JSONのセキュリティの、疑問 - FAX
snippets from shinichitomita’s journal - クロスドメインでのデータ読み込みを防止するJavaScript ? 東京で舘野にも聞いたんだけど、JSONとクロスドメインのデータ漏洩の問題がよく分からない。JSONって、そもそもいろんな所から使って欲しいからJSONなんじゃないの?裸で戦場で生き残るにはどうすればよいか、←服着ろよ、みたいなことになってない?外部から読まれるとまずいデータは、ハナからJSONじゃなきゃいいのにと思うんだけど。 name : 'brasil', age : 30 } XHRで取って、補ってevalする感じで。 でも、すごい人たちで考えてるので、きっと僕の考え違いなのら。 追記mala 『gmailで使ってるJSONは先頭にwhile(1)がついてて外部で使うとブラクラになるよ』それ、なんてポイズン・ピル? (w
JavaScriptのソースに重要なデータを埋め込むなんて….
(Last Updated On: 2007年1月3日)GmailでJavaScriptのソースとしてコンタクトリストデータを埋め込んでいたため、第三者がコンタクトリストを盗めてしまう、という問題が話題になっています。 まだ詳しく調べていませんがsrc属性に指定されたソースは誰でも(どのサイトからでも)取得できるブラウザの仕様を利用したものだと思います。 比較的早くからsrc属性で他のサイトのJavaScritpが指定できる仕様のリスクは指摘されていました。Gmailでさえ重要なデータをJavaScriptのソースに埋め込んでいるのですからAjaxアプリケーションの多くに同じ脆弱性があるような気がします… 手っ取り早く不完全な方法で修正するにはリファラチェック、きちんと修正するならJavaScriptのリクエストに鍵を付けてチェックする、といった方法で対策可能です。 http://exam
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
