WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるように... 続きを読む

• d:id:hasegawayosuke
• テクノロジー

I have used Systrace to sandox untrusted programs both interactively and in automatic mode. It has a ptrace()-based backend which allows its use on a Linux system without special privileges, as well as a far faster and more poweful backend wh... 続きを読む

• stackoverflow.com
• テクノロジー

If you are building a SAAS application it naturally supports multiple tenants; if you are building a PAAS platform it may well do too. Multitenancy may even go all the way down, maybe you are building a SAAS application on a PAAS platform on ... 続きを読む

• blog.technologyofconte...
• テクノロジー

マスタ サブタイトルの書式設定 マスタ サブタイトルの書式設定 Androidセキュリティ勉強会 株式会社イエラエセキュリティ http://ierae.co.jp Androidセキュリティ勉強会 ～WebViewの脆弱性編～ 2012年10月6日 goroh_kun Androidセキュリティ勉強会 株式会社... 続きを読む

• ierae.co.jp
• テクノロジー

The National Institute of Standards and Technology (NIST) today announced the winner of its five-year competition to select a new cryptographic hash algorithm, one of the fundamental tools of modern information security. The winning algorithm... 続きを読む

• www.nist.gov
• テクノロジー

NIST is about to announce the new hash algorithm that will become SHA-3. This is the result of a six-year competition, and my own Skein is one of the five remaining finalists (out of an initial 64). It's probably too late for me to affect the... 続きを読む

• www.schneier.com
• テクノロジー

15:56 | 技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような... 続きを読む

• d:id:mala
• テクノロジー

• Severity Rating • Fix Information • Vulnerable Software Versions • SCAP Mappings Integer overflow in Microsoft Internet Explorer 8 and 9, JScript 5.8, and VBScript 5.8 on 64-bit platforms allows remote attackers to execute arbitrary cod... 続きを読む

• www.cve.mitre.org
• テクノロジー

This year at the 2012 BlackHat conference in Las Vegas I gave a talk on Google's Native Client (NaCl) project. NaCl allows untrusted native code modules to run in the Chrome browser but with the same safety that users have come to expect from... 続きを読む

• blog.leafsr.com
• テクノロジー

2012/08/02 location.hrefの盲点 夏ということで、怖い話をします。 Webアプリケーション開発者の皆さん、聞いて下さい。 これは2011年12月27日にAppleに報告したSafariの問題です。Appleからは修正する予定はないという回答を貰っていましたが、2012年7月25日... 続きを読む

• masatokinugawa.l0.cm
• テクノロジー

http://atnd.org/events/25689 以下資料、適当に口頭で補足しながらしゃべりました。オフレコ部分は抜いてあります + 参考URL等を少し足しました。 ---- DOM Based XSSの傾向と対策 DOM Based XSS 基礎的な説明は省略 機械的なスキャンで見つからない 人間が読... 続きを読む

• g:subtech:id:mala
• テクノロジー

※ご注意： ウイルスバスターがインストールされている環境だと、この記事は読めないようです (参考画像) (x-autocompletetypeとは？) ユーザーがブラウザに、あらかじめ名前やメールアドレスや住所やクレジットカード番号などを設定しておくと、Webサイトのフ... 続きを読む

• hamachiya.com
• テクノロジー

More secure extensions, by default Wednesday, February 29, 2012 Labels: extensions, security Security is one of our core values, alongside speed, stability and simplicity. From day one, we’ve designed Chrome’s extension system with security... 続きを読む

• blog.chromium.org
• テクノロジー

[デブサミ2012]趣味と実益の脆弱性発見 — Presentation Transcript Finding Vulnerabilities For Fun And Profit 趣味と実益の脆弱性発見 Feb 16 2012 Yosuke HASEGAWA 自己紹介 はせがわようすけ ネットエージェント株式会社 研究開発部 株式会社セキュア... 続きを読む

• www.slideshare.net
• テクノロジー

In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 一見、問題なさそうに見えます。しかし、... 続きを読む

• www.sakimura.org
• テクノロジー

Mark S. Miller is the main designer of the E and Caja object-capability programming languages, inventor of Miller Columns, a pioneer of agoric (market-based secure distributed) computing, an architect of the Xanadu hypertext publishing system... 続きを読む

• research.google.com
• テクノロジー

2011年12月30日金曜日 Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策 28C3(28th Chaos Communication Congress)において、Effective Denial of Service attacks against web application platforms（Webプラットフォームに対する効果的な... 続きを読む

• blog.tokumaru.org
• テクノロジー

今回思い切って情報処理学会の第53回プログラミング・シンポジウムにて「x86 JITコンパイラ上で任意コードを実行する方法」という題目の発表をすることになりました。 2011年2011年3月31日に設立したサイボウズ・ラボユースの新屋さんと鈴木さんの作っているプ... 続きを読む

• developer.cybozu.co.jp
• テクノロジー

17:46 | Web開発者のためのサードパーティCookieやらトラッキングやらの問題点について三回ぐらいに分けて書きます。この文章は個人的に書いていますので、おい、お前のところのサービスがサードパーティCookieに依存してるじゃねーかというツッコミがあるかも... 続きを読む

• d:id:mala
• テクノロジー

このエントリでは、ネット上で「SQLインジェクション対策」でGoogle検索した結果の上位15エントリを検証した結果を報告します。SQLインジェクション脆弱性の対策は、既に「安全なSQLの呼び出し方」にファイナルアンサー（後述）を示していますが、まだこの文書... 続きを読む

• d:id:ockeghem
• テクノロジー