An interesting way to determine if you are logged into social web sites ✩ Mozilla Hacks – the Web developer blog
Thanks! Please check your inbox to confirm your subscription. If you haven’t previously confirmed a subscription to a Mozilla-related newsletter you may have to do so. Please check your inbox or your spam filter for an email from us. Jan! You could upload an image to a security-sensitive bug in Bugzilla to check if a user is logged in as a member of the security group, but this would change over t
Javascript Security
The document examines the outdated security model of JavaScript, highlighting its vulnerability to various attacks such as cross-site scripting (XSS) and cross-site request forgery (CSRF). It emphasizes the lack of security awareness in JavaScript and critiques the existing protections that fail to address modern threats, particularly in a cloud-based computing environment. The author suggests sev
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
LDR Full Feed Opera ver0.2 - os0x.blog
Opera9.50 build9841(2008/03/18)で、UserJSのセキュリティポリシーが変更されたらしく、このScriptは動作しなくなっています。document.postMessageがwindow.postMessageに変わっただけというオチだった模様 LDR Full Feed 0.0.8 - 枕を欹てて聴くと同じくセキュリティFIXです。 http://ss-o.net/userjs/ldrfullfeed.js タグを取得する方法をホワイトリスト相当の実装にしたので、XSSの危険性は格段に下がったはず。が、最低限の属性(imgのsrcとaのhrefだけ)しか許可していないので、こちらは近日中に再度手を入れると思う。ご了承を。 一応、エスケープの中身について解説。 nodeがElementだったらchildNodesに潜り、textNodeだったらテキストを返すっ
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について
昨日の Twitter の XSS 騒ぎは、まだ皆さんの記憶に新しいことと思います。いい機会なので、ツイートのような構造化テキストのエスケープ手法について触れておきたいと思います。 Twitter のメッセージは、単なる平文(プレインテキスト)ではなく、「@英数字」のような他のユーザーへの言及と「http://〜」のような URL を自動的にハイパーリンク化する構造化テキストです。 このような複数のルールをもつ構造化テキストを HTML 化する際には、どのようなコードを書けばいいのでしょう? まず「@〜」をリンク化してから、URL をリンク化すればいいのでしょうか? それだと、@〜 のをリンク化した A HREF タグの中の URL がさらにリンク化されていまいますね。 では、URL をリンク化してから @〜 をリンク化すればいいのでしょうか? それだと、@ を含む URL があった場合に
FizzBuzzより実用的なプログラマ向け面接問題考えた - <s>gnarl,</s>技術メモ”’<marquee><textarea>¥
仕様 TwitterのURL自動リンクみたいな機能を実現する関数expandString(String):Stringを実装しなさい(言語自由) 入力: 文字列 出力: HTML断片文字列 以下の文字列をリンクに展開すること URL: http,httpsのURLを、そのURLへリンクする @: @(ユーザid)を、http://twitter.com/(ユーザid)へリンクする ハッシュタグ: #(ハッシュタグ名)を、http://twitter.com/#search&q=%23(ハッシュタグ名)へリンクする ただし、上記の仕様は曖昧である。詳細についてはセキュリティと利便性に配慮し決定すること。 サンプル入出力 expandString('hoge') => hoge expandString('リンク http://example.com/') => リンク <a href="ht
なぜJSONPだとクロスドメイン制約を超えられるのか? - 射撃しつつ前転 改
なぜ通常のXMLHttpRequestにはクロスドメイン制約があるのに、JSONPではクロスドメインでリクエストを送信できるのか?不思議に感じたので、ちょっと調べてみた。 クロスドメイン制約は「ブラウザ上で実行されるJavaScriptは同じドメインにしかリクエストの送信やクッキーの編集を行えない」という制限である。 なぜこのような制限が必要になるのか。クロスドメイン制約がなかったらどうなるかを思考実験してみよう。ブラウザ上では、いくつものサイトからダウンロードしてきたJavaScriptが同時に実行されることは珍しくない。また、悪意のあるページにアクセスしてしまい、悪意あるJavaScriptを実行してしまうことも、十分に起こり得る話である。間違えて変なページにアクセスしたら致命的な問題が起きました、ではまずいので、ブラウザではJavaScriptができる事にかなりの制限を与えている。X
Visual Studio Code - NEW FEATURES: 11 Funtastic Editor Updates (New Themes, Keyboard Accessibility, Screen Reader, Localization, Ligatures, Find Widget, Input Handling, Cursor Style, Auto Save, File Picker, & IntelliSense Documentation) - User Ed - The bl
Microsoft Developer Blogs Get the latest information, insights, and news from Microsoft. AI agents are quickly moving from experiments to production‑critical components of modern applications. But while many teams know how to build agents, far fewer are confident they’re hosting them on the right foundation. Most organizations start by deploying agents the same way... We're shipping two major capa
XSSメモ書き | チャゲってる日々
注意書き この記事を見た90%の人が意味不明だと答えています。 9%の人が、記事を書いた人間の文章力を疑っています。 1%の人がニヤニヤしながら見ています。 記事を書いたのは19日で、そこから公開をためらっていたのですが、少し需要があるようなので公開します。 以下ネタバレ注意です! 自分で問題を解きたい方は閲覧注意!! 違う解き方があれば是非教えてください。 はせがわ王子の鬼畜素晴らしいXSS問題について 問題一覧はこちら セキュリティ&プログラミングキャンプのCTFで出題したXSS問題 まじめに答えようとすると時間を食いつぶされます。 ですが、チャレンジする価値は大いにあります。 ブラウザの仕様(バグ??)に関する知識、マルチバイトに関する知識などが求められます。 答えを得るだけであれば、 問題ファイルをローカルにダウンロード→ css、jsファイルの参照先をhttp:
pure.js - Javascript Template Engine
Write your templates in pure HTML Clean of any inline logic or special tags CSS selectors are used to bridge the HTML with Javascript actions Providing a radical separation between the representation and the logic Here we explain why we did pure.js back in 2008 And you can ask your questions to the user group Download pure.js on Github We have been happily using pure.js since 2008 for our own web
JavaScriptの文字列リテラルでXSS - T.Teradaの日記
たまに以下のようにJavaScriptの文字列リテラルに値が入るアプリを見ることがあります。 <script> var foo="●"; ... </script> 値は「●」の箇所にHTMLエスケープされて出力されます(下の方の例も同じ)。 こんなケースでどうXSSするか?という話です。 簡単にXSSできるケース 以下のパターンだとXSSするのは簡単です。 <script> var foo="●"; var bar="●"; ... </script> ?foo=\&bar=-alert(123)//のような値を与えるだけです。 難しいケース 次はこんなパターンを考えます。 <script> var foo="●"; var bar="●"; ... </script> こうなると難易度はぐっと上がります。というよりも、ほとんどの場合はXSSできません。 しかし、状況次第ではXSSできる
セキュリティ Cross Site URL Hijacking脆弱性とその対策
このドキュメントの内容は、以下の通りです。 攻撃コードの例 対策 Mozilla Firefoxのerror object(エラーオブジェクト)を利用した、 Cross Site URL Hijacking(XSUH - クロスサイトURLハイジャッキング) についての説明です。 XSUH攻撃は、他のWebサイトURLを盗むことができます。 URLのパラメータには、セッションIDのような機密情報を持つことがあり、 それは、クライアントのブラウザに渡されます。 Mozilla Firefoxのスクリプトエラーハンドリングは、そのような情報をエラーから取り出すことが可能になります。 Aというサイトにログイン状態であると仮定します。 AのURL http://a.com/profile/ にアクセスします。 Aは、http://a.com/profile/?sid=USER_SESSION_ID
XSSの攻撃手法いろいろ - うなの日記
html5securityのサイトに、XSSの各種攻撃手法がまとめられているのを発見せり!ということで、個人的に「お!」と思った攻撃をサンプルつきでご紹介します。 1. CSS Expression IE7以前には「CSS Expressions」という拡張機能があり、CSS内でJavaScriptを実行できたりします。 <div style="color:expression(alert('XSS'));">a</div> 確認 @IT -[柔軟すぎる]IEのCSS解釈で起こるXSS で詳しく解説されていますが、CSSの解釈が柔軟なことともあいまって自前で無害化するのはなかなか困難。以下のようなコードでもスクリプトが実行されてしまいます。 <div style="color:expr/* コメントの挿入 */ession(alert('XSS'));">a</div> 確認 <div s
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DOM sandboxing talk - The Spanner
Microsoft researchers and engineers working around the world
NetAgent Security Contest 2010にチャレンジしてみた
HTML5 Security Cheatsheet
ma<s>atokinugawaの日記