IEのローカルファイルをXHRでどこまで読みとらせるか - 葉っぱ日記
ローカルのHTMLファイルからどこまで読み取れるか選手権 2011 - 金利0無利息キャッシング – キャッシングできます - subtech を読んでの補足。 IE9 on Windows 7 においてXHRを使ってローカルファイルを読み取る場合について、「許可するとやりたい放題」と書かれているとおり、IEが表示する警告をいったん「許可する」側に選択するとhtml内の JavaScript (あるいはVBScript)において通常のローカルのプログラムと同様にあらゆる操作が可能になります。(写真は英語版IE9) これは、IE6 / XP SP2 以降で導入された「ローカルコンピュータのロックダウン」が解除された状態になり、WSHやHTAと同様に、ローカルリソースへのアクセスや任意のActiveX Objectの生成を含め任意のコード実行が可能な状態になったということです。 ローカルに置い
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
1分でわかる「X-ナントカ」HTTPレスポンスヘッダ - 葉っぱ日記
最近のモダンなWebブラウザがサポートしている、セキュリティに関連しそうな X- なHTTPレスポンスヘッダをまとめてみました。それ以外にもあったら教えてください。 X-XSS-Protection 0:XSSフィルタを無効にする。 1:XSSフィルタを有効にする。 XSSフィルタを有効にすることでエンドユーザがXSSの被害にあう可能性が低減するが、まれに誤検知することで画面の表示が乱れることもある。IE8+、Safari、Chrome(多分) で有効。IEでは「X-XSS-Protection: 1; mode=block」という指定も可能。 2008/7/2 - IE8 Security Part IV: The XSS FilterBug 27312 – [XSSAuditor] Add support for header X-XSS-Protection X-Content-Ty
WASForum Conference 2010: 国民のためのウェブサイトを運営するID認証の舞台裏 (前半) | 水無月ばけらのえび日記
公開: 2010年5月26日1時25分頃 WASForum Conference 2010、オープニングセッションに続いて、ヤフーの松岡泰三さんによる「国民のためのウェブサイトを運営するID認証の舞台裏」。松岡さんは「R&D統括本部プラットフォーム開発本部セントラル開発1部」に属し、OpenID、OAuth、認証API、認証(ログイン)、ソーシャルプラットフォーム、ストレージプラットフォーム、外部サービス連携……といった諸々のお仕事をされているそうで。 今回のお話は大きく前後半に分かれていて、前半はYahoo!の認証に関する仕組みや統計データについてのお話、後半は外部サービスとの連携の話になっていました。まずは前半部分のメモから。 Yahoo! Japan ID の現在アクティブユーザ数 …… 2396万IDYahoo!ウォレットのユーザ数 …… 1900万Yahoo!プレミアムの会員数
WAS Forum 2010カンファレンス:ケータイ2.0が開けてしまったパンドラの箱
2. 徳丸浩の自己紹介 経歴 1985年 京セラ株式会社入社 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 2008年 KCCS退職、HASHコンサルティング株式会社設立 経験したこと 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 その後、企業向けパッケージソフトの企画・開発・事業化を担当 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ その他 1990年にPascalコンパイラをCabezonを開発、オープンソースで公開 「大学時代のPascal演習がCabezonでした」という方にお目にかかること
セキュリティ情報 - Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題
文書番号HASHC2010052401 Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題 HASHコンサルティング株式会社 公開日:2010年5月24日 概要 昨年11月24日づけアドバイザリにて、iモードブラウザ2.0のJavaScriptにより、携帯端末に割り当てられたID(以下、端末固有ID)を利用した認証機能(以下、かんたんログイン)に対する不正アクセスが可能となる場合があることを報告した。その後の調査により、同種の問題がYahoo!ケータイのブラウザ(通信事業者はソフトバンクモバイル)でも発生することを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者およびYahoo!ケータイ利用者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザに用意された端末固有IDを利用した簡易的な認証であり、ユーザがIDやパスワード
画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2007年12月6日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 最近、画像ファイルを用いたクロスサイト・スクリプティングが注目されている。本稿では、画像を悪用したXSSについて説明した後、対策方法について解説する。 画像によるXSSとはどのようなものか Internet Explorer(IE)の特性として、コンテンツの種類を判別する際に、レスポンスヘッダ内のContent-Typeだけでなく、コンテンツの内容も判断基準にしている。このため、Content-Typeが例えばimage/gif(GIF画像)となっていても、中身がHTMLであればHTMLと解釈して表示する。
続:携帯で端末ID詐称は可能かもしれない話 | [ bROOM.LOG ! ]
「SSL対応」という箇所がある。docomoのUTNとSBシリアル番号およびauのEZ番号のみが○である。 SB公式UID(x-jphone-uid)はSSLゲートウェイを指定すればOKだが他については全て×だ。 これは大変重要な事実を示している。 UTNとSBシリアル番号が○なのは当然だ。SSLはポイント・トゥー・ポイントプロトコルであり、つまりブラウザ (この場合は端末)とWEBサーバーが直接暗号通信することで通信が傍受されたり改変されないことを保証するからだ。逆に言えば通常の携帯ゲートウェイがこの直接通信に介入することはできない(SSLゲートウェイは端末<->SSLゲートウェイ<->WEBサーバという2つの通信を見かけ上束ねているだけだ)。 なのでiモードIDやNULLGWDOCOMO、SB公式uidがSSLに対応しないのはゲートウェイでHTTPヘッダーを付加する必要があるから、と理
高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
高木浩光@自宅の日記 - ウィルコムから回答「契約者固有IDは弊社にとって個人情報」
■ ウィルコムから回答「契約者固有IDは弊社にとって個人情報」 契約者固有ID関係でいろいろ調査していた2月、私はウィルコムに対して、以下の質問を送った。 Date: 2010/02/18 06:52:07 Subject: 個人情報保護と公式サイト掲載基準についての公開質問 WILLCOMの個人情報保護方針についてお尋ねします。 http://www.willcom-inc.com/ja/service/contents_service/create/uid/index.html の説明によれば、 > 公式サイト向けに個体識別情報の送出を行っておりますが、一般サイト向けに > は個体識別情報を送出は行っておりません。 とのことで、「個体識別情報を受け取るためには申請が必要」とあり、「審査 基準は公式サイト掲載基準と同等」とあります。 そこで「公式サイト掲載基準」 http://www.w
高木浩光@自宅の日記 - 音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する
■ 音楽著作権団体らの杜撰なアンケートがフィッシング被害を助長する 音楽6団体、違法ダウンロード防止の啓蒙キャンペーン, ケータイWatch, 2010年3月4日 プレスリリース, 音楽関係6団体「やめよう!違法ダウンロード」キャンペーン開始, 社団法人日本レコード協会, 2010年3月4日 【特設サイトURL】 パソコン http://www.happy-musiccycle.jp/ 携帯電話 http://www.happy-musiccycle.jp/mobile/ このURLがあちこちに貼られて宣伝されているようだ。たとえば、懸賞情報のメールマガジンなどに掲載されているようだ。 社団法人日本レコード協会 QUOカード1000円分300名プレゼント, 無料サンプル&懸賞情報サイト 社団法人日本レコード協会 QUOカード1000円分300名プレゼントキャンペーン! エルマークを広めよう
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
ケータイtwitter(twtr.jp)においてDNS Rebinding攻撃に対する脆弱性を発見・通報し、即座に修正された - 徳丸浩の日記(2010-02-22)
_ケータイtwitter(twtr.jp)においてDNS Rebinding攻撃に対する脆弱性を発見・通報し、即座に修正された twitterのケータイ版twtr.jpにおいて、DNS Rebindingによるなりすましを許す脆弱性が発見され、1/15に通報したところ、その日のうちに修正された。以下、その経緯について報告する。 経緯 今年の1月12日に読売新聞の記事が出たのを受けて、現実のサイトはどうなのだろうかと改めて気になった。 NTTドコモの携帯電話のうち、インターネット閲覧ソフト「iモードブラウザ2・0」を搭載した最新29機種を通じて、利用者の個人情報を不正取得される恐れのあることが、専門家の指摘で明らかになった。 同社は携帯サイトの運営者にパスワード認証などの安全対策を呼びかけている。携帯電話の機能が高機能化するにつれ、こうした危険は増しており、利用者も注意が必要になってきた。
高木浩光@自宅の日記 - はてなのかんたんログインがオッピロゲだった件
■ はてなのかんたんログインがオッピロゲだった件 かんたんログイン手法の脆弱性に対する責任は誰にあるのか, 徳丸浩の日記, 2010年2月12日 といった問題が指摘されているところだが、それ以前の話があるので書いておかねばならない。 昨年夏の話。 2009年8月初め、はてなブックマーク界隈では、ケータイサイトの「iモードID」などの契約者固有IDを用いた、いわゆる「かんたんログイン」機能の実装が危ういという話題で持ち切りだった。かんたんログイン実装のために必須の、IPアドレス制限*1を突破できてしまうのではないかという話だ。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフ
FTP の危険性に関して超簡単まとめ
今日話題になった Gumblar の亜種によって FFFTP の設定情報から FTP 情報が漏れる件で、FTP 自体の危険性と FFFTP 自体の特性、さらに Gumblar 対策という点で少し情報が混乱している状況が見受けられます。そこでその点を簡単にまとめてみました。 去年あたりから、「Gumblar (ガンブラー)」 に代表されるような、FTP のアカウント情報を何らかの手段で盗み出して Web サーバにアクセスし、Web サイトを改竄して被害を広めていくタイプのウィルスが問題になっていますが、今日になって広く利用されているフリーの FTP クライアントである 「FFFTP」 にアカウント情報漏洩の危険性が見つかったということで話題になっていました。 「FFFTP」のパスワードが"Gumblar"ウイルスにより抜き取られる問題が発生 : 窓の杜 ただ、この問題で、FTP 自体の危険性
『SFTP/FTPS にすれば良い』わけではない - BSDmad の日記
今回の騒動で『FTP は危険だから SFTP/FTPS に変えよう』とか『FFFTP をやめて○○にすべき』といった意見を見る機会が増えました。例えば ↓ コレ。 最近、FFFTPなどのFTPソフトからログイン情報を取得するマルウェアが話題になっている。しかし、FTPはもともとパスワードやファイルを暗号化せずに送受信するため、ほかのクライアントでも盗聴などにより情報を盗まれる可能性がある。そのため、SFTPやFTPSといったより強固なセキュリティを備えるプロトコルを利用することをおすすめしたい。今回紹介するのは、これらに対応する高機能FTP/FTPS/SFTPクライアント「FileZilla」だ。 http://sourceforge.jp/magazine/10/01/30/0741238 一般論として「FTP だと盗聴で ID・パスワード情報が盗まれる可能性がある」ことはその通りなんで
ローカルストレージに保存するデータの暗号化 ― Windows の場合 - NyaRuRuが地球にいたころ
Gumblar による FFFTP への攻撃について GumblarによるFFFTPへの攻撃について FTPのアカウントを盗み、サイトを改竄するGumblarウイルスが猛威をふるっております。 このGumblarウイルスの亜種が、FFFTPを狙って攻撃していることが報告されております。 詳しくは以下のサイトを参照してください。 smilebanana UnderForge of Lack FFFTPはパスワードをレジストリに記録しております。簡単な暗号化をかけてありますが、FFFTPはオープンソースであるため、暗号の解除法はプログラムソースを解析すれば可能です。 Gumblarウイルスの亜種は、レジストリに記録されているパスワードを読み取り、サイト改竄に使用しているようです。 上記理由により、以下のいずれかの対策をお取りください。 ●接続先のFTPサーバーがSSL等に対応している場合。 →
にょろぷにらん | FFFTPパスワード漏れ対処版作ってみた
えーっと,すいません.さくらのレンタルサーバでアクセスログONにしていたことを忘れてディスクが容量不足になって肝心の記事が消えました.(最後にコメント入れてくれた人,消えちゃいました.ごめんなさい) FFFTPの対策パッチです. その前に,FFFTPを入れているだけで危ないと誤解している人がいるようなので ライフハッカーのFFFTPに関する誤報 この文章を普通に読めば、ffftpには「マルウェア感染する」と「ID・パスワード・ホスト先の情報を抜かれる」の2つの危険性がある多くの人が思うことだろう。「および」でつながっているのだから当然だ。つまりffftpを使っているとマルウェアに感染するのだ、と。 しかしこれは間違いであり、それもかなり初歩的な間違い、日本語の言い回しの解釈の間違いなのだ。 あと,何となく怖いからやっぱり乗り換えようと思っている人は,こちらも 10 FTP Clients
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ
