2006-04-01
[Devel]FireBug: JavaScript, CSS, HTML, Ajaxのデバッグ用Firefox拡張機能
IT戦記 - FireBug の新しいバージョンが便利すぎる件について
[Security]OpenBSDのTheo de Raadt、ただ乗り企業の存在を嘆く
ITmedia エンタープライズ:OpenBSDのシャオ・デ・ラード氏に聞く (3/3)
ここであえて言わせてもらいます。OpenSSHに欠陥が見つかり、それがSunSSHに引き継がれていたとしても、Sunには教えません。ひょっとすると、そうした欠陥がすでにあるかもしれません。
[Computer]舞波デコヒーレンス: 無差別送信の性質を利用したspam対策
ヽ( ・∀・)ノくまくまー(2006-03-31) (via オレンジニュース)
メアドのエイリアスを併記しておいて、重複したメール=spamと判定する。
割と簡単に実装できそう。
[Security]開発者のための正しいCSRF対策
開発者のための正しいCSRF対策 (via kinnekoの日記)
■誤った対策その1: セッションIDをトークンとして使う http://takagi-hiromitsu.jp/diary/20050427.html において高木氏によって考案されたのち、多くのウェブサイトや書籍などで紹介されるようになった方法である。以下のサイトや書籍で紹介されている。
この方法は「ブラウザに脆弱性がない」ことを前提として考案されたものである。しかし現実にはIEにCSSXSS脆弱性という「Cookieにはアクセスできないが、hiddenフィールドの値にはアクセスできる」バグが存在している。そのためこの方法を採用したウェブサイトは、リクエスト1でGETを使える場合、CSSXSS脆弱性を悪用することによりセッションIDが盗まれ、結果としてセッションハイジャックされてしまう可能性がでてくる。
追記(2006.04.03):IEのバグによる問題なので、「不十分な対策」と呼ぶのが適当ではないかと指摘されています。
参考:yohgaki's blog - クロスドメインのHTML読み取り(IEのバグ CSSXSS)とCSRF
[Server]Hinemos: サーバ運用監視ツール
NTT DATA - サービス&プロダクト (via おいっちょの日記)
IPAの委託を受けて開発されたオープンソースのサーバ運用監視ツール。
本ソフトウェアは、複数のコンピュータを単一のコンピュータのイメージで運用することを目指すオープンソースソフトウェアです。ユーザが運用目的ごとにコンピュータをグループ登録できる機能を備え、運用目的に応じた監視や操作をGUIで容易に行う環境を提供します。 機能 (1)リポジトリ情報管理機能 (2)状態監視機能 (3)性能管理機能 (4)ジョブ管理機能 (5)一括制御機能 ver2.0 で新たに以下の機能が追加されました。 (1)アクセス管理機能 (2)カレンダ機能 (3)プロセス監視機能 (4)SQL監視機能 (5)SNMP監視機能