meta name="referrer"は、HTTPS→HTTPでもリファラを出す新しい仕様 | 初代編集長ブログ―安田英久
今日は、ちょっと技術的な話を。「meta referrer」という、リンクをクリックしてページ移動するときなどにリファラをどう送るかを、ページ側で指定できるタグの実装が進んでいるのです。 グーグルはHTTPSを推奨するけれども、リファラが……グーグルは、サイトがHTTPSかどうかを順位決定の要因とするなど、HTTPSを推奨しています。 でも、自分のサイトをHTTPSにすると、自分のサイトから非HTTPS(ふつうのHTTP)のサイトへのリンクをクリックしたときに、リファラが飛ばないんですよね。 これは、RFC 2616で、「セキュア接続のページから、非セキュア接続のページに移動するときは、リファラを送出するべきではない」と定められているからです(セクション15.1.3)。 とはいえ、Web担のようなメディアでは、「Web担のページから、うちのサイトにけっこう来る人いるんですよ」という反応も大
Masato Kinugawa Security Blog: Referrer文字列によるXSS
リファラを使ったXSSの小ネタです。 今回取り上げるのは、ターゲット自身が、細工したページを経由することでつけられたリファラによって攻撃を受けるケースです。このような攻撃の場合は、現実に経由可能なページからでしか攻撃文字列を送りこむことができません。 例えば、以下のように、document.referrerをそのままdocument.write()しているページがあるとします。 http://vulnerabledoma.in/location/ リファラを書き出している部分でXSSできるでしょうか。 IEでは単純です。 IEはURLのクエリに、エンコードせずに「"<>」などを含めることができるので、これらを含むURLから、リファラを書き出しているページへ遷移させれば、XSSが起きます。 http://l0.cm/xss_referrer.html?<script>alert(1)</sc
いつHTTPの"Referer"ヘッダは送られるのか? | NCSIRTアドバイザリ | 情報セキュリティのNRIセキュア
いつHTTPの"Referer"ヘッダは送られるのか? (SANS Internet Storm Center Diary 2013/8/25より) SANSインターネットストームセンターのハンドラであるJohannes Ullrichが、HTTPのRefererヘッダについて報告している。 (掲載日:米国時間 2013年8月25日) "Referer"ヘッダは頻繁にプライバシーの問題があると見なされる。ブラウザが最後に訪れたWebサイトを知らせてしまうからだ。Webサイトが不用意にコード化されていた場合、ブラウザは機密情報(セッショントークン、ユーザ名/パスワード、URLの一部として送信される他の入力情報)を通信する可能性があるだろう。 例えば、Refererヘッダは頻繁に内部システム(ウェブメールシステムのような)や顧客サービスポータルをさらしてしまう。 Refererヘッダによる送信
Google検索のリファラーが変更になります
Google Analytics Blogのアナウンスによると、Googo.com検索からのリファラーが変更になるとのことです。 今までは、このような形式でした。 http://www.google.com/search?hl=en&q=flowers&btnG=Google+Search 新しいのは、このような形式です。 http://www.google.com/url?sa=t&source=web&ct=res&cd=7&url=http%3A%2F%2Fwww.example.com%2Fmypage.htm&ei=0SjdSa-1N5O8M_qW8dQN&rct=j&q=flowers&usg=AFQjCNHJXSUh7Vw7oubPaO3tZOzz-F-u_w&sig2=X8uCFh6IoPtnwmvGMULQfw アクセス解析にGoogle Analyticsを使っていれば
Referer spam 臭が強い検索サイト - [ぴ](2007-09-17)
_ [日記/blog] Referer spam 臭が強い検索サイト tDiary のリンク元を見ていると、ここ最近見慣れない検索サイト?からのアクセスが急増していることに気がついた。 ざっと眺めていると、ある程度共通点がある。 このサイトへのリンクは、ページのメインコンテンツからではなく、「関連エントリー」「ピックアップ・エントリー」等としてページ最後などに小さな枠として表示されているアフィリエイトがページの大半を占めているものが多い関連エントリーのリンク先が tDiary サイトであることが多い どうも、検索サイトを装って Anti Referer Spam プラグイン対策を行ったうえで tDiary を狙った spam サイトではないかという疑いがある。 (Anti Referer Spam プラグインの作者の日記でもちょうど spam 対策漏れについて取り上げられていた) アクセス
](https://cdn-ak-scissors.b.st-hatena.com/image/square/d228e8be070c32c738781e15c25aeb18f4dc6807/height=288;version=1;width=512/https%3A%2F%2Fpmakino.jp%2Ftdiary%2Ftheme%2Fogimage.png)
スパムサイト作成講座21 - リファラスパムでバックリンク : 管理人@Yoski
リファラスパムとは、Webサイトにアクセスする際に送信する「リンク元」情報を偽装することだ。 アクセス解析を見ている人なら、よく怪しげなサイトが「リンク元」として表示されているのに気づくだろう。 自サイトをリファラ情報にいれていろいろなサイトに大量にアクセスすることで「足跡」を残すことができる。 リファラスパムについては「逆アクセスしてきた人を陥れる」ためのものというより、リンク元表示機能を利用した「バックリンク」獲得のために使われることが多い。 しかし、リファラスパムでは関連性の低いサイトから短期間に大量のバックバックリンクを生成することになるため、検索エンジンも「品質の低いリンク」とみなすことが多いようで Google には通用しにくくなってきている(Yahoo も最近アルゴリズムが変更されたとのことなので、対応が進んでいるのかもしれない)。 前回も少し書いたが、バックリンクを獲得する
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
