2. はせがわようすけ ▸OWASP Kansai チャプターリーダー ▸OWASP Japan アドバイザリボードメンバー ▸ネットエージェント株式会社サービス事業部 ▸株式会社セキュアスカイ・テクノロジー技術顧問 ▸Microsoft MVP for Consumer Security Oct 2005- Oct 2015 ▸http://utf-8.jp/ Kobe IT Festival 2014
(※ 10月14日 22時追記 スピーカの水の様のブログにて、本セッションの補足が掲載されております。こちらもどうぞ ・WordCamp Tokyo 2014 で「必ず押さえておきたい、今すぐできるセキュリティ対策」に登壇しました ) 横田です。先日、WordCamp Tokyo 2014に行ってきて、色々とセッションに参加してきました。セッションはそれぞれ、勉強にはなったのですが、特に勉強になったのは「必ず押さえておきたい、今すぐできるセキュリティ対策」です。セッションのタイトル通り、WordPressのセキュリティについての話だったのですが、私のような初心者がどのような事に気をつけた方が良いかについて非常にわかりやすいセッションでした。 今回のエントリーは、そのセッションの中身を中心に、セッションのレポートをしたいと思います。 《実際にセキュリティが破られると、どうなるのか?》 セッシ
よくカフェとかレストランで「カシャ♪」ってケータイで写真撮った後に なにやらメッセージを添えてどこかに送信してるような人っているじゃない? そういう人のアカウントを特定できたら面白いよねー ・・・今回はそんな方法を紹介するというライフハック。 ただ先に言っておくと、そもそも相手が実はTwitterを使ってない!っていうとアウト 送信先が友達へのメールでもアウト LINEだったりしてもアウト なので、必ず出来る!・・・とは言い切れない。 まー、せいぜい10回やって1度できるかどうかくらいの割合なので、レストランで料理が出てくるまでの時間つぶし程度のネタと思って大目に見てほしい。 肝心の方法の説明・・・の前にお店の名前とか、料理の名前・名物メニューとか話題の定番メニューが分かるなら、それで検索してみて素直にヒットするならそこで完了! 検索ワードのチョイスは推理力というか、もしも自分がそのお店を
今日話題になった Gumblar の亜種によって FFFTP の設定情報から FTP 情報が漏れる件で、FTP 自体の危険性と FFFTP 自体の特性、さらに Gumblar 対策という点で少し情報が混乱している状況が見受けられます。そこでその点を簡単にまとめてみました。 去年あたりから、「Gumblar (ガンブラー)」 に代表されるような、FTP のアカウント情報を何らかの手段で盗み出して Web サーバにアクセスし、Web サイトを改竄して被害を広めていくタイプのウィルスが問題になっていますが、今日になって広く利用されているフリーの FTP クライアントである 「FFFTP」 にアカウント情報漏洩の危険性が見つかったということで話題になっていました。 「FFFTP」のパスワードが"Gumblar"ウイルスにより抜き取られる問題が発生 : 窓の杜 ただ、この問題で、FTP 自体の危険性
2024/05/01 トピックス 特定電子メール法に違反しているSMSの情報提供のお願い 2024/10/31 トピックス 【2025年度版】迷惑メール・チェーンメール関連資料の無料配布 お申し込み開始のお知らせ 2024/12/09 トピックス (2024年12月09日追記)一部の違反メールの情報提供先アドレスへのメール転送がしづらい状況について 2024/12/16 トピックス 年末年始のフィッシング詐欺、迷惑メール・SMS等に関するご注意 2024/12/27 注意喚起 UCカードになりすました偽メール「件名:UCカード年会費無料特典の変更について」(本偽メールは、実在の企業・団体と無関係に送信されたものです) 2024/12/27 注意喚起 メルカリになりすました偽メール「件名:メルカリの使用制限」(本偽メールは、実在の企業・団体と無関係に送信されたものです) 2024/12/27
もばいる全盛感のある世間的には今更,FLASH なんてどうでもいいし,swfobject.js 自体 2009年から更新されてないから,こんな古いものをと言われかねないような話ではあるものの,日本語での言及をあまり見てないし,つい先日もさる通信キャリアがトップページでやらかしてて多分知られてないんだろうなと思ったので書こうと思った次第. swfobject.js とは何か この記事の対象読者にとっては説明するまでもない話とはおもうけど一応前置きとして説明しておくと,swfobject.js は FLASH を web ページに埋め込むための JavaScript のライブラリ.クロスブラウザ対応してたり,面倒な HTML-tag のお作法を覚えなくても良くなったりとでデファクトスタンダードな感じのモノ.2007年とちょい古いがリクルートMTL の SWFObject v2.0 ドキュメント
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
どうも、ブルーです。秋ですね。 季節がめぐるごとに「WordPressがクラックされたので、セキュリティ対策について調べてみました」的なブログ記事がソーシャル上で出まわり、そのたびにWordPressを扱うデベロッパー層が「また無意味な対策がはてブされてる…」と嘆くのが恒例行事のようになっております。例えば… 「WordPressのバージョンを隠す」 「データベースのプレフィクスを変更する」 「サブディレクトリーにインストールする」 うん、気休め程度かな… 「2年以上放置されている怪しげなセキュリティ対策プラグインを入れる」 そっちのほうがこええよ! 「サーバーのディレクトリー一覧の非表示」 それ見えちゃってるサーバー管理者では、何しても不安だよ! とはいえ、そう思いつつも「これが決定版だ!」的な記事を書くのは勇気がいるものです。特にセキュリティ業界は怖いお兄さんが多…うわ何をするやめr
前置き wordpressのセキュリティレベルを少しでもを上げる為に、インストール前に確認しておきたいこと。 特にDBのプレフィックスなど後から変更しにくいものもあるので事前に意識しておく。 何れも“気休め”程度にしかならないかも知れない。 しかし1%でもセキュリティレベルが上がれば…と願いつつ。 確認項目 1.インストール時に気をつけること 必ず最新のwordpressで構築する(※1) DBのプレフィックス(Prefix)をデフォルトの「wp_」から乱数などに変更する 管理者名を「admin」のままにしない 管理者パスワードは乱数などの「複雑なもの」にする ※1: 使い慣れた、または有用なプラグインが最新バージョンに対応していないので最新版が使えない…といった場合もあるが、極力最新版を使う様に心がけたい 2.インストール直後に行っておくこと /wp-admin ディレクトリ直下に ベー
4. 典型的なXSSサンプルに対する「素朴な疑問」 • クッキーの値がアラートで表示されても、特に危険性はないよ うな気がする • クッキーの値はブラウザのアドオンなどでも表示できるよね • 任意のJavaScriptが実行されると言っても、ホームページ作 れば任意のJavaScriptが書けるし、見た人のブラウザで実行 されるよね… Copyright © 2013 HASH Consulting Corp. 4 5. そもそもの疑問:JavaScriptは危険か? • 実は、JavaScriptの実行自体は危険ではない • Webは、未知の(ひょっとすると悪意のある?)サイトを訪問し ても「悪いこと」が起きないように設計されている • JavaScriptの「サンドボックス」による保護 – JavaScriptからローカルファイルにアクセスできない – JavaScriptからクリップ
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
HTMLやCSSではプロトコル表記(http:、https:)の省略が可能です。 ということで、プロトコル表記の省略に関することを色々調べてみましたので、本エントリーで紹介致します。 このエントリーは、「「Google HTML/CSS Style Guide」を適当に和訳してみた」の以下の部分に対しての便乗記事です。 埋め込みリソースからプロトコル表記(http:,https:)を省略する。 <!-- Not recommended --> <script src="http://www.google.com/js/gweb/analytics/autotrack.js"></script> <!-- Recommended --> <script src="//www.google.com/js/gweb/analytics/autotrack.js"></script> 1.プロトコ
■ EV SSLを緑色だというだけで信用してはいけない実例 EV SSLに関して以前から懸念されていたことが既に現実になっていた。一時期、EV証明書を発行する一部のCA事業者が、EV SSLの宣伝で「緑色になったら安全」などといいかげんな広告を打っていて、誤った理解が広まりかねないと心配されていたわけだが、「緑色になったら安全」という理解がなぜ駄目なのか、その理由の一つは、いわゆる「共用SSL」サービスにEV SSLが使われかねないという懸念だった。 そして、その実例が既に存在していたことに気付いた。図1は私が作ったWebページである。 アドレスバーは緑色になっているが、ここに入力されたデータは私宛にメールで送信*1されてくる。(このページは既に閉鎖している。) 悪意ある者がこうしたページを作成*2し、何らかの方法でこのページに人々を誘導*3すれば、フィッシングの被害が出るおそれがある。
みんなのIoT/みんなのPythonの著者。二子玉近く160平米の庭付き一戸建てに嫁/息子/娘/わんこと暮らしてます。月間1000万PV/150万UUのWebサービス運営中。 免責事項 プライバシーポリシー 強度の高いパスワードを作るのは本当にめんどくさい。ならば強度の高いパスワードにはご褒美を与えればいいんじゃないか,と作者が考えて作ったのがNaked PasswordというjQueryのプラグインだ。パスワードの強度に合わせて,おねえさんが豊満な肢体をあらわにするぞ。 このプラグインを使うと,エロい姿のおねえさん見たさに,みんなwell known wordsを避けたり数字を混ぜたりして最強強度のパスワードを登録するようになるので,ハッカークラッカーがパスワード破りしずらくなる。エロは世界を救う。世界を救うjQueryプラグインNaked Passwordをみんな使おう。ただし,強度の
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く