高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
■ 「NoScript」をやめて「RequestPolicy」にした セキュリティ屋が、Firefoxユーザに「NoScript」の使用を推奨することがしばしばあるが、私は賛同しない。 JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開, INTERNET Watch, 2008年11月4日 *1 技術メモ − 安全なWebブラウザの使い方, JPCERT/CC, 2008年11月4日 IV. 各 Web ブラウザに共通する設定上の注意事項 1. スクリプト等の実行を制限する JavaScript 等のスクリプトや(略)は(略)Ajax に代表されるインタラクティブなインターフェースが実現できるなど、高い利便性が得られます。反面、PC 上の重要なファイルを削除・変更するなど、悪意を持った処理が行われる可能性もあります。従って無制限にスクリプト等を実行できるようにしておくのは
シングルクォートもきちんとエスケープする - 素人がプログラミングを勉強していたブログ
追記2:2007-10-11 - hoshikuzu | star_dust の書斎を見ると、下に書いてるような対策では不十分なようだ。 追記:エスケープすべき文字は、Re: JavaScript内(文字列)にデータを出力する場合の適切なエスケープ手順|freeml byGMOなどを参考に。 シングルクォート(')をエスケープせずXSSの原因になっているサイトをけっこう見かけたので、どういう時問題になるのか書いておく。 JavaScriptの文字列を動的に埋め込む場合。 <script> var q = 'hoge"fuga'; document.getElementById('word').appendChild(document.createTextNode(q + 'の検索結果')); </script> のように、変数に代入する文字列を動的に作っている場合、RubyのCG
機密情報にJSONPでアクセスするな
2007年6月7日 はてなブックマークのコメントをうけて、「常にJSONP、JSON、JavaScriptに機密事項を含めないように」という主張を改め、「クロスドメインアクセスの対策をとっていない状態ではJSONP、JSON、JavaScriptに機密事項を含めないように」という主張に関して記述しました。 こんにちは、SEの進地です。 今回から週単位でWebアプリケーションのセキュリティに関するエントリーを書いていこうと思います。 僕自身、日々勉強して精進というところですので、もし何らかの誤りがあれば是非ご指摘ください。 つっこみ大歓迎です。 今回取り上げるのはWeb 2.0なアプリケーションでセキュリティ面で気をつけるべきことの一つ、機密情報にJSONPでアクセスするなです。 JSON(JavaScript Object Notation)はJavaScript(ECMAScript)の
XSS対策:JavaScriptのエスケープ(その2) - ockeghem's blog
5/11の日記XSS対策:JavaScriptなどのエスケープ - ockeghem(徳丸浩)の日記に対する金床さんのコメントに触発されて、JavaScriptのエスケープについて検討してみよう。ただし、現実のアプリケーション開発においては、私はJavaScriptの動的生成を推奨していないが、これはエスケープ処理をどのように考えるかと言うレッスンのつもりで検討することにする。 金床さんのコメントで紹介されたリンクには、以下のようなガイドライン案が提案されている。 JavaScriptの文字列でのエスケープ手順としては、以下が今のところ正解っぽい感じです。 1. 「\」を「\\」に置換する 2. 「"」を「\"」に置換する 3. 「'」を「\'」に置換する 4. 「/」を「\/」に置換する 5. 「<」を「\x3c」に置換する 6. 「>」を「\x3e」に置換する 7. 「0x0D(CR)
この先生きのこるには
Firefoxを使う時に最初に入れるエクステンションはNoScriptとCookieSafeです。こんにちは。 というわけで私の場合、デフォルトではCookieの発行やJavaScriptの実行を拒否し、良く使うサービスにだけ許可を与えています。(良く使うサービスでもどっちか片方しか許可しない場合もある) で、http://piece-framework.com/event-desk/register.phpにアクセスしたら無限リダイレクトしてしまいました。 news.mixi.jpも同じような状況で、自分の設定ではmixi.jpだけを許可してnews.mixi.jpが許可されていなかったっぽくて無限リダイレクト。 Yahooなんかだと、Cookieを使えるようにしてくださいとかいう専用のエラー画面がでてくる。大手はだいたいそう。 「今時のブラウザならCookieやJavaScriptくら
Kazuho@Cybozu Labs: クロスサイトのセキュリティモデル
« Japanize - IE 系の User JavaScript エンジンに対応しました | メイン | 安全な JSON, 危険な JSON (Cross-site Including?) » 2007年01月04日 クロスサイトのセキュリティモデル あけましておめでとうございます。 昨年、社内で「XMLHttpRequest は何故クロスサイトで使えないのか。画像や SCRIPT タグは使えるのに」という疑問 (というより試問) を耳にしました。おもしろい話なのでブログネタにしようと思っていたのですが、新年早々 GMAIL の事例がスラッシュドットされていたので、自分の現時点での理解をまとめてみることにしました。文書を確認して書いているわけではないので、間違いがあれば指摘してください。また、よい参考文献をご存知の方がいらっしゃいましたら、教えていただければ幸いです。 ウェブブラウザ
Firefoxを瞬殺するたった3文字のブラクラ - IT戦記
(追記)皆様のコメントやブクマでの指摘によると FireBug + FIrefox2.0 で発生するようです。 ここに落ちなくする設定方法が書いてあります。 http://d.hatena.ne.jp/mhrs/20061030/p1 自己責任でお願いします。 JavaScriptに以下のコードを書く #1#信じられない人はURL欄に javascript:#1# どうやら SpiderMonkey のソースに JS_HAS_SHARP_VARS というのがあり、そこらへんで落ちてるっぽい。 この謎の仕様 SHARP_VARS って何なんだろ。有識者の方、教えてください。 SHARP_VARS 続報 どうやら、JavaScriptでは以下のように値を保持することができるようだ。 #1=[1,2,3]; #2={hoge: 'fuga'};これらを参照するときに #1#; #2#;とするらし
IEにもFirefoxにもJavaScript処理の脆弱性--次期リリースで修復へ
MicrosoftとMozillaが、両社のウェブブラウザに存在するセキュリティホールが侵入者によって悪用され、ファイルを盗まれるおそれがあることを認めた。だが、こうした悪用は条件的に難しく、リスクはそれほど大きくないとも話している。 セキュリティ専門家は今週に入って、「Internet Explorer(IE)」および「Firefox」、そしてMozillaのその他のブラウザでJavaScriptを処理する方法に脆弱性があると警告していた。攻撃者がこうした問題を悪用して、ファイルを不正にアップロードする可能性があり、マシンユーザーの個人情報が危険にさらされるというのである。 しかし、ユーザー側が多くの操作を行わなければ同脆弱性の悪用は難しいことから、MicrosoftおよびMozillaは差し迫った危険はなく、修正パッチをすぐにリリースする必要もないと考えている。関係者によれば、両社はブ
あなたのクリップボードが盗まれる - Ceekz Logs
IE には、便利な機能がある。それは、スクリプト(JavaScript etc..)でクリップボードの操作ができるのだ。clipboardData というオブジェクトね。操作できる内容は、クリップボードにデータを読み込むこと(setData)、読み出すこと(getData)、消去すること(clearData)の3種類。 読み出すことも可能なんですよね。しかも、デフォルトでは、警告すら出ない。 以下のような、プログラムを準備しよう。 #!/usr/bin/perl use strict; my $file = '/tmp/cb.txt'; open (CB, ">> $file"); print CB "$ENV{'QUERY_STRING'}\n"; close (CB); print "Status: 301 Moved Permanently\n"; print "Location:
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
