LoveLangの熱き戦い - hp12c
2週ほど前に私はLoveLangという 小さなサイトをHeroku上に公開しました ちょうどWebSocketを学んだばかりだったので ちょっとデモを作ってその動作を試してみたかったのです いつものようにそのことを このブログとTwitterで告知しました 何人かの人が来て 自分の好きな言語のボタンを数回クリックして 去って行きました 中にはそこに留まる人もいました LoveLangはリアルタイムで見ている人の人数がわかるのです 暫くは大した動きはなかったので あらためてTwitterで投票を呼びかけてみました これにfollower1800の@jugyoさんが答えてくれました*1 するとTwitter上にLoveLangのリンクを貼ったTweetが 増殖していきました 10前後だったUserCounterの値が30 40と増えていきました 円グラフ上の数値はすごい勢いでインクリメントして
LoveLang再び - hp12c
LoveLangの熱狂を通して 僕はWebサイトのセキュリティの限界を見ました つまり人の手によるクリックと スクリプトによるクリック(Clicked by Script)を 確実に判別することが 極めて困難であることを知ったのです LoveLangの熱き戦い - hp12c LoveLangでは最終的にClicked by Scriptを 完全に排除することは諦め 同一ユーザからのクリック数を 制限することでこれに対応しました しかし僕は後に より完全なClicked by Script対策を見いだしたのです.. その方法は.. LoveLangからボタンおよびその投票の機構を 完全に取り除くのです! ボタンも投票の機構もなければ たとえスクリプトと言えども 為す術がないはずです... 賢明な読者の皆さんは DoS対策で疲弊して 遂に僕が狂ったとお思いでしょう ボタンがなければどうやって
「ロケハラ」にご注意、位置情報サービスの落とし穴 スマホ普及でプライバシー侵害と背中合わせ - 日本経済新聞
「ロケーション・ハラスメント(ロケハラ)」という言葉をご存じだろうか。スマートフォン(高機能携帯電話=スマホ)の位置情報サービスを個人の監視に悪用することを指す新語だ。今やスマホや携帯電話は、だれもが肌身離さず持ち歩く仕事や生活のパートナー。人の位置情報とマーケティングを組み合わせると、ナビゲーション(行き先案内)や店舗・イベントの紹介といった利便性の高い新サービスが可能になる。様々な企業が事業
Togetter - 「koizukaとq4500のやり取りまとめ」
KOIZUKA Akihiko @koizuka "認証の秘密情報"の機能はパスワードが対応するんだから、IDがばれるのは別に問題になる話ではないはずだね。 2011-08-09 16:39:16 KOIZUKA Akihiko @koizuka "あとはパスワードを発見すればハッキングし放題"ってフレーズ面白いなw パスワードを発見するって部分がパスワードによるセキュリティの根幹だが、そこは何も破られてないなあ 2011-08-09 16:47:59
OpenSSL for Windows
Windows版 OpenSSLを使ってCA局、サーバ証明書、クライアント証明書を作り、Apacheでこれら証明書を使ってみましょう。ここではこの手順を説明します。 注意 この情報は、私の勉強の過程で作成したものです。正しいと思って書いているのですが、間違えているかもしれません。情報を鵜呑みにしないでください。 目次 1.ダウンロード 2.インストール 2−1.何がインストールされたのか確認しましょう 3.プライベートCA局を作る 4.証明書の作成(サーバ認証) 4−1.証明書と秘密鍵をサーバにコピーする 4−2.セキュリティ警告を出さないようにするには 5.クライアント認証 5−1.クライアント証明書(PKCS12)をブラウザにインポート 5−2.Apacheでクライアント認証の設定 5−3.クライアントからアクセスしてみる 勉強になるサイト Web暗号の基礎技術「
高木浩光@自宅の日記 - ウイルス罪法案、バグ放置が提供罪に該当する事態は「ある」と法務省見解
■ ウイルス罪法案、バグ放置が提供罪に該当する事態は「ある」と法務省見解 いわゆる「ウイルス作成罪」の新設を含む刑法等改正法案の審議が、一昨日から始まっており、今日の午前中には、野党議員からのつっこんだ質疑があり、意外な答弁が出てきた。 第177回国会 衆議院法務委員会 平成23年5月25日 衆議院TV, 会議録 第177回国会 衆議院法務委員会 平成23年5月27日 衆議院TV, (会議録未公表) 特に注目に値するのは、今日の午前中の以下の部分。*1 大口善徳議員:(略)解釈上の疑義等問題点について明らかにしていきたいと思う。コンピュータウイルスについて、刑法168条の2に、1項1号でこのコンピュータウイルスの定義が書いてあるわけですが、「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録」と、こういう定義であ
【2ch】ニュー速クオリティ:LZH終了のお知らせ
1 ダイヤモンドテトラ(神奈川県) 2010/06/06(日) 15:43:53.10 ID:dJO0f3qX● ?PLT(18500) ポイント特典 Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ Unlha32.dllの開発が停止された。バグ対応などは当面続けられる模様だが、http://www2.nsknet.or.jp/~micco/notes/ann.htm にて、LZH(LHA)形式の使用中止が呼びかけられている。 経緯について、作者であるMicco氏のページから、自分の理解できる範囲で簡単にまとめてみる。間違いがあったら指摘して欲しい。また、詳しい情報はMicco氏のページ http://www2.nsknet.or.jp/~micco/micindex.html を参照して欲しい。 ・背景 LZH形式は国際的にはマイナーな形式である。しかし日本国内
PhpSecInfo - Privacy Australia
What is it? PhpSecInfo provides an equivalent to the phpinfo() function that reports security information about the PHP environment, and offers suggestions for improvement. It is not a replacement for secure development techniques, and does not do any kind of code or app auditing, but can be a useful tool in a multilayered security approach. License PhpSecInfo is released under the “New BSD” licen
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
IEのローカルファイルをXHRでどこまで読みとらせるか - 葉っぱ日記
ローカルのHTMLファイルからどこまで読み取れるか選手権 2011 - 金利0無利息キャッシング – キャッシングできます - subtech を読んでの補足。 IE9 on Windows 7 においてXHRを使ってローカルファイルを読み取る場合について、「許可するとやりたい放題」と書かれているとおり、IEが表示する警告をいったん「許可する」側に選択するとhtml内の JavaScript (あるいはVBScript)において通常のローカルのプログラムと同様にあらゆる操作が可能になります。(写真は英語版IE9) これは、IE6 / XP SP2 以降で導入された「ローカルコンピュータのロックダウン」が解除された状態になり、WSHやHTAと同様に、ローカルリソースへのアクセスや任意のActiveX Objectの生成を含め任意のコード実行が可能な状態になったということです。 ローカルに置い
X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記
2011-01-06: IE8ということを追記 & ちょっと間違いを修正。あけましておめでとうございます。 年明け早々ですが、Internet Explorerの話題です。IEはご存じの通り、Content-Type だけでなくコンテンツの内容なども sniff することでファイルタイプを決定しているため、画像ファイルやテキストファイルをHTMLと判定してしまい、クロスサイトスクリプティングが発生することが昔からたびたび報告されていました*1。現在は幾分マシになったとはいえ、IEのファイルタイプの判定アルゴリズムは非常に難解であり、現在でも状況によってはWebサイト運営者のまったく意図していないかたちでのXSSが発生する可能性があったりします。そういうわけで、IEがコンテンツを sniff してHTML以外のものをHTML扱いしてしまうことを防ぐために、動的にコンテンツを生成している場合に
1分でわかる「X-ナントカ」HTTPレスポンスヘッダ - 葉っぱ日記
最近のモダンなWebブラウザがサポートしている、セキュリティに関連しそうな X- なHTTPレスポンスヘッダをまとめてみました。それ以外にもあったら教えてください。 X-XSS-Protection 0:XSSフィルタを無効にする。 1:XSSフィルタを有効にする。 XSSフィルタを有効にすることでエンドユーザがXSSの被害にあう可能性が低減するが、まれに誤検知することで画面の表示が乱れることもある。IE8+、Safari、Chrome(多分) で有効。IEでは「X-XSS-Protection: 1; mode=block」という指定も可能。 2008/7/2 - IE8 Security Part IV: The XSS FilterBug 27312 – [XSSAuditor] Add support for header X-XSS-Protection X-Content-Ty
コデラノブログ4 : 娘のPCがワンクリックウェアにやられる - ライブドアブログ
2010年08月09日20:11 カテゴリネットPC 娘のPCがワンクリックウェアにやられる PCに変な画面が出るようになった、と娘が訴えてきた。で、早速見てみると、デスクトップにこんな画面が。 背景になっているわけではない。これも一つのアプリケーションらしいのだが、閉じるボタンもウィンドウ枠もないので、画面が掴めない。確認ボタンを押すと、いわゆるワンクリック詐欺サイトへ飛ぶということだろう。 ネットワークをOFFにしてクリックしてみると、やはりどこかのサイトへ飛ぶようである。一体どのプログラムが起動しているのかと起動中のアプリを調べて見たが、何もない。何かのプロセスが実行しているらしい。 娘のPCは以前僕が使っていたWindows XPマシンなので、まだ僕のアカウントも残っている。僕のアカウントで入ってみると、表示されない。ということは、ユーザー別のプロセスで表示しているようだ。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
@IT:特定のコマンドしか実行できないユーザーIDを作成するには
Engadget | Technology News & Reviews