タグ

関連タグで絞り込む (2)

タグの絞り込みを解除

securityに関するdrawnboyのブックマーク (5)

  • いしなお! - 徳保さんのはてなXSS関連の認識の間違い

    _ 徳保さんのはてなXSS関連の認識の間違い あるいは「ブログサービスの XSS 脆弱性対策はいらない その3」。 徳保さんはセキュリティ関係の知識が足りていないんで、きちんと勉強するまではXSSなどのセキュリティ関係の用語を使わないで語った方がいい。というか誤解を広げめられると迷惑だ。 「d.hatena.ne.jp 以下のコンテンツでスクリプトの悪用はありません、なぜならはてなが特別に許可したスクリプト以外は使用が制限されているからです」という安心感を売り物にしようとしている はてなCookieによるユーザー認証を利用しており、ユーザーに自由なJavaScriptを許すと、認証情報の盗難・悪用が可能になるから、ユーザーのJavaScript利用を禁止している。それは「安心感を売り物にしている」というレベルではなく、ユーザー認証を利用したサービスを提供しているサービス提供者の最低限の義

  • OpenSSLがFIPS認定を取得 - SourceForge.JP Magazine

    米国政府およびカナダ政府の共同プログラムCryptographic Module Validation Program(CMVP)は、1月20日、オープンソース・セキュリティ・ツールキットOpenSSLによるSecure Sockets Layer(SSL)プロトコルおよびTransport Layer Security(TLS)プロトコルの実装を認定すると明らかにした。 フリーのオープンソース・ツールキットOpenSSLは、すでに世界中の企業や団体が利用しているが、Federal Information Processing Standard(FIPS)140-2の条件を満たしていることが認定されれば、米国およびカナダの機密データを扱う政府機関でも利用できるようになる。 CMVPは米国のNational Institute for Standards and Technology(NI

  • 高木浩光@自宅の日記 - 要約版:「サニタイズ言うなキャンペーン」とは

    ■ 「逆」にしたERBが登場 27日の「(略)とかERBとか、逆だったらよかったのに」の件、大岩さんが、逆にしたERB改造版を作ってくれた。 自動quoteつきERBの実験, おおいわのこめんと (2005-12-29) さて、使い勝手はどうだろうか。 ■ 要約版:「サニタイズ言うなキャンペーン」とは 27日の日記「『サニタイズ言うなキャンペーン』とは何か」は、いろいろ盛り込みすぎたせいか思ったよりわかりにくいものになって いるらしいので、結論から順に整理しなおしてみる。 結論: まず「サニタイズ」という言葉を使うのを避けてみてはどうか。正しく説明することの困難から逃げようとしないで。 例外1: 万が一に脆弱性があるかもしれないことを想定しての保険として、CGIの入力段階でパラメタを洗浄することを、サニタイズと言うのはかまわない。 例外2: 既存のシステムに応急手当としてCGIの入力段階で

  • PHP と Web アプリケーションのセキュリティについてのメモ

    このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH

  • ブラウザクラッシャー - Wikipedia

    このタイプのブラクラが最も有名なブラクラであるといえる。このブラクラは「JS_SPAWN.A」と呼ばれ、該当のページにアクセスすると、新しいウィンドウを無限に開き続けることで、メモリの使用量が爆発的に増加し、最悪の場合フリーズする。 ユーザーがウィンドウを一つでも閉じると、ウインドウがねずみ算式に開かれる様になっている場合がほとんどである。トロイの木馬として分類されている場合があるが、ファイルやレジストリなどの改変を行わないものが大半である。しかし、悪質なものになると単にブラクラとして動作するだけでなく、ウイルスをダウンロードさせるなどの二次災害を引き起こすサイトもある。 対応策 プロセスを強制終了する。 Windowsでは Ctrl + Alt + Delete キーで、タスクマネージャを開き、「プロセス」タブでウェブブラウザを終了する。このとき終了するプロセスは、Internet Ex

    drawnboy
    drawnboy 2005/11/18
    詳しく書きすぎ
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.