ようこそ、HTML5裏APIの世界へ - HTML5 Conference 2013
Canvas、WebGL、WebRTC、WebSocketなど、HTML5の花形スターとも言えるモテ系APIは、常に世間の注目を集めている。これらAPIを使いこなせるウェブディベロッパーはどこからも引っ張りだこだろう。しかし、注目度が低いながらも、今後のウェブを支える(かもしれない)最新のAPIが数多く存在する。このようなAPIは派手さが足りないゆえに話題になることもない。しかし、これら非モテ系のAPIも含めてHTML5だ。 本セッションでは、ありきたりのモテ系APIに飽きたマニアな貴方のために、普段は陽の当たらないAPIを一挙紹介する。もちろん、どれかのブラウザーに実装されているAPIのみだ。今から使おうと思えば使えないことはない。そして、W3Cにて仕様策定が始まって日が浅いため、明日にはどうなるか分からない。無くなるかもしれないし、大幅に変更されてしまうかもしれない。今覚えても役に立た
Struts2で<s:url>を使う際のXSS混入 - ろば電子が詰まつてゐる
最近なにかと狙われがちの、Apache Struts 2。「.action」を通して任意のコードが実行できるという脆弱性はさんざんあちこちで書かれたので、ここでは、システム開発時のちょっとした注意点の小ネタをひとつ書いておこうと思います。 によるXSS struts2のタグは、不用意に使うとXSS(クロスサイトスクリプティング)を招き入れてしまう危険性を備えています。具体的には、struts.xmlのnamespaceの指定を""のように空文字にしている場合に、任意のJavaScriptを混入できる可能性があります。 以下、この事例を、実際に手を動かして確認できるように作ってみます。 Tomcatの準備 まずTomcatをインストールします。この手順を1からここで書くのはさすがに長すぎるので割愛します。以前にちこっと書いたのでそちらを参照してください(http://homepage1.ni
Masato Kinugawa Security Blog: MS13-037: エンコーディングの自動選択の強制によるXSS
2013年5月の月例パッチ、MS13-037で修正された、Internet Explorerでエンコーディングの自動選択を強制的に起こせたバグについて書きます。 http://technet.microsoft.com/ja-jp/security/bulletin/ms13-037 このセキュリティ情報に組み込まれている多層防御についてマイクロソフトと協力してくださった Masato Kinugawa 氏 アドバイザリには問題に対する説明がありませんが、多層防御で修正されたのがこの問題です。 今回は、ざっと、報告書っぽく。 -------------------------------------------- 報告日: 2012年11月23日 問題の概要: IEで特定の方法でページを表示しようとすると、ページのエンコーディングの指定にかかわらず、ページに含まれるバイト値からブラウザ側で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
