今年のページビューランキング上位15を発表します

2013年も終わりですので、徳丸浩のブログの今年のページビューランキング上位15を発表します。

1. ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
2. パスワードの定期的変更について徳丸さんに聞いてみた(1)
3. イケダハヤトさんへの手紙 : 敵意ある他者との対話について
4. ヤフー株式会社様に「秘密の質問と回答」に関して要望します
5. そろそろSQLエスケープに関して一言いっとくか: SQLのエスケープ再考
6. ロリポップ上のWordPressをWAFで防御する方法
7. eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策
8. Yahoo!ジャパンの「秘密の質問と答え」に関する注意喚起
9. HTTPSを使ってもCookieの改変は防げないことを実験で試してみた
10. パスワード攻撃に対抗するWebサイト側セキュリティ強化策
11. SQLの暗黙の型変換はワナがいっぱい
12. SQLインジェクションゴルフ - なんと3文字で認証回避が可能に
13. 多発するWeb改ざんに備えてinotifywaitによる改ざん検知を導入した
14. Evernoteのテキストを暗号化する方法
15. IE10にはパスワード表示ボタンが付いている

ランキング入りしたエントリの分類をしてみました。まず、侵入事件関連のものがやはり関心を集めたようです。上記には、ロリポップ、Yahoo!ジャパン、Evernoteの侵入事件に関連したものがあります。

ロリポップ事件

1. ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
6. ロリポップ上のWordPressをWAFで防御する方法

Yahoo!侵入事件

4. ヤフー株式会社様に「秘密の質問と回答」に関して要望します
8. Yahoo!ジャパンの「秘密の質問と答え」に関する注意喚起

Evernote暗号化(Evernoteへの侵入を受けて)

14. Evernoteのテキストを暗号化する方法

また、パスワードリスト攻撃の多発に伴い、パスワードネタも良く読まれました。

2. パスワードの定期的変更について徳丸さんに聞いてみた(1)
7. eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策
10. パスワード攻撃に対抗するWebサイト側セキュリティ強化策
15. IE10にはパスワード表示ボタンが付いている

改ざん事件の多発にともない、弊社サイトにinotifywaitを用いた改ざん検知を導入しました。これはリアルタイムの改ざん検知の仕組みですが、tripwireのオープンソース版も導入しています。

13. 多発するWeb改ざんに備えてinotifywaitによる改ざん検知を導入した

定番のSQLインジェクションネタ。5と11は古いネタですが、安定して読まれています。どちらも私にとって思い入れの深いエントリです。

5. そろそろSQLエスケープに関して一言いっとくか: SQLのエスケープ再考
11. SQLの暗黙の型変換はワナがいっぱい
12. SQLインジェクションゴルフ - なんと3文字で認証回避が可能に

セッション固定攻撃（Session Fixation Attack）に関連して、HTTPSを使っているとCookieの改変を受容しなければならず、セッション固定対策が必須になるというエントリもランクインしています。

9. HTTPSを使ってもCookieの改変は防げないことを実験で試してみた

イケダハヤトさんネタも関心を集めたようですw

3. イケダハヤトさんへの手紙 : 敵意ある他者との対話について

今年はみなさまに大変世話になりました。来年もよろしくお願いいたします。
それでは、みなさま、良いお年を。