童ポルノ事件捜査に関連し、Firefoxの脆弱性を突いてTorの秘匿サービスに不正なコードを仕掛けたのではないかとの見方が強まっている。 通信匿名化ツールTorを使ったサービスが、WebブラウザのFirefoxの脆弱性を突いた不正なコードを仕掛けられていたことが分かった。米連邦捜査局(FBI)の児童ポルノ事件捜査に関連して、捜査当局がユーザーを割り出す目的でマルウェアを仕込んだのではないかとの見方が強まっている。 Torのブログによると、8月4日ごろ、サーバを運用できる秘匿サービスのアドレスが、大量にTor Networkから消えているとの情報が匿名で寄せられた。突然サービスが利用できなくなったり、不正侵入されたり、攻撃用のJavaScriptが仕掛けられたりしたという情報が飛び交っているという。 秘匿サービスは、ユーザーが身元を明かさずにサーバを運用し、匿名で情報を交換するなど
Twitter歴診断というTwitter連携サービスが「危険」だと騒がれている「その理由」について納得出来ないという話。
2013/11/15追記: Twitterアカウントで認証することで Twitterアカウント作成日 アカウント作成日からの経過日数 片思い人数 片思われ人数 ブロック済みアカウント数 お気に入りに登録しているツイート数 などを表示するウェブサービス「まいあかうんったー」を公開しました。 ぱ、ぱくりとかいわないで! Twitter歴診断というTwitter連携サービスが「危険」だと話題になっているようです。 Twitter歴診断というサービスの安全性云々という話についてはあまり興味が無い事、安全性について言及するにはまだ情報が不足しているのでそれについては触れません。 そもそも、それは各々が判断するべき事だと思うので…。 ですが、それを「危険」だと騒いでいらっしゃる方々が、それを「危険」だと主張するその「理由」についてどうにも納得する事が出来ないのでそれについて書いてみます。 そもそも何故
高木浩光@自宅の日記 - 書評:良いウェブサービスを支える「利用規約」の作り方
■ 書評:良いウェブサービスを支える「利用規約」の作り方 3月のこと。出版されたこの本を技術評論社より献本いただいた。 雨宮美季, 片岡玄一, 橋詰卓司, 良いウェブサービスを支える「利用規約」の作り方, 技術評論社, 2013 第1章「3大ドキュメント超入門」として、利用規約と、プライバシーポリシーと、特定商取引法に基づく表示について書かれており、第3章には「すぐに使える・応用できるひな形」なるものが掲載されている。 プライバシーポリシーについて、第1章の超入門で、個人情報保護法における「個人情報」に該当しない「個人に関する情報」もプライバシーポリシーの対象とするべきだと書かれている*1点は良い。2012年8月の総務省「スマートフォン・プライバシー・イニシアティブ」を参照し、「今後の流れに大きく影響する可能性があります。」とあり、スマホアプリ対応の解説となっている。 しかし、3章の「すぐ
iPhoneでテレビを見る方法 - 無料、ワンセグ不要!
ワンセグ不要!iPhoneやiPadでテレビが視聴できます(無料)。 日本のテレビ番組がiPhoneやiPadなどのスマホやタブレット端末で、生放送とほぼリアルタイムで見ることが出来ます。 日本のテレビ番組(東京) NHK総合 日本テレビ TBS フジテレビ テレビ朝日 テレビ東京 TOKYO MX 日本のテレビ番組(大阪) MBS毎日放送 (TBS系列) 関西テレビ (フジテレビ系列) ※大阪のテレビ局は現在見れない状態となっているためリンクを無効にしました。 NHK公式(おまけ) NHK総合 NHK WORLD iPhoneでテレビを見る、iPadでテレビを見る方法。ワンセグ・チューナー・アプリ・脱獄は一切不要!完全無料で、スマホやタブレットで簡単にテレビ視聴できます。 アプリやツールのインストール、チューナーの接続は一切不要。iPhoneを脱獄する必要もありません。スマートフォンやタ
ひろみちゅ砲が俺たち本好きクラスタ方面の真上で炸裂
Hiromitsu Takagi @HiromitsuTakagi 北千住駅を通りがかったら、東武ブックスの書店にデカデカと「ポイント会員登録新規受付中」と貼り出されていたので、店員に質問をしてみたところ、驚くべき結果になったので、メモがてら書いておきたい。 2013-06-12 22:18:01 Hiromitsu Takagi @HiromitsuTakagi 私「ポイントカードについてお尋ねしたい。どんなメリットがありますか?」 店員(20代男性)「100円に1ポイントが付き、1ポイント1円として使えます。」 私「そちらにはどういうメリットがありますか?」 店「お客様がどの本を買われたかを記録します。店員にはわかりませんが、本部で… 2013-06-12 22:19:51
金融機関の口座集約アプリの危険性について - プログラマでありたい
先日、銀行口座の口座集約のとあるiOSアプリの記事について、危険だよなぁと何気なく呟いたら中の人からリプを貰いました。Twitterで呟いているのですが、文字だけでは解りにくいのでまとめてみます。ただ、そのアプリ固有の問題ではなく、構造的な問題なのでアプリ名は開示しません。(安全なので安心ですという論調は、どうかと思いますが。。。) 口座集約アプリの構造 口座集約のアプリは、アカウント・アグリゲーション(Account aggregation)サービスと言われています。サービスの実体は、複数の銀行の口座情報とID,Passwordを預かり、代行でログインして結果のhtmlを解析(スクレイピング)して利用明細や残高を集約するものです。口座とID,Password情報、解析エンジンをどこに置くかで、クライアント型とサーバ型に分類されます。 サーバ型アプリケーション まずサーバ型アプリケーション
IDとパスワードに頼る認証は、もう破綻している
不正アクセス被害のプレスリリースで次のような表現を見るたびに、何ともいえない違和感を覚えてしまう。 「他社サービスにおけるパスワードの使いまわしではない、まったく別のパスワードの再設定をお願いします---」 いや、言いたいことは良く分かる。ユーザーの自衛策として、パスワードの使い回しを避けた方がいいのはその通りだし、その事実をユーザーに啓発することには意味がある。 だが、私が天の邪鬼だからか、記者の職業病ゆえか…この表現には、ユーザーへの責任転嫁のような意図を感じてしまうのだ。 以前の「記者の眼」にも書いたが、インターネットユーザーが「確実に記憶できる」と考えているパスワードの数は、平均で3個ほどだという。「パスワードの使い回しを避けて下さい」というお願いは、実のところ、大半のユーザーには不可能な注文なのだ(関連記事:いくつもの暗証番号、パスワード…もう限界に来ていませんか)。 そもそも、
パスワードリマインダが駄目な理由
昨日、某著名サイトのパスワードリマインダの方式が変更になっていることに気がつきました。 旧: 現在のパスワードをメールで送信する(パスワードリマインダ) 新: パスワード再設定の画面のURLをメールで送信する(パスワードリセット) 新しい方式(パスワードリセット)の方が優れていますが、それでは何故パスワードリマインダは駄目で、パスワードリセットの方がよいのでしょうか。このエントリではその理由について説明します。 パスワードリマインダのリスク 良く指摘されるように、パスワードリマインダの場合、2つの問題があります。 現在のパスワードをメール送信できるということは、パスワードをハッシュ値で保存していない証拠である メールは平文通信なので、パスワードを書いたメールが盗聴されると被害が甚大になる これらのうち、パスワードの保存方法については別稿にゆずるとして、このエントリでは盗聴のリスクについて検
はてなIDがクッキーで約50サイトに送られていた話 - こせきの技術日記
(追記) 要点を整理をした記事を書きました。こっちのほうが、余計なこと書いてない分、わかりやすいかもしれません。 はてなブックマークに、マイホットエントリーという大変すばらしい機能があって、毎日見ている。 マイホットエントリー機能のご紹介 - はてなブックマーク開発ブログ 自分のマイホットエントリーのURLはこう。 http://b.hatena.ne.jp/koseki/ マイホットエントリーを見ていると、はてなID koseki を含むリファラが各サイトに送信される。 リファラは Google アナリティクスの __utmz に記録される。 Firefox には、全クッキーの値を横断検索する機能がある。 設定 > プライバシー > Cookieを個別に削除 > 検索 自分の環境では、およそ50個*1のクッキーに koseki という文字列が含まれていた。 あんなサイトやこんなサイトを、
“日本の標準暗号”が10年ぶり大改定、国産暗号削減よりもRC4とSHA-1の監理ポスト入りが影響大:ITpro
図●改定で特に変化が大きかった箇所 共通鍵暗号(64ビット・ブロック暗号、128ビット・ブロック暗号、ストリーム暗号)のカテゴリは、改定前には多くの国産暗号がリストに掲載されていたが、それらの多くが改定で落とされた。ハッシュ関数は、安全性に問題がある二つの方式が削られている。(日経エレクトロニクス2013年4月15日号p.11から抜粋) 電子政府で用いる暗号方式を評価・調査するプロジェクトであるCRYPTRECが公開している「電子政府推奨暗号リスト」が10年ぶりに改定された(Tech-On!の関連記事)。同リストは、日本政府が電子システムを調達する際に使用を推奨する暗号方式を示すもの。技術的に安全性が確認された暗号方式を政府が示す役割も担っている。いわば“日本の標準暗号”を示すリストだ。 今回の改定では、2012年春に予告された通り、リストから多くの国産暗号が消えた(Tech-On!の関連
安全なアプリとは? Androidアプリのリスク格付けサイトに賛否両論 「まるで全て解析して格付けしたといわんばかりなのはどうか」
安全なアプリとは? Androidアプリのリスク格付けサイトに賛否両論 「まるで全て解析して格付けしたといわんばかりなのはどうか」 情報セキュリティ会社ネットエージェントが、独自開発したシステムを用いて2012年10月~13年3月に主に日本人向けの約34万8000種類のアプリを調査したところ、「危険(DANGER)」と判断されたアプリが約3万5000種類に上ったことが判明したと、産経が報じた。 「個人情報悪用、遠隔操作… 「危険」アプリ横行、3万5000種も」(産経ニュース) ネットエージェント社がリスク情報を公表している専用ホームページ「secroid」によれば、「危険(DANGER)」とリスク判断される要件は以下の3条件のいずれかに当てはまること。 認定された悪意のあるソフトウェア(マルウェア) 禁止されている動作を行う root権限で実行する(root権限取得ユーザーIDの取得を含む
ネットでクレジットカードで買い物が心配 → 心配すべきはあなたじゃないです(キッパリ) - More Access! More Fun! %
本日は月曜日なので、朝からメルマガ書いた。毎月お一人様315円でコツコツと書いています。書いていると頭に「あなた変わりはないですかぁ〜」という石川さゆりの歌声が響く。一応まぐまぐ!の有料メルマガランキングで16位まで来たが、ホリエモンと比較したら何十分の1だ。しかし継続は力なりを座右の銘に書き続けてるのだ。 んで、本日、めちゃくちゃネタになる質問がございました。あまりにネタなので、ブログには詳しく説明したいと思います。 ◆質問◆ 私は、ネットでクレジットカードで支払いを行うことに非常に慎重です。永江さんのメルマガもクレジット払いしかなかったので、かなり迷いましたが支払いをしました。販売サイトを運営した場合、同様の不安を持つお客様の不安を取り除くにはどうしたら良いのでしょうか。 クレジットカードについては、Twitterを見ていると情報流出事件のたびに「ネットでクレジットカードで買い物なんて
パスワード運用はもう限界
「アカウントの情報を勝手に書き換えられた上、覚えのない課金の請求書が来た」「ポイントが勝手に使われていた」─IDとパスワードを盗まれ、アカウントを不正に利用されたとする被害者の声がネット上にあふれている。 消費者向け、企業向けに関わらず、IDとパスワードに頼る認証は、もはや限界に来ている(図1)。 通常、一人が使いこなせるパスワードは、せいぜい3~4個。にもかかわらず、クラウドサービスの利用が加速する中で、それぞれ独立にIDやパスワードを求めるシステムやサービスは年々増え続けている。こうなれば、同一のIDとパスワードの使い回しは避けられない。一つのサービスでパスワードが漏洩すれば、他のサービスでもIDを乗っ取られる。「IDを乗っ取るサイバー攻撃の多くは、別のサイトから漏れたとみられるIDとパスワードを利用している。攻撃のうち数%はログインに成功している」(セキュリティ企業 HASHコンサル
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
INASOFT、トレンドマイクロ製品がインストールされていると警告を表示する機能を実装
Daiyuu Nobori (登 大遊) on Twitter: "ファイルをZIPで暗号化し、まずZIPをメールで送り、しばらくして別メールで8文字程度の乱数パスワードを送るという謎のプロトコルが日本企業で流行っているが、ZIPのパスワードは総当たりでかなり高速に解析できるし、そもそもパスワードをメールで送っているので効果が疑問。"
高木浩光@自宅の日記 - 携帯電話販売店が本人同意を亡きものにする, 追記(21日)