パスワードを忘れちゃった時などに。 Firefox3.5+, Safari4+, Google Chrome, Opera10.10+ で動きます。IE9でも動くかもしれません 76byte javascript:document.querySelector("input[type=password]").type="text";void 0
140文字以内でパスワード丸見え - latest log
パスワードを忘れちゃった時などに。 Firefox3.5+, Safari4+, Google Chrome, Opera10.10+ で動きます。IE9でも動くかもしれません 76byte javascript:document.querySelector("input[type=password]").type="text";void 0
Cross-Origin Resource Sharing (CORS) - HTTP | MDN
Cross-Origin Resource Sharing (CORS) is a mechanism that uses additional HTTP headers to tell browsers to give a web application running at one origin, access to selected resources from a different origin. A web application executes a cross-origin HTTP request when it requests a resource that has a different origin (domain, protocol, or port) from its own. An example of a cross-origin request: the
DoCoMo iモードブラウザ2.0でCookie - maru.cc@はてな
DoCoMoのこの夏モデルから、iモードブラウザ2.0というより高機能なiモードブラウザが搭載されるようになりました。 CookieやCSS,JSなど、大きな違いがありますので、実際に実機で確認をしてみます。 端末は、N-06A を使用します。なんか、発売停止なんてなってますが。。 Cookie まずは、Cookieについて。 以前、以下のような調査をしたことがあったので、同じ調査をしてみました。 auのSSLでのCookieの挙動がおかしい - maru.cc@はてな au,SoftBankでSSLでCookieセッションを使用する場合の問題点 - maru.cc@はてな 結果は、問題なく使えます。http<->httpsでの動作、secure属性の挙動も問題ありません。 これを使えば、Cookieセッションでセキュアなサイトがちゃんと作れそうです。 setcookie()の httpo
高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
■ 「NoScript」をやめて「RequestPolicy」にした セキュリティ屋が、Firefoxユーザに「NoScript」の使用を推奨することがしばしばあるが、私は賛同しない。 JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開, INTERNET Watch, 2008年11月4日 *1 技術メモ − 安全なWebブラウザの使い方, JPCERT/CC, 2008年11月4日 IV. 各 Web ブラウザに共通する設定上の注意事項 1. スクリプト等の実行を制限する JavaScript 等のスクリプトや(略)は(略)Ajax に代表されるインタラクティブなインターフェースが実現できるなど、高い利便性が得られます。反面、PC 上の重要なファイルを削除・変更するなど、悪意を持った処理が行われる可能性もあります。従って無制限にスクリプト等を実行できるようにしておくのは
「Adobe Reader」にまたもパッチ未公開の脆弱性
米国時間4月28日、人気のPDFリーダー「Adobe Reader」の脆弱性が報告された。これを受け、セキュリティ専門家は同ソフトでJavaScriptを無効にするよう勧めている。 米コンピュータ緊急事態対策チーム(US-CERT)の勧告によると、問題の脆弱性はJavaScript関数「getAnnots()」のエラーに起因するもののようだ。このエラーが悪用されれば、コードがリモート実行されるおそれがあるという。 この勧告には「US-CERTはユーザーおよび管理者に対し、リスクを軽減するためAdobe ReaderのJavaScriptを無効にすることを奨励する」とある。Adobe ReaderのJavaScriptを無効にするには「『環境設定』ダイアログボックスを開く。『編集』から『環境設定』を選んで『JavaScript』を選択し、『Acrobat JavaScript を使用』のチェ
Greasemonkeyに拡張機能でないとできないことをする関数を追加するPrivilegedMonkey
chrome特権つきのLDRize Minibufferコマンドを作るでちょこっと書いてたやつですが、とりあえずファイルをローカルに保存するやつだけ完成させました。 GreasemonkeyからGoogle Gearsの機能を利用するGearsMonkeyと似たアプローチなのでPrivilegedMonkeyという名前にしました。 インストール for Firefox2 PrivilegedMonkey v.0.0.1 for Firefox3 PrivilegedMonkey v.0.0.3 使い方 PrivilegedMonkeyをインストールするとMinibufferにsave.localというコマンドが追加されます。 stdinにはURLを持っているXPathのAttrオブジェクトもしくは、URLの文字列(まはたtoString()でURLになるもの)を渡します。 今回はフランス語
window.nameによるクロスドメイン通信 - snippets from shinichitomita’s journal
随分前になるが、SitePenの人 (dojo) が書いたブログに window.nameを使ったクロスドメイン通信についてまとめられていた。 window.name Transport - Blog | SitePen 気になっていたがちゃんと読む時間がなかったので、今ごろ見てみる。抜粋して訳。 window.name による通信 The window.name transport is a new technique for secure cross-domain browser based data transfer, and can be utilized for creating secure mashups with untrusted sources. window.name is implemented in Dojo in the new dojox.io.windowN
Same-origin policy - Web security | MDN
The same-origin policy is a critical security mechanism that restricts how a document or script loaded from one origin can interact with a resource from another origin. It helps isolate potentially malicious documents, reducing possible attack vectors. Definition of an origin Two URLs have the same origin if the protocol, port (if specified), and host are the same for both. You may see this refere
再度chromeのクロスドメインセキュリティチェック探訪 « ku
前回のchromeのクロスドメインセキュリティチェック探訪では、なんでinspectorからだとクロスドメインのIFRAMEの中が読み出せるのか、というのがけっきょくわかんないままでしたが、理由がわかりました。 src/webkit/port/bindings/v8/v8_proxy.cppの中にクロスドメインチェックを行うV8Proxy::CanAccessPrivateという関数があり、これがinspectorのようなブラウザ組み込みのページのためのprotocolを特別扱いするようになっていました。 // Check if the current execution context can access a target frame. // First it checks same domain policy using the lexical context // // This
ユーザのクリックを乗っ取る「クリックジャック」 | スラド
ZDNet(日本語訳)にて、多くのブラウザやAdobe Flashに存在するクリックジャック(Clickjacking)に対する脆弱性について報じられている(本家/.より)。この脆弱性はIE、Firefox、Safari、Operaなど多くブラウザやAdobe Flashに存在し、影響を受けないブラウザはLynxくらいだそうだ。 クリックジャックされると、ユーザのクリック全てがクリックジャックのクリックとなり、ユーザの意図や動作とは無関係にページ上のリンクやボタンをクリックしたことになってしまう。このため、Flashゲームなどは格好のターゲットとなり得る。攻撃はブラウザの根本的な欠陥を突いたもので、DHTMLを利用しているとのこと。また、JavaScriptは必須ではないため、JavaScriptを無効にしても完全には防げないそうだ。 クリックジャックはOWASP NYC AppSec 2
chromeのクロスドメインセキュリティチェック探訪 « ku
ブラウザにはjavascriptのコードがそのウインドウにアクセスすることができるか same origin policy に従ってチェックしている部分があります。この部分はセキュリティチェックと呼ばれています(FirefoxではnsScriptSecurityManager, WebKitではSecurityOriginで実装されている)。 Firefoxはjavascriptのオブジェクトひとつひとつに、そのオブジェクトを定義したページのドメインをもとにprincipalを設定し、実行時にアクセスしようとしているオブジェクトのprincipalと実行コンテキストのprincipalが一致するかをチェックすることで same origin policy を実装しています。Firefoxは実行コンテキストがネイティブコードや拡張機能由来のもののときには、常にprincipalが一致するもの
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SELinux and Chrome