TechCrunch | Startup and Technology NewsLimited space! Get on waitlist to be the first to know when tickets go live!
機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記
WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記)。 例えば、機密情報を含む以下のようなJSON配列を返すリソース(http://example.jp/target.json)があったとします。 [ "secret", "data", "is", "here" ] 攻撃者は罠ページを作成し、以下のようにJSON配列をvbscriptとして読み込みます。もちろ
Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する
2001年11月5日 作成 2001年11月11日 追記: 「関連」の3番目の項目 目次 概要 検証実験 脅威 Microsoftの公式見解 クリップボードの盗聴を防止する設定 関連 FAQ 概要 MicrosoftのWebブラウザ「Internet Explorer」(以下「IE」と略す)には、 「スクリプトによる貼り付け」という名の機能があります。これは、 「JScript」(JavaScriptをMicrosoftが独自拡張した言語の名称)の 独自機能のひとつで、 var str = clipboardData.getData("Text"); という一文で、 システムのクリップボードの中身を取り出せる機能です。 これは、おそらく、Web上のサービスでカット&ペースト機能をJScriptで 実現するために用意された機能と考えられます。 しかし、この機能が悪用されると、 悪意のあるペー
2005-12-03
今日は広島ですw 星澤さんのお話が聞けるので、すごく楽しみー。 いっぱい、お話きいてこよーっと。 園田さんの声も!いっぱいきくぞー!(目的違 そんなわけで、なぜか、シール印刷してます(ぇ 広島まで一路〜 オフィスシート最高wPCこころおきなく使えまふ 一足早いお昼ご飯です。 米Microsoftは、セキュリティ修正プログラム(パッチ)が公開されていないInternet Explorer(IE)の脆弱性を狙うトロイの木馬型ウイルス「TrojanDownloader:Win32/Delf.DH」を警告した。このトロイの木馬に万が一感染してしまった場合は、ベータ公開中の「Windows Live Safety Center」で駆除できるという。 (略) Microsoftでは、Delf.DHの出現にあわせてセキュリティアドバイザリを更新。月例セキュリティパッチ以外の提供を含めて「適切なアクション
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
