Twitterさん、OAuthのアクセス権限の細分化を! 2010-09-07 TwitterのOAuth認証を利用するサービスを作ってみたが... 一昨日の日曜日(9/5)に、クックパッドさんのオフィス提供による 『TFJ CodeCamp #2』 という1日開発合宿に行きまして、TwitterのOAuth認証を使ったサービスを初めて作ったんです。ユーザーのタイムラインを読んでいろいろやってくれるタイプのサービスを。で、実際OAuth認証するサービスを公開することを考えてみたんですが、どーにも無視できないリスクがありまして。 まず、TwitterのOAuth認証のアクセス権限レベルって、「全部のデータが読める」or「何でもできる」しかありません。今回のサービスはタイムラインさえ読めればいいのですが、OAuth認証としては全部のデータを読める要求しかできなくて、その認証をしてもらったならば
12月10日にPC版がスタートしたサイバーエージェントのミニブログサービス「Amebaなう」で、あるURLをクリックすると、「こんにちは こんにちは!!」というフレーズとクリックしたURL文字列が自動で投稿され、「はまちや2」さんのアカウントを自動でフォローしてしまうという現象が広がった。 URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)を突いたもの。同社は10日夜、URLをクリックしないようユーザーに告知。誤ってクリックした場合は投稿を削除し、はまちや2さんのフォローを外すよう呼び掛けた。11日朝までに脆弱性も修正したという。 mixiでも2005年、あるURLをクリックすると「ぼくはまちちゃん!」という日記が勝手に投稿されるという、CSRFを利用したスパムが流通したことがあった。コミュニティーサイト構
入力したパスワードは「****」で隠さずに、はっきり見えるようにした方がいいのではないか。そんな提案をめぐり研究者が賛否両論を展開している。 Webサイトなどでパスワードを入力する際、「****」を使って入力した文字が見えないようにする必要はないのではないか――。そんな提案をめぐり、研究者が賛否両論を展開している。 最初に問題を提起したのはWebユーザビリティ研究の第一人者ヤコブ・ニールセン氏。「パスワードを入力する際、画面に“****”としか表示されないのはユーザビリティ上問題がある。一般的に、パスワードを隠してもセキュリティは向上しない。それどころかログインに失敗してコストがかさむ」と指摘し、入力したパスワードの文字がはっきり見えるようにした方がいいと提言した。 著名なセキュリティ研究者のブルース・シュナイアー氏も、ブログでニールセン氏の意見に賛同を表明。「パスワードの文字を表示すれば
独立行政法人・情報処理推進機構(IPA)は1月19日、職員が私物PCでファイル交換ソフトを使用してウイルスに感染し、情報を流出させた問題で、IPAの信用を傷つけ、名誉を汚したとして、同職員を停職3カ月の懲戒処分にした。 再発防止策の一環として、西垣浩司理事長を本部長とする情報流出本部を設置。職員の私物PCでのファイル交換ソフト使用を禁止し、職員に使用していない旨を記載した報告書を提出させることも決めた。 同職員は昨年12月に「Winny」「Share」を使用し、1万6208ファイルを流出させた。同職員が以前に経営していた企業とその取引先企業、合計約十数社の業務関連データが含まれており、中には8600件の個人情報もあった。IPAに関連するものは、イベントを私的に撮影した写真と、海外出張伺いの下書きのみで、非公開情報はなかった。 同職員は、ファイル交換ソフトを通じて、かな漢字変換ソフト「ATO
また事件起きた。もういいから事件とか。要らんから。 今朝普通に仕事してたらプライベートのケータイに着信あったんですよ。ケータイ持って早11年ですけど、着信とかマジないからね、普通。しかも真っ昼間に着信なんてあるわけない。もうこの時点で身構えますよ。 楽「もしもし、こちら、テラヤマアニ様のケータイでよろしかったでしょうか」 俺「(よろしかったでしょうかじゃねえよコノヤロウ) ……はい、テラヤマですけど」 楽「あ、私、楽天KCのナカムラと申します」 俺「はあ……」 楽「突然のお電話申し訳ございません。カードのご利用状況について二三、ご質問させていただきたいのですが、ええと、昨日ですね、12月7日に、ヴィーナスフォートにて楽天カードをご利用になりましたでしょうか」 俺「はあ? ヴィーナスフォート? ってお台場の? いやいやいや使ってないですよ。つか昨日家から一歩も出てませんもん。もう俺みたいな低
楽天は10月1日、楽天市場のメールマガジンユーザーの氏名など個人情報89件が、検索サイトからアクセスしたり、第三者が改ざんできる状態になっていたことを明らかにした。 同社によると、ユーザー宛てにメールで送った個人情報入り画面のURLを、ユーザーが自らソーシャルブックマークやブログなどに掲載していたことが原因という。同社は検索サイトにキャッシュなどの削除依頼を行い、URLに第三者がアクセスしても個人情報が見られない仕様に変更するなど対策した。 89件の大半は氏名、メールアドレスのみだったが、ユーザーによっては、性別、生年月日、在住都道府県も分かるようになっていた。クレジットカード番号などは含まれていない。 9月26日にユーザーからの問い合わせで発覚。原因を調べた。ユーザーがメールマガジンの登録情報を変更する際、メールアドレスを指定すれば、登録情報変更用のユニークなURLがメールで送られてくる
2008年05月30日 ずばりフリーで、あっても困らないセキュリティツール集 ネットを使っていると、勝手なスパイウエァの混入、ウイルス、スパムと、パソコンは日々外部からの攻撃に晒されております。このような状況で無防備に、セキュリティツールを何も入れない方もいるかもしれませんが、あって損はないツールです。 ◆アンチウイルス AVG Anti-Virus Free フリーのアンチウイルス。無料というお得さよりも、何より動作の軽が定評。 ■AVG Free a ◆外部攻撃防止 MetaSploit Windows、Linux、BSD、Unix、Mac OSなど、様々来る外部からの攻撃を防ぐ。 ■The Metasploit Project ◆スパイウェア削除 Spybot OSにはいりこんだスパイウェアの削除。 ■SpyBotのインストール方法] ◆ファイル完全消去 完全削除 ファイルを根本的に
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く