webアプリケーションの脆弱性とは? - OKWAVE
こんにちは! 「フォームを勝手にサブミットしてしまう」 その認識でだいたいあってます!たぶん! そのmixiの例だと、 入力画面 → (送信1) → 確認画面 → (送信2) → 完了 ってなるわけですが、 いくら確認画面が間にあったところで、 (送信2)の部分を「勝手にサブミット」しちゃえばいいわけです。 ※ただし今のmixiや、ちゃんとしたwebサービスは送信時にトークンをつけるとかCSRF対策してるのでできません 実際の攻撃の例としては、mixiやtwitterなどの多くの人が繋がっている投稿型サイトで、 「こんにちはこんにちは!! このリンク先すごいよ! http://~」 のような書き込みをしておき、 そのリンク先でformやJavaScript等で「自動的に勝手にサブミット」してしまいます。 画面には何も表示されなくてもかまいません。 そしてさらに勝手に書き込む内容を 「こんに
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
はまちちゃんと脆弱性報告のあり方 - 世界線航跡蔵
はまちちゃん がいつものごとく、AmebaなうにCSRF脆弱性を発見して いたずらを仕掛けた 。そして、何故か今回だけ「それは迷惑行為だ」とかなんか騒がしい。 私はそもそも、はまちちゃんのいたずらを「隙があったからカンチョー」に喩えるのが程度がおかしいんじゃないかと思う。それで非技術者には話が通じていないのでは? CSRFやSQL Injectionを許していたら、何よりも守るべきユーザーの情報が危険だ。そしてAmebaがそういう脆弱性を持っていると言うことは、生越さんが指摘するように首相官邸からの公式情報を操作できるという意味だ。これは「隙があった」んじゃないだろう。「開腹したまま内臓が露出している」んだ。 ところが、どうも現実の医師とは違ってこの世界の、特にAmebaみたいな大きな会社の開発者はその辺の意識が甘い。「手術したけど、まー、内臓が見えててもすぐに死ぬ訳じゃないし、適当に皮被
はてなブックマーク詳細ページがGoogleペナルティ…? - ぼくはまちちゃん!
こんにちはこんにちは!! ところで先日から、はてなブックマークの詳細ページが、 Googleからペナルティ食らってるような気がしてならないんだけど…! (本当にそうなのかどうかはちょっと自信ないので、誰か詳しいひと調べてみてください…!) どうなんだろう? あ、なぜ、ぼくがそう思ったかについては、以下の方法を試してみてね! ・Googleの検索欄に「site:b.hatena.ne.jp 」と入れて… ※b.hatena.ne.jp配下のみ検索という意味 ・さらに続けて、昨日とか一昨日の、最近人気エントリーの上位に入っていた記事のタイトルを適当に入れて検索すると… → site:b.hatena.ne.jp ちょっと知識と勇気があれば誰でも職質は断れます! - Google 検索 ・以前なら、もちろんその記事のはてなブックマーク詳細ページが一番に出たはず… (参考画像 2009/06/09
はてなブックマークのやりすぎちゃったかもしれないSEO - ぼくはまちちゃん!
はい!こんにちはこんにちは!! もうすぐ梅雨ですね! 2009年も半ばって感じです…! 2009年といえば…、 そう! マネタイズですね!! はてなのマネタイズ!! マネーだいじ…! だってお金がなくなっちゃうと、みんなの大好きなはてなもなくなっちゃうもんね…。 そうそう、ところで! ぼくさっきGoogleで検索していて、ちょっとしたことに気がついちゃったんですが! 今日はちょっとそれを、ここにメモしておきますね! ↓ほらこれ、 site:b.hatena.ne.jp エゴサーチしよう - Google 検索 はてなが URLの末尾にタイトルの文字列を含めてる。 あれれ…、前からこうだったっけ…! URLにキーワード文字列を含めてやるのって今のところものすごく強力なSEOのひとつで、 Amazonとかもその手法をつかっているからか、 本のタイトルなんかで検索すると、よくAmazonが一番上
geekと女の子的感覚の違い - ぼくはまちちゃん!(Hatena)
ここでは、 geek = (ソーシャルナントカ慣れしたネットオタク) 女の子 = (そうじゃない女の子) として書くよ。 (女の子) ブログ等を含むネット上の交流は井戸端会議的な感覚 井戸端会議だから、少し通行人の耳に入る程度は許容できるけど それを勝手にテレビに映されると困る (geek) 閲覧制限でも設けていない限り、ネット上の発言が、いつ誰にどんな状態で見られるかもしれないことを知っている ニックネームや、その他特定できる情報から、いつ誰に、自分に関する他の情報が結びつけられて知られるかもしれないことを知っている 自分の日記やつぶやきが、ある日突然、大きなメディアや2chの祭り会場にとりあげられる可能性があることを知っている それが技術的に可能である・当たり前にできることを知っているから、自分がそれをする・されることを当たり前に受け入れられる ■たとえば、はてなスターで 誰につけた・
となりの技術者をイラッとさせる10の方法 - ぼくはまちちゃん!(Hatena)
人の画面をじっと見る あるいは人の後ろにずっと立つ。 人の画面を指で触る せめて爪側、できればペン等で…! 作業中に話しかけて、そのまま長話 質問や要点をまとめておいてから→いまいい?って確認するとか。 急ぎでなければ、たとえ隣の席でもメールかメッセンジャー的なもので…! 自分じゃなくても答えられる質問 その技術者が「誰でも知ってて当然だろ」と思っているようなことを質問しちゃうのはだめ。 逆に技術者が「これは俺の得意分野」って思っていることを質問すると機嫌が良くなる場合も。 知ったかぶりによる言語批判 「****(言語)って汚い or 気持ち悪い」 これを言うのはほとんどその言語をちゃんと使ったことない人ばかりでは…! バグの犯人捜し・犯人叩き 開き直っちゃうけどバグが出るのは仕方がないよ…! 日経新聞から得たような(あるいは広告業界特有の)IT(?)用語 「WEB2.0のインフルエンサー
こんにちはドコモ - ぼくはまちちゃん!
こんにちは!!! 先日、とうとう憧れのケータイ買っちゃったはまちや2ですこんにちは! あ! ウィルコムさんさようならー!!!!!!! すばらしいね、D905i…! はやいね! 洗練されてるね! 画面きれいだね! モバゲーできるね!!! やったね! むかしむかし、キムタク主演のGiftってドラマで、 パカッと開く二つ折りのケータイが、やたらとかっこよく使われていて、 恥ずかしながら、それ以来ケータイは、二つ折り信者だったんだよ! たしか当時、N102だか103だかいうの使っていたかな…! でもこのD905iは、パカじゃなくてスライド式だね。 だけど、よく練られてるねー。 まわりがこぞって二つ折りなのに、勇気もあるのかな! 実は近頃あの「パカ」動作に面倒さを感じてきてたところだったので 触ってみて、使い勝手に感動したよ! レッツノートみたいなクルクルリングもいいね! 慣れないうちは、テンキーい
ぼくはまちちゃん!(Hatena) - Port801 (初心者向け)セキュリティ勉強会 Hamachiya2編
こんにちはこんにちは!! 先日、Twitterで声をかけてもらって、 第一回 Port801 セキュリティ勉強会っていうのに参加してきたよ!! (↑pw: security) そこで、すこし喋った時のビデオを頂いたので、もったいないので公開しちゃいますね! プレゼンだとかそういうの慣れてなくて、ぐだぐだな感じだけど、 よかったら何かの参考にしたり、晩ご飯のおかずにしてください>< Port801 セキュリティ勉強会 - Hamachiya2 その1 (http編) Port801 セキュリティ勉強会 - Hamachiya2 その2 (CSRF編1) Port801 セキュリティ勉強会 - Hamachiya2 その3 (CSRF編2) Port801 セキュリティ勉強会 - Hamachiya2 その4 (XSS編1) Port801 セキュリティ勉強会 - Hamachiya2 その5
はてなダイアリーに(対応外の)ブログパーツを貼る
はてなダイアリー日記 - 自分のはてなダイアリーにブログパーツを設置できるようになりました これはいいね! さっそく googleガジェットを使って、(対応外の)すきなブログパーツとかを色々貼ってみよう! まずは下のようなテキストファイルをつくって、文字コードをutf-8で保存…! <?xml version="1.0" encoding="UTF-8" ?> <Module> <ModulePrefs title="ここにパーツ名かこうね!"> </ModulePrefs> <Content type="html"> <![CDATA[ (ここにブログパーツ貼り付けコード) ]]> </Content> </Module> たとえばtwitterのブログパーツ(badge)を貼るのなら、ファイル名を「twitter.xml」とかにしておいて、 このファイルをどこかのサーバーにアップロード
IEを華麗に撃墜する一行 - ぼくはまちちゃん!(Hatena)
はい! こんにちは!!!!! 今日は、偶然ブラクラ発見しちゃったから、それをお伝えしますね! これだよ! <style>*{position:relative}</style><table><input></table> → サンプル (IEだとブラウザが終了しちゃうよ! 注意してね!) IE6とかIE6のコンポーネントブラウザだと確実に落ちちゃうみたいだね! IE7は確認してないけど! tableとかtrの直下に、inputとかselectがあって、 そのあたりにcssの全称セレクタでposition:relativeがあたっているとダメなかんじかな! ちなみにinputにstyleで直接relativeあてても落ちなかったよ! なにこれ! よくわかんないけど面白いね…! FirefoxとかOpera大好きっ子は、 これをたくさんバラまいてIEのシェアをどんどん下げちゃえばいいと思うよ!
IPAたんからお礼が! - ぼくはまちちゃん!
はじめてのほうこく IPAたんからの返事 IPAたんからへんじこない のつづきです!!! 返事きたよ! きてました>< Date: Thu, 01 Feb 2007 20:43:06 +0900 To: Hamachiya2 Subject: 【IPA#32334280/IPA#11631745/IPA#92669403/IPA#94436430】 届出いただいた件について - ----------------------------------------------------------------- このメールは、以下の取扱い番号に関する連絡です。 IPA#32334280/IPA#11631745/IPA#92669403/IPA#94436430 - ----------------------------------------------------------------
情報処理推進機構:重要なお知らせ:頁
1.概要 今般、次の2.a)のIPAセミナー受付フォームにおいて、クロスサイト・スクリプティング(注)のぜい弱性が発見されました。このぜい弱性を悪用された場合、当該フォームにて申し込みをしようとした方のブラウザ上で不正なスクリプトが実行されてしまう可能性がありました。当該脆弱性を確認した時には、当該セミナーは、募集定員(70名)を超えるお申し込みとなっていました。募集を締め切らせていただくとともに、至急同受付フォームを点検し、再発防止策を講ずるため、1月31日午前11時に同受付フォームのページを閉じさせていただきました。 併せて、当該脆弱性が発見された受付フォームのプログラムを共有する他の受付フォームのページについても、点検のためページを閉じさせていただきました。点検の結果、その受付フォームにおいてもクロスサイト・スクリプティングの脆弱性が確認されましたので、改修した上、脆弱性検査を行
セキュリティーホールを善意で指摘したところ、過大な負荷を求められた通報者、はまちちゃんが悪ふざけの返答で不快感を表明し、さらにその悪ふざけにidがkyoumoe氏が不快感を表明し、それにidがsirouto2は遊びだから良いのでは、と論評した話。 - REV's blog
http://d.hatena.ne.jp/kyoumoe/20070201#1170317752 はてな政治力学的には、idがsirouto2氏側に立たなくてはいけないような気もするけど、リトルバスターズのバナーを見たのでどうでもよくなる。 ということで 「マニュアル通りの受け答えしか許されていない人間をイジメルのは格好悪いよ」 とだけ言っておく。 「おい、公権力の犬のポリ公、落し物持ってきてやったぞこの税金泥棒」 こちらの喩でいうなら、鎖で繋がれた犬を、噛まれないところで突っつくのは格好悪い、というところか。 もちろん、折衝窓口も、警官も、揶揄され、罵倒されるのが仕事で、文句と八つ当たりは上司に言ってくれ。いやならヤメロ。という考えの持ち主かもしれない。私はそうはおもわないけどね。
IPAたんからの返事 - ぼくはまちちゃん!
Date: Tue, 30 Jan 2007 10:37:05 +0900 From: "IPA/vuln/Info" To: root@hamachiya.com はまちや2様 ウェブアプリケーションの脆弱性関連情報を届出いただき、ありが とうございます。 本件につきまして、ガイドラインの以下の項目に記載がありますよ うに、届出の際には発見者様の氏名をご記入頂いております。 これは、責任ある届出を促すためであり、匿名やハンドルネームの 届出は受理できませんので、実名での届出にご協力をお願い致します。 ----------------------------------------------------------- 「情報セキュリティ早期警戒パートナーシップガイドライン」P.17 V.ウェブアプリケーションに係る脆弱性関連情報取扱 2. 発見者の対応 4) 届け出る情報の内容 ・発見者
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Togetterの正しい使い方
IPAたんからへんじこない - ぼくはまちちゃん!
はじめてのほうこく - ぼくはまちちゃん!