高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
Fortify、Ajaxのセキュリティ問題に警鐘 | スラド
ITmediaの記事 Fortify、Ajaxのセキュリティ問題に警鐘 によれば、Fortify Software社が12種類(13バージョン)のAjaxフレームワークを調査したところ、「JavaScript乗っ取り」という特定の脆弱性について対抗策を講じていたものは一つしかなかったという。この脆弱性が悪用されると、ウェブサイトのユーザの機密情報が第三者に盗まれる危険がある。Fortify社のアドバイザリ(PDF)によれば、調査対象フレームワークは以下の通り: Dojo, DWR 1.1.4, DWR 2.0, GWT, jQuery, Microsoft Atlas, MochiKit, Moo.fx, Prototype, Rico, Script.aculo.us, xajax, Yahoo! UI。このうち対抗策があると言えるのはDWR 2.0のみ。またRicoとxajaxはJSO
「Web2.0の脅威」が増加――Symantec報告
Symantecがまとめた報告書によると、今後Win32の不正コードがさらに多様性を増し、Web2.0のセキュリティ脅威、Ajax攻撃が増加する見通しだ。 米Symantecは9月19日、今年上半期のインターネットセキュリティ脅威動向に関する報告書を発表した。報告書は、大きく分けて「将来展望」「攻撃傾向」「脆弱性傾向」「不正コード傾向」「フィッシング、スパム、セキュリティリスク」の5項目で構成されている。 将来展望は、これまでの調査に基づき、今後6カ月から24カ月間の傾向を予測したもの。SymantecはWin32不正コードの増加を警告。またブログなど、個人が様々なプラットフォーム上でコンテンツを作成可能なWeb2.0技術が、悪意あるサイトやウイルス、スパイウェアの入口となる可能性を指摘している。また様々なWebサービスを結ぶAjaxも、その性質ゆえに攻撃のターゲットとなりやすいと見る。
マウス座標位置のトラッキング − @IT
マウス座標位置のトラッキング 次に、ユーザー操作監視の事例について見ていきたいと思います。典型例としては、ユーザーのキー操作をすべて記録してしまう「キーロガー」があります。この動作は、極めて単純で、最も有名なAjaxアプリケーションの1つである「Google Suggest」をイメージしていただければ、理解が早いと思います(ここでは、キーロガーの動作原理を理解しやすくするために例示しているだけで、決してGoogle Suggestがキーロガーであるという意味ではありません)。 ユーザーが、何らかの文字を入力するたびに新しい検索キーワードで検索し、その結果をリアルタイムに画面に反映させるという、非常に効果的なアプリケーションです。ただ、この技術を悪用すれば、ユーザーにデータ転送を意識させない形で、キー操作をすべて記録することも可能となってしまいます。このようなアプリケーションは、Ajaxベー
【中級】Web開発の新手法Ajax 最終回
Ajaxはクライアント・サイドのJavaScriptと,サーバー・サイドのWebサービスが協調して動作する。このうちJavaScript部分は利用者のWebブラウザ上で実行するので,ソースを秘匿できず変更される可能性がある。変更されることにより,不正な引数でWebサービスが呼び出されるかもしれないし,Webサービスが想定外の使われ方をされるかもしれない。 ここでは,株価を5分ごとに表示するAjaxアプリケーションで考えてみよう。用意しているWebサービスは,証券コードを引数として渡すと,その株価を結果として返すもの。そうしたWebサービスを,クライアント側のJavaScriptから5分ごとに呼び出す構成になっている。 図6●改変されたクライアント・プログラムから利用される恐れがある Webサービスの引数に証券コードを渡して戻り値で株価を返すようなアプリケーションの場合,JavaScript
Ajaxが招く新たなセキュリティリスク
SPI Dynamicsの研究者によると、未熟なプログラマによるAjaxの実装が深刻な脆弱性を作り出す可能性がある。Black Hatからのレポート。 ラスベガス発――オンライン企業間におけるAjax(Asynchronous JavaScript and XML)技術の普及が急速に進み、Webサイトのインタラクティブ性の向上に一役買うようになった。一方で、経験の浅いプログラマが製作したサイトに潜む数多くの脆弱性が、Web 2.0技術の今後のセキュリティに影を落としているという。 7月31日から8月3日にかけて開催されたセキュリティカンファレンス「Black Hat」で講演を行ったビリー・ホフマン氏は、アトランタに拠点を置くセキュリティソフトウェアメーカー、SPI Dynamicsの研究施設で、主任リサーチエンジニアを務めている人物である。同氏は講演の中で、ごく一般的なAjaxアプリケーシ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
