[攻撃]の検索結果

＋ 

A SQLインジェクション（SQL Injection）とは

－ 

A SQLインジェクション（SQL Injection）とは

SQLインジェクション（SQL Injection）とは、Webアプリケーション開発者の意図しない悪意のあるSQL文やその一部を入力して、不正にデータベースを操作することを目的とした攻撃のことで、多くの場合データベースを不...

SQLインジェクション（SQL Injection）とは、Webアプリケーション開発者の意図しない悪意のあるSQL文やその一部を入力して、不正にデータベースを操作することを目的とした攻撃のことで、多くの場合データベースを不正に書き換えてコンテンツを改ざんし、ウェブ閲覧者にマルウエアの侵入を試みるプログラム (スクリプト)を実行させようとする。

SQLインジェクションの対策としては、入力値には半角英数字のみを許可するよう制限する方法や、SQLで使える特殊文字をエスケープして対処するという方法が一般的。

SQL インジェクション攻撃とその対策
今夜分かるSQLインジェクション対策

Hacking: 美しき策謀 ―脆弱性攻撃の理論と実際
オライリージャパン 著者：Jon Erickson 価格：3,360円 評価：★★★★★

• これは確かにおもしろい ★★★★
• 究極のテクニック集です ★★★★★
• 良い！ ★★★★
• 技術背景がわかります ★★★★
• 真のハッカーとは ★★★★

powered by amalink

[1942] Posted by kagahiro at 2010/06/26 10:11:53
0 point | Link (1) | Trackback (0) | Comment (0)

＋ 

B ブログをダメにする20の過ち

  ブックマーク先へ

－ 

B ブログをダメにする20の過ち

  ブックマーク先へ

いくつか心当たりがあるのもあるけど、どれがどの程度ダメなのか分からないので難しいところ。ブログをダメにする20の過ち広告が多すぎる眩しすぎる、もしくは明るすぎて読みずらいポップアップ広告大量のキーワード...

いくつか心当たりがあるのもあるけど、どれがどの程度ダメなのか分からないので難しいところ。

ブログをダメにする20の過ち

1. 広告が多すぎる
2. 眩しすぎる、もしくは明るすぎて読みずらい
3. ポップアップ広告
4. 大量のキーワード
5. 乱雑
6. コンテンツ狩り
7. 過剰な量のテキスト
8. フォーマットが不十分
9. リンクが多すぎる
10. 攻撃的なコンテンツもしくはコメントの投稿
11. ホームページ上の過剰な量のコンテンツ
12. スクロールの回数が多すぎる
13. 不誠実  嘘はつかないこと
14. 読みづらいフォント
15. 連絡先の情報がない
16. スプラッシュページ
17. 音
18. 登録が必要
19. 過度なフラッシュおよびアニメーションの利用
20. 広告が多すぎる

[1873] Posted by kagahiro at 2010/05/14 17:39:51
0 point | Link (0) | Trackback (0) | Comment (0)

＋ 

A IBMのオープンソース支持は金のため

－ 

A IBMのオープンソース支持は金のため

IBMがオープンソースのメインフレームエミュレータを開発している企業に対して、特許で威嚇したことに対して著名なオープンソース支持者であるFlorian Mueller氏がIBMの「これまでのオープンソース支持は偽善」と非難...

IBMがオープンソースのメインフレームエミュレータを開発している企業に対して、特許で威嚇したことに対して著名なオープンソース支持者であるFlorian Mueller氏がIBMの「これまでのオープンソース支持は偽善」と非難している件について。

IBMはオープンソースを支持し続けるのか？

また、IBMが特許を持ち出してOSSを（用いてビジネスをしている企業を）威嚇したという事実も見逃せない。IBMは一方でOSSを支持する姿勢を示しておきながら、一方では自社にとって都合の悪いOSSは威嚇するということを、CTOが示してしまったのである。都合の良いOSSだけを支持するのは、単なる「利用」であり、「支持」とは言わない。

個人や非営利団体がオープンソースソフトを開発しているならともかく、IBMが上場している株式会社である以上、IBMの不利益となることに対してはそれがOSSであれなんであれ攻撃するというのは、資本主義社会では当然のことではないでしょうか。逆にそうしないと、IBMの経営陣は株主から背任として追求されクビになってしまうでしょう。そしてそれは他の会社、例えば子会社のMySQLごとサン・マイクロシステムズを買収し、今後もMySQLを強化する方針を明らかにしているOracleも同じはずです。

でもそれは最初からわかっていたことで、それをわかった上でこれまで一緒にやってきたのではなかったのかと思うので、いまさらそれを「偽善」といって非難するのは微妙な感じです。

とにかくオープンソースにかかわる開発者は、営利企業がオープンソースを支持するのは、それが彼らにとって金になるときだけだということは忘れてはいけません。

マイコミジャーナル「米IBMの書簡にオープンソース支持者が非難」
開発中のMySQL 5.5、デフォルトエンジンはInnoDB、200％の性能向上。「MySQL Conference & Expo」基調講演で紹介

[1823] Posted by kagahiro at 2010/04/14 15:15:03
0 point | Link (1) | Trackback (0) | Comment (0)

＋ 

A IPA、「Web Application Firewall (WAF) 読本」を公開

－ 

A IPA、「Web Application Firewall (WAF) 読本」を公開

IPA（独立行政法人情報処理推進機構）、ウェブサイト運営者がWeb Application Firewall（ウェブ・アプリケーション・ファイアウォール、WAF）を導入する際の参考となる解説資料「Web Application Firewall 読本」を公...

IPA（独立行政法人情報処理推進機構）、ウェブサイト運営者がWeb Application Firewall（ウェブ・アプリケーション・ファイアウォール、WAF）を導入する際の参考となる解説資料「Web Application Firewall 読本」を公開。

「Web Application Firewall 読本」は、Webアプリケーションの脆弱性を悪用した攻撃を遮断する技術「WAF」の導入を検討する際に、WAFの理解を手助けするための資料。WAFに関する取り組み、WAFの概要、機能の詳細、導入におけるポイント等がまとめられている。

Web Application Firewall 読本

そこが知りたい最新Webアプリ開発のお作法 (DB Magazine SELECTION) 著者：石川 智久,高橋 英一郎,山本 啓二 価格：2,310円 翔泳社 by Amalink

[1745] Posted by kagahiro at 2010/02/17 14:09:39
0 point | Link (0) | Trackback (0) | Comment (0)

＋ 

A Googleは中国から撤退しないと思う

－ 

A Googleは中国から撤退しないと思う

Gmailアカウントに対するサイバー攻撃に中国政府が関与しているのではないかという疑いや検閲などを理由に、Googleが「あんまり検閲がえげつないので、ボクたち中国から撤退しちゃうかも」という声明を発表したときは...

Gmailアカウントに対するサイバー攻撃に中国政府が関与しているのではないかという疑いや検閲などを理由に、Googleが「あんまり検閲がえげつないので、ボクたち中国から撤退しちゃうかも」という声明を発表したときは、「さすがGoogle」という声が多かったのですが、ここに来てGoogleが「中国に残りたい」「検閲を受け入れる」とか言い出して、なにやら微妙な展開になってますね。

中国政府のサイバー攻撃関与説、工業情報省が反発表明

アメリカ政府のクリントン長官はいろいろ言っているようですが、
みすみす利益を得る機会を失うことを、Googleの株主が許すとは思えないので、結局は中国の要求を受け入れて中国撤退は撤回ということになるのではないでしょうか。

SHOWDOWN(対決)―中国が牙をむく日 著者：ジェド バビン,エドワード ティムパーレーク 価格：1,575円 産経新聞出版 by Amalink

[1730] Posted by kagahiro at 2010/01/26 23:48:39
0 point | Link (2) | Trackback (0) | Comment (0)

＋ 

A フリーソフトウェア/オープンソースのタブー

－ 

A フリーソフトウェア/オープンソースのタブー

私が何を書いても基本的にスルーされることが多いのですが、めずらしく有名な人にコメントされてました。PV的には別にそれほど美味しくないのですが、ネタとしては面白そうなので反論してみます。アフターアワーズ: ...

私が何を書いても基本的にスルーされることが多いのですが、めずらしく有名な人にコメントされてました。PV的には別にそれほど美味しくないのですが、ネタとしては面白そうなので反論してみます。

アフターアワーズ: フリーソフトウェア/オープンソースに最も貢献した10人

ぱらぱらとネット上の感想を見ると、語句ログというところの記事が目に付いた。

残念なことに1位が2人いるというのが、このランキングの恣意性を示してます。日和見はいけません。

恣意的というか、洒落だと思いますけど…(もしかすると本当にtypoかも)。日本のエンジニアには、なんというかひねった洒落の通じない人が多いようで、困惑というか面白く感じられる。

洒落ならなおさら、どっらでもよいと思うのですが、どちらかを1位にしてもう一人は2位というランキングにすべきではないでしょうか。その方が記事としての話題性があるはずです。

それとも、例え洒落でつくったランキングとはいえ、どちらかを上に位置づけるするのは何かまずい理由でもあるのでしょうか？まあ、あるんでしょうけど。

こんな感じで実際のところ、リチャード・ストールマン氏とリーナス・トーヴァルズ氏のどちらを高く評価するかという問題は、「フリーソフトウェア/オープンソース」界隈では触れてはいけないことだったりします。

ただ、私はこういうタブーが存在するのはどうかと思ってます。何故なら、私がフリーソフトウェア/オープンソースコミュニティを攻撃（または支配）しようと企んだりする側の人間だったら、こういった「恐れは」何らかの形で利用できるのではないかと考えるからです。世の中にはもっと恐ろしいことが沢山あるので、この程度のことを「恐れ」ていてはいけません。

まあ、ユーザがいっぱいいてもお金にはなるとは限らないので…。MIAUに足を突っ込んでも思ったことだが、政治とかお約束に対するエンジニア気質の人の生理的嫌悪感は、まあ私にもそういうところはあるので理解できなくもないが、そのへんを何とかしていかないと、非エンジニアにずっと良いようにあしらわれ続けるだけなんじゃないかなと思いました。

「ユーザがいっぱいいてもお金にはなるとは限らない」というのは、まさにその通りなのですが、それを公言するのはいかがなものかと思います。もちろん、政治的な意味で。

それに、本当に金を稼ぎたいなら、釣りバリ付きのエサにしか見えない「何とか賞」とかを貰ったり「スーパー何とか」という肩書きをつけてもらうより、できるだけ多くのユーザーと直接接触した方が有利ではないでしょうか。非エンジニアの作った舞台で踊ってる限り、非エンジニアにずっと良いようにあしらわれ続けるだけなんじゃないかなと思いました。

[1315] Posted by kagahiro at 2009/05/02 10:40:40
0 point | Link (0) | Trackback (0) | Comment (0)

＋ 

A Webサイトの検索機能を悪用する「IFRAME SEOポイズニング」攻撃

－ 

A Webサイトの検索機能を悪用する「IFRAME SEOポイズニング」攻撃

Webサイトの検索機能を利用してウイルスを送り込む攻撃が流行しているそうです。Webサイトの検索機能を悪用、「IFRAME SEOポイズニング」攻撃が流行大手のニュースサイトやショッピングサイトなどでは、サイト内の情...

Webサイトの検索機能を利用してウイルスを送り込む攻撃が流行しているそうです。

Webサイトの検索機能を悪用、「IFRAME SEOポイズニング」攻撃が流行

大手のニュースサイトやショッピングサイトなどでは、サイト内の情報（記事や商品情報など）を検索できるように検索機能（検索窓）を用意している。そういったサイトの中には、同様の検索が要求された場合に備えて、検索結果をキャッシュしているところがある。キャッシュされた情報は誰でもアクセス可能なので、Googleをはじめとする検索サイトにも収集される。このことを悪用するのが、今回の報告された攻撃だ。

これはキャッシュがどうこうという問題じゃないのではないでしょうか。検索結果のページに検索クエリーの文字列をそのまま含めるようになっているサイトで、検索機能のクエリーパラメータに問題のタグを設定して外部からリンクされると、検索エンジンにインデックスされてしまうので同じ結果になると思います。

これは、いやな攻撃ですね。

[1308] Posted by kagahiro at 2009/04/27 04:03:26
0 point | Link (1) | Trackback (0) | Comment (0)

＋ 

A Twitter がワーム攻撃を受ける

－ 

A Twitter がワーム攻撃を受ける

とりあえず収まってはいるようですが、Twitterがワームによる攻撃を受けたそうです。Twitterブログ: 週末のワーム土曜日午前２時ごろ、４つのアカウントが登録され、ワームが広がり始めました。午前７時３０分から１...

とりあえず収まってはいるようですが、Twitterがワームによる攻撃を受けたそうです。

Twitterブログ: 週末のワーム

土曜日午前２時ごろ、４つのアカウントが登録され、ワームが広がり始めました。午前７時３０分から１１時まで、ついったーのセキュリティーチームがワームが広がる行程を調査し対処しましたが、約９０のアカウントが感染してしまいました。のちにそのアカウントの安全を確認し、復活しました。

その日の午後、第2次攻撃を受けました。この時新たに１００のアカウントが感染しましたが、同じく安全を確認し復活させました。このときワームを広げる不正コードを見つけて、削除しました。

月曜日の朝に、第３次攻撃を受けました。セキュリティーチームが集まって、リアルタイムでこの攻撃に対処しました。感染してしまったアカウントはすべて復活し、不正なコードは削除されました。ワームを広げるつぶやき約１万つぶやきが削除されました。

警告：Twitter、StalkDailyワームに襲われる（アップデート）

Twitter側から正式に問題が解決したと発表があるまで、安全策をとって、サードパーティーのTwitterクライアントを利用し、他のユーザーのプロフィール・ページを訪問するのを避けるのが賢明だろう。

ワームの攻撃とか人事じゃないので、ユーザーとしてだけじゃなくいろいろ気になるところです。

Twitter XSS 騒動

ネットワークセキュリティHacks 第2版 ―プロが使うテクニック & ツール 100+ 著者：Andrew Lockhart 価格：3,360円 オライリー・ジャパン by Amalink

[1288] Posted by kagahiro at 2009/04/13 22:13:28
0 point | Link (1) | Trackback (0) | Comment (0)

＋ 

A ラック、Webサーバーへの攻撃を確認できる無料ログ解析ツールをバージョンアップ

－ 

A ラック、Webサーバーへの攻撃を確認できる無料ログ解析ツールをバージョンアップ

セキュリティソリューションサービスを提供している株式会社ラックが、Webアプリケーションの脆弱性を狙った攻撃の有無を確認できる、独自開発の無料Webサーバーログ解析ツール「SecureSite Checker Free（セキュアサ...

セキュリティソリューションサービスを提供している株式会社ラックが、Webアプリケーションの脆弱性を狙った攻撃の有無を確認できる、独自開発の無料Webサーバーログ解析ツール「SecureSite Checker Free（セキュアサイト・チェッカー・フリー）」をバージョンアップした。今回のバージョンアップで、多くのWebサイトで利用されるApache（アパッチ）への対応と、解読が難しくなってきているSQLインジェクションなど、最新のWebアプリケーションへの脅威の検知も可能になった。

ラック、Webサーバへの攻撃の有無を確認できる無料ログ解析ツールを提供

[1188] Posted by kagahiro at 2008/06/10 08:36:05
0 point | Link (1) | Trackback (0) | Comment (0)

＋ 

A ネットイナゴとはてなブックマーク

－ 

A ネットイナゴとはてなブックマーク

はてなが池田信夫氏の「はてなブックマーク＝ネットイナゴの巣」発言を受けて、開発者の伊藤直也を中心に「はてなブックマーク」の改善に取り組むことになったそうです。まあ、はてなブックマークのコメントとして、...

はてなが池田信夫氏の「はてなブックマーク＝ネットイナゴの巣」発言を受けて、開発者の伊藤直也を中心に「はてなブックマーク」の改善に取り組むことになったそうです。

まあ、はてなブックマークのコメントとして、書き手を侮辱するようなコメントがつけられることがあるというのは事実なので、そういったコメントは排除する方向で対応をするということなのでしょう。

とはいえ、はてなブックマークでネガティブなコメントが排除されたとしても、２ちゃんねるは未だに健在ですし、ニコニコブックマーク（仮）という強力なおふざけ系のソーシャルブックマークサービスが新たに開始されているので、書き手に対する罵倒や誹謗中傷がなくなることはないと思います。

罵倒や誹謗中傷が良くないのは間違いないのですが、弁護士の小倉秀夫氏のように、「多少のコストを覚悟させたら優秀な書き手は逃げてしまう」とういうのはあまりにナイーブ過ぎるように思えます。

各分野の専門家によるレベルの高いエントリーがブログにアップロードされ、そこでその分野に興味を持った素人との交流や同じ分野を専門とする人々との高度な議論がなされる

という状況には決してならないでしょう。ネットは実社会から切り離された言論空間ではないのです。

認識の違いと言ってしまえばそれまでですが、残念ながらネット界は高い倫理観を持った参加者によってフェアな議論が行なわれるような言論の場ではありません。未来においてもそうなることはないでしょう。むしろ、実社会の利害関係が色濃く反映された情報戦の場に近いというのが現実です。

記事にネガティブなコメントがつく理由は、書き手が間違っている場合だけではありません。書き手の主張が他人の既得権を侵している場合や、書き手が過去に他人の恨みを買っている場合も罵倒や誹謗中傷が行なわれます。むしろ、粘着して罵倒されるようであれば、他人の既得権を侵しているか何らかの恨みを買っている可能性の方が高いと考えられます。つまり、書き手への罵倒や誹謗中傷は利害が対立する相手からの攻撃の可能性が高いのです。

新聞記者が不自然な形で「自殺」したり、著書で権力者の不正を告発しようとした著名なエコノミストが破廉恥罪で逮捕されたりする事件が現実に発生しているように、実社会において影響力の大きな情報発信者に対する危険は並大抵ではありません。

現状ではネット発の記事の影響力はテレビや新聞といったマスコミ程ではないため、ネット上の書き手に対するプレッシャーはそれほど強くないとは思いますが、ネット発の記事の実社会への影響力が増すにつれて、書き手に対するプレッシャーも強くなるのは間違いないでしょう。特に論理的で影響力のある記事を書くことのできる書き手であればあるほど、その影響力に比例して反発も大きくなるのは避けられないと思います。

いかに高いレベルの専門的な知識にもとづいた論理的に正しい主張であっても、その主張が他人の既得権を侵すようなものであれば、罵倒や誹謗中傷も含めたあらゆる手段で攻撃される可能性があります。「多少のコスト」にすら耐え切れないようでは、実社会的に大きな影響を及ぼすような主張を貫けるとは到底思えません。

だからといって誹謗中傷による攻撃を受けないようになんらのコメントもできないようにするのは得策ではありません。ネガティブなコメントというのは書き手に対する一種の警告です。書き手に対して危険を知らせるとても有用な情報なのです。痛みを感じることのできない動物が生きていくことは難しいように、他人の敵意に気づかない人間が社会の中で生きていくことは困難です。そういう意味では、梅田望夫氏の対応方法は非常に適切だと思います。

最近つくづく思うこと

だから僕は現代を生きる幸福を噛みしめながら、毎日延々と、むろん厳しい批判も含め、自分が書いたことに対する反応や感想を読み続けている。

もちろん、罵倒や誹謗中傷が不愉快であるのは間違いないので、別に梅田氏のように「幸福をかみ締めながら」読む必要はないのですが、自分の書いたことに対する周囲の反応はネガティブな反応も含めて把握しておけば、書き手への危険をうまく回避できる可能性が高くなるのは間違いないでしょう。ネガティブな反応を全てスルーしたり拒否したりするのは、書き手にとっても得策とは思えません。

もっとも、金儲けを目的に他人を罵倒する行為を組織的に行なう「イナゴ使い」ともいえる人々が、ネットイナゴ達を操って起こす「本当のネットイナゴ問題」が発生した場合は、完全スルーなり法的措置を取るべきだと思います。

参考：
幸福を痛感する（404 Blog Not Found）
ネットはサファリなので、棲み分けが生じる。
字幕.in | ニコニコの削除人と遊ぼう！

[1049] Posted by kagahiro at 2007/06/17 00:38:27
1 point | Link (3) | Trackback (1) | Comment (0)