Rails セキュリティガイド | Rails ガイド
このマニュアルでは、Webアプリケーション全般におけるセキュリティの問題と、Railsでそれらの問題を回避する方法について説明します。 このガイドの内容: 本ガイドで取り上げられている問題に対するあらゆる対策 Railsにおけるセッションの概念、セッションに含めるべき項目、有名なセッション攻撃 Webサイトを開くだけで(CSRFによる)セキュリティ問題が発生するしくみ ファイルの取扱い上の注意、管理インターフェイスを提供する際の注意事項 ユーザーを正しく管理する(ログイン・ログアウトのしくみ、あらゆるレイヤにおける攻撃方法) 最も有名なインジェクション攻撃方法の解説 1 はじめに Webアプリケーションフレームワークは、Webアプリケーションの開発を支援するために作られました。フレームワークの中にはセキュリティを比較的高めやすいものもあります。実際のところ、あるフレームワークは他のよりも安
OCN、パスワード定期的変更しない利用者、ログイン制限へ
awamori @awamori_tt OCNから利用者宛てに「メールサービスのパスワードを定期変更しないと一定期間、接続制限するぞ」というメールが来た 2014-11-12 13:40:56 しの @SH1N0 OCNメールアドレス(OCN ID)のパスワード変更のお願いについて ocn.ne.jp/info/announce/… とうとうパスワードを定期変更しないとサービスを使わせないって所が出てきた。 2014-11-12 16:17:29
iPhone ご購入のお客さまへ 事前準備のお願い
iPhone ご購入のお客さまへ 事前準備のお願い iPhone のご購入前に以下の内容を事前準備していただきますと、店頭にてご購入時のお手続きが大幅に短縮できます。 お客さまにて事前にご準備をしていただきますようご協力をお願いいたします。 アドレス帳移行の事前準備2 アドレス帳移行には、au IDとパスワードが必要となります。 au IDを取得いただき、 KDDI提供アプリ「Friends Note」にてアドレス帳のバックアップを行って下さい。 (1)auの携帯電話をご利用中のお客さまの場合 現在ご利用中の携帯電話のアドレス帳を事前にバックアップをしておくことで、iPhoneへのアドレス帳移行がスムーズに行えます。 iPhone 事前登録番号の取得1 1.au IDを設定します。(au IDを取得済みのお客さまは2.に進んでください。) 「au ID設定」アプリを タップ ※既に取得済
ローソン、「LAWSON Wi-Fi」のログイン方法を見直し--ユーザーの反発受け
ローソンは4月10日、全国のコンビニエンスストアで提供する無線LANサービス「LAWSON Wi-Fi」のログイン方法および規約内容を変更すると発表した。準備が整い次第、早期に実施するとしており、開始時期については改めて案内するとしている。 LAWSON Wi-Fiは、共通ポイントカード「Ponta」の会員であれば、24時間無料で利用できるスマートフォン向け無線LANサービス。4月6日に全国約6000店舗でサービスを開始していたが、そのログイン方法や規約内容について、ユーザーから不満の声が挙がっていた。 具体的には、LAWSON Wi-Fiを利用するには、Android端末向け「ローソンアプリ」(iPhoneには5月ころ対応予定)でログインする必要があるが、その際にPonta会員ID、電話番号、誕生日の入力が必要になる。しかし電話番号や誕生日などの情報は、誰でも比較的簡単に入手できてしまう
mixi足あと廃止に寄せて - 最速転職研究会 | コメント mixiって今ほとんどがモバイルでアクセスされてたはずだけど、スマホ以外のガラケーでもこの問題が起きるの?
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
mixiアプリ運営元サーバに改ざん 350万人利用の「マイミク通信簿」など停止
「マイミク通信簿」(約350万ユーザー)などmixiアプリを開発するソーシャルアプリ専業ベンチャー「空飛ぶ」(東京都港区)が、2月25日夜からすべてのmixiアプリの運用を停止している。開発用サーバなどで第三者による改ざんが判明したためで、会社の公式サイトも閉鎖している。 空飛ぶは、マイミク通信簿のほか、名言を表示する「今日の名言」(約40万ユーザー)、好きなものベスト3を表示する「マイベスト3」(約36万ユーザー)、YouTube動画をマイミクと共有する「マイミクYoutube」(約12万ユーザー)など約15のアプリを運用している。 ミクシィによると、空飛ぶが運用するアプリの異常を指摘する問い合わせがユーザーからミクシィに届き、ミクシィから空飛ぶに連絡、25日夜に全アプリの運用を停止したという。 mixi上の空飛ぶのプロフィールページによると、「開発作業用サーバなどの一部が第三者によって
Winnyサイトブラウザ "Nyzilla" - Download
発行元: Hiromitsu Takagi, Toshima-ku, Tokyo, JP (期限切れ中) 脆弱性対応期限: 2012年12月23日まで 重要なお知らせ 現在、インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れています。(2011年12月30日) 最新情報 インストーラ(Nyzilla_Setup.exe)のコード署名の証明書の有効期限が切れました。(2011年12月30日) 脆弱性対応期限を延長しました。(2011年12月23日) Nyzillaとは Nyzillaは、Winnyのサイトを閲覧するブラウザです。ファイル共有・交換ソフトではないので、ファイルのアップロード機能はありませんし、ダウンロード機能もありません(※1)。WebブラウザやFTPソフトと同じように、1つのサイトとだけ接続して、そのサイトがどんなファイルを公開しているか(
セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」
セブン&アイグループが12月8日にオープンしたECサイト「セブンネットショッピング」のソースコードが流出したとネットで騒ぎになっている。同サイトの広報担当者によると、流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。個人情報流出の可能性もないとしている。 デモ用のソースコードが公開サーバに置いてあり、誰でもアクセスできる状態になっていた。同社は12月17日午前、ソースコードに外部からアクセスがあったことに気付き、すぐに公開サーバから削除。「データベース等非公開サーバに侵入されたわけではなく、個人情報流出の危険はない」としている。 同サイトについては14日ごろから、XSS(クロスサイトスクリプティング)脆弱性も指摘されていた。「個人情報を扱うページではXSS脆弱性はなく、個人情報の流出はないが、そうでないページに脆弱性があった」とし、15日までに対策を取ったという。 届け
Firefox3のオレオレ警告 | 水無月ばけらのえび日記
……なんと「そのままアクセスする」とか「一時的に受け入れる」とかいう選択肢がありません。そのかわり「例外として扱うこともできます」という謎のリンクがあります。クリックすると、「例外を追加」というボタンが現れます。 「インターネット接続環境を完全には信頼できない場合や、これまでこのサーバではこの警告が表示されなかった場合は、このサイトを例外として追加しないでください。」という注意書きが。そして例外に追加しようとすると、だめ押しの一撃。 「本物の銀行、ショップ、その他公共サイトがこの操作を求めることはありません。」太字で断言ですよ。これは気持ち良い! ここまでされると、本物サイトをオレオレ証明書で運用するのもかなり抵抗が出てくるでしょう。 ※興味本位で一時的にアクセスしてみたりするのがやりにくくなりますが……。まあ、一般の人はそんなことをする必要がありませんしね。 「Firefox3のオレオレ
[錐] ウィルス作者に振り回され、無辜の人の名を晒し続けるセキュリティ報道
ごうだまりぽです。作ったモノとか拾った知識とかひねり出した知恵とかをさらしてます。読むと価値観が360度変わること請け合い! << 2008/01/ 1 1. 新年 2 1. twitter 英和中対決! 〜140字でどれだけ書けるかな?〜 3 4 5 6 7 8 1. 苦境を語るな。 9 10 11 12 13 1. ノートパソコンを盗まれてしまった留学生の話 14 1. 成人の日 15 1. 専門用語の他言語訳を調べる簡単な方法 + 小テスト 16 17 18 19 20 21 22 23 1. 歌人@twitter よろしく。 24 25 26 27 1. 想像力が10%くらい上がりそうな思考実験とりあえず5つ 28 1. ウィルス作者に振り回され、無辜の人の名を晒し続けるセキュリティ報道 29 30 31 >> ■ [security]ウィルス作者に振り回され、無
高木浩光@自宅の日記 - 無線LANのMACアドレス制限の無意味さがあまり理解されていない
■ 無線LANのMACアドレス制限の無意味さがあまり理解されていない 職業マスメディアに代わって、ブログスタイルのニュースサイトが人気を博す時代になってきた。海外の話題を写真の転載で紹介する安直なニュースも人気だ。 このことろなぜか、無線LANのセキュリティ設定について書かれた記事を何度か見た。おそらく、ニンテンドーDSがWEPしかサポートしていないことが不安をもたらしている(そして実際に危険をもたらしている)ためだろうと思われる。 セキュリティの解説が増えてきたのはよいことなのだが、内容に誤りのあるものが少なくない。 実は危険な無線LAN, らばQ, 2007年10月21日 この記事には次の記述があるが、「接続されなければMACアドレスは盗まれない」という誤解があるようだ。 MACアドレスというのは、機器固有のIDのようなものです。たいていの無線LANアクセスポイントにはMACアドレスフ
高木浩光@自宅の日記 - JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり
■ JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり 一昨年7月のWASフォーラムのイベントで話した以下の件。 セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏, MYCOM PCWEB, 2005年7月12日 誤った解説や必要以上に危機感を煽る報道に不満 (略)アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、
産総研 RCIS: 安全なWebサイト利用の鉄則
お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。 2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。 この解説について 目的: フィッシング被害を防止するWebサイト利用手順の確認 著名なブランド名や会社名を騙った偽のWebサイトを作り、人をそこに誘い込んでパスワードや個人情報を入力させてかすめ取る、「フィッシング」 (phishing)と呼ばれる行為がインターネットの安全を脅かしつつあります。フィッシングの被害を防止するには、利用者ひとりひとりが本物サイトを正しく見分けることが肝心です。 しかしながら、どうやってWebサイトを安全に利用するか、その手順のことはあまり広く知られていないようです。技術者達の間では暗黙の了解となっていることですが、市販のパソコンの取扱説明書には書か
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ローソンWi-Fiが誕生日と電話番号を誰かに伝えることを禁止! - Togetter
http://www.e-3lab.com/security_guideline/index.html