Yahoo!セキュリティセンター|一部の環境で、2018年10月中旬までにYahoo! JAPANが順次ご利用いただけなくなります。
※当初「2018年9月末まで」と期限をご案内しておりましたが、災害の影響を考慮し、より多くのお客様へライフライン情報をお届けするために、一部サービスにおいて日程を延期いたしました。 いつもYahoo! JAPANをご利用いただき、誠にありがとうございます。 Yahoo! JAPANでは弊社ウェブサービスのセキュリティを強化するため、2018年10月中旬までに、インターネット通信暗号化方式「TLS1.0」および「TLS1.1」のサポートを順次終了いたします。 サポート終了後は、「TLS1.2」に対応していない古いブラウザーやパソコン、スマートフォン、タブレット、ゲーム機などでは、Yahoo! JAPANの全ウェブサービスがご利用いただけなくなります。 なにとぞご理解を賜りますよう、お願いいたします。 2018年4月25日 公開 2018年7月5日 更新 2018年9月18日 更新
teratailに投稿されたメールフォームにCSRF脆弱性が残存した理由 | 徳丸浩の日記
teratailに以下のような投稿がありました。 PHPでメールフォームを作成したので、脆弱性がないかアドバイスいただけないでしょうか。 エンジニアでもなければ、PHPもろくに書けない雑魚ですが、「php メールフォーム 作り方」でググって表示されるサイトを見ると、「んんんんん???」と思うところがあります。 これらを参考にしたり、コピペする方は、記述されているコードの良し悪しは判断できないかと思います。 そのような方々が参考にできるメールフォームを作りたいという思いで、調べて作りました。 周りに書いたコードを確認してもらえる人もいないので、皆様からのアドバイスがほしいです((_ _ (´ω` )ペコ 【PHP】作成したメールフォームに脆弱性がないか、アドバイスもらえないでしょうかより引用 どれどれ…と確認すると、トークンのチェックが入っているにも関わらずクロスサイト・リクエストフォージ
例えば、Strutsを避ける
はじめに 筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類(任意のコード実行等)の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目
Spring Day 2016 - Web API アクセス制御の最適解
マイクロサービスアーキテクチャが話題を集め、コンポーネントのWeb API化が更なる急加速を見せる昨今。 とは言え「誰でも自由に叩いて良い」Web APIなんてのは事実上無く、ほぼ全てのケースで何かしらのアクセス制御が必要になります。 - Spring Security もサポートする昔ながらの「Basic認証」。古い、ということは、悪いソリューションなのか? - 最近のAPIのアクセス制御と言えば「OAuth 2.0」がトレンディ? Spring Security OAuth もあるし! - 一方でAWSは「APIキー方式」を採用。なぜAWSはOAuth2ではないのか? - Spring Security はまだ公式にサポートしていない「OpenID Connect」とは一体…? Webにおけるアクセス制御の歴史を振り返りつつ、様々なAPIの立ち位置と共に、その最適解を探っていきたいと思
hello
hello [ "::ffff:35.191.15.169", "GET", "/wp/?p=262", {}, { "host": "wate.jp", "user-agent": "HatenaBookmark/4.0 (Hatena::Bookmark; Analyzer)", "cache-control": "no-cache", "accept": "*/*", "x-cloud-trace-context": "f2b2c71e04db21b6017682e491266d0c/9480773545164747120", "via": "1.1 google", "x-forwarded-for": "153.120.13.138, 35.227.238.79", "x-forwarded-proto": "http", "connection": "Keep-Alive" }
QA@IT サービス終了のお知らせ - @IT
平素よりQA@ITをご利用いただき、誠にありがとうございます。 QA@ITは「質問や回答を『共有』し『編集』していくことでベストなQAを蓄積できる、ITエンジニアのための問題解決コミュニティー」として約7年間運営をしてきました。これまでサービスを続けることができたのは、QA@ITのコンセプトに共感をいただき、適切な質問や回答をお寄せいただいた皆さまのご支援があったからこそと考えております。重ねて御礼申し上げます。 しかしながら、エンジニアの情報入手方法の多様化やQAサービス市場の状況、@ITの今後のメディア運営方針などを検討した結果、2020年2月28日(金)15:00をもちましてQA@ITのサービスを終了することにしました。 これまでご利用をいただきました皆さまには残念なお知らせとなり、誠に心苦しく思っております。何とぞ、ご理解をいただけますと幸いです。 QA@ITの7年間で皆さまの知識
OWASP Japan | OWASP Foundation
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept OWASP Japanチャプターのホームページへようこそ。 OWASP - Open Worldwide Application Security Project とは、Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。The OWASP Foundationは、NPO団体として全世界のOWASPの活動を支えています。 OWASP Japanチャプターは、首都圏のみならず、国内全域における
Webサービスを常時SSL化しようとして諦めた話
弊社の新規事業でWebサービスを作っていて、セキュリティトレンドの常時SSLってやつをやってみようと思った。 世のWebサービスを見てみるとやっている所が何故かほとんどなく、mixiやニコニコなどの大手もやってないようだ。ニコニコのURLを試しにhttpsにしてみたら繋がらず、mixiはhttpにリダイレクトされる。 うちは新規だから最初からhttps化することで特にデメリットはないと判断、安いSSL証明書を買ってhttpをhttpsにリダイレクトするようにした。技術的な難所はまったくないので問題なく実装完了し、これで安心度がちょっと上がったと思っていたのだが…。 つづく。 続き。 弊サービスではユーザーがYouTubeなどの動画を貼り付ける機能が重要なのだが、テストしてみるとニコニコ動画の埋め込みが動作しなくなっていた。調べてみるとニコ動の埋め込みコードがhttpなせいで、さらに最近のブ
「本当に安全なオンライン投票システム」の実現は難しい | スラド IT
投票率低下を改善するための手法としてインターネットを経由したオンライン投票を可能にすべきだという考えがある。しかし、本当に安全なオンライン投票を実現するのは非常に困難だという(THE CONVERSATION、Slashdot)。 特に難しいのは、管理者などの第3者がチェックでき、かつ有権者が自分の投票が有効化されたことを確認できるようなエンドツーエンドの検証可能性の実現が難しいのだという。すでにエストニアでインターネット投票の実験が行われているが、エンドツーエンドの検証可能性はサポートされていない。 従来の選挙システムを電子化する形でエンドツーエンドの検証可能性をサポートしているシステムもあるが、どこからでも投票できるというオンライン投票のメリット、投票率の向上を阻害するものとなっている。オンライン投票の別の問題としては、有権者のコンピュータのマルウェア感染の可能性がある。一説によれば3
TechCrunch
Here’s an interesting move. Founders Future, a well-known VC firm in the French tech ecosystem, acquired an equity crowdfunding marketplace called Sowefund. While terms of the deal remain undisclose General Motors, self-driving car subsidiary Cruise and Honda plan to launch a robotaxi service in Japan under a new joint venture, the three companies announced today. The companies intend to launch t
警察からの問い合わせ電話にこたえるにあたって - davsの日記
警察からの照会電話がたびたびかかってくる職場で働いていたことがある。 警察からの照会だからこたえることが許される、あるいはこたえなければならない照会が多かったのだが、必ず守らなければならないルールがあった。 それは、その電話ではこたえず、一旦、電話を切ることだった。その後、ネットなりで警察本部や警察署の代表番号を調べて、回答の電話をかけるのだ。それはもちろん、警察をかたる電話を警戒してのことだが、この警察からの問い合わせへの回答ルールには続きがあった。 問い合わせ電話の担当を把握していても、その人物を電話口に呼び出さず、「こういう照会があったのですが、担当者を失念しました。問い合わせされたのはどなたですか」というのだ。これは、照会者が真正な警察官であっても、公務でない照会をしていることを恐れるためだ。乱暴な要約をすれば、悪徳警官でないかを心配しているということだ。前段の警察の代表番号にかけ
)
セキュリティ: 大論争 : 隠すことによるセキュリティ
このブラウザーはサポートされなくなりました。 Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。 セキュリティ 大論争 : 隠すことによるセキュリティ Jesper M. Johansson and Roger Grimes 概要: 隠すことによるセキュリティを定義する 隠すことによるセキュリティ対策を評価する Administrator アカウント名を変更することの価値を判断する 十分な情報に基づいてリスクを考慮した決定を下す "隠すことによるセキュリティ" という言葉は、セキュリティに詳しい人、特に自らを専門家と考える人からは、よくひんしゅくを買います。一部の集団の間ではほぼ禁句と見なされている、 この隠すことによるセキュリティは、Wikipedia の説明 (en.wikipedia.org/wik
まちがった自動ログイン処理
(Last Updated On: 2018年8月20日)問題:まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考:自動ログイン以外に2要素認証も重要です。「今すぐできる、Webサイトへの2要素認証導入」こちらもどうぞ。HMACを利用した安全なAPIキーの送受信も参考にどうぞ。 間違った自動ログイン処理の問題点 まず間違った自動ログイン処理を実装しているコードの基本的な問題点を一つ一つ順番にリストアップします。 クッキーにランダム文字列以外の値を設定している クッキーにユーザ名が保存されている クッキーにパスワードが保
殺風景 - FC2 BLOG パスワード認証
ブログ パスワード認証 閲覧するには管理人が設定した パスワードの入力が必要です。 管理人からのメッセージ 閲覧パスワード Copyright © since 1999 FC2 inc. All Rights Reserved.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「情報銀行」創設へ指針 政府、通販データ管理などで - 日本経済新聞
Expired
エクスコムグローバル株式会社|XCom Global, Inc.
ブログが続かないわけ | ログイン処理が簡単と言い切れるか 〜 フィッシング対策も忘れずに
IT news, careers, business technology, reviews
米国防総省によって開発されたポータブルLinuxディストロ『Lightweight Portable Security』 | ライフハッカー・ジャパン
