シャットダウン事件と発見者の責任 | 水無月ばけらのえび日記
公開: 2011年5月22日13時50分頃 こんなお話が。 巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に (slashdot.jp)」。巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終 (togetter.com)巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 (togetter.com)とあるシステムを見ていたら「パスワード再発行フォームのメールアドレス入力画面にSQLを仕込むと全ユーザーの情報を引き出したり」といった致命的な脆弱性を発見してしまい、そして……本番環境を動かないようにしてシャットダウン。その後は警察を呼ばれそうになりつつも、クライアントの理解が得られて最悪の結果は回避できたようで。まとめには出ていませんが、「課長と部長に報告したし、埒があかないから更に上
出力をホワイトリストで処理することを真剣に考えてみる | 水無月ばけらのえび日記
第02回まっちゃ445の懇親会の帰りに考えていた事なのですが、メモし忘れていたのであらためて。 HTMLの中に変数を出力する際、何も考えずに文字列をそのまま出力すると、HTMLのマークとみなされる文字が含まれていた場合にまずいことが起こります。たとえば#PCDATAの中に出力する場合、「<」や「&」がそれぞれSTAGOやEROとして解釈されますので、これらをそのまま出力しないようにする必要があります。以下のように文字実体参照に置き換えるのが一般的です。 < → <& → &同様に、二重引用符で括られた属性値リテラルに出力する場合は「"」と「&」がマークとして解釈されます。XHTMLの場合は「<」も書けないことになっていますので、これも置き換える必要があります。 " → "< → <& → &※#PCDATAの中で「"」を変換しても問題は起きないので、多
Firefox3のオレオレ警告 | 水無月ばけらのえび日記
……なんと「そのままアクセスする」とか「一時的に受け入れる」とかいう選択肢がありません。そのかわり「例外として扱うこともできます」という謎のリンクがあります。クリックすると、「例外を追加」というボタンが現れます。 「インターネット接続環境を完全には信頼できない場合や、これまでこのサーバではこの警告が表示されなかった場合は、このサイトを例外として追加しないでください。」という注意書きが。そして例外に追加しようとすると、だめ押しの一撃。 「本物の銀行、ショップ、その他公共サイトがこの操作を求めることはありません。」太字で断言ですよ。これは気持ち良い! ここまでされると、本物サイトをオレオレ証明書で運用するのもかなり抵抗が出てくるでしょう。 ※興味本位で一時的にアクセスしてみたりするのがやりにくくなりますが……。まあ、一般の人はそんなことをする必要がありませんしね。 「Firefox3のオレオレ
SEOとフレーム | 水無月ばけらのえび日記
例を挙げますと、「高知競輪」サイト< http://www.kochi-keirin.co.jp/ >は、「このサイトはフレーム・フラッシュを使用しています。」という検索語を入力してヤフーで検索すると、トップに登場します。しかもインデックスされているのはフレームの内部ではなく、フレームを定義している親ファイルです。 ロボット型検索エンジンではグーグルに遅れをとっていたヤフーですが、このテクノロジーはナイスと言えるのではないでしょうか。 はあ。「このサイトはフレーム・フラッシュを使用しています。」という語を検索すると「高知競輪」サイトがトップに来るのだそうですが、それのどこが「ナイス」なのでしょうか。どのようなユーザが「このサイトはフレーム・フラッシュを使用しています。」という語を検索するのか、そのユーザが「高知競輪」サイトを訪れることにどんなメリットがあるのか、ちょっと想像できないのですが
Web屋が無断リンクを禁止する? | 水無月ばけらのえび日記
つまり、「お選び下さい」と言っているのは、このサイトの運営者がではなく、このサイトのデザインテンプレートを作成したWebデザイナーが言っているのだろう。東芝テクノはそれをそのまま掲載したわけだ。 (~中略~) リンク許諾制やディープリンク禁止方針の汚染源はWebデザイナーではないかという、これまで憶測で語られてきたことの傍証が発掘されたと言えよう。 他社のことは分からないので絶対とは言い切れませんが、基本的にはこの手の文言を Web 制作側が作ることはありません。その会社のポリシーを勝手に決めることなどできるはずがないので、基本的には「御社のポリシーはどうなっていますか? 文言をください」と言って「素材」をもらい、それを掲載する形になります。 そして、このようなポリシーの「素材」はたいてい法務部門から出てきます。法務は企業の法的リスク回避が第一ですし、必ずしも Web には詳しくなかったり
MSIE はファイルの内容を解析する | 水無月ばけらのえび日記
(1)Webブラウザが受信ファイルの内容を解析して見分けている (2)HTTPレスポンスの「Content-Type」ヘッダーに指定された情報に基づき見分けている (3)HTTPリクエストの「Cookie」ヘッダーに指定された推定しづらい長さの文字列に基づき見分けている 仕様的には(2)が正解であるべきなのですが、それだけで済めば苦労はないですね。XP SP2 の IE6 からは、セキュリティの設定で「拡張子ではなく、内容によってファィルを開くこと」を無効にできるようになりましたが、デフォルトでは有効ですからファイルの内容解析が優先されてしまいます。 このあたりをちゃんと理解していないと、「image/jpegなのにXSS」という悲劇が起きたりしますので危険です。過去に実際にあったケースしては、 ユーザが任意の画像を添付できるサービス通常は HTML は添付できないスクリプトを含む HTM
[2524] 人狼BBSにおける確率論のモンティ・ホール問題の応用 | 新生鳩丸掲示板♯
人狼BBSにおいて人狼を推定する場合に、モンティ・ホール問題の応用が出来るのかと思いましてPOSTしております。 【問】占い師が3名同時にCOしました。同時刻にCOしたか投票CO戦術を採用したかは問いませんがCOの順番は考慮の条件に含まれません。また、3名の自称占い師の過去の発言内容はどれも村人のようであり特に人狼を思わせるそぶりを見せていないものとします。また状況からみて3名のうち1名は人狼であり他の2名は人狼ではないものとします。その日の処刑は3名の占い師のうちの誰も対象ではありませんでした。 あなたは3名のうち1名を人狼であろうと仮定して行動計画を練っていたとします。仮に占い師Aを人狼であろうと強く思っていたとしましょう。残りはBとCです。 さて、その日の夜がやってきて朝が来たところ3名のうち1名であるCが人狼に襲撃されてしまいました。襲撃された自称占い師Cは人狼ではなかったことにな
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
