)
Developing Widgets for Windows Mobile 6.5
4/7/2010 Microsoft June 2009 Summary Windows Mobile® widgets typically are single-purpose applications to display data obtained from the Internet. They are written using JavaScript and bring the wealth of experience of Web developers to the Windows Mobile platform. Since widgets are installed and run locally on the mobile device, they provide ease of use and a better Internet user experience than
まだ無料で使えるショッピングカートCGI | 起業・経営お役立ちブログ
初めてのネットショップで使ったショッピングカートCGIは、WEB寺子屋さんというウェブサイト(現在出てくるのは別物)のCGIでした。 けっこう使い勝手良かったのをおぼえています。 2000年代はショッピングカートCGIブームというか、「素人でも無料で(当時)本格的なネットショップが持てる!」ということで猫も杓子もCGIという時代でした。 現在はもちろん、ショッピングカートCGIを使ってネットショップを作る人は皆無どころか、CGIの存在さえ「なかったこと」世の中になってきていますね。 さびしい・・・とは思いませんが、今ショッピングカートCGIを探している人(いないと思いますが)のために、過去記事を加筆しました。 KENT WEB https://www.kent-web.com/ CGIと言えば「KENT-WEB]言われるほど超メジャーなCGI配布サイト。 知らない人はいませんよね。(最近の
「Content Security Policy」でクロスサイト・スクリプティング攻撃を阻止
「Shutting Down XSS with Content Security Policy」より June 19,2009 posted by Brandon Sterne,Security Program Manager 人気Webサイトの多くは数年前からクロスサイト・スクリプティング(XSS)攻撃に悩まされ,アクセスしてきたユーザーに被害を及ぼしてきた。米モジラは2008年から,XSS攻撃の阻止を目的とする新技術「Content Security Policy」(CSP)の開発に取り組んでいる。当記事でこの技術の背景を簡単に紹介するとともに,これまでの進ちょく状況を説明しよう。 XSS攻撃が実行可能なのは,コンテンツ要求元のWebブラウザ上で,Webサーバーからの応答結果として得られるすべてのコンテンツが同じ権限で扱われるためである。Webページ内にあるJavaScriptとその他
AntiSamyをためす - teracc’s blog
OWASPがAntiSamyというオープンソースのソフトウェアをリリースしました。 Category:OWASP AntiSamy Project - OWASP ツールの名前は、有名なMySpaceのJavaScript Wormからきています(多分)。 HTML断片から、JavaScript要素を除去するためのソフトで、現行版はJavaで作られています。プロジェクトのホームページによると、将来的にPHPや.NET環境にも移植される予定とのことです。 V1.0をダウンロードしてちょこっと触ってみました。 以下、メモ&感想です。 ParserとしてNekoHTMLを使用している。 XMLのポリシーファイルと、ポリシーファイルに基づいてHTMLを処理するエンジンで構成されている。 ポリシーファイルには、許可するHTMLタグ・属性名・属性値、CSSプロパティ名・値などのパターンを、正規表現をつ
SLCP-JCF2007(共通フレーム)が出た - 中小企業診断士 佐川博樹のブログ
中小企業診断士 佐川博樹のブログ 情報システムの要件定義のこと、中小企業診断士として考えていること、個人として考えていること、そして文房具や手帳のことなどをつらつらと書いているブログです。原則、好き勝手なことを書いています。資料の裏付けがどうだとか、その考えは間違っているとかいうコメントを頂戴してもお答えできかねますので、あしからず。 SLCP-JCF98が改訂されて、2007になった。まだまだ読んでいる途中だが、 そうはいうけど、できていないなぁ という項がたくさんある。ただ、いくつか気になる点もある。 ひとつは要求定義の部分の切り方である。かなりの部分を企画の方へ入れていて、要件定義はサブシステムレベル以下の部分に特化した感じになっている。もちろん、こういう切り方もあると思うが、こうなると中小企業で業務ごとにシステムを導入するとなると企画部分が弱くなる気がする。 もうひとつ気になってい
第5回 番外編:Black Hat USAレポート | gihyo.jp
世界最大のコンピュータセキュリティカンファレンス Black Hat 今回は少し脱線して、Black Hatというカンファレンスからおもしろいトピックをいくつか紹介したいと思います。 Black Hatはコンピュータセキュリティに関するカンファレンスとしては、世界最大クラスのカンファレンスです。2007年は8月1、2日にラスベガスで開催され、世界中から5,000人以上が参加したそうです。コンピュータセキュリティについて幅広く発表が行われ、その内容はカーネル、ネットワーク、フォレンジック、プライバシー等多岐に渡ります。 そうは言ってもこの連載でWebと関係のない話をするわけではなく、Webのセキュリティに焦点を当てて紹介していきます。2004年ごろからWebアプリケーションの話題が多くなっており、今年もApplication Securityという分野で一部屋が取られていました(今年は全部で
【レポート】Black Hat USA 2007 - WebセキュリティのSPI、Ajaxのリスクとスーパーワームを警告 (1) 必要がなければAjaxを採用しないのが最善 - SPI Dynamics | エンタープライズ | マイコミジャーナル
Black Hat Briefingsの常連である米アトランタのセキュリティ企業SPI Dynamicsは、今年6月にHewlett-Packard (HP)による買収が発表された。買収完了後はHPのテクノロジーソリューション・グループに統合されるという。HP傘下になれば、これまでのように派手に警鐘を鳴らすような活動は行わなくなりそうだ。だが、今年はこれまで通りAjax導入のリスクとHybrid Webワームという話題性の高い2つの講演を行った。 SPIのリードセキュリティ・リサーチャーのBilly Hoffman氏 容易ではない完璧なAjax導入 「Premature Ajax-ulation」は昨年のAjax Securityの続編と呼べるような内容だった。 Ajaxという技術そのものに深刻な脆弱性がある訳ではない。標準に従い、外部にさらされるプログラムロジックや入力検証の仕組みに留意
Hybrid Web Worm:高橋晶子のセキュリティ漂流記:オルタナティブ・ブログ
先月の終わりにBlack Hat Japanに行って来ました。今回は初日しか参加できなかったのですが、Black Hat USAで聞き取れなかったBilly Hoffman氏のWebワームのセッションを再度聞くことができました。 このセッション、「The Little Hybrid Web Worm that could」では、クライアントとサーバの両方に感染でき、アンチウィルスやIDSのシグネチャをバイパスできてしまうHybrid Web Wormの脅威について紹介されました。 Hybrid Web Wormは、PerlとJavaScriptでコーディングされ、サーバ上ではPerlのコードを実行、クライアントではJavascriptを実行する。これにより、サーバ、クライアントの両方に感染可能となる。またソースコードミューテーションを行う事で、アンチウィルスやIDS/IPSのパターンマッチ
XSSed | Cross Site Scripting (XSS) attacks information and archive
Another Ebay permanent XSSWritten by KFTuesday, 13 November 2012 The Indian security researcher Shubham Upadhyay aka Cyb3R_Shubh4M, sent us a new permanent XSS affecting the products listings on Ebay.com read more... F-Secure, McAfee and Symantec websites again XSSedWritten by DPFriday, 13 January 2012 Once again, the websites of the three famous antivirus vendors are vulnerable to cross-site scri
T.Teradaの日記 - SessionSafe: Implementing XSS Immune Session Handling
SessionSafeは、ハンブルグ大学のMartin Johnsさんが書いたWeb APの方式案です。 もしWeb APにXSS脆弱性があって、これが攻撃されたとしても、 セッションIDが盗まれない 当該ページ以外の情報が窃取・改竄されない ことを目指しています。 面白いなーと思ったので、内容について少し書きます。 なお、元記事を高速斜め読みしたので、この日記の内容には間違いが含まれているかもしれません。興味のある方は原本を見てください。 セッションIDが盗まれない 以下の二つのドメインがあるとします。 www.example.com secure.example.com セッションIDのCookieは、secureサブドメインに発行します。 Webページを表示する際はwww.example.comのURLにアクセスします。そこで返すHTMLに色々と仕掛けを施します。 HTMLの仕掛け
Security Briefs: SDL Embraces The Web
The SDL also permits a small set of attributes for these elements, but before we get into this, it's more important to discuss validation techniques. One of the most effective techniques for validating user input is to use a regular expression, either through the RegularExpressionValidator control or the Regex class: // ensure the user input matches the form of a US ZIP code if (!Regex.IsMatch(Te
Japan Vulnerability Notes / 脆弱性レポートの読み方
公開日:YYYY/MM/DD 脆弱性情報を JVN において公開した日付 (日本時間) です。同じ脆弱性について、ベンダ (製品開発者) や US-CERT、CERT/CC、CPNI などから情報が公開されていても、公開日は一致しないことがあります。必要に応じてベンダ情報などを確認してください。 最終更新日:YYYY/MM/DD 最後に脆弱性情報に関する更新を行った日付 (日本時間) です。それまでの更新については更新履歴に記載しています。 脆弱性識別番号 脆弱性識別番号は、脆弱性情報を特定するために割り振られる一意な番号です。運用開始当初、JVN では、脆弱性情報の提供元の番号体系に基づいて 6種類の番号体系を使用していました。これを 2012年12月3日に再編し、よりシンプルな番号体系に変更しました。この新しい番号体系では「情報セキュリティ早期警戒パートナーシップ」に基づいて調整・公表
)
.NET アプリケーションのパフォーマンスとスケーラビリティの向上 - 第 5 章 「マネージ コ ード パフォーマンスの向上」
Recommendations on how to design and develop custom applications using the Microsoft platform Each patterns & practices offering contains a combination of written documentation and re-usable source code. Many also include a reference implementation. As the guidance is being developed it is reviewed and approved by internal Microsoft product teams and by external customers and partners. This produc
TLS 1.3 and the Future of Cryptographic Protocols
✕ Synopsys Software Integrity Group is now operating as Black Duck Software, Inc., a subsidiary of Synopsys. Click to learn more. It’s a bold new beginning The All-in-One Application Security Platform Optimized for DevSecOps Whether testing one application or thousands, automate any scan, any time, anywhere, all at once Explore the Polaris platform 2024 Open Source Security and Risk Analysis Repor
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Support Site
セキュアなアプリケーション開発のための要求・デザインパターンの提案 | CiNii Research
https://www.cac.co.jp/softechs/pdf/st2801_05.pdf
Web Application Security
品質要求駆動型のアーキテクチャ分析設計手法によるWEBシステム開発 | CiNii Research
世界のインターネットセキュリティ事情【連載第6回】:セキュリティソリューション Secureplaza:日立