TLS 1.3 and the Future of Cryptographic Protocols
✕ Synopsys Enters into Definitive Agreement for Sale of Application Security (Software Integrity Group) Learn More The All-in-One Application Security Platform Optimized for DevSecOps Whether testing one application or thousands, automate any scan, any time, anywhere, all at once Explore the Polaris platform 2024 Open Source Security and Risk Analysis Report Explore insights into the current state
自社に適したRIA開発のための製品選定ポイント
今回は、企業向けに特化したリッチクライアント/RIA開発製品を提供してきたソフトウェアベンダー4社を紹介する。各社は、自社製品の強みと実績を生かしたソリューションを提供するとともに、新たな分野への展開を図ることでエンタープライズRIA市場でのシェア拡大を目指している。 サーバとの柔軟な組み合わせを可能にする ―アクシスソフトの場合― アクシスソフトのセールス&マーケティング本部マーケティング部部長の西村 修氏は、「データ入力作業のように、システムユーザーの指の動きがそのまま企業の生産性に直結するような場面には、Webアプリケーションは適さない」と指摘する。その一方で同社は「ネットワークに接続していれば、どこでもアプリケーションを動かすことができる」というWebアプリケーションならではのメリットも理解しているという。 アクシスソフトの西村氏 そのため、こうしたメリットを享受しつつ、業務生産性
Ajax and Other "Rich" Interface Technologies - OWASP
This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests. To view the new OWASP Foundation website, please visit https://owasp.org Style is time’s fool. Form is time’s student – Stewart Brand Ajax applications, often styled as “Web 2.0”, are not a form of magic security pixie dust. Instead, there are two classes of applications: secure and insecure. This is indep
suVeneのあれ: JSONでなくてJSONP[JSON with Padding](クロスドメイン解決)
2006年08月27日 JSONでなくてJSONP[JSON with Padding](クロスドメイン解決) JSON(JavaScript Object Notation)ってのは、Javascipt扱う人ならば大体知っていると思う。 簡単に言えば、JavaScript のデータ互換フォーマットの事。{ "hoge": 1, "fuga": ["a", "b", "c"] }みたいなフォーマット。 参考) Collection & Copy - [翻訳]JSON入門 JavaScript++かも日記 - JSON/簡単なテスト:基本 これは確かに、同一ドメインでクライアントに渡すデータとしては有効で、レスポンスをそのまま eval して使えるので便利なのだ。(prototype.js では Ajax.Request.prototype.evalJSON() を利用すれば JavaScr
JSON is not as safe as people think it is - Joe Walker
Defining The Open Web Brad asked what the 'Open Web' is. Twice. My mum was always cross if she had to ask 3 times, so here's my stab. The Open Web is the user-remixable technologies that are shipped by the clear majority of major browsers So, for example: XHTML 2.0 is not ... Lessons from Hosting a Website You might have noticed that the getahead.org domain has been replaced by directwebremoting.o
Googleパーソナライズド ホームページにクロスサイトスクリプティングの脆弱性
Google is vulnerable to cross site scripting. While surfing around the personalization section of Google I ran accross the RSS feed addition tool which is vulnerable to XSS. The employees at Google were aware of XSS as they protected against it as an error condition, however if you input a valid URL (like my RSS feed) it will return with a JavaScript function containing the URL. If you append the
はてなブログ | 無料ブログを作成しよう
ネイルで使う材料で、DIY時の木割れやネジ跡を派手にしたらかわいい OSB合板でちょっとしたボックスをつくりました。 ビス止め下手すぎて木を割ったり穴あけすぎたりした場所に、好きな派手色の樹脂を詰めてパテ代わりにしてみました。 ちょっと某HAYっぽみ出て可愛かったので、自分用にメモです。 手順 塗装 派手色グミジェルで失敗部分…
IFrameとFragment Identifier使ったクロスドメイン通信について - snippets from shinichitomita’s journal
なぜかちょっと盛り上がり気味な記事 XhrIframeProxy(dojo) ○? ○ △? 中? マウスクリック音有り iframe内iframe ○? ○ △? 中? マウスクリック音有り http://d.hatena.ne.jp/nopnop/20080408/1207669947 この2つはFragment Identifierと多重IFrameを利用しているという点では同じなのかなあ。 正直、これらは何を内部でおこなっているか分かりにくいと思う。JSONPのような簡潔さはない。 説明を試みてみる。理解するためにまず押さえておくことがいくつかある。 まずひとつ目に、フレーム(ウィンドウ)に含まれるドキュメントを示す location の値はそのフレーム外部から書き換えることができる。こんなかんじ。 <iframe id="ifr" src="http://www.example.
GMailのコンタクトリスト漏洩とプライベートJSONP - snippets from shinichitomita’s journal
GMailのコンタクトリストが外部から呼び出し可能になってしまってた件について。 Google内プライベートなはずのデータが、関係のない外部のサイトからもスクリプト経由で読み込まれてしまうというもの。 http://ajaxian.com/archives/gmail-csrf-security-flaw でもこれってCSRFっていうのかな?なんか問題がちょっと違ってるような気もするけど。CSRFは情報が抜き取れるかどうかってとこは別に関係ないはずだし。外部サイトにプライベートデータを盗まれるという脅威としてはCSSXSSに近いような。(追記:どうもCSRFの定義ってのはもうちょっと広いみたい) この騒ぎに呼応して、クロスサイトのセキュリティモデルについてまとめてあった。 http://labs.cybozu.co.jp/blog/kazuho/archives/2007/01/cross
Gmail Vulnerable to Contact List Hijacking
Using a form of cross scripting, it becomes easy to steal a Gmail user’s contact list if they visit a certain type of website. The only condition is you have to be logged in to Gmail at the time of the attack. Gmail is setup to store your contact list in javascript files, which is the core problem. If you log into your Gmail account and click here, you’ll see your contact’s details, along with the
同一オリジンポリシー - ウェブセキュリティ | MDN
同一オリジンポリシーは重要なセキュリティの仕組みであり、あるオリジンによって読み込まれた文書やスクリプトが、他のオリジンにあるリソースにアクセスできる方法を制限するものです。 これにより、悪意のある可能性のあるドキュメントを隔離し、起こりうる攻撃のベクターを減らすことができます。例えば、インターネット上の悪意のあるウェブサイトがブラウザー内で JS を実行して、 (ユーザーがサインインしている) サードパーティのウェブメールサービスや (公開 IP アドレスを持たないことで攻撃者の直接アクセスから保護されている) 企業のイントラネットからデータを読み取り、そのデータを攻撃者に中継することを防ぎます。 二つのページのプロトコル、ポート番号 (もしあれば)、ホストが等しい場合、両者のページは同じオリジンです。これは「スキーム/ホスト/ポート番号のタプル」または時に単に「タプル」として参照されま
kentarok.org - Docs » Translations » Ajax: Web アプリケーション開発の新しいアプローチ
About this website kentarok.org is a website for Kentaro Kuribayashi to offer some documents and to index several sites on other domains, blogs, web services etc, which’re to discuss such things as technologies, pop cultures, daily activities etc, and offer some useful features. Please check out my blogs first. About the author Name: Kentaro Kuribayashi Nick: kentaro Mail: kentarok *at* gmai
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google Groups
Purchase Intent Data for Enterprise Tech Sales and Marketing | TechTarget
IBM Developer
JSON is not as safe as people think it is, part 2 - Joe Walker
Ajaxian � Cross domain access now, and support for the future
CSRF Attacks or How to avoid exposing your GMail contacts - Joe Walker
JavaScript セキュリティ: 用語集
ウィジェットとAjax - 複数のサーバーに接続する - "何かしら図書館"