TechCrunch | Startup and Technology NewsLimited space! Get on waitlist to be the first to know when tickets go live!
JSONのエスケープをどこまでやるか問題 - 葉っぱ日記
Ajaxなアプリケーションにおいて、サーバからJSONを返す場合に、JSON自体はvalidであるにも関わらず、(IEの都合で)エスケープが不足していて脆弱性につながってる場合があるので、書いておきます。 発生するかもしれない脆弱性 JSONのエスケープが不足している場合に発生する可能性のある脆弱性は以下の通りです。 JSON内に含まれる機密情報の漏えい XSS それぞれの詳細については後述します。 開発側でやるべきこと 文字列中のUnicode文字は "\uXXXX" な形式にエスケープするとともに、ASCIIな範囲であっても「/」「<」「>」「+」も同様にエスケープすることにより、前述の脆弱性を防ぐことができます。 Perlであれば、以下のような感じになります。JSON->ascii(1) に続けて、JSON文字列を正規表現で置換しているあたりがキモになります。 use utf8; u
IEのローカルファイルをXHRでどこまで読みとらせるか - 葉っぱ日記
ローカルのHTMLファイルからどこまで読み取れるか選手権 2011 - 金利0無利息キャッシング – キャッシングできます - subtech を読んでの補足。 IE9 on Windows 7 においてXHRを使ってローカルファイルを読み取る場合について、「許可するとやりたい放題」と書かれているとおり、IEが表示する警告をいったん「許可する」側に選択するとhtml内の JavaScript (あるいはVBScript)において通常のローカルのプログラムと同様にあらゆる操作が可能になります。(写真は英語版IE9) これは、IE6 / XP SP2 以降で導入された「ローカルコンピュータのロックダウン」が解除された状態になり、WSHやHTAと同様に、ローカルリソースへのアクセスや任意のActiveX Objectの生成を含め任意のコード実行が可能な状態になったということです。 ローカルに置い
【レビュー】IE6、IE7、IE8、IE9をクラッシュさせる方法 | エンタープライズ | マイコミジャーナル
Taranfx.com - Your Gateway to Technology, Redefined. ブラウザは特定のHTMLやCSS、JavaScriptのコードを読み込むとクラッシュしたりフリーズすることが知られている。しかもそれは複雑怪奇なコードではなく、とても短いコードでも起こることがわかっている。特にIEをクラッシュさせたりフリーズさせるためのコードの多くがスニペットとして公開されている。 そうした情報のひとつにTaranfxで公開されているHow to Crash Internet Explorer IE6, IE7, IE8, IE9がある。IE6、IE7、IE8、IE9をクラッシュさせたりフリーズさせることができるコードを紹介するという内容になっている。記事の目的はIEがクラッシュするコードを使ってほかのブラウザへユーザの目を向けさせようというもの。同様の取り組みはすで
IE6をクラッシュさせる1行 | エンタープライズ | マイコミジャーナル
Windows Internet Explorer 6 Ajaxian ≫ jQuery one-line plugin to crash IE6において、IE6をクラッシュさせるプラグインが紹介されている。IE7やIE8ではクラッシュせず、IE6のみでクラッシュが発生する。紹介されているプラグインはjQuery Crash Plugin。プラグインのソースコードは次のとおり1行だけ。関数を定義しているのみ。 /** * jQuery Crash (http://mktgdept.com/jquery-crash) * A jQuery plugin to crash IE6. * * v0.0.2 - 5 March 2010 * * Copyright (c) 2009 Chad Smith (http://twitter.com/chadsmith) * Dual licensed
JavaScriptが遅い4つの原因とは?
1つ前の記事「JavaScriptをいかに高速化するか、IE9、Firefoxの取り組み」では、IE9とFirefoxにおけるJavaScriptの高速化について紹介しましたが、そもそもJavaScriptの実行速度はなぜ遅いのでしょう? その理由について、Mozilla Japanテクニカルマーケティング担当の浅井智也氏が、スライド「Trace Monkey」でポイントをまとめています(このスライドはタイトルから分かるとおり、Firefoxの当時の新しいJavaScriptエンジン「Trace Monkey」を紹介するために1年以上前に作成されたスライドですが、1つ前の記事を見ると、ここで示された課題はいまも変わっていないようです)。 全67枚のスライドの20枚目から24枚目の5枚を以下に紹介します。 JavaScriptが遅い原因は、以下の4点にまとめられています。 インタープリタ型言
2005-12-03
今日は広島ですw 星澤さんのお話が聞けるので、すごく楽しみー。 いっぱい、お話きいてこよーっと。 園田さんの声も!いっぱいきくぞー!(目的違 そんなわけで、なぜか、シール印刷してます(ぇ 広島まで一路〜 オフィスシート最高wPCこころおきなく使えまふ 一足早いお昼ご飯です。 米Microsoftは、セキュリティ修正プログラム(パッチ)が公開されていないInternet Explorer(IE)の脆弱性を狙うトロイの木馬型ウイルス「TrojanDownloader:Win32/Delf.DH」を警告した。このトロイの木馬に万が一感染してしまった場合は、ベータ公開中の「Windows Live Safety Center」で駆除できるという。 (略) Microsoftでは、Delf.DHの出現にあわせてセキュリティアドバイザリを更新。月例セキュリティパッチ以外の提供を含めて「適切なアクション
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
