jbeef曰く、"本家に「Cross Site Scripting Discovered in Google」というストーリが掲載された。 これは、Web Application Security Consortiumが主宰するメーリングリストに投稿された記事を伝えるもの。その記事によると、Google.comにXSS(クロスサイトスクリプティング)脆弱性が見つかり、発見者が11月15日にGoogleに連絡したところ、12月1日に修正されたという。この脆弱性の原因と対策は以下の通り。" (つづく...) "まず、Googleの404 Not Foundのページはこの例のように、リクエストされたURLのパス名を画面に表示するようになっている。ここで、そのパス名にHTMLのタグを構成する文字「<」「>」が含まれている場合、Googleは、これをきちんと「<」「>」にエスケープして出
「100%安全」なんてありえるんでしょうか。ありえません*1。程度の問題です。 でもみんな100%の安全を求めているような気がします。BSEの米国産牛肉輸入問題なんかがその典型例だと思います。このゼロリスク志向は中西準子氏*2や安井至氏*3らによって、よく批判されています。私もゼロリスクはありえないと思いますし、ゼロリスクを追い求めると無駄が多くなる*4と思います。 そうは言いながら、私も自分が時々ゼロリスク的に考えていることに気が付きます。 なぜゼロリスクを求めるんでしょうか。 ひとつは上で挙げた「100%安全」を求めているからでしょう。でもこれは無駄です。 もうひとつは、バランスを考えることの難しさからではないかと思います。評価項目がひとつなら簡単ですが、評価項目が二つになるとトレードオフが生じるために格段に難しくなります。項目が三つ四つと増えるとなおさらです。ゼロリスク志向はこの項目
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く