クロスドメインでのデータ読み込みを防止するJavaScript ? - snippets from shinichitomita’s journal
GMailのコンタクトリスト漏洩のエントリのついでに。 JSONデータをscriptタグにのせて配信するサービス(JSONPなど)で、限られたサイトのみにしかそのデータを配信しないようにするためには、クライアントが送出してくるリファラ情報を使ってサービスコンシューマとなっているサイトを特定してアクセス制御する方法がある。 この方法はおそらく大部分のクライアント(ブラウザ)に対しては有効で、例えば実際にGoogle MapsなどもそれとAppKeyを組み合わせてサイトを判別しているっぽいのだけど、意図的にリファラ送出を切っているブラウザであったり、あるいはプロキシプログラムなどが自動的にリファラヘッダを除去してしまうようなクライアント環境に対しては無効になってしまう。 ということで、そんなクライアントでもなんとかならないだろうかと考えていたときにちょっと思いついた、もしかしたらこの方法なら許
Ajaxian ? Gmail CSRF Security Flaw
Enterprise Strategy Group: Go-to-market Expertise to Help You Win
GMailのコンタクトリスト漏洩とプライベートJSONP - snippets from shinichitomita’s journal
GMailのコンタクトリストが外部から呼び出し可能になってしまってた件について。 Google内プライベートなはずのデータが、関係のない外部のサイトからもスクリプト経由で読み込まれてしまうというもの。 http://ajaxian.com/archives/gmail-csrf-security-flaw でもこれってCSRFっていうのかな?なんか問題がちょっと違ってるような気もするけど。CSRFは情報が抜き取れるかどうかってとこは別に関係ないはずだし。外部サイトにプライベートデータを盗まれるという脅威としてはCSSXSSに近いような。(追記:どうもCSRFの定義ってのはもうちょっと広いみたい) この騒ぎに呼応して、クロスサイトのセキュリティモデルについてまとめてあった。 http://labs.cybozu.co.jp/blog/kazuho/archives/2007/01/cross
Web標準化時代のJavaScript
このページはWeb標準化時代のJavaScriptについて書かれています。主に旧来の方法を新しい書き方にするための項目を掲載しています。 ミスや間違い、リンクエラーなどがありましたらopenspc@po.shiojiri.ne.jpまでお願いします。
【レビュー】これは凄い! Ajax最強のデバッグツール"FireBug 1.0"リリース (1) デベロッパのアツい視線を受ける実力派エクステンション (MYCOMジャーナル)
デベロッパがFirefoxを使う理由はエクステンション! Ajax Webアプリケーションの開発者には、WebブラウザとしてFirefoxを愛用しているユーザが多い。その理由のひとつに豊富なエクステンション機能が挙げられる。Firefoxを使っているからエクステンションを使っているというよりも、エクステンションを使いたいからFirefoxを使っているという感じだ。 デベロッパに人気のあるエクステンションはいくつもあるが、代表的なところではAll-in-One GesturesやDictionarySearch、Greasemonkey、User Agent Switcher、ScrapBookなどを挙げることができる。そしてAjax Webアプリケーションの開発において必須ともいえるエクステンションに、Firebugがある。 Firebugに対する称賛の声は枚挙にいとまがない。「Fireb
アップル、「iPod」全機種でフラッシュメモリ搭載を検討か--アナリストが予測
Prudential Equity GroupのアナリストJesse Tortora氏のレポートによると、Appleは、2007年末までに「iPod」全機種の記憶装置をフラッシュメモリにする計画を進めている可能性があるという。 Tortora氏のレポートは、米国時間2月7日のAppleInsiderで紹介された。「iPod nano」と「iPod shuffle」はすでにフラッシュメモリを搭載しているが、Appleは製品の仕様変更の一環として、ビデオiPodにもフラッシュメモリを採用するのではないか、とTortora氏は考えている。 フラッシュメモリには多くの利点がある。まず、ハードディスクの可動部分は振動や落下が続くと故障する可能性があるが、フラッシュメモリにはこうした可動部分がない。また、iPodの筐体を薄く小さくできる。さらに、フラッシュメモリへの移行によってバッテリ駆動時間も延び、
Lingr mini ジェネレーター
Lingrのブログパーツ(Lingr Blog Widget)です。 はてなダイアリーに対応しました!!(2007/10/8) サンプル (=この部屋です。) 自分をブログにチャットを設置しよう あなたのブログにチャットを設置できます。 (お使いのBlogサービスがJavaScriptのブログパーツに対応している必要があります。) 動作確認済みブログ: はてなダイアリー[New!] ロリポブログ 動作確認済み環境: OSX(10.4):Firefox2,Safari WindowsXP:IE6 動作報告、動作しませんでした報告をお待ちしております。コメント欄へお願いします。 1. Lingrのアカウントを作成します。 1-1. http://www.lingr.com/account/signupを開きます。 1-2. メールアドレスとパスワードを入力。送信。 1.3. Li
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
