■ - hoshikuzu | star_dust の書斎
■続報:IE:新手法CSSXSS、Google Desktopの情報が盗まれる恐れ…というかGoogleばかりでないです、ヤバイのは、こりゃ【さらに】参りましたね。 2006/02/02追記 以前書いた下記にてJavaScript切っておけば大丈夫では?と希望的観測を書きましたが、それだけでは危険だという予測もあります。ActiveX control を併せてオフにするべきです。詳しくは、http://d.hatena.ne.jp/hoshikuzu/20051204/ で。 追記終わり 12/9追記:【重要】です。cleemyさんによる検証で凄いことがわかりました。UNICODE系列とANSI系列とのアレにちょい似ていたりする感想を持ちました。引用させて頂きます。 cleemy 多分 { がキモっぽいですね。{ が全く無いテキストは読み出せませんでした。 あと、少なくともローカルにおいた
■ - hoshikuzu | star_dust の書斎
■ウイルスバスターに関するウワサ UltraProtectというソフトで多重圧縮してウイルス対策ソフトの検索の目を逃れる手法があるそうで、トレンドマイクロは新しい検索エンジンを作りUltraProtect圧縮したものでもメモリ上で一時解凍してパターンマッチングするようにしました。ところが、Windows XP SP2 / Server 2003 や それらを含むデュアルブート環境では、OS自体が%SYSTEMROOT%の中にUltraProtect圧縮を利用しているように見えるファイルがあるものだから、新検索エンジンはパターンマッチングの手違いもあって無限ループしました。 一部の顧客は制限付きアカウントでログインする習慣があり負荷軽減の為に検索エンジンの検索対象から%SYSTEMROOT%を除外していました。このため今回の被害からまぬがれたといいます。 ■ミクシィのロゴがアザラシに見えて困
CSRF - クロスサイトリクエストフォージェリ
■CSRF - クロスサイトリクエストフォージェリ CSRF - クロスサイトリクエストフォージェリ SpecIII - CSRF - クロスサイトリクエストフォージェリから引用させて頂きます。 CSRFの概略 CSRFはCross Site Request Forgeriesの略です。恥ずかしながら私は最近こういったこういった攻撃方法があることを知りました。日頃のアンテナの低さがバレますね。 CSRFはサイトに対する正規のユーザーの権限を利用した攻撃です。あるサイトのある処理を行うページに正規のユーザーを誘導し、強制的に望まない処理を発生させます。 具体的には記事の編集や削除といった機能を持つページのURLをダミーのリンクに埋め込んで踏ませたり、imgタグのsrcとして指定して知らず知らずのうちにアクセスさせます。特に後者の例ではユーザーが全く気がつかぬうちに攻撃が完了します。攻撃の結果
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
