メルカリでCDNにキャッシュされるべきでないページがキャッシュされることにより個人情報の流出が発生してしまうインシデントがありました 自分は動的コンテンツをCDNで配信することにあまり積極的ではない立場だったのですが流出への反応を見るとCDNを利用しているサービスはかなり増えてきているようです 個人情報やユーザーのプライベートデータを決して流出しないようにしつつCDNを利用する方法を考えてみました CDN利用のメリット このふたつ 経路が最適化されレイテンシが小さくなる DDoS対策となる キャッシュされないようにする方法 Twitterで動的コンテンツもCDN通すの当たり前でしょーと言ってる人にリプしてきいてみました CDNとレスポンスヘッダで二重にキャッシュを無効化する キャッシュを細かくコントロールCDNを使う ホワイトリスト方式で特定のパスのみキャッシュを許可 ログインセッションを
本日コーポレートサイトでお知らせした通り、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明して修正が完了しております。また、個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡させていただきました。 お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。 本エントリでは技術的観点から詳細をお伝えさせていただきます。 2017年6月27日 CDNのキャッシュの動作について、CDNプロバイダと仕様について確認し検証を行いました。その結果一部記述に実際と異なる箇所があり、加筆修正いたしました。 概要 メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行いました。 その際本来キャッシュされるべきでない
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? セキュキャン 2015 高レイヤートラック(Jxck) 本資料は、セキュキャン 2015 高レイヤートラックの講義資料です。 セキュキャン参加者であるセキュリティエンジニアの卵を対象に、 Web のセキュリティの知見が、実際どのように Web アプリ開発に反映されているか、もしくはどう反映すべきかを、フレームワークの視点から解説することを目的としています。 将来、 Web のセキュリティに興味を持ったエンジニアが、その知見を多くの開発者に啓蒙する手段として、フレームワークに反映するというのは非常に有効な方法です。 ここではその実例として
子供らは違法ダウンロードのリスクを認識しながらも、罪悪感は感じていないようだ――欧州連合(EU)の欧州委員会が先週、インターネットと子供の安全に関する調査の結果を発表した。 この調査はEU加盟国27カ国およびアイスランド、ノルウェーの9~10歳の子供と、12~14歳の子供を対象に行った。調査対象は全員インターネットを利用でき、少なくとも1カ月に1回は使っているという。 子供のインターネット利用目的で特に多かったのは、オンラインゲームと興味のあることに関する情報の入手。宿題のための調べ物にインターネットを使う頻度も高い。ただし、インターネット上の情報が必ずしも正確とは限らないことはほとんどの子供が認識していた。インスタントメッセージング(IM)やチャットの利用は特に年長の女児の間で多かった。ブログの執筆や閲覧、ファイルの共有(音楽や写真など)の利用はさほど多くはないという。 また、年長の子供
XSS 脆弱性対策のみならず、「ブラウザの脆弱性に起因する問題についてもブログサービスは対処すべき=ユーザによる任意のスクリプト利用は禁止すべき」といった考え方に対置する意見を、以下に記します。 hoshikuzu | star_dust の書斎(2006-02-06) (いくつかの不便と引き換えに)なりすまし問題が生じないサービス設計を行っている fc2 ブログでは、ユーザが任意のスクリプトを利用できます。したがって fc2 ブログでは「極悪スクリプト」を貼ることができます。けれども、閲覧者が fc2 ブログで被害にあったとき、script 要素を許可している fc2 が悪いと思う人より、ブラクラを仕掛けたユーザが悪いと考える人が多いでしょう。isweb や geocities や cool でもそうだったように。 ブログサービスは横のつながりを強く意識しています。はてなで言えばキーワー
これからは、インターネットを使って誰かに不快感を与えただけで犯罪になる。 これは冗談ではない。Bush大統領は米国時間5日、自分の身元を明かさずに不快な書き込みをインターネット上で行ったり、迷惑な電子メールを送信したりすることを禁止する法令に署名した。 つまり、メーリングリストやブログで誰かとケンカするなら、本名を名乗った上でやりなさいということだ。全面禁止にしなかっただけでも議会に感謝するべきなのだろう。 Usenetの大半の投稿を犯罪にしてしまう可能性が高いこのばかげた法令は、「Violence Against Women and Department of Justice Reauthorization Act」と呼ばれる法律に盛り込まれている。この法律に触れると、厳しい罰金と2年未満の懲役に処せられる可能性がある。 「一番大きな問題は不快という言葉の使い方だ。不快と感じるかどうかは
* 弾圧されつつあるダムネットワークという思想 47氏の逮捕はとても法治国家で起きたこととは思えないけど、CD輸入権は、一応選挙で選ばれた議員さんたちが合法的に立法しているわけで、今回の逮捕にあらわれたものが次は合法的な動きとして出て来るものと考えておいた方がいいと思う。 Winnyが可能だったのは、インターネット(パケット交換ネットワーク)という技術の根本にそういう考え方があるからだ。いやむしろ、p2pはインターネットが潜在的に持っていた「ダムネットワーク」という本来の思想を開花させたものである。 ダムネットワークとは技術的に言えば、ネットワークは低機能で汎用的に作って、認証とか信頼性とかそういう難しいことはエンドトゥーエンドでやった方がいいということ。そういう高レベルの具体的なニーズは、それぞれ個別のいろんな事情があってどんどん変わっていくものだから、ネットワーク自体にはそういう機能は
■ 攻撃者視点ではなく開発者視点での解説を 8月に@ITに「機密情報に合法的に近づけるWebアプリケーションを守れ」という記事が 出ていた。 タイトルからして意味がわからない。「合法的に近づける」とは何だ? 英文 の直訳か何かか? その連載第2回「多様化するWebアプリケーションへの攻撃」が今日掲載されたのだが、問題を正しく理解し ないまま書かれた記事と言わざるを得ない。例えば次のように書かれている。 この例では、「userid=-20298745283」がクエリストリング にあたる。クエリストリングはURL内に含まれているため、誰でも見ることが できる。従って、ユーザーのちょっとした出来心やいたずら(例えば 「この数字の最後を1つだけずらせばどうなるかなー?」) によって、脆弱性が露見することも多い。 この例であれば、誰が見ても明らかなように、「userid」のパラメー タがユーザー管理
機密情報に合法的に近づけるWebアプリケーションを守れ:Webアプリケーションファイアウォールの必要性(1)(1/3 ページ) 「SQLインジェクション」や「クロスサイトスクリプティング」という用語に聞き覚えはないだろうか。セキュリティに関連する用語であることを知る人は多くても、詳細な説明をできる人はまだ少ないかもしれない。どちらもWebアプリケーションの脆弱性を指す用語である。 個人情報の保護に関する法律(個人情報保護法)の施行によって、より多くの注目を集めるようになった個人情報漏えいに関するニュースが毎日のように流れている。漏えいした個人情報が、もしWebサイトから盗み出されたものであれば、原因はSQLインジェクションであった可能性がある。 この連載では、Webアプリケーションの脆弱性、攻撃手法の実例を挙げて解説するとともに、その脆弱性を防御する装置として市場に現れたWebアプリケーシ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く