タグ

関連タグで絞り込む (1)

タグの絞り込みを解除

securityとieに関するTokyoIncidentsのブックマーク (7)

  • 2016年以降に「IE8に対応して」といわれたとき思い出したい六項目 - Qiita

    では、2016年1月13日でIE8の正式サポートが終了しました。 それでも、まだIE8でもちゃんと閲覧できるサイトを作って欲しいと言われることがあります。 正式なサポートが終了したブラウザを使うリスクや対応工数を考えると、 クライアントには「IE8は対応外です」としっかり説得すべきです。 でも、大人の事情で対応することになった際に、気をつけるべきことをまとめました。 2016年以降に「IE8に対応して」といわれたとき思い出したい六項目 1. IE8は対応外と突っぱねるべし 一番良いIE8対策は、動作確認対応外にすることだと思います。 公式サポートが止まったことで予期せぬ攻撃を受け、そのリスクを誰が負うのかクライアントさんにも説明してください。 ブラウザシェアなどをお見せして、そろそろ推奨環境をアップデートしませんかと説得してみてください。 古いユーザーさんに支えられているサービスは…頑

    2016年以降に「IE8に対応して」といわれたとき思い出したい六項目 - Qiita
    TokyoIncidents
    TokyoIncidents 2016/09/15
    それを受けざるを得ないという環境をどうにかしないと… IE8 について発注してきたら犯罪にならないものか…
  • Internet Explorer 用セキュリティ更新プログラムの提供について

    マイクロソフト、Nokia のデバイスとサービス事業を正式に...2014-04-28役員人事について2014-04-24「Xbox One」を 2014 年 9 月 4 日 (木)...2014-04-23愛媛県と日マイクロソフトが、「愛媛マルゴト自転車道」の推進...2014-04-22OBCと日マイクロソフト、基幹業務システムのクラウド運用に...2014-04-21目黒区立第一中学校が、ICTを活用した授業の実証研究を開始2014-04-21学習に困難のある児童生徒の学校での生活をICTでサポートする...2014-04-17マイクロソフト、Windows の最新アップデートを発表し、...2014-04-04りそなホールディングスがグループ内 OA 端末 3万台を W...2014-04-02 日マイクロソフト株式会社(社:東京都港区、代表執行役 社長:樋口 泰行)は、2

    Internet Explorer 用セキュリティ更新プログラムの提供について
  • IE 6~11に未解決のゼロデイ脆弱性、Microsoftがアドバイザリ公開

    MicrosoftのInternet Explorer(IE)6~11に未解決の脆弱性が見つかった。Microsoftは4月26日(現地時間)、この脆弱性に関するアドバイザリーを公開し、注意を呼び掛けている。 対象となるのはほぼすべてのWindows OS(Windows 8.1、Windows Server 2012 R2などを含む)上のIE。なお、MicrosoftWindows XPのサポートを終了している。 米セキュリティ企業のFireEyeは、この脆弱性を利用した攻撃を確認した。同社が「Operation Clandestine Fox」と名付けたこの攻撃の対象はIE 9~11という。 脆弱性は、削除されたメモリや適切に割り当てられていないメモリ内のオブジェクトにIEがアクセスする方法に存在する。悪用された場合、多数のユーザーが利用する正規のWebサイトを改ざんしたり、ユーザ

    IE 6~11に未解決のゼロデイ脆弱性、Microsoftがアドバイザリ公開
  • IE9以降でもHTMLフォームでファイル名とファイルの中身を外部から指定できる

    昨日の日記「IE8以前はHTMLフォームでファイル名とファイルの中身を外部から指定できる」にて、福森大喜さんから教えていただいた内容として、ファイルアップロードのHTMLフォーム(enctype="multipart/form-data")にて、アップロードするファイル名とファイルの中身を外部から指定できることを報告しました。この際にIE8以前という条件がありましたが、今度は、三井物産セキュアディレクションの望月岳さんから、「それIE9以降でもできるよ」と教えていただきました。既にご存じだったそうです。福森さん、望月さんという日を代表するバグハンターから「秘伝のたれ」をおすそわけいただいたようで、興奮気味ですw まず、おさらいとして、IE8以前でのパターンは下記の通りでした(要点のみ)。 <form enctype="multipart/form-data" action="pro_ad

  • IE8以前はHTMLフォームでファイル名とファイルの中身を外部から指定できる

    一昨日のエントリ『書籍「気づけばプロ並みPHP」にリモートスクリプト実行の脆弱性』にて、ファイル送信フォームに対するCSRF攻撃の文脈で、私は以下のように書きました。 通常のHTMLフォームを使ったCSRF攻撃では、Content-Typeをmultipart/form-dataにすることまでは可能ですが、ファイルの中身とファイル名を指定する方法がありません。従って、HTMLフォームによる攻撃経路はありません。 大半の方は、「ああ、そうだよね」という感じでお読みいただいたように思いますが、昨日サイバーディフェンス研究所の福森大喜さんから、「それIE8以前ならできるよ」と教えていただきました。福森さんの許可を得て、以下にPoCを公開します。 <form enctype="multipart/form-data" action="pro_add_check.php" method="POST"

    IE8以前はHTMLフォームでファイル名とファイルの中身を外部から指定できる
  • IE8・IE9をクラッシュさせるシンプルなCSSコードが見つかる

    わずか1行でInternet Explorerをクラッシュさせてしまうコードというものもありましたが、今回見つかったコードも、CSSに数行足すだけでInternet Explorer 8と9をクラッシュさせることが可能です。 Benutzer:Schinken/CSS-IE-Crash – Hackerspace Bamberg - Backspace http://www.hackerspace-bamberg.de/Benutzer:Schinken/CSS-IE-Crash デモページはこちら、IE8・IE9だとアクセスした瞬間にクラッシュし操作不可能になるので注意。 http://schinken.github.io/experiments/iecrash/crash.html 実際にIE8でアクセスしてみたところ、ページにアクセスしたとたんに一切の操作を受け付けなくなり、そのまま

    IE8・IE9をクラッシュさせるシンプルなCSSコードが見つかる
  • JVN#63901692について: 偏執狂的日記

    最近、JVN#63901692の公開後、IEおわたとか使うなという反応されている方が結構います。 これは、MSの対応がInternet Explorer 10のみになってしまったのもあるかとおもいますが、そもそも十分な理解がされていないためだとおもわれます。 実際のところ、いまつかっている、IEを即刻利用停止しなければならないほど危険な脆弱性ではありません。 JVNではインターネットからの攻撃が高となってますが、実際は説明にあるとおり、あくまでもローカル上のXMLファイルをクリックした場合のみの問題となります。 このため実際の危険度はもっと低くなります。 IEは、通常JavaScriptやAxtive Xや含んだローカルのHTMLを開いた場合、「このWebページはスクリプトやAxtiveXスクリプトやActiveXコントロールを実行しないようにブロックされています」と表示されます。 XML

  • 1