セキュリティ | ねねとまつの小部屋

Archive for the ‘セキュリティ’


Firefox3で、EV SSL 対応のサイトはロケーションバーが緑色

by redgasuki

Published 6 月 20th, 2008 in EV SSL, Firefox, セキュリティ | No Comments »

add to hatena hatena.comment (0) add to del.icio.us (0) add to livedoor.clip (0) add to Yahoo!Bookmark (0) Total: 0

今日、Firefox3でEV SSL対応のサイトにアクセスすると、ローケションバーが緑色になっていることに気がつきました(Beta4から使っていたので、気がついていなかっただけかもしれませんが・・・)

image

このローケーションバーをクリックすると、証明書の情報が見れます。

image

通常のSSLとSSLなしの場合は次のとおりです。


続きを読む >>  "Firefox3で、EV SSL 対応のサイトはロケーションバーが緑色"

Popularity: 11 %

一つ星二つ星三つ星四つ星五つ星 (まだ評価されていません)
Loading ... Loading ...

ニコ動、Youtubeもしばらく禁止、ゼロデイの脆弱性Flash Playerのアンインストール手順、Safariは注意

by redgasuki

Published 5 月 29th, 2008 in セキュリティ | 2 Comments »

add to hatena hatena.comment (0) add to del.icio.us (0) add to livedoor.clip (0) add to Yahoo!Bookmark (0) Total: 0

てっく煮ブログさん「Flash Player最新版にゼロデイでプログラム実行される脆弱性」で見ました。

ITPro: Flash Player最新版に不正コードを実行される脆弱性,Symantecが警告:ITpro
ITmedia: 既に攻撃多発か? :Flash Playerにゼロデイの脆弱性、大規模被害の恐れも
INTERNET Watch: Flash Playerに新たな脆弱性、サイト改竄と組み合わせた攻撃も発生
CNET Japan :Adobe Flash Playerに未修整の脆弱性、JPCERT/CCが注意喚起:ニュース

コレって、やばくね。

はてブのコメントで、

とりあえずFlash Playerを9.0.124にアップデートすべしとのこと。http://blogs.adobe.com/psirt/2008/05/potential_flash_player_issue_u_1.html

リンク先をみても、どうみても、「解決してないけど、最新版にしてね。」というお願いらしいので、

update:2008.5.29 13:00

違った。英語力のなさに、私が泣いた・・・

http://blogs.adobe.com/psirt/2008/05/potential_flash_player_issue_u_1.htmlアップデートされた情報によると、Symantecも確認済み

以下、無駄な努力!?

アンインストールすることに

しばらくは、動画系サイトは使えないということで

あれ?Flash Playerのアンインストールってどうやるんだっけ?

、ということで備忘録。


続きを読む >>  "ニコ動、Youtubeもしばらく禁止、ゼロデイの脆弱性Flash Playerのアンインストール手順、Safariは注意"

Popularity: 7 %

一つ星二つ星三つ星四つ星五つ星 (2 投票, 平均: 4.5 中 5)
Loading ... Loading ...

【CakePHP】CSRF対策でSecurityComponentを使う場合の注意点

by redgasuki

Published 1 月 25th, 2008 in CSRF, PHP, cakephp, セキュリティ | 3 Comments »

add to hatena hatena.comment (0) add to del.icio.us (0) add to livedoor.clip (0) add to Yahoo!Bookmark (0) Total: 0

”同一ページに複数フォームを設置しない。”

CakePHP Users in Japan. クロスサイトリクエストフォージェリ対策

私の場合、条件によって、2種類のフォームを切り替えていたのですが、

ログインしてなければ、ログインフォーム(<?php echo $html->formTag(); ?>あり)を表示

ログインしていれば、ログインアウトフォーム(実体はボタンだけ)を表示していたのですが、

どうやら、このような場合でもダメだったようです。

CakePHPでCSRF対策をおこなう場合は、以下のページが詳しいです。

Shin x blogさんCakePHPでCSRF対策

Sun Limited Mt.さんCakePHP Security コンポーネントのまとめ

忘れてはならないのが、CakePHPガイドブック。役に立つ本です。

 

CakePHPガイドブック

 

CakePHPガイドブック

posted with amazlet on 08.01.25

安藤 祐介 新原 雅司 堂園 俊郎
毎日コミュニケーションズ (2007/10/25)
売り上げランキング: 22803

 

おすすめ度の平均: 4.5

5 よくまとまっている
5 1.1系がメイン、しかし基本的な学習には充分
4 判りやすく丁寧に書いてあります。

Amazon.co.jp で詳細を見る

Popularity: 21 %

一つ星二つ星三つ星四つ星五つ星 (2 投票, 平均: 1 中 5)
Loading ... Loading ...

【CakePHP】比較演算子インジェクションを気にせずに済む、findAllByやfindByでorderやlimitを指定する

by redgasuki

Published 12 月 26th, 2007 in PHP, cakephp, セキュリティ, 比較演算子インジェクション | No Comments »

add to hatena hatena.comment (2) add to del.icio.us (0) add to livedoor.clip (1) add to Yahoo!Bookmark (0) Total: 3

激しく便利だったので、久しぶりにCakePHPネタを更新です。

CakePHPのfindやfindAllには、Shin x blogさんのCakePHP 比較演算子インジェクションに注意やCakePHPガイドブックで言及されているとおり、条件を連想配列で渡す場合、比較演算子インジェクションに注意しなければいけません。

それに対して、findByやfindByAllには、その対策がとられています。

ただし、 APIをみても

$this->モデル名->findAllbyカラム名(検索条件);

検索条件を指定するという書き方しか載っていません。

CakePHPガイドブック

ところが、

続きを読む >>  "【CakePHP】比較演算子インジェクションを気にせずに済む、findAllByやfindByでorderやlimitを指定する"

Popularity: 22 %

一つ星二つ星三つ星四つ星五つ星 (4 投票, 平均: 5 中 5)
Loading ... Loading ...