Sign up with your email address to be the first to know about new products, VIP offers, blog features & more. [spacer]
以前、Gumblar攻撃の被害に遭ったクライアントPCの調査から判明した、クライアントパソコン(PC)に放置されやすい脆弱性について解説した(関連記事)。前回の調査では、クライアントPCに放置されやすい脆弱性の1位はJava、ほぼ同数の2位がAdobe Readerという結果だった。前回の調査から1年経過し、この傾向に変化があるか、改めて同様の調査した。その結果について解説する。 前回の調査では、Gumblar攻撃の被害に遭ったクライアントPCを対象としたが、今回は、Black Hole Exploit Kitと呼ばれるドライブバイダウンロード攻撃ツールの被害にあったクライアントPCを対象にした。この攻撃ツールは、2011年上半期に日本IBM セキュリティー・オペレーション・センター(以下、東京SOC)の観測範囲において最もウイルス感染の被害が多かった攻撃ツールである(表1)。 表1●Ex
昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。今回はJSON等の想定外読み出しによる攻撃です。これら攻撃手法は本来ブラウザ側で対応すべきもので、やむを得ずWebアプリケーション側で対応する上で、まだ定番となる対策がないように思えます。このため、複数の候補を示することで議論のきっかけにしたいと思います。 まず、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します(同書P20の図1-23)。 前回、前々回は、(5)のHTTPレスポンスの前後で、JSON等のデータ作成(エンコード)に起因するevalインジェクションや、(5)のレスポンスを受け取った後のHTMLレンダリングの際のXSSについて説明しました。 しかし、問題はこれだけではありません。正常
昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。タイトルはXSSとなっていますが、今回紹介する脆弱性はXSSではありません。 作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します(本書P20の図1-23)。 Ajaxのアプリケーションでは、XMLHttpRequestメソッド等でデータを要求し、サーバーはXML、JSON、タブ区切り文字列など適当な形式で返します。ブラウザ側JavaScriptでは、データ形式をデコードして、さまざまな処理の後、HTMLとして表示します。以下に、Ajaxのリクエストがサーバーに届いた後の処理の流れを説明します。 サーバー側でデータを作成、取得 データ伝送用の形式(XML、JSON、タブ区切り文字列等)にエンコード
このエントリでは、あるPHPの入門書を題材として、Ajaxアプリケーションの脆弱性について検討します。全3回となる予定です。 このエントリを書いたきっかけ twitterからタレコミをちょうだいして、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeという本を読みました。所感は以下の通りです。 タレコミ氏の主張のように、本書はセキュリティを一切考慮していない 主な脆弱性は、XSS、SQLインジェクション、任意のサーバーサイド・スクリプト実行(アップロード経由)、メールヘッダインジェクション等 脆弱性以前の問題としてサンプルスクリプトの品質が低い。デバッグしないと動かないスクリプトが多数あった 上記に関連して、流用元のソースやデバッグ用のalertなどがコメントとして残っていて痛々しい 今時この水準はないわーと思いました。以前
Launchpad-ControlはMac OSX Lionの新機能Launchpadのアプリケーションリストを整理するソフトウェア。 Launchpad-ControlはMac OSX用のフリーウェア。Mac OSXの最新版、Lionで搭載された新機能の一つがLaunchpadだ。iOSライクにアプリケーションが一覧される機能で、OSデフォルトのランチャー機能だ。iPhoneやiPadに慣れていると便利に感じられるかもしれない。 設定画面 表示されるのはアプリケーションフォルダに入っているアプリケーションとなっている。配置の移動はできるが、アプリケーションの削除もままならず邪魔に感じる人も多いだろう。そんな方はLaunchpad-Controlを使ってみると良い。 Launchpad-ControlはLaunchpad用の環境設定パネルだ。実行すると、現在Launchpadにあるアプリケ
MilkodeはRuby製のソースコード専用の検索エンジン。指定した単語が全て入った行を探すのが特徴。 MilkodeはRuby製のオープンソース・ソフトウェア。最近ではシステムの開発においてスクラッチで開発するのではなく、何かのフレームワークをベースにすることが増えてきた。シンプルなフレームワークもあれば、全てこなしてくれる大型のものもある。 メイン画面 そして開発を行っているとフレームワークやライブラリの中を見なければならないケースが増えてくる。そんな時には毎回grepで探すのではなく、Milkodeを使って高速に検索しよう。 Milkodeはソースコード検索エンジンだ。とてもシンプルなソフトウェアで、ターミナルからinitしてリポジトリを作成する。その後、addでソースコードを取り込んでいくだけで準備が完了してしまう。webオプションでWebサーバが立ち上がり、検索エンジンとして利用
負荷的に厳しくなってきたので sakuratan.biz を Apache(さくらスタンダード)から nginx(さくら VPS 512)に移転しました。 頻発していた 503 もほとんど出なくなって快適です。 Apache から VPS の nginx へ WordPress を移転したいと考えている人もいるかなーと思いましたので、さくら VPS で nginx リバースプロクシを使った WordPress ブログの構築する方法をがっつり書いていきたいと思います。 結構長文になってしまいましたので、先に索引を載せときます。 nginx とは nginx が速い理由 リバースプロクシ さくら VPS にインストールするシステム構成 EPEL パッケージリポジトリのインストール MySQL のインストール PHP のインストール nginx のインストール nginx と PHP FastC
勝手にリデザイン:新宿高層ビルの館内施設案内板 新宿のとある高層ビルの館内案内標識が話題に。後学のために、仕様・問題点を整理、改善案の作成を行ってみました time2011/09/08 hatenabookmark- Twitterで、あるサイン(案内板)のことが話題になっていました。新宿のあるビルの案内図のようですが、わかりづらいことが問題になっているようです。 …確かにこれはわかりません。トイレを探している時に遭遇したら結構辛いと思いますね。でも、なぜわかりにくいのか、どういう改善案が考えられるのか、もう少し考えてみることにしました。 仕様 まず、この図から読み取れる情報だけでは何が「正解」かわからないので、実際の現場に足を運んでみました。 そして、館内をぐるっと見学してみて、大体の施設の配置を把握してきました。(ちなみに、ビルの中をウロウロしてると普通に不審者だと思うので、警備員の方
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
