(第1報)2016年7月27日配信分 (第1報)2016年7月22日配信分 (第1報)2016年7月19日配信分 2016年9月06日 お客様各位 株式会社グラフィック 代表取締役 西野 能央 不正アクセスによる個人情報流出に関するお詫びと再発防止策のご報告(第2報) 7月19日に発表しました不正アクセスによる弊社顧客情報データベース(以下「顧客DBS」といいます)からの情報流出事案について、 原因ならびに被害状況等を外部の専門調査会社(以下、「調査会社」といいます)で調査を実施しておりました。 先般の発表時には、「弊社はクレジットカード情報をお客様からお預かりしていないため、クレジットカード情報の流出はございません。」とご説明しておりましたが、このたびの調査の結果、顧客DBSにお客様のクレジットカード情報が保管され、かつ当該不正アクセスによってその一部が流出していたことが判明
難解プログラミング言語「Piet」の解説とそのエディタを作った話です。 2015/08/21 Pidet公開しました。 https://github.com/kndama/Pidet
パクリサイトの手口(プログラムの仕様) まず、犯人は盗用したいサイトを見つけたら、パクリサイト側のプログラムに対象サイトのドメインを登録するようだ。そして、自身のサイト(パクリサイト)と対象サイト(今回では当サイト)の関連付けを行う。 こんな感じだ。 【当サイト】 https://estpolis.com/ 【パクリサイト】 http://www.advieshoreca.nl/6s/csctccase.asp 【当サイト記事ページ】 https://estpolis.com/2015/02/17103.html 【パクリサイト記事ページ】 http://www.advieshoreca.nl/6s/csctccase.asp?2015/02/17103.html そうすると、以下のように動作する。 パクリサイトを閲覧した人がアクセスすると(Googleのクローラーも含む)、対象サイトのド
Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。 HTTPS をランキングシグナルに使用しますと Google が公式に発表したあたりから、Web サイトの SSL 対応、特に Google が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。 そこで、いい機会だしその辺に関する情報をまとめておこうかな~ と思って書いてみた、恒例の (?) 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。 常時 SSL
ブコメでもすでに色々言われていて、自分のFacebookのタイムラインでも軒並み言及されているので、触れたくない理由は色々あるのだが、CMSで仕事をしている以上、反応しとかないといかんかなと思って筆を取る。そう、この件だ。 WordPressで「ささっと作る」で請けれなくなってる現状。 まとめると、WordPressは作り手にとっても楽に作れて、ウェブサイトを持ちたい人にとってもイニシャルコスト・ランニングコストともに安く済ませられる、みんながハッピーなツールだったはずが、そうではなくなってきた、と言う話。そうではなくなってきた根拠は何かと言うと、セキュリティ対応と管理画面の使いにくさ、カスタマイズ範囲の肥大化、の3点があるようだ。 セキュリティ対応は必要ですし、ランニングコストもかかります セキュリティ対応については、WordPressの導入によく使ってきたロリポップサーバーでWordP
8. 管理画面にIP制限をかける wp-adminとwp-login.phpにアクセスできるホストを信頼できるIPアドレスのみに制限する方法です。たとえパスワードがそのまま外部に流出したとしても、社外から管理画面に入ることができなくする対策です。ただ、これは自由にログインさせるコミュニティサイトでは無理ですし、そうでない場合でも利便性が低下しますので、ケース・バイ・ケースで行うべき対策でしょう。 via.WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目 惜しい、非常に惜しい。 セキュリティ対策としては良いんですが、これやっちゃうと一部のプラグインが動作しなくなったりしてハマりポイントになる可能性があります。 WordPress で Ajax を実装するためには、以下のような手法が良く用いられます。 add_action('wp_ajax_example',
皆様はじめまして、モリイです。本業ではWordPress専用のセキュリティ診断サービスを運営しています。 さて、ご存知の方も多いとは思いますが、WordPressは攻撃者によく狙われます。 その理由の1つは高い導入率です。LIGブログでも以前こちらの記事「みんなは知ってる?WordPressの特徴と人気の理由を分析してみた」で紹介されていたように、世界で一番人気のCMSです。WordPressで作成されたサイトは世界中に9000万以上あると言われており、悪意を持っている人物にとっては格好のターゲットです。 また、WordPressだけではなく、CMS一般、例えば、Drupal、EC-CUBEなどにも言ることですが、構造がパターン化されており、そのCMSを利用しているということが一目でわかる、ということも攻撃される理由に挙げられます。 そこで、サイト管理者は攻撃者からサイトを守らなければいけ
■ 共用SSLサーバの危険性が理解されていない さくらインターネットの公式FAQに次の記述があるのに気づいた。 [000735]共有SSLの利用を考えていますが、注意すべき事項はありますか?, さくらインターネット よくある質問(FAQ), 2010年2月10日更新(初出日不明) Cookieは、パスなどを指定することができるため、初期ドメイン以外では共有SSLを利用している場合にCookieのパスを正しく指定しないと、同じサーバの他ユーザに盗まれる可能性があります。 (略) 上記については、「同サーバを利用しているユーザだけがCookieをのぞき見ることができる」というごく限定的な影響を示していています。また、Cookieの取扱いについて、問い合わせフォームやショッピングカート等、ビジネス向けのウェブコンテンツを設置されていなければ特に大きな問題とはなりませんが、個人情報を取り扱われる管
Krebsが自分のサイト(KrebsOnSecurity)に対して41,000超のWebサイトからDoSを受けていると報告しています。 このDoSはWoredpressのpingbackを悪用したものらしく、先日、Sucuriもpingback機能を悪用したDoSについて報告していました。 More Than 162,000 WordPress Sites Used for Distributed Denial of Service Attack WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用 - ITmedia エンタープライズ pingbackを悪用したDoS方法 pingbackはハイパーリンクを設置したことを通知する仕組みですが、リモート投稿(XMLRPC)の機能(WordPressのxmlrpc.php)に対して次のPOSTを送信するとそのW
Wordpressでサイト運営をしている方にとってとんでもないニュースが入りました。ロリポップサーバーの日本語サイトを中心にWordPressサイトが大量に乗っ取られているようです。 症状 わかりやすい症状は、以下の通りです。 サイトタイトルに「Hacked by Krad Xin」が含まれている サイトのキャッチコピーが「BD GREY HAT HACKERS」になっている サイトが文字化け タイトルが「Hacked by Krad Xin」になってしまった被害サイトが山盛りです。 Hacked by Krad Xin – Google 検索 被害サイトには念のためアクセスしないようにしてください。 「ロリポップ」の検索結果 – Yahoo!検索(リアルタイム) あちこちでパニックが起こっています。 Hacked by Krad Xin - japan - Pastebin.comHac
今はレンタルサーバは、さくらのレンタルサーバとロリポップの2つを借りている。さくらのレンタルサーバはDBサーバが物理FWの内側にあるようで、グローバル側からMySQLサーバへはTCPレベルで接続できない。 macbook:~ ozuma$ telnet mysql122.db.sakura.ne.jp 3306 Trying 59.106.188.8... telnet: connect to address 59.106.188.8: Operation timed out telnet: Unable to connect to remote hostまぁ、当たり前やな…… (´∀`) しかしロリポップの場合、なんと手元のPCからmysql501.phy.lolipop.jp宛てに、無造作にポート3306へ接続できてしまった……! macbook:~ ozuma$ telnet mys
さきほどWordPressフォーラム見てましたら、ぞっとするようなトピが立ちました。 サイト改ざん? http://ja.forums.wordpress.org/topic/24503 サイトが急に文字化けになり、困っております;; Hacked by Krad Xinと黒の上部ツールバーにあり、サイトが改ざんされてしまったのでしょうか? ハッカーの声明リストを見ると、日本のサーバで乗っ取った宣言のがずらり これはほんの一部です。おそらく数千、数万の被害が。 ※追記 DN乗っ取りでなければ数百〜千単位で済むかもしれないですが・・ただ攻撃は28日深夜から29日朝にかけても続き、被害は増大しています。 8/29 11時のリリースだと4802件だそうです。 くれぐれもリストにあるところは見に行かないように・・・感染してしまう可能性があります!! でもってドメインを検索して見ると、ほとんどがロリ
こんにちはこんにちは!! 先日、CROSS 2013っていう、エンジニア向けのビール飲み放題のイベントに行ってきました! そこの「HTML5×セキュリティ」っていうコーナーで、ちょっと喋ってきたんですが、 その時の小ネタを紹介しておきます。 最近、ブログとかのWebサービスで写真をアップロードする時に、 ファイルをドラッグ&ドロップするだけでできたりしますよね。 いちいちダイアログから選ばなくていいから便利です。 こんなやつ。 この手の仕掛けって、ドラッグ時にボーダーカラーを変えたりして 「いまドラッグ&ドロップ状態ですよ〜」ってわかりやすく表示されますが、 それって別に、ブラウザが警告の意味で出してるんじゃなくて、 あくまで、Webサービス側が親切で表示してるだけなんですよね。 ってことは ・ドラッグされても特にボーダーラインなどを表示せず ・画面上のどこでもドロップを受け入れるようにし
URL が https:// から始まる SSL ページを閲覧すると、希にこんなエラーが表示されてしまう場合や、ブラウザのアドレス バーに鍵マークが表示されない場合があります。 ブラウザ別の警告メッセージ一覧: IE: このページには、安全な HTTPS 接続を使用しないで配信されるコンテンツが含まれており、Wen ページ全体のセキュリティを損なうおそれがあります。 Opera: への接続は保護されていないため、重要な情報を送受信しないでください。サーバーはセキュリティ保護を適用しようとしましたが失敗しました。 Firefox: この Web サイトとの通信は一部しか暗号化されておらず、第三者に盗み見られないようにはなっていません。 これは、警告メッセージからも分かるとおり、SSLページなのにページ内に「非SSLコンテンツ (http://)」が混在していること(逆のパターンもある)が原因
【WordPressのお問い合わせフォームをSSLで動かすのをやめました】contact form 7 + 共用SSLはやらないことにした 最近このブログやGoogle+でつながりを持った方と交流させていただいています。日々勉強になるなぁ、と感じています。で、今年やろうかと思っていた「お問い合わせフォームのSSL化」が丁度話題になりまして。これをやってみようかな~、なんて思いました。 「お問い合わせフォームを共用SSL環境下に置き、キャプチャコードもつけてスパムメール防止」 えっと、セキュアなお問い合わせフォームを目標にしていました。ですが、調べるうちにいろいろわかってきたというか、自分の認識と視点を変える必要があると感じました。下記はその経緯と結論をメモしたものです。メモといえど、本気で書いています。お時間がございましたら是非、ご覧下さい。 1.お問い合わせフォームの「SSL対応」は当然
@tokuhiromから教えてもらったのですが、COOKPADのスマートフォン向けWebサイトのログインページには、パスワードを「伏せ字にせず入力」するボタンがついているのですね。 さっそく見てみましょう。まずはログイン画面です。パスワード欄の下側に、「伏せ字にせず入力」ボタンが見えます。 「元に戻す」ボタンを押すと、伏せ字に戻ります。 僕はこれを知って興奮しました。なぜなら、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方」には以下のように書いたからです(P337~P338)。 パスワード入力欄のマスク表示は、現在の常識的なガイドラインですが、実は筆者自身は疑問を持っています。パスワード入力欄をマスク表示にすると、記号や大文字・小文字交じりの安全なパスワードを入力しにくくなるので、利用者は簡単な(危険な)パスワードを好むようになり、かえって安全性を阻害するリスクの方が大きいのでは
※ご注意: ウイルスバスターがインストールされている環境だと、この記事は読めないようです (→参考画像) (x-autocompletetypeとは?) Webサイトのフォームにワンクリックで個人情報を自動入力してくれる便利機能。ブラウザに、あらかじめ名前やメールアドレスや住所やクレジットカード番号などの情報を設定しておく。 アンケートサイトとかに超便利 入力が苦手なオカンも便利 とにかくべんり Google Chrome のみ対応してる (2012年4月4日時点)。 便利すぎて今後、他のブラウザも追随必至。 (ユーザーが自動入力を使うには) Google Chrome 設定 → 個人設定 → 自動入力設定の管理 → 住所氏名メールアドレス等を入れておく (Webページ側での自動入力の設定) inputにx-autocompletetype属性をつけて、値を email とか sname
こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます! 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる! 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです! (NG) あなたの名前は <?= $name ?> ですね! ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く