こんにちはこんにちは!! 夏ですね! 真夏ですね!! ところで最近、ライブドアの一部の人気ブログで、サイドバーの挙動に「んん?」って思ったことありませんか! …百聞は一見にしかずってことで、実際の例をみてみましょう! ※PC版のみです ハムスター速報 (左のサイドバーを見ながら、下にスクロールしてください) 痛いニュース(ノ∀`) (右のサイドバーを見ながら、下にスクロールしてください) ある程度スクロールすると、サイドバーの広告がぴたっと固定されますね! これって流行りなんでしょうか…! そんなわけで、もしかしたら同じことをやりたい人が他にもいるのかも?と思って、 コピペで使えるJavaScriptにしてみました! ↓ 動作サンプルです! スクロールしたらサイドバーの広告を固定するスクリプトの動作サンプル ↓ コードはこれです! 適当にコピペしてブログに貼り付けてね! <script t
こんにちはこんにちは!! 今日はCSRF脆弱性のちょっとした話です! このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法のひとつ。 わかりやすい例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 <img src="何々SNSの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSの足跡.phpにアクセスしたことになる。 ※詳しくはこちらのマンガで → [はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! : 第2回 しーさーふって何ですか? CSRFってこんな風に、 「ログイン済みの人に何か操作させる」ってイメージが強くて、 対策する側もまた、「既にログイン済みの人を守る」ような考えが強いんだよね。 例えば、勝手に日記に投稿させないように対
こんにちはこんにちは!! 先日、はてなの代表のjkondoさんとお話する機会があったので、 タダメシなのを良いことにワインをがぶがぶ頂いてきました! おいしかったです。 そこで「はてなに何かご意見ありますかー」って話題になり、 ぼくがお話したのが、 「参入する敷居が低いアプリケーションプラットフォームをつくってみては?」 というものでした。 どういうことかって言うと、 個人や小規模な組織がWebのゲームやアプリケーションを出す場って、 ユーザー集めや、課金のことまで考えると、なかなか良いのがないなーって思って。 たとえば流行りのソーシャルゲームを作ってみたいとしても、 GREEやモバゲーは、広告を買わないと導線なくて人こない、少々金があっても広告が買えないことも多い…みたいな状態で、 実は小規模なところには何かと敷居が高い。 それにもしかしたら、個人とかでも、 「おれなら個人でもっといいソ
こんにちはこんにちは!! はまちや2 (@Hamachiya2) ブロガー、クラッカー。特技は洗濯、趣味は破壊、苦手なことはプログラミング。 WEB+DB PRESS のお便りコーナー担当。 「はまちちゃん」とかで適当にググってください。 無料で プレミアム機能を 使う方法 見つける時間がありませんでした。 何話そう? プログラムは苦手だし… セキュリティとか興味ないし… そんなわけで普通のことを話します。 本日のテーマ: 『ふつうのformを使いたい』 <form> 電話番号はハイフン抜きの半角で…(はいはい) フリガナはカナで… (カナで名前を学習してしまうのが嫌だけど…) 郵便番号は前と後ろに分けて… (めんどくさいなぁ…) 住所は全角で… (あーはいはい…) … (できた!) (これで送信、と…) ※エラー:住所を正しく入力してください (え、なんで!?) ※住所は全角で入力してく
こんにちはこんにちは!! 今日はiPhoneのちょっとしたメモです! まずはデモ。 スマホで見るといいかも?→ http://bit.ly/wbKXXG ・iPhoneのSafariはaudio要素が使える ・audio要素はブラウザ上で音声を再生できる ・iPhoneだとマナーモードでも音声を再生する ・ただしiPhoneで自動再生はできない ・そのかわりクリックイベント経由などで再生することはできる ということは… ・うまくクリックを誘発するような画面をつくり (バッテリー警告そっくりのダイアログ出すとか) ・人に聴かれては困るような音声を埋め込んでおき ・電車の中などでiPhoneを使っている人が多い時間帯を狙って… 【拡散希望】 RT @Hamachiya2 これすごいよ!iPhoneユーザー必見!! http://bit.ly/wbKXXG などとtwitterに流すことによって
有田マツコの番組にでているハッカーのはまちやさんって昔mixiの脆弱性を指摘したり足跡チェッカーなどのツールを配布していた人ですか?
こんにちはこんにちは!! 最近テレビCMすごいですね…! GREEとかモバゲーの携帯向けゲームの。 いわゆるソーシャルゲームと呼ばれているやつですね! でもこれ、はてなブックマークや2chみたいな「ネットに強い人たち」が集まる界隈だと、 だいたいちょっとバカにされて(?)いるんだよね。 「情報弱者から搾取してる」 「あんなものパチンコと同じだろう」 「無料で釣って騙してる」 「遊んでる側も、作ってる側もクズみたい」 こんな意見をよく見かけるよ。 うん、よくパチンコと比較されて「同じような悪いもの」とされている気がする。 それでぼくも似たような感覚を持っていたんだよね。 たしかに今は儲かるんだろうけど、 ああいうのは、なんとなく良くないものなんじゃないかなぁって。 それで、先日、友だちのzakiさんと飲みにいった時のこと。 たまたまその話題がでて、 ぼくが「パチンコと似ている」ってことを言っ
こんにちはこんにちは!! さいきんめっきりフェイスブック漬けのはまちやですこんにちはー! ところでfacebookでは最近「アカBAN祭り」というものが行われているらしくって、 実名かどうか疑わしい人を対象に、 次々と予告なくアカウントが停止されていってるようなのです>< あの「ホームページを作る人のネタ帳」の人や、 はてなでおなじみの id:kanose さんまでもが停止されたとか…! → (参考) Facebook、春の垢BAN祭りが始まったよ! そんなこんなで、ぼくも本日早朝いよいよアカウント停止されちゃいました! でも、わりとあっさりと復活できたので、 その手順をメモしておきますね! なにかの参考になれば…! 1. アカウントが停止されたら ログインしようとするとこんな画面になります…>< 2. facebookのフォームから申請しよう! → Facebook「僕と契約して、実名に
前の日記にも書いたけれど、 ぼくの名前をかたったウイルスがアメブロに広まっていたみたいなので、 ちょっとだけ調べてみたよ。 (参考) [ほまち] gooブログ検索 ぼくのIDって「hamachiya2」なんだけど、それとすごくよく似たIDを誰かが取得して、そのIDのプロフィールページに変なコードが仕掛けられてあったみたい。 ざざっと調べた感じだと、下の4つのIDを確認したよ。 homatiya2 (ほまちや2) [プロフィールの魚拓] [画面キャプチャ] homachiya2 (ほまちや2) [プロフィールの魚拓] [画面キャプチャ] hamatiya2 (はまtiや2) [プロフィールの魚拓] [画面キャプチャ] hamachya2 (ぼくはまちちゃん!こんにちは…) ※綴りに「i」がない [プロフィールの魚拓] [画面キャプチャ] いずれもプロフィールページに「 http://bit.
こんにちは! みなさんガジェットつくってますか! なんだか最近、色々な種類があるみたいですね! Yahooナントカとか、Googleガジェットとか、Adobe AIRとか、シルバーナントカとか、あとWindowsサイドバーだとか…。 こういうガジェット的な、ちょっとしたデスクトップ用のツールって、 どうやってつくるのかなーなんて思って、ちょっと調べてみました! そしたら意外と簡単だった…! これならぼくにも作れそう!! ってことで、ちょっとメモしておきますね! どれにしようかな…! つくるのが簡単なこと WinでもMacでも動いてほしい 使う人がインストールしやすそうなのがいい こんな感じで考えていくと… 最終的に、Googleガジェット か AIRなのかなー、ってことになりました! でも実際ぼくはGoogleガジェットなんて使ったことないし…! (なんとなくGoogleデスクトップとかも
あらあら予告inがXSSやられちゃったらしいですね! 使い古された手法? いまどきエスケープ処理すらしてなくてダサい? 関連の記事に対して、はてなブックマークでも色々言われていたり、 http://b.hatena.ne.jp/t/%E4%BA%88%E5%91%8A.in?threshold=1 ニュースサイトでも、こんな煽り記事を書かれていたりするけれど… 今回の件についてIT企業に勤めるエンジニアに聞いてみると、 「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの?」 と語る。 予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」 http://news.livedoor.com/article/detail/3759632/ それってどうだろうね。 GoogleやAmazo
こんにちは! いよいよぼくも月に4000円くらい稼げるようになって、すっかり大物アフィリエイターの仲間入りのはまちや2です! さて今日は、ちょっと書評とかでアフィリエイトやってみたいなーなんて人に向けて、 はてなダイアリーでアフィリエイトをやる時のコツなんかを書いてみようかと思います! あ! 今回は先に結論を書いておきますね! はてなダイアリーは無料ユーザーでもアフィリエイトしてOK 実はAmazonの貼り付けコードは、全種類そのままダイアリーに貼り付けられる(iframeでもobjectでもscriptでも) 「はまぞう」は使ってはいけない できればAmazonの貼り付けコードもそのままじゃない方がいいよ はてなダイアリーはじめて間もない人なら、「過去の日記」で審査を通す ニックネームはユニークに、だけど、アソシエイトIDは非ユニークに そんなの常識じゃん!なんて思っちゃったようなプロの
大変です! たいへん! こんにちは!! さっきtwitterにも書いたんだけど、警察から電話がありました! どうしよう!!! とりあえず、せっかくなのでこっちの日記にも書いておきますね!! そう、ぼく予告.outを、自慢のD905iでも読み書きできるようにしよーって思って、久しぶりに携帯を見てみたんだよ! そしたら、いつもはモバゲーのマキとか、ジャンカラとか、逆援希望とかのメールばかりなのに、珍しいことに留守電が! はやる気持ちを抑えつつも、再生してみたら、宮城県警でした! びっくり! なんでぼくに警察から電話が! しかもミヤギの! あ! そうか! 予告.outがすてきだからってことで表彰してくれるのかもしれない! あるいは一日署長の依頼かも? そんな感じでわくわくしながら、電話してみたよ! 警察: はいこちら警察本部ですー はまち: あのうそちらのサイバー?なんとかさんから、ぼくあてにお
(Summary in English of this entry) Utilizing Yahoo! Site Explorer, it is possible for third parties to prevent your site by being displayed in search results. The reason is that the meta tag used for administrative rights confirmation is accepted even in the the page body even if it is html escaped. 3rd parties can gain control of your site simply by adding a comment to one of your pages. こんにちはこんに
こんにちは! Amazonほしい物リスト、すごい話題になってますね! なんでも、メールアドレスで検索すればAmazonに登録してある本名がでてくる (ケースもある) とか…。 で、さっそくぼくも試してみたよ! ほしい物リストサーチ! これって、いま話題になっているのは、誰かのメールアドレスを手がかりにして ウィッシュリストや本名、下手すると住所まで知られてしまうってところだよね。 それだけでも面白いんだけど、 あまり注目されていない機能として、こんなものがあったよ。 友だちにほしい物リストについて知らせる これ。 自分のほしい物リストを誰かにメール送信できちゃう機能らしいね! じゃあ試しにメール送信時のリクエストを確認してみると… http://www.amazon.co.jp/gp/registry/send-nudge.html?ie=UTF8&type=wishlist&__mk_j
twitterはswfからクロスドメインでアクセス可能 → http://twitter.com/crossdomain.xml user_timelineは twitter にlogin 中であれば、BASIC認証なしで取得できる → Twitter API 仕様書 ↑別にAPI経由にこだわらなくても loadVarsで普通にページを読み出せばよかった つまりこんな感じの仕掛けを自分のブログやホームページ等に埋め込めば、 訪れた人の twitter id を、IPアドレスやUser agent等とあわせて知ることができる。 さらに、protectにしている人の発言を取得できることも確認。 ついでに、settingsのページからメールアドレスなんかもあわせて抜き出すことも可能。 Direct Messages の送受信履歴なんかも抜き出せることを確認した。 (追記) さきにやってた人(@n
初心者はPHPで脆弱なウェブアプリをどんどん量産すべし ↑のブックマーク うん。増田くんはいつもいいこと書くね! ブックマークの方には 危険だとか迷惑だとか踏み台だとか色々かいてあるけれど(というか踏み台ってなんだろ?) そんなに大切な個人情報をたくさん扱ってるサイトなんてどれだけあるかな。 みんなそういうサービスつくってるの? なんかすごいね。 ぼくの使っている範囲だと、(提供側が気をつけていないと) 本当にまずいのは銀行と証券とカード会社のような、お金のからむサービスくらいだよ。 もちろん、他にメール内容だとか、購読しているフィードだとか、知られたくない個人情報なんてのは、人によってたくさんあるよね。 だけど、例えばぼくがメールサービス作りましたなんて言ったら誰か使う? それか無名の団体だったらどうかな。それで大切なメールやりとりしちゃうの? そう。そもそも、利用者もそれほどバカじゃな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く