一番分かりやすい OAuth の説明 - Qiita
はじめに 過去三年間、技術者ではない方々に OAuth(オーオース)の説明を繰り返してきました※1,※2。その結果、OAuth をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。Authlete アカウント登録はこちら! ※2:そして2回目の資金調達!→『AUTHLETE 凸版・NTTドコモベンチャーズ・MTIからプレシリーズA資金調達』(2018 年 2 月 15 日発表) 説明手順 (1)ユーザーのデータがあります。 (2)ユーザーのデータを管理するサーバーがあります。これを『リソースサーバ
自己流のSQLインジェクション対策は危険
HTMLエスケープの対象となる < > & " の4文字は、文字実体参照に変換された後、preg_replace関数でセミコロンを削除してしまうので、中途半端な妙な文字化けになりそうです。 一般的な原則としては、データベースにはHTMLの形ではなくプレーンテキストの形で保存しておき、HTMLとして表示する直前にHTMLエスケープする方法で統一することで、上記のような文字化けやエスケープ漏れをなくすことがよいでしょう。 脆弱性はないのか このsanitize関数に脆弱性はないでしょうか。上表のように、バックスラッシュ(円記号)を素通ししているので、MySQLや、設定によってはPostgreSQLの場合に、問題が生じそうです。以下、それを説明します。以下の説明では、MySQLを使う想定とします。 以下のように、ログイン処理を想定したSQL文組立があったとします。 $sql = sprintf(
ハッカー、iPhoneアプリの課金コンテンツを無料でダウンロードする手法を発見 - Touch Lab - タッチ ラボ
【警告】発見された手法は有料コンテンツの盗難およびiTunesの規約他の違反にあたる可能性があり、実際に使用することで様々なペナルティーが発生する可能性があります。当サイトはニュースとしてこれを掲載するもので、読者にこれを推奨するものではありません。ロシア人のハッカーが編み出したとされるこの手法は、特別に用意されたプロキシ・サーバーを経由して課金システムをバイパスするというものです。デバイスの脱獄を必要とせず、またiOS 3.0以上のすべて利用できるとのこと。また、比較的簡単なステップで実行でき、デモンストレーションの動画も公開されています。iOS 3.0から導入されたアプリ内課金(In App Purchase)は、App Storeでの販売形式の主流を「有料+無料お試し版」から「無料+アプリ内課金」中心へとガラリと変えてきました。最新のトップセールランキングでも、軒並み「無料+アプリ内
【ABC 2012 Spring】高木浩光氏が講演 - 「スマホアプリの利用者情報送信における同意確認のあり方」について (1) オプトイン・オプトアウトの線引きについて | Android(アンドロイド)情報の総合�
3月24日に東京大学 本郷キャンパスで開催された「Android Bazaar and Conference 2012 Spring」において、産業技術総合研究所情報セキュリティ研究センターの高木浩光氏が「スマホアプリの利用者情報送信における同意確認のあり方」と題した講演を行い、スマートフォンのアプリがどのように情報収集の同意を行うべきかを説明した。 オプトインとオプトアウトの線引き 今回の講演は、3月8日に総務省で開催された「スマートフォンを経由した利用者情報の取扱いに関するワーキンググループ(WG)」の第3回におけるヒアリングを拡大したもの。高木氏はまず、講演の前提として、2009年から開催された「ライフログ活用サービスWG」の第2次提言(10年5月)が、行動ターゲティング広告に関して業界のガイドライン策定を促していた点を説明。こうした取り組みに対して、昨年来、「カレログやミログのAp
はてなブックマークボタンの悪質なところ - 発声練習
自分の記事を読みに来てくれた読者のWebページ閲覧履歴をMicro Adに販売していたことです。これが、はてなブックマークの利用者がブックマークしたページの履歴(ブックマーク履歴)をMicroAdなどの広告会社に販売していたのならば、ちゃんと同意を取っている限り問題ではないです。 サービスの利用者自身が納得した上で、その人のそのサービス上の行動履歴を利用するのは別に問題ありません(それがサービス利用の対価だったりするので)。しかし、今回のはてなブックマークボタンの話はこれとは違います。 まずは、トラッキングクッキーの仕組みをご参照ください。 やさしいセキュリティ(トラッキングCookie) はてながはてなブックマークボタンを通して収集していたのは、そのブックマークボタンが置いてある記事の閲覧者のWeb上の行動履歴です。その記事の閲覧者がはてなのサービスの利用者とは限らないし、その記事を閲覧
はてなブックマーク開発ブログ
はてなブックマークのブックマーク数が多い順に記事を紹介する「はてなブックマーク数ランキング」。9月4日(月)〜9月10日(日)〔2023年9月第2週〕のトップ30です*1。 順位 タイトル 1位 OpenInterpreter / ついにAIがガチのアシスタントに!これは凄い、というか凄すぎる|shi3z 2位 元給食営業マンが「ホーユー」の学校・警察での給食提供停止騒動の原因をざっくり解説してみた。 - Everything you've ever Dreamed 3位 横向きA4サイズの現代アート。霞が関の「ポンチ絵」はどうして生まれたか? その知られざる使命とは|narumi 4位 ダイヤモンドにかかった魔法が解ける日。天然ダイヤの終焉?|nayadia 5位 小児性愛者だけど生きるのが辛い 6位 ジャニーズ事務所、ブランド名を温存について(9/8追記) - はてブの出来事 7位 (
5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!
こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます! 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる! 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです! (NG) あなたの名前は <?= $name ?> ですね! ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>
スマホアプリとプライバシーの「越えてはいけない一線」 - @IT
スマートフォンアプリは果たしてどこまで、端末に関する情報を取得してもいいのだろうか。 位置情報と連動してお勧め店舗情報を表示したり、過去の検索履歴を基に商品を提案したりと、端末の情報やユーザーの行動履歴を活用するスマートフォンアプリが登場している。中には便利なものも多いが、一歩間違えれば、ユーザーのプライベートな情報が筒抜けになりかねない。結果として、スマートフォンを活用したビジネスやそれを支える広告市場までもが、否定的な目で見られ、発展を阻害される恐れもある。 この議論が起こったきっかけの1つは、ミログが公開していた「AppLog」と「app.tv」というアプリだ。AppLogはSDKの形で提供され、これを自前のアプリに組み込むと、Android端末にインストールされているアプリの情報やその起動回数を収集し、同社のアプリケーション分析サービスに送信するようになっていた。開発者にはインスト
固有IDのシンプル・シナリオ
結城浩 RFIDなどの、固有IDの問題を考えるためのシンプル・シナリオを提示します。 シンプルなシナリオと具体例を通して、固有IDの注意点がどこにあるかを明確にしましょう。 目次 はじめに このページについて このページの構成 わたしについて 「固有IDのシンプル・シナリオ」 時刻(A): 場所(A)にて 時刻(B): 場所(B)にて ボブが知りえたこと シンプル・シナリオ適用例 適用例1: メンバーズカード 適用例2: IDの自動読み取り 適用例3: 読取機を持ち歩く人 適用例4: ダイヤの密輸 適用例5: 徘徊老人の命を救う 適用例6: 遊園地の迷子探し 適用例7: 携帯電話 固有IDに関連するQ&A 固有IDのシンプル・シナリオで、何を言いたいのか? メンバーズカードの例は問題なのか IDには個人情報が盛り込めないのではないか? 暗号化すれば大丈夫? 強固なセキュリティでデータベース
UDIDが使えなくなりそうなので、UIIDを使えるようにしました
■2012/11/11追記 iOS 6より[[UIDevice currentDevice] identifierForVendor]というAPIがAppleより提供され、よりプライバシーに配慮した上により安全な方法で自分の開発したアプリケーションを利用するユーザーを個別に認証することが可能になりました。それに伴い拙作のライブラリもidentifierForVendorが利用可能であればこちらを利用するように修正いたしました。今後はこのidentifierForVendor(または広告APIなどを作る場合であれば[[UIDevice sharedManager] advertisingIdentifier])が個体認識の主流になっていくと思われます。identifierForVendorとadvertisingIdentifierの仕様まとめは http://stackoverflow.c
Microsoft Security Essentials Markets
Not available in your country or region You appear to be in a country or region where the Microsoft Security Essentials Beta is unavailable. This beta is available only to customers in the United States, Israel (English only), People's Republic of China (Simplified Chinese only) and Brazil (Brazilian Portuguese only).
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
Flash Playerにゼロデイの脆弱性、大規模被害の恐れも
Flash Playerの未パッチの脆弱性が発覚した。悪質なSWFファイルも出回り、サイト改ざん攻撃との関連が指摘されている。 米Adobe Systemsは5月27日、Flash Playerの脆弱性を突いたとみられる「エクスプロイトが出回っているとの報告を受けた」とブログで伝えた。SANS Internet Storm Centerやセキュリティ企業各社もアラートを公開するなどして注意を呼び掛けている。 SANSによると、脆弱性が報告されたのはFlash Playerの現行バージョン9.0.124.0およびそれ以前のバージョン。Adobeはまだパッチを公開していない。米Symantecはこの脆弱性を突いたエクスプロイトが広く出回っているとして、グローバルセキュリティ警告システム「ThreatCon」の警戒レベルを引き上げた。 米McAfeeは、複数サイトでホスティングされていた悪質なS
FC2Blog - Forbidden
このページの表示は許可されていません このブログは下記の理由などにより凍結されています。 規約上の違反があった 多数のユーザーに迷惑をかける行為を行った。 30秒後にトップページへ移動します
Safariの「じゅうたん爆撃」問題、StopBadware.orgも対処を要求
Safariの「じゅうたん爆撃」問題、StopBadware.orgも対処を要求:Appleは対処せず Safariはユーザーの許可なくマルウェアをダウンロードしてしまうと研究者が指摘。しかしAppleはこれをセキュリティ問題としては扱わない方針だという。 AppleのSafariブラウザはユーザーの同意なしにマルウェアをダウンロードしてしまう恐れがあると、セキュリティ研究者が指摘した。スパイウェア対策プロジェクトの米StopBadware.orgもこれを問題視、Appleに対処を促している。 Safariの「じゅうたん爆撃」問題を指摘したのはセキュリティ研究者のニテシュ・ダーンジャニ氏。同氏のブログによると、Safariではユーザーの同意を求めることなくリソースがダウンロードされ、デフォルトの場所(Windowsではデスクトップ、OSXではDownloadsディレクトリ)に保存される設定
IPAがWebサイトのSQLインジェクションの脆弱性検出ツールを無償公開 ― TechTargetジャパン
情報処理推進機構(IPA)は4月18日、WebサイトのSQLインジェクションの脆弱性を検出する無償のツール「iLogScanner」を公開した。 iLogScannerは、ユーザーが用意したWebサーバのアクセスログの中から、WebサイトへのSQLインジェクション攻撃によく用いられる文字列を検出し、Webサイトが日ごろどれだけの攻撃を受けているか、また、Webサイトの脆弱性により攻撃が成功した可能性があるかを検出し、解析結果をリポート出力するツール。ただし、簡易的なツールであり、攻撃を100%検出できるわけではない。IPAのWebサイトからダウンロードし、利用者のWebブラウザ上で実行するJavaアプレット形式のプログラムとなっている。 iLogScannerの稼働環境は、OSがWindows XP Professional SP2、WebブラウザがInternet Explorer 7、
Amazonのすごいアクセス解析サービス - ぼくはまちちゃん!
こんにちは! Amazonほしい物リスト、すごい話題になってますね! なんでも、メールアドレスで検索すればAmazonに登録してある本名がでてくる (ケースもある) とか…。 で、さっそくぼくも試してみたよ! ほしい物リストサーチ! これって、いま話題になっているのは、誰かのメールアドレスを手がかりにして ウィッシュリストや本名、下手すると住所まで知られてしまうってところだよね。 それだけでも面白いんだけど、 あまり注目されていない機能として、こんなものがあったよ。 友だちにほしい物リストについて知らせる これ。 自分のほしい物リストを誰かにメール送信できちゃう機能らしいね! じゃあ試しにメール送信時のリクエストを確認してみると… http://www.amazon.co.jp/gp/registry/send-nudge.html?ie=UTF8&type=wishlist&__mk_j
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Engadget | Technology News & Reviews
Engadget | Technology News & Reviews