RSA and ECC in JavaScript
The jsbn library is a fast, portable implementation of large-number math in pure JavaScript, enabling public-key crypto and other applications on desktop and mobile browsers. Demos RSA Encryption Demo - simple RSA encryption of a string with a public key RSA Cryptography Demo - more complete demo of RSA encryption, decryption, and key generation ECDH Key Agreement Demo - Diffie-Hellman key agreeme
自堕落な技術者の日記 : Pure JavaScriptでRSA署名するソースを公開しちゃいますよ〜〜〜〜w - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 ちょっと前に、Stanford大のTom Wuさんという方がPure JavaScriptで公開鍵暗号を実装しているっていうのを、どなたかのつぶやきで見ました。送信相手のRSA公開鍵を使って、相手に対してメッセージを暗号化して、受取人はそれに対応した秘密鍵で復号するというものです。Base64やBigIntegerなんかもJavaScriptで実装されていました。 やる〜〜〜〜〜 ここまでできてりゃ、ひょっとしたらJavaScriptでPKCS#1 v2.1 RSASSA-PKCS1-v1_5署名もできちゃうんじゃね?、、、と思って2、3週間前に作ってみました。できたヤツは放置プレイしていたんですが、ワールドカップイヤーなもんでサッカー見なが
140文字以内でパスワード丸見え - latest log
パスワードを忘れちゃった時などに。 Firefox3.5+, Safari4+, Google Chrome, Opera10.10+ で動きます。IE9でも動くかもしれません 76byte javascript:document.querySelector("input[type=password]").type="text";void 0
Cross-Origin Resource Sharing (CORS) - HTTP | MDN
Cross-Origin Resource Sharing (CORS) is a mechanism that uses additional HTTP headers to tell browsers to give a web application running at one origin, access to selected resources from a different origin. A web application executes a cross-origin HTTP request when it requests a resource that has a different origin (domain, protocol, or port) from its own. An example of a cross-origin request: the
I8jesus.com is for sale | HugeDomains
Working with hugedomains.com was a quick and easy process. We got to speak to multiple real people located in Colorado without having to wait on hold! Our only complaint was we felt we had to overpay more than this particular domain was worth, and we weren't able to negotiate it down to a level that we felt was fair. However, payment and delivery were seamless, and within a few hours we had all of
DoCoMo iモードブラウザ2.0でCookie - maru.cc@はてな
DoCoMoのこの夏モデルから、iモードブラウザ2.0というより高機能なiモードブラウザが搭載されるようになりました。 CookieやCSS,JSなど、大きな違いがありますので、実際に実機で確認をしてみます。 端末は、N-06A を使用します。なんか、発売停止なんてなってますが。。 Cookie まずは、Cookieについて。 以前、以下のような調査をしたことがあったので、同じ調査をしてみました。 auのSSLでのCookieの挙動がおかしい - maru.cc@はてな au,SoftBankでSSLでCookieセッションを使用する場合の問題点 - maru.cc@はてな 結果は、問題なく使えます。http<->httpsでの動作、secure属性の挙動も問題ありません。 これを使えば、Cookieセッションでセキュアなサイトがちゃんと作れそうです。 setcookie()の httpo
高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
■ 「NoScript」をやめて「RequestPolicy」にした セキュリティ屋が、Firefoxユーザに「NoScript」の使用を推奨することがしばしばあるが、私は賛同しない。 JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開, INTERNET Watch, 2008年11月4日 *1 技術メモ − 安全なWebブラウザの使い方, JPCERT/CC, 2008年11月4日 IV. 各 Web ブラウザに共通する設定上の注意事項 1. スクリプト等の実行を制限する JavaScript 等のスクリプトや(略)は(略)Ajax に代表されるインタラクティブなインターフェースが実現できるなど、高い利便性が得られます。反面、PC 上の重要なファイルを削除・変更するなど、悪意を持った処理が行われる可能性もあります。従って無制限にスクリプト等を実行できるようにしておくのは
「Adobe Reader」にまたもパッチ未公開の脆弱性
米国時間4月28日、人気のPDFリーダー「Adobe Reader」の脆弱性が報告された。これを受け、セキュリティ専門家は同ソフトでJavaScriptを無効にするよう勧めている。 米コンピュータ緊急事態対策チーム(US-CERT)の勧告によると、問題の脆弱性はJavaScript関数「getAnnots()」のエラーに起因するもののようだ。このエラーが悪用されれば、コードがリモート実行されるおそれがあるという。 この勧告には「US-CERTはユーザーおよび管理者に対し、リスクを軽減するためAdobe ReaderのJavaScriptを無効にすることを奨励する」とある。Adobe ReaderのJavaScriptを無効にするには「『環境設定』ダイアログボックスを開く。『編集』から『環境設定』を選んで『JavaScript』を選択し、『Acrobat JavaScript を使用』のチェ
Greasemonkeyに拡張機能でないとできないことをする関数を追加するPrivilegedMonkey
chrome特権つきのLDRize Minibufferコマンドを作るでちょこっと書いてたやつですが、とりあえずファイルをローカルに保存するやつだけ完成させました。 GreasemonkeyからGoogle Gearsの機能を利用するGearsMonkeyと似たアプローチなのでPrivilegedMonkeyという名前にしました。 インストール for Firefox2 PrivilegedMonkey v.0.0.1 for Firefox3 PrivilegedMonkey v.0.0.3 使い方 PrivilegedMonkeyをインストールするとMinibufferにsave.localというコマンドが追加されます。 stdinにはURLを持っているXPathのAttrオブジェクトもしくは、URLの文字列(まはたtoString()でURLになるもの)を渡します。 今回はフランス語
window.nameによるクロスドメイン通信 - snippets from shinichitomita’s journal
随分前になるが、SitePenの人 (dojo) が書いたブログに window.nameを使ったクロスドメイン通信についてまとめられていた。 window.name Transport - Blog | SitePen 気になっていたがちゃんと読む時間がなかったので、今ごろ見てみる。抜粋して訳。 window.name による通信 The window.name transport is a new technique for secure cross-domain browser based data transfer, and can be utilized for creating secure mashups with untrusted sources. window.name is implemented in Dojo in the new dojox.io.windowN
高木浩光@自宅の日記 - 楽天CERTに対するブラウザの脆弱性修正を阻害しない意思確認
■ 楽天CERTに対するブラウザの脆弱性修正を阻害しない意思確認 楽天は比較的早い時期からコンピュータセキュリティに真剣に取り組んできた希有な存在だと認識している。昨年には、企業内CSIRTを正式に組織し、組織名を「Rakuten-CERT」とした。*1 楽天、社内に「CSIRT」を設置, ITmediaエグゼクティブ, 2007年12月6日 「楽天ad4U」の「脆弱性を突いてブラウザの閲覧履歴を調べるという禁じ手」の問題(前回の日記参照)は、その手法自体が直接人々のプライバシーを侵害するか否かという問題ではない。実際、「楽天ad4U」について言えば、閲覧履歴の有無は参照するけれども履歴自体の送信はしないように作られており、開発元はこれを「プライバシー保護にも優れています」と宣伝している。 しかし、この問題の根本は、10月の日経の記事にも書いたように、この手法が広く使われるようになって、こ
Same-origin policy - Web security | MDN
The same-origin policy is a critical security mechanism that restricts how a document or script loaded from one origin can interact with a resource from another origin. It helps isolate potentially malicious documents, reducing possible attack vectors. Definition of an origin Two URLs have the same origin if the protocol, port (if specified), and host are the same for both. You may see this refere
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
再度chromeのクロスドメインセキュリティチェック探訪 « ku
前回のchromeのクロスドメインセキュリティチェック探訪では、なんでinspectorからだとクロスドメインのIFRAMEの中が読み出せるのか、というのがけっきょくわかんないままでしたが、理由がわかりました。 src/webkit/port/bindings/v8/v8_proxy.cppの中にクロスドメインチェックを行うV8Proxy::CanAccessPrivateという関数があり、これがinspectorのようなブラウザ組み込みのページのためのprotocolを特別扱いするようになっていました。 // Check if the current execution context can access a target frame. // First it checks same domain policy using the lexical context // // This
ユーザのクリックを乗っ取る「クリックジャック」 | スラド
ZDNet(日本語訳)にて、多くのブラウザやAdobe Flashに存在するクリックジャック(Clickjacking)に対する脆弱性について報じられている(本家/.より)。この脆弱性はIE、Firefox、Safari、Operaなど多くブラウザやAdobe Flashに存在し、影響を受けないブラウザはLynxくらいだそうだ。 クリックジャックされると、ユーザのクリック全てがクリックジャックのクリックとなり、ユーザの意図や動作とは無関係にページ上のリンクやボタンをクリックしたことになってしまう。このため、Flashゲームなどは格好のターゲットとなり得る。攻撃はブラウザの根本的な欠陥を突いたもので、DHTMLを利用しているとのこと。また、JavaScriptは必須ではないため、JavaScriptを無効にしても完全には防げないそうだ。 クリックジャックはOWASP NYC AppSec 2
What is it? - NoScript: Own Your Browser!
own YOUR browser! Open main menu ☰ Donate What is it? The NoScript Security Suite is Free Open Source Software (FOSS) providing extra protection for Firefox (on Android, too!), Chrome, Edge, Brave and other web browsers. Install NoScript now! NoScript in action NoScript is a built-in key security component of the Tor Browser, the top anonymity tool defending millions against surveillance and censo
yohgaki's blog - NoScriptの使い方
(Last Updated On: 2017年4月12日)Firefoxユーザなら必ずインストールして使用する事をお勧めするのがNoScript拡張です。 参考:新しい紹介文を書きました。 簡単にインターネットから内部ネットワークを守る方法 NoScriptはデフォルトでJavaScriptの実行を拒否します。これだけでもかなり安全にWebサイトを参照できるようになります。しかし、NoScriptはプラグインの実行も拒否できるようになっています。Java, Firefox, Silverlight,その他全ての拡張を選択して実行を拒否できます。残念ながらJava, Sliverlight以外はデフォルトで実行可能に設定されています。 ブラウザウィンドウの右下のNoScriptアイコンをクリックしオプション設定画面を開きます。下のスクリーンショットのように設定します。 (追記:間違ってチェッ
chromeのクロスドメインセキュリティチェック探訪 « ku
ブラウザにはjavascriptのコードがそのウインドウにアクセスすることができるか same origin policy に従ってチェックしている部分があります。この部分はセキュリティチェックと呼ばれています(FirefoxではnsScriptSecurityManager, WebKitではSecurityOriginで実装されている)。 Firefoxはjavascriptのオブジェクトひとつひとつに、そのオブジェクトを定義したページのドメインをもとにprincipalを設定し、実行時にアクセスしようとしているオブジェクトのprincipalと実行コンテキストのprincipalが一致するかをチェックすることで same origin policy を実装しています。Firefoxは実行コンテキストがネイティブコードや拡張機能由来のもののときには、常にprincipalが一致するもの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Plugins | jQuery Plugins
SELinux and Chrome