Railsエンジニアのためのウェブセキュリティ入門「のどが渇いた」というユーザーに何を出す? ユーザーの「欲しい」に惑わされない、本当のインサイトを見つけるUXデザイン・UXリサーチ
SPAサイトのCSRF対策 - 親バカエンジニアのナレッジ帳
CSRF対策について CSRFとは? CSRFによる被害 通常のCSRF対策 SPAサイトのCSRF対策 方法1 リファラで判断 方法2 ログイン時に発行したトークンを照合 方法3 CORSと組み合わせてOriginをチェック CSRF対策について CSRFとは? このページに来られた方ならもう理解している方も多いとは思いますが、CSRFについて簡単に説明します。 CSRFはリクエスト強要(CSRF:Cross-site Request Forgery)という意味で、クロスサイト(Cross-site)の名の通り、正規のサイトとは別のサイトからリクエストを送らせる偽造工作です。 Webでサーバサイドの開発をしている方ならご存知だとは思いますが、例えばフォームのPOST処理は必要な項目やURLさえわかっていればどこからでもリクエストすることは可能ですよね。(リクエスト先が受け付けてくれるかは
Dockerコンテナを本番環境で使うためのセキュリティ設定 - Qiita
はじめに Dockerを開発環境で使うことが多くなってきてますね。 使い捨てできる環境は本当に便利なので、本番環境にも使いたいなーと思って、本番運用で注意すべきセキュリティ周りを調べてみました。 基本的な考え方 基本的な考え方は以下になります。 コンテナ内部に入られるな 権限は最小限にせよ 監視を怠るな DockerといえどVPSやオンプレのセキュリティ設定と考え方は同じですね。 ここではDockerにまつわる話を書いていきます。 コンテナ内部に入られるな 信頼できるイメージを使う 多くの場合、ベースとなるピュアなOSイメージはDockerHub上のイメージを使いますが、元となるイメージがセキュアであるかどうかを確認して使うようにしましょう。 既知の脆弱性を含んでいる場合や、最悪の場合、悪意のあるスクリプトが仕込まれている場合があります。 既知の脆弱性が含まれているかどうかはDocker
高木浩光@自宅の日記 - ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ
■ ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ (建設予定地) (27日追記)建設計画廃止。XMLHttpRequestだけ止めても効果がないことを理解したため。 (29日追記)何が言いたかったか、後日書く。
C-Production – UNIXとプログラミングの備忘録
大変ご無沙汰です。約1年半ぶりの更新です。 昨日、ブログを設置しているサーバでOSのアップデートに問題が発生したため、これを機に新サーバ・新OSに乗り換えることにしました。 現在のブログがマルチサイトのため、そのままでは新サーバの構築に苦戦すると予想されるため、他のブログの記事を統合しました。 統合内容は以下の通りです。 ・C-Production ・・・ メインサイトのため、他のブログを吸収して継続。 ・♪8thNote♪ ・・・ メインサイトに統合済みだったので、削除。 ・モバイル魂 ・・・ メインサイトに記事を引き継ぎ、並行稼働中。 ・無線のドキュメント ・・・ もともと閉鎖予定だったので、そのまま削除 外部SNSのアカウントについてはそのまま継続します。 今後ともよろしくお願いします。
Bluetooth の実験 - eggshell blue
前々からの高木先生の連載エントリを読んで気になったので、丁度東京へ出向く機会があったので試しに実験してみた。 高木浩光@自宅の日記 - Bluetoothで山手線の乗降パターンを追跡してみた , ユビキタス社会の歩き方(6) Bluetoothの「デバイスの公開」「検出可能にする」.. 高木浩光@自宅の日記 - 首都高速都心環状線でBluetooth追跡できるか + 続・山手線 高木先生は独自?にコードを書かれていたようだったけど、私はスキルもなく準備する時間もなかったので、鞄の中のパソコンで linux を動かして、 cron で定期的(約1分おき)に hcitool を呼び出して連続スキャンし、結果をシェルスクリプトで整形して出力する、という手法でデバイスIDをスキャンしてまわった。hcitool は自動的に端末名称も含めてスキャンしているようなので、そこから端末名称を検出できるものは
高木浩光@自宅の日記 - Bluetoothで山手線の乗降パターンを追跡してみた , ユビキタス社会の歩き方(6) Bluetoothの「デバイスの公開」「検出可能にする」..
■ Bluetoothで山手線の乗降パターンを追跡してみた この日記を書き始めてからもう6年になろうとしている。書き始めたきっかけは、RFIDタグのプライバシー問題が理解されないことに焦りを感じたからだった。当時の空気では、RFIDタグは5年後くらいに普及し、しだいにRFIDの埋め込まれた日用品で溢れかえるようになり、10年後くらいにプライバシー問題が顕在化すると目されていた。しかし、6年経った現在、私の靴にRFIDタグは埋め込まれていない。 当時の議論で描かれていたRFIDタグの問題は、無線LANやBluetoothにも共通することであり(MACアドレスがユニークIDとなる)、それらの方が先に普及するかもしれないという予感はあったが、現時点でも、無線LAN機器を持ち歩いている人はごく一部の人に限られている。しかし、Bluetoothはどうだろうか。これまでにも何度か、最近のBluetoo
「IPAとして慙愧に堪えない」--仲田理事が会見で職員の情報流出事件を説明
独立行政法人 情報処理推進機構(IPA)の職員がファイル交換ソフトを用いた結果、コンピューターウィルスに感染し、情報を流出させた事件について、同機構が状況説明の記者会見を開いた。 IPA理事である仲田雄作氏は冒頭、経済産業省に赴き、事件について報告したことを明かした。同省からは再発防止策を講じるように強い要望を受けたという。 当該職員が流出させたファイルは現在把握できている分だけでも1万6208件にのぼる。そのなかには児童ポルノを含むわいせつ画像、職員が以前に所属していた企業の業務関連情報、その企業の取引先企業の業務関連情報も含まれている。 さらにファイル交換ソフトでジャストシステムのかな漢字変換ソフト「ATOK」をダウンロードしようとしていたことも明らかとなっている。 セキュリティ対策の普及、啓蒙を推進しているIPAの職員が今回の行動に至ったことについて仲田理事は、「ファイル交換ソフトは
高木浩光@自宅の日記 - 楽天CERTに対するブラウザの脆弱性修正を阻害しない意思確認
■ 楽天CERTに対するブラウザの脆弱性修正を阻害しない意思確認 楽天は比較的早い時期からコンピュータセキュリティに真剣に取り組んできた希有な存在だと認識している。昨年には、企業内CSIRTを正式に組織し、組織名を「Rakuten-CERT」とした。*1 楽天、社内に「CSIRT」を設置, ITmediaエグゼクティブ, 2007年12月6日 「楽天ad4U」の「脆弱性を突いてブラウザの閲覧履歴を調べるという禁じ手」の問題(前回の日記参照)は、その手法自体が直接人々のプライバシーを侵害するか否かという問題ではない。実際、「楽天ad4U」について言えば、閲覧履歴の有無は参照するけれども履歴自体の送信はしないように作られており、開発元はこれを「プライバシー保護にも優れています」と宣伝している。 しかし、この問題の根本は、10月の日経の記事にも書いたように、この手法が広く使われるようになって、こ
LDAP/OpenLDAP/ActiveDirectoryとの連携 - PukiWiki
ADとUNIXのアカウント統合のアプローチ アカウント統合 Active Directoryのスキーマを変更する SFU NIS xxxxx アカウントは統合しない LDAPによりADとLDAPを更新して同期 SFUのパスワード同期サービスによる同期 ↑ Active DirectoryのLDAP ADのユーザー名はUserオブジェクトのsAMAccountNameとして保存される [[]] パスワードはADのUserオブジェクトのunicodePwd属性に保存される read不可、writeのみ可能な属性 [HOWTO] LDAP を介して Windows 2000 ユーザーのパスワードを変更する 通信が暗号化されていない場合がパスワードの更新はできない Windows2000ではLDAPSのみ、Windows2003ではLDAPS/StartTLSがサポートされている Usersオブジ
[思] ホワイトハウスのrobots.txtが駄目な件
ウェブサイトを構築するときの検索エンジンクローラー等の制御に有効な方法としてrobots.txtがあり、このテキストファイルにUser-Agent文字列や排除したいディレクトリを指定しておくと、礼儀正しい検索エンジンクローラー(GoogleとかYahoo!とか)であれば、指示に従ってくれる。 但し、このrobots.txtはあくまでもロボットに不要な行動を起こさせないための指示なので、秘密にしたいディレクトリをこのファイルに書くのは間違っており、秘密にしたいものは別の手段でガードする必要がある。 ここで、試しに、Googleで「"robots.txt" "disallow:" filetype:txt」という文字列で検索すると、3番目にホワイトハウスのrobots.txtがヒットする。 で、このホワイトハウスのrobots.txt、誰でも見ることができるのであるが、この検索結果のURLを開
サイバー攻撃で「北海道の停電可能」 露専門家が組織犯罪に警鐘 (1/2ページ) - MSN産経ニュース
来日したロシア最大手のインターネット・セキュリティー専門会社、カスペルスキーラブスの創業者で、最高経営責任者(CEO)のユージン・カスペルスキー氏は産経新聞と会見し、国家や地方自治体を標的にしたサイバー攻撃が活発化している実態を明らかにした。その攻撃能力は「北海道」規模の地方自治体を停電させ、その機能をまひさせる水準にまで達しているとし、早急に対策をとるよう警鐘を鳴らした。 カスペルスキー氏によると、インターネットを使った国家、地方自治体へのサイバー攻撃は、この1年ほどの間に4件行われた。 標的となったのは、旧ソ連を構成したバルト諸国のエストニア。次いで、ロシア南部の地方自治体(クラスノダール地方とアストラハニ州)、米国に依存する太平洋のミニ国家マーシャル諸島、今年8月に南オセチア自治州の独立をめぐりロシアと武力衝突した旧ソ連構成国のグルジアだ。 反ロシアの政策を鮮明にするエストニアとグル
中国のサイバースパイから知財を守れ:日経ビジネスオンライン
例えば、9月3日付の英フィナンシャル・タイムズは、「Chinese hacked into Pentagon(中国人がペンタゴンに侵入した)」という見出しで、2007年6月に中国人民解放軍が米国防総省のコンピューターシステムに侵入した事実を報じています。 この報道の後、国防総省の報道官は、ロバート・ゲーツ長官室の電子メールシステムが一時的に止まったと伝えました。もっとも、私が米国の関係者に後日、聞いたところ、実際はシステムのネットワーク全体をコントロールするトップ・ドメイン・コントローラーまで乗っ取られていました。これは、全体のシステムダウンが可能だったことを示しています。 中国によるサイバーセキュリティーに関する報道はフィナンシャル・タイムズだけではありません。8月27日のドイツの週刊誌、デア・シュピーゲルによれば、ドイツの首相府や経済省、外務省などのコンピューターが中国人民解放軍と思わ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Docker最新動向2017秋+セキュリティの落とし穴
http://twitter.com/HiromitsuTakagi/status/1074369751
PC
20081125.html%23p01 - 高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
不審メール110番:IPA 独立行政法人 情報処理推進機構
Googleマップで個人情報公開中 まとめwiki - 晒しリスト
IBM Developer
