[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

新生鳩丸掲示板♯

bakera.jp > 新生鳩丸掲示板♯ > 投稿順表示 (9/282)

投稿順表示 (9/282)

[5747] Re:「クラウドを自社ドメインで運用する苦労」

deki (2010年3月29日 7時41分)

>「個人情報を第三者に提供、委託いたしません」という説明をしておきながら、第三者の管理するサーバに個人情報を送信させている

これについてはもっと深刻で、『個人情報の保護に関する法律』第二十三条に違反しています。

http://law.e-gov.go.jp/htmldata/H15/H15HO057.html

で、事前であれば、表記を修正すればOKですが、

一度情報を収集してしまった以上、不正利用となってしまった事や第三者に委託する点について、もう一度本人に確認が必要になります。

[5746] Re:「DNSリバインディング問題の確認方法」

徳丸浩 (2010年3月26日 19時32分)

># mod_rewriteでけっこう複雑なルールを設定していたようではあります。ケータイサイトは複雑なリライトルールを設定している場合が多いように思います。

あぁ、mod_rewriteがらみですか。了解です。

ありがとうございました。

[5744] Re:「DNSリバインディング問題の確認方法」

ばけら (2010年3月24日 18時57分)

>ばけらさんのブクマコメントを見て、私もModSecurityのルールの中に「数値IPアドレスをエラーにする」というのを見つけたのですが、それ以外に、同様の設定になる条件をご存じであれば教えていただけないでしょうか。当然ながら、差し支えなければということですが。

 すみません、弊社でApacheの設定をしていた事例ではないので、詳しくは分からないのです……。

# mod_rewriteでけっこう複雑なルールを設定していたようではあります。ケータイサイトは複雑なリライトルールを設定している場合が多いように思います。

 何か分かったらお知らせしようと思います。

[5743] Re:「DNSリバインディング問題の確認方法」

ばけら (2010年3月24日 18時53分)

>これは「かんたんログイン」と組み合わせることにより発動するわけですから、PCからアクセスできるならその時点ですでに脆弱性ではないでしょうか。

 それはそのとおりなのですが、「ログインが必要なページだけIPアドレス制限している」というサイトも多いと思います。その場合、/ がログイン不要なページであれば、このツールで調査できるはずです。

 全てのサイトで使えるかと言われると微妙ですが、役に立つ場合もあるのではないかと思います。

# もっとも、ログイン必要なページでだけ Host: の扱いが違うという可能性が否定できないという罠が無くもないかも。普通は無いと思いますが……。

[5742] Re:「DNSリバインディング問題の確認方法」

yamagata21 (2010年3月24日 6時44分)

えむけいさん、そのとおりですよ?

太田さんが、元記事に、「確認方法の例としては、wfetchやfiddlerのようなHTTPリクエストを作る・改変するツールを使って通常と違うHost:を送ってみるという方法がありますし、……ただし、これらの方法はPCからアクセスできる場合にしか使えません。」と書かれており、この前者を実現するツールです。

また、http://yamagata.int21h.jp/tool/hostchk/hostchk.cgi において、「DNSリバインディング問題を確認するツール」だとは全く書いていません。Host:ヘッダの利用状況を見るためのツールです。

[5741] Re:「修道女の赤き影、クリア?」

Snake (2010年3月24日 3時27分)

Wizardryではないですが、エルミナージュⅡはいかがでしょうか?

忍者以外はLv1万超えますしダメージもLvに応じて上がりますよ。

[5740] Re:「DNSリバインディング問題の確認方法」

徳丸浩 (2010年3月24日 2時14分)

ばけらさん、補足ありがとうございます。

ばけらさんのブクマコメントを見て、私もModSecurityのルールの中に「数値IPアドレスをエラーにする」というのを見つけたのですが、それ以外に、同様の設定になる条件をご存じであれば教えていただけないでしょうか。当然ながら、差し支えなければということですが。

[5739] Re:「DNSリバインディング問題の確認方法」

えむけい (2010年3月23日 23時37分)

>PCからアクセスできるサイトに限りますが、ツール作ってみました:

>http://yamagata.int21h.jp/tool/hostchk/hostchk.cgi

これは「かんたんログイン」と組み合わせることにより発動するわけですから、PCからアクセスできるならその時点ですでに脆弱性ではないでしょうか。

http://takagi-hiromitsu.jp/diary/20100221.html#p01

[5738] Re:「DNSリバインディング問題の確認方法」

yamagata21 (2010年3月23日 20時28分)

PCからアクセスできるサイトに限りますが、ツール作ってみました:

http://yamagata.int21h.jp/tool/hostchk/hostchk.cgi

[5736] Re:「携帯電話のフィッシングサイト対策、その方法は?」

えむけい (2010年3月22日 21時31分)

> ※昔はJavaScriptでステータスバーを改竄される可能性もありましたが、最近は難しくなってきていますね。

最近のブラウザだとそもそもステータスバーそのものが(少なくともデフォルトでは)表示されなくなってますね。アドレスバーが必須になった分表示面積を稼ぐためでしょうか。ChromeやSafari 4はすでにそうなってますし、Firefox 4もそういうデザインを採用する予定だとか。

>「面倒でも頑張ってURLを確認する」

頑張って確認してもこれではねえ…。

https://takagi-hiromitsu.jp/diary/20100320.html#p01

[5735] Re:「携帯電話のフィッシングサイト対策、その方法は?」

Tietew (2010年3月22日 19時24分)

フォームのポスト先はステータスバーでは確認できないのを忘れてますよね、リンク先を確認とか言っている人。

[5734] Re:「ラー油を買ったら本が来た」

ばけら (2010年3月16日 23時30分)

>もしくはAmazonは基本的に買う物が本で、楽天と違うから間違わなかったと推測。

 楽天側も楽天ブックスなのですけどね。

 楽天とのシームレスさ(?)が裏目に出たのでしょうか。

[5733] Re:「428虹のしおり」

ばけら (2010年3月16日 23時29分)

>URLのドメインが気になるのですが、1年経ったらフィッシングサイトに化けていそうなドメインでしょうか。それとも会社が存続している限りそういうことは起きそうにもないドメインでしょうか。

 sega.jp のサブドメインですね。

[5732] Re:「428虹のしおり」

えむけい (2010年3月16日 21時44分)

URLのドメインが気になるのですが、1年経ったらフィッシングサイトに化けていそうなドメインでしょうか。それとも会社が存続している限りそういうことは起きそうにもないドメインでしょうか。後者でもセガがセガサミーになったりすることは平気であるので油断禁物ですが。

[5731] Re:「docomo IDスタートでiモードIDの利用範囲が広がる」

juner (2010年3月15日 9時27分)

単なるopenIDとして利用するなら害は無いのですけれどねー……。

[5730] Re:「ラー油を買ったら本が来た」

juner (2010年3月15日 3時37分)

きっと購入層の頭の出来が違うと推測。

もしくはAmazonは基本的に買う物が本で、楽天と違うから間違わなかったと推測。

[5729] Re:「noscript要素」

えむけい (2010年3月13日 3時20分)

> このような場合、「JavaScript をサポートしているが VBScript をサポートしていない」ブラウザでは、先の noscript の中身は無視され、後の noscript の中身だけが表示されることになります。そのはずですが、多くのスクリプト対応ブラウザは「スクリプト機能がオンかオフか」だけを考慮して、言語の種類までは見ないようです。

ちなみにHTML5ではこの仕様は廃止され、多くのスクリプト対応ブラウザの実装に仕様が合わせられました。

[5728] Re:「noscript要素」

スターダスト (2010年3月11日 21時56分)

>>dispkay:inline を指

これは投稿時のtypoです。

[5727] Re:「noscript要素」

スターダスト (2010年3月11日 21時54分)

スクリプト無効の設定をしている IE8 において Standards Mode であると、noscript要素の内容が表示されないというウワサがあります。 

そのウワサでは、noscript要素のstyleとして、dispkay:inline を指定してあげるといいということです。

…が、手元の環境では… このウワサは本当ですか?

[5726] Re:「くりきんは危険かも」

キンオブゴッドオォ! (2010年3月4日 16時7分)

初めまして

最後の敵が倒せません(キンオブゴッド)

お勧めの菌は有りますか?

最近の日記

関わった本など