更新:Internet Explorer の脆弱性対策について(CVE-2014-1776):IPA 独立行政法人 情報処理推進機構
Microsoft 社の Internet Explorer に、悪意のある細工がされたコンテンツを開くことで任意のコードが実行される脆弱性が存在します。 この脆弱性が悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御され、様々な被害が発生する可能性があります。 Microsoft 社は「脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。」と公表しており、今後被害が拡大する可能性があるため、至急、修正プログラム(MS14-021)を適用して下さい。 Microsoft 社は、5 月 2 日より、Windows Update で本脆弱性に対する修正プログラムの配信を開始しました。 以下の Microsoft 製品が対象です。 Internet Explorer 6 Internet Explorer 7 Internet Explorer 8
1分でわかる「X-ナントカ」HTTPレスポンスヘッダ - 葉っぱ日記
最近のモダンなWebブラウザがサポートしている、セキュリティに関連しそうな X- なHTTPレスポンスヘッダをまとめてみました。それ以外にもあったら教えてください。 X-XSS-Protection 0:XSSフィルタを無効にする。 1:XSSフィルタを有効にする。 XSSフィルタを有効にすることでエンドユーザがXSSの被害にあう可能性が低減するが、まれに誤検知することで画面の表示が乱れることもある。IE8+、Safari、Chrome(多分) で有効。IEでは「X-XSS-Protection: 1; mode=block」という指定も可能。 2008/7/2 - IE8 Security Part IV: The XSS FilterBug 27312 – [XSSAuditor] Add support for header X-XSS-Protection X-Content-Ty
X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記
2011-01-06: IE8ということを追記 & ちょっと間違いを修正。あけましておめでとうございます。 年明け早々ですが、Internet Explorerの話題です。IEはご存じの通り、Content-Type だけでなくコンテンツの内容なども sniff することでファイルタイプを決定しているため、画像ファイルやテキストファイルをHTMLと判定してしまい、クロスサイトスクリプティングが発生することが昔からたびたび報告されていました*1。現在は幾分マシになったとはいえ、IEのファイルタイプの判定アルゴリズムは非常に難解であり、現在でも状況によってはWebサイト運営者のまったく意図していないかたちでのXSSが発生する可能性があったりします。そういうわけで、IEがコンテンツを sniff してHTML以外のものをHTML扱いしてしまうことを防ぐために、動的にコンテンツを生成している場合に
X-FRAME-OPTIONS を用いたクリックジャッキング対策 - Main Log
旧サーバからの再掲記事です。 "X-FRAME-OPTIONS" は InternetExplorer 8.0 で導入された HTTP レスポンスヘッダです。単純に言うと、自サイトのコンテンツが外部のサイトのフレーム上に表示されることを制御します。それにより、透明度などを操作することでユーザのクリックを横取りするような企図を阻害することを狙っています。 X-FRAME-OPTIONS には "DENY" と "SAMEORIGIN" の二つが存在します。"DENY" は他の Web ページ上からの frame や iframe でのコンテンツ参照を禁止します。"SAMEORIGIN" は Top-level-browsing-context が一致しないページからの表示を禁止します。 "SAMEORIGIN" は判りづらいんですが、HTML 5 の "5 Web browsers" ではこ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
