はてなブックマークボタンから収集した行動情報の第三者提供をやめます 皆さま、大変申し訳ありません。はてなブックマークボタンで収集される行動情報の外部企業への提供をやめます。 先週から、この情報提供について、多くの皆さまから反対のご意見をいただきました。はてなブックマークは、あらゆるページから簡単にブックマークでき、たくさんのブックマーク情報から人気の記事が得られる最高のサービスを目指しています。その一環として、はてなブックマークボタンの普及に努めてきました。2011年9月に、新しい収入源の開発と、ウェブサイトを訪れた際に最適な広告が表示されることでより価値の高い情報が手に入ることを目的に、はてなブックマークボタンで収集した行動情報の第三者への販売を開始しました。 ブックマークボタン本来の目的は、「ブックマーク数が分かる」ことと、「簡単にブックマークできる」ことです。このボタンの表示から得た
はてなブックマークのブックマーク数が多い順に記事を紹介する「はてなブックマーク数ランキング」。2024年11月のトップ50です*1。 順位 タイトル 1位 あなたが癌になった時に最初に知ってほしい事 2位 兵庫県知事選でおきたこと 3位 スパイスカレーのレシピ本を作った。Kindleで無料配信しているからダウンロードしてほしい。 4位 エアコンは安いダイキンEシリーズが良いよ。取り付け業者は自分で選ぼう 5位 (追記)在米増田、トランプが勝った理由がよく分かる 6位 【4896】1 人の新入社員が原因で部署が崩壊しそうです | Dr林のこころと脳の相談室 7位 日本語に特化したOCR、文書画像解析Pythonパッケージ「YomiToku」を公開しました|Kotaro.Kinoshita 8位 道民にはメジャー、道外人には「なにそれ?」なお土産 9位 兵庫県知事選、斎藤元彦氏が再選 議会や職
この数日間問題になっている「はてなブックマークボタン」ですが、当日記およびHASHコンサルティングオフィシャルブログにも、当該ボタンがついていました。何が問題であるかは以下が詳しいですが、要は、はてなの管理下でない当サイトで、はてなのブログパーツが読者の皆様のトラッキングをしていることが問題です。 参考: はてなブックマークボタンは2011年9月1日より行動情報の取得をしている ブログパーツやソーシャルボタンの類でアクセスログが残るのは当然だけどトラッキングされるのは当たり前にはなっていない はてなブックマークボタンのトラッキング問題で高木浩光先生が決別ツイートをするに至った経緯まとめ 私は、2006年11月に、はてなダイアリーで日記を書き始めて以来、一貫してはてなのサービスを利用してきましたので、当ブログにも「はてなのボタンもつけとかなきゃな」程度のノリでボタンをつけておりました。その時
先ほど「このブログの「はてなブックマークボタン」について」で、このダイアリーは安心ですよって書きましたが、はてなブックマークの方はダメみたいです。 基本的に b.hatena.ne.jp 配下のどのページもダメ。send.microad.jp に何か送信してます。テンプレートに入っているのか、ページの末尾の方ではてなブックマークボタンのスクリプトが必ず読み込まれます。 <script type="text/javascript" src="http://b.st-hatena.com/js/bookmark_button.js" charset="utf-8" async="async"></script>なぜかはてなブックマークの設定画面でも読み込まれます。 この bookmark_button.js が読み込まれて実行されると、みんな大好きマイクロアドさんのスクリプトも読み込まれて、最
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
どうやら hatena は SPF宣言してないみたい・・・!! 「え?SPF?なにそれ?何のこと?」ってな方が多いとおもいます。 紫外線から守ってくれる奴ではありません。 SPFとは電子メールの送信ドメイン認証のひとつで、「このドメインからはこのIPアドレスでメール送るよ!」とDNSに書いておく方法です。yahooメールやgmailなどのSPF認証に対応した受信サーバではメールを受信すると、"Envelope From"のドメインでDNS TXTレコードを引きます。ここに送信サーバのIPが列挙してあるので、そことセッションIPを比較すれば、なりすましたメールかどうかを簡単に見分けられると言う技術です。 http://ja.wikipedia.org/wiki/Sender_Policy_Framework これを宣言していないと「なりすましメール」かどうかの判定ができません。今はまだそれほ
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
眼鏡っ娘バージョンの長門さんがたくさん登場するのでメモ。 Hare Hare Yukai (Full Chorus Edition) 本日の自己言及的文を読んで思いついた文。 この文は自己言及文ではありません。 はてな認証 API への攻撃シナリオの「どういう場合に、cert が漏れるか」に対して。 (c)「サービスXの、あるセッションのcert」 (c1)「サービスXの、あるセッションのcert」が直接漏洩する場合 (c2)「cert生成アルゴリズム」と「はてながcert生成アルゴリズムで使っている種」が漏洩する場合 (c3)「cert生成アルゴリズム」に脆弱性がある場合 kazuhoさんが書かれているのは上の(c1)の場合かと思います。 (以下は古いもの) (a)「サービスXの秘密鍵」 (a1)「サービスXの秘密鍵」が直接漏洩する場合 (a2)「秘密鍵の生成アルゴリズム」と「はてなが秘
テストAPPを作ったら、やっと前半部分が理解できた。 まず、c=e&rt=...というのは、ダイジェストを生成する際にキーと値を並べていくので、 String apiSig = d.getMD5Hex(secret + "api_key" + apiKey + "c" + "e" + "rt" + rt); となり、cert=...を指定したものと同じシグニチャとなる。 ・・・ ここで、c=e&rt=abcをsubmitしてcert=abcのシグニチャを含んだアンカーを生成できるということは、本人がcertを受け取ってリダイレクトする前に、他人がcertに対するシグニチャを入り口ページで計算してもらって先に投げれば、理論的には他人が横取りすることができるということか・・。 でもそれで何ができるんだ!?(頭が回らない・・・) ・・・ この問題については、今後の仕様改訂の際に、 URL Pat
XSS 脆弱性対策のみならず、「ブラウザの脆弱性に起因する問題についてもブログサービスは対処すべき=ユーザによる任意のスクリプト利用は禁止すべき」といった考え方に対置する意見を、以下に記します。 hoshikuzu | star_dust の書斎(2006-02-06) (いくつかの不便と引き換えに)なりすまし問題が生じないサービス設計を行っている fc2 ブログでは、ユーザが任意のスクリプトを利用できます。したがって fc2 ブログでは「極悪スクリプト」を貼ることができます。けれども、閲覧者が fc2 ブログで被害にあったとき、script 要素を許可している fc2 が悪いと思う人より、ブラクラを仕掛けたユーザが悪いと考える人が多いでしょう。isweb や geocities や cool でもそうだったように。 ブログサービスは横のつながりを強く意識しています。はてなで言えばキーワー
_ 徳保さんのはてなXSS関連の認識の間違い あるいは「ブログサービスの XSS 脆弱性対策はいらない その3」。 徳保さんはセキュリティ関係の知識が足りていないんで、きちんと勉強するまではXSSなどのセキュリティ関係の用語を使わないで語った方がいい。というか誤解を広げめられると迷惑だ。 「d.hatena.ne.jp 以下のコンテンツでスクリプトの悪用はありません、なぜならはてなが特別に許可したスクリプト以外は使用が制限されているからです」という安心感を売り物にしようとしている はてなはCookieによるユーザー認証を利用しており、ユーザーに自由なJavaScriptを許すと、認証情報の盗難・悪用が可能になるから、ユーザーのJavaScript利用を禁止している。それは「安心感を売り物にしている」というレベルではなく、ユーザー認証を利用したサービスを提供しているサービス提供者の最低限の義
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
