これはひどい。典型的な脆弱性。hiddenで渡されたメールアドレスをそのままメールの送信先としてsendmailに渡そうとしてる。 誰も気づかないもんなんだなぁ。IBMひでえ。

の変更は今更ながら大事だなぁと、改めて痛感しました。レンタルサーバ環境においてセッションを使うスクリプトのsession.save_pathがデフォルトであると、セッション弄り放題だと言う事か。。例えセーフモードとCGIwrapが使われていようと。 けれど、セーフ…

今出てるPHPセキュリティ本の中で一番だと思った。以下勉強になったところとメモ。 文字コードとXSS。(文字コード明示) 不正にエンコードされた文字の処理。(mbstring.subtitute_character) P.51-53を再考。 ファイル名の改ざん時にNULL文字。 セッションデ…

今更ながら興味深い。けれど、今流行りの情報漏洩なんかはやはり数字には表れにくいのか、見て分かる被害がある事例の件数よりも極端に少ない。 海外の資料と比較して日本の傾向なんかを調べたら面白そう。

とかとか必要だなぁ、とか思ってたときにWebセキュリティ、プライバシー&コマース 下 第2版 システム管理者・コンテンツ提供者編という本にベリサインがレベル分けして本人確認証明書を発行していると言うことが書いてあったのでメモ。個人用電子証明書とい…

Sender ID：送信者側の設定作業 (1/4)：送信ドメイン認証技術解説 - ＠IT MTA/AntiSPAM/Sendmail への Sender ID 実装 - Pocketstudio.jp Linux Wiki MTA/AntiSPAM/Sender IDって何？ - Pocketstudio.jp Linux Wiki MTA/AntiSPAM/Sender ID を導入してみる -…

PHPでの実装開始。 電子署名方式の最新技術「DKIM」とは (1/4)：送信ドメイン認証技術解説 - ＠IT dkim-milter 基本。 Mail::DKIM - Signs/verifies Internet mail using DKIM message signatures - metacpan.org Mail::DKIM::Signer - generates a DKIM sig…

MTAでフィルターを設定しなくても、DomainKeysが使えるようになるライブラリ。ここからclassファイル及びサンプルプログラムをダウンロードできます。PHPプログラムが出来る人しか対象にしてません。 出来る限り頑張って最新の仕様で書いたので下位互換性ゼ…

電子署名を使うDomainKeysの設定方法 (1/4)：送信ドメイン認証技術解説 - ＠IT MTA/AntiSPAM/Domain Keysって何？ - Pocketstudio.jp Linux Wiki MTA/AntiSPAM/Sendmail への Domain Keys 実装 - Pocketstudio.jp Linux Wiki 上記URLを読むとだいたいDomainK…

様々なサイトで提供されているProxyリスト。そこでProxyを見つけ使用した場合、暗号化されていないデータがProxyサーバ設置者に筒抜けなのは周知の事だが、ここではProxyサーバ設置者側の視点からHTTPSでやりとりされているデータの取得を考えてみようと思う…

インストールして実際にどの程度の物なのかテストしてみた。PGPということで期待していたのだけれど、その希望は見事に打ち砕かれた。 GUIの表示不具合のバグリリースノートに記されている仕様や、暗号化済ドライブの動作が曖昧な点(エクスプローラーでドラ…

ProtectDrive 20000円 AES256bit 体験版有 復号化ディスクにより全領域復号化可能 一番気になっている。 Drive Crypt Plus Pack 161.25US$ AES256bit 体験版有 復号化ディスクは起動ドライブしか復号出来ない PGP Desktop Professional 179$ 体験版有

CAPTCHAが有名だけれど、狙い打ちされるサイトでなければJavaScriptを使った方がサイト管理人にも、書き込む人にも楽。 具体的には、送信ボタンを押すときにJavaScriptで任意のパラメータを送信し、それをウェブプログラム側で確認するだけ。 クライアント側…

e-bankのセキュリティにはメールが使われている。そして、この度メールがe-bankから僕のアドレスに届かなくなった。アドレス自体は生きてるので、SPAM関係の制限でメールが届かなくなったのかも知れない。 メールを使って制限を解除し出金する手はず立ったの…