バリデーション、エスケープ、フィルタリング、サニタイズの用語は分かりにくいので、イメージで説明します。 “><script>alert(‘xss’);</script> という入力文字列が、それぞれどうなるかを示します。 ※1 厳密な定義ではありません(要件や文脈により変化します) ※2 バリデーションという用語は非常に幅があります(ここの「名称補足」参照)。 ※3 サニタイズという用語は非常に幅があるで、使う場合は事前に語義を定義しましょう(参照)。
バリデーション、エスケープ、フィルタリング、サニタイズのイメージ
バリデーション、エスケープ、フィルタリング、サニタイズの用語は分かりにくいので、イメージで説明します。 “><script>alert(‘xss’);</script> という入力文字列が、それぞれどうなるかを示します。 ※1 厳密な定義ではありません(要件や文脈により変化します) ※2 バリデーションという用語は非常に幅があります(ここの「名称補足」参照)。 ※3 サニタイズという用語は非常に幅があるで、使う場合は事前に語義を定義しましょう(参照)。
日本でもiOS / Androidアプリにより2段階認証が使えるようになりました
twitterの2段階認証は日本では使用できない状態が続いていましたが、モバイルアプリのアップデートにより、日本でも利用できるようになりました。 iOS / AndroidのTwitterがアップデートされました。今回のアップデートで、公式アプリからのログイン認証が可能になっています。また、アメリカなどの一部の国では5月に提供を始めているSMSを利用したログイン階認証に加え、プッシュ通知を利用した認証も利用できるようにしました。 モバイルアプリがアップデートされました さっそく人柱になって、設定してみました。画面キャプチャにはiOS版のtwitter公式アプリを用います。アプリの右下のアカウントタブをタップし、以下の画面を表示します。 画面左の矢印のボタン(上図赤矢印の箇所)をタップすると、以下のボタンが表示されるので、「設定」をタップします。 下の画面になるので、「セキュリティ」をタップ
facebookでは「password」というパスワードをつけることはできなくなった
twitterでは以前からパスワード設定時に辞書による「ありがちなパスワードチェック」がありましたが、facebookでも辞書によるチェックを始めたようです。 上記は「password!」というパスワードを設定しようとして、弾かれたところです。 昨今パスワードに対する攻撃が活発になっているので、このような「ありがちなパスワードチェック」を取り入れるサイトが増えるとよいですね。
Evernoteのテキストを暗号化する方法
本日早朝に、Evernoteが外部からの攻撃を受けて、ユーザ名、メールアドレス、パスワードハッシュ値(ソルト付きハッシュ)にアクセスされたという報告(セキュリティ関連のお知らせ:Evernoteでのパスワード再設定のお願い)がありました。 Evernoteのユーザは、このお知らせの指示にしたがい、パスワードをリセットしましょう。問題は、Evernoteのコンテンツ(ノート)にアクセスされたかどうかですが、Evernote社では、以下のように、ノートにはアクセスされた形跡はないと主張しています。 弊社セキュリティ調査の結果、Evernote に保存されているコンテンツが外部からアクセス・変更・消失された形跡は確認されませんでした。また、Evernote プレミアムおよび Evernote Business のお客様の決済情報がアクセスされた形跡も確認されていませんのでご安心ください。 一応こ
勝手に査読:Webアプリにおける11の脆弱性の常識と対策
「Webアプリにおける11の脆弱性の常識と対策」という記事を久しぶりに読みました。出た当事も思いましたが、基本的な誤りが多く、読者が誤解しそうです。このため、編集部から頼まれたわけではありませんが、「勝手に査読」してみようと思います。 細かい点に突っ込んでいくとキリがないので、大きな問題のみ指摘したいと思います。 ※2013年2月25日追記 このエントリに対して、編集部が元記事を修正くださいました。徳丸も修正に協力いたしましたが、十分正確な内容ではないことをお含みおきください。 ※追記終わり 同記事の想定読者は誰か査読にあたり、この記事の想定読者を明確にしておいた方がよいですね。記事の冒頭には、連載の説明があります。 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用する
セッションアダプションがなくてもセッションフィクセイション攻撃は可能
大垣(@yohgaki)さんと、セッションアダプション脆弱性が「重大な脅威」か否かで論争を続けています。 大垣さん:第25回 PHPのアキレス腱 ── セッション管理徳丸:PHPのSession Adoptionは重大な脅威ではない大垣さん:PHPのセッションアダプション脆弱性は修正して当然の脆弱性議論がかみ合わないので、twitterで「ブログ読みました。サンプルも動かしました。問題は分かるのですが、セッションアダプションがないPHPだと、何が改善されるのかが分かりません。教えて下さい」とツイートしたところ、大垣さんがブログで返信下さいました。 大垣さん: セッションアダプション脆弱性がないセッション管理が必要な理由これを読んでかみ合わない理由が分かりました。大垣さん、ありがとうございます。以下大垣さんのブログの末尾を引用します。 脱線しましたが、何が改善されるのか?結論は ログイン時に
IE10にはパスワード表示ボタンが付いている
昨日のブログエントリ「楽天koboのログイン画面にも「パスワードの表示」ボタンがついた」に対して、twitterでコメントを頂戴しました。 そういえばIE10には目アイコン(マウスボタン押下している間伏せ字解除)が付いてたような…… QT @ockeghem: 日記書いた 楽天koboのログイン画面にも「パスワードの表示」ボタンがついた - ockeghemのtumblr bit.ly/Tnk0I8 11月 11, 2012手元のノートPCにWindows8を導入してIE10のパスワード欄を確認したら、確かに目アイコン(というのかな?)があり、マウスボタンを押下している間だけパスワードを表示しますね。 以下は、Windows8上のIE10で、evernoteのログイン画面を表示しているところです。IDとパスワードは架空のものです。 上記のように、通常はパスワードが伏せ字になっていますが、パ
Opera11.6以降でnoframesの表示方法が変わったっぽい
Operaでは標準機能でフレームを表示しないという設定が可能です。 この場合、コンテンツのframe要素は無視され、noframes要素があれば、それが表示されるはずです。以下のHTMLファイルで試してみました。frame要素はダミーで、noframesの中味が表示されるはずです。 Opera11.50での表示は以下となります。 大丈夫ですね。 しかし、Opera11.60(以降)では以下となります。 なんということでしょう! noframes要素の中味がプレーンテキストとしてそのまま表示されました。 なんとなくですが、Opera11.5以前の仕様が正しいような気がするのですが、よくわかりません(>_ 識者の方の解説を待ちたいと思います。 追記(11/10 7:20)twitterで@vyv03354さんからコメントをいただきました。 @ockeghem Opera 11.60でHTML5
Yahoo!の『秘密の「質問」と「答え」』の変更方法
Yahoo!Japan IDは、現在は新規登録時に必ず『秘密の「質問」と「答え」』の登録が義務づけられており、パスワードリセットなどで用いられます。 そして、この『秘密の「質問」と「答え」』は、いったん登録すると変更することができません。 秘密の「質問」と「答え」の内容は、Yahoo! JAPAN IDの登録後に、確認および変更できません。 http://help.yahoo.co.jp/help/jp/edit/edit-43.html しかしながら、『秘密の「質問」と「答え」』の質問の方は、あらかじめ用意された選択肢から選ぶようになっており、第三者が予測できそうなものが多いのが現状です。 子どものころのあだ名は?初めて買った曲のタイトルは?初恋の人の名前は?子どものころの夢は?座右の銘は?初めて飼ったペットの名前は?祖父の下の名前は?生まれた病院は?初めて行った海外の国・地域は?小学1
Gmailの成りすまし事件、傾向と対策
池田信夫氏のGmailアカウントがハックされて、寸借詐欺メールが送信されたようです。 Gmailの振り込め詐欺にご注意池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す私の周囲でも、知人が同種の被害にあっていますので、他人事ではない気がします。池田氏が被害にあった原因は不明のようですが、このエントリではその原因を予想(妄想)し、対策について検討します。 池田氏の主張:twitter連携アプリからの漏洩池田氏は自らのブログエントリで以下のように主張しています。 Gmailのパスワードを知らせたことはないのですが、ツイッターと共通にしていたため、「連携アプリ」を認証するときパスワードを入力します。これはシステム側に通知されないことになっていますが、悪意をもって偽装することは容易です。かなりあやしげなアプリも含めて20ぐらい使っていたので、そこから推測してGmailにログインされ
TポイントツールバーのWEB閲覧履歴を開示請求した
Tポイントツールバーが収集したWEB閲覧履歴の開示請求ができることを8月19日(日)知りました。届出書は以下からダウンロードできます。 (A)『個人情報保護法に基づく請求』に用いる届出書 Ⅳ(開示請求:TポイントツールバーWEB閲覧履歴専用) これに記入(Tカード番号、住所、氏名などの個人情報)して、本人確認書類のコピーを添えて簡易書留で郵送すれば、開示されると理解しました。料金は不要です。一方、削除請求というのもありますが、8月31日(金)付けで削除されたということなので、現時点でこれを使う機会はなさそうです。 私は、Tポイントツールバーを導入してWEB閲覧をしていましたので、開示請求をして、どのような形で閲覧履歴が開示されるかを見てみたいと思いました。幸い、以下のように試すのは容易なようでした。 必要事項を書くだけで事務的に開示されるようで請求側の心理的負担が少ない例えば、開示理由を書
ブログとソーシャルブックマークの移行について
はてなブックマークボタンを外しましたでご案内しましたように「当面の間、はてなのサービス(ブックマーク、日記)は少なくとも新規の更新をやめ」ておりましたが、それから一ヶ月が経過し、株式会社はてなの対応も変化がないようですので、当面ではなく恒久的に上記の更新をやめようと思います。 これまでの間、両サービスの移行先を検討しておりましたが、以下のようにしたいと思います。 ブログについてはてなダイアリーについては、ここtumblrを移行先とします。徳丸は他のブログも運用しておりますが以下のような使い分けにしたいと思います。 tumblr:小ネタ、書評、セミナーやキャンペーンの案内のうち個人的なもの徳丸浩の日記:技術的な内容のコラムHASHコンサルティングオフィシャルブログ:製品やサービスの案内、セミナー等の告知。宣伝成分多し従来のはてなダイアリーには、軽めの技術ネタも書いていましたが、ネタ成分の多い
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
