＃2：BrowserSpy.dk 2009年に筆者はPanopticlickについての記事を執筆した。その後、筆者はBrowserSpy.dkという同種のウェブサイトを見つけた（図B）。このサイトでは、Panopticlickと同様のテストの他にも64種類のテストが実施される。ただし、残念なことにBrowserSpy.dkは問題の解決方法を提示してくれない。とは言うものの、ウェブサイトにアクセスした際に、どれだけの情報が危険にさらされるのかを実際に見せてくれるわけだ。 ＃3：PC Flank PC Flankはインターネットという観点から見たコンピュータのセキュリティを網羅的にテストしてくれるウェブサイトである。テストには「Stealth Test」や「Advanced Port Scanner Test」「Trojans Test」「Exploits Test」「Browser Test

知らなかったのですが、Internet Explorer 8 には「Upgrade Advisor」という機能が備わっていて、起動時に「アドオンのバージョンが古いですよ」というチェックをしてくれるんですね。 Add-on Guidelines and Requirements in Action – Upgrade Advisor - IEBlog ( http://blogs.msdn.com/b/ie/archive/2010/08/11/add-on-guidelines-and-requirements-in-action-upgrade-advisor.aspx ) IEBlogの記事によると、大雑把に言って、ツールバーなどを対象にしたUIのガイドラインに沿ったバージョンをお勧めするのに使われているらしいです。 そんなことより、Firefoxみたいに、FlashとかAdobe R

HTML Purifierの4.1.1がリリースされました。今回のリリースには1件のSecurity Fixが含まれています。今日はその内容について少し書きます。 IEのCSSのurl()の扱い 以下のようなstyle属性があったとき、ブラウザはどのように解釈するでしょうか？ <span style="background: url('http://host/aaa\'\);color:red;')">111</span> Firefox、Opera、Safariでは、「http://host/aaa');color:red;」というURIをもつbackgroundプロパティと解釈します。したがってcolorプロパティが有効になることはありません。これはCSSの仕様から見ても至極妥当な挙動です。 ところがIEだけが違う解釈をします。IEで上記のHTMLを表示させると、backgroundプ

Web サイトの改ざん事件を追っていると、「どのサイトが改ざんされた」や「どこどこのサイトに誘導される」、「どういったマルウェアに感染する」といった解説記事をよく見ます。しかし、「どうやって Exploit コードが実行される」とか、「どのブラウザだと Exploit コードが実行される」のかといった解説記事をあまり読んだことがありません（単に僕が読んだことがないだけかも）。Exploit コードの起動処理を調べるたびに、Wepawet (alpha)からサンプルを探すのも面倒なので、Wepawet からサンプルをピックアップして、それらをまとめてみます。 いつも以上にニッチなテーマなので（汗）、長々としたまとめを読みたくない場合、結論だけどうそ。 注意事項 この日記を読む際には、以下の点をご理解ください。 Adobe Reader の脆弱性を悪用する攻撃コードのみまとめています Wepa

通常、オレオレ証明書が使われているサイトにアクセスするとブラウザは警告を表示します。iPhone版のSafariでも警告が表示されます。たとえばオレオレ証明書が使われているサイトにアクセスすると、以下のように警告が表示されます。 が、Opera miniでアクセスした場合は何も警告が表示されません。ちなみに表示が崩れているように見えるのは、Opera miniの専用サーバが元のコンテンツを携帯デバイス用の軽量コンテンツに変換して返している為です。 Opera miniではhttpsなサイトにアクセスした時には、画面上部のサイトタイトルの右側に鍵マークが表示されるようになっています。よく見るとオレオレ証明書の場合はこの鍵マークが表示されていないことが分かります。したがってURLがhttpsであるにも関わらず鍵マークが表示されていない場合はオレオレ証明書だと判断することができます。 ですが、現

文字コードが引き起こす問題点は、これまで説明したような比較の一致・不一致といったソフトウェアの処理上のものだけでなく、人間に対する視覚的な効果という点でも強く影響を与え、攻撃者にとっての強力な道具となることがあります。 今回および次回で、そのような文字コードが引き起こす視覚的な問題点を紹介します。 視覚的に似た文字 見かけのよく似た文字は、フィッシングなどによく利用されます。典型的な例としては、アルファベット小文字のl（エル）と数字の1などがあります。たとえば、http://bank1.example.jp/ というURLのオンラインバンクがあったとすると、攻撃者は http://bankl.example.jp/ というURLを使ってフィッシングを企むということは容易に想像できると思います。 もちろん、収録している文字数が増えれば増えるだけ、このように見かけのよく似た文字が存在する率も高

Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...

結果がありません: <script type="text/javascript">スペルを確認するか、別のキーワードを試してみてください Ref A: 66f8a2104aaa43028d71784619f7dc14 Ref B: PUSEEAP00002CAB Ref C: 2024-09-29T00:40:48Z

既に発表されているように、NTTドコモの夏モデルからi-modeの仕様が大幅に拡張され、JavaScript、Cookie、Refererに対応するようになった。これら仕様変更はセキュリティの面からも影響が大きいため、私は夏モデルの中から、P-07Aを発売開始日(5月22日)に購入した。そして、リリースどおりJavaScript、Cookie、Refererが動作することを、実機にて確認した。 ところが、P-07Aと同日に発売開始されたN-06Aは、その日のうちに一時販売停止のお知らせが出る。 この度、弊社の携帯電話「N-06A」において、iモード接続時の不具合が確認されましたので、販売を一時見合わせさせていただきます。 なお、本事象に伴い、本日発表いたしました「N-08A」の販売開始日につきましても、5月28日から延期となります。 「N-06A」の販売再開及び「N-08A」の販売開始時期

［無視できない］IEのContent-Type無視：教科書に載らないWebアプリケーションセキュリティ（2）（1/2 ページ） XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます（編集部） 無視できないIEの「Content-Type無視」問題 皆さんこんにちは、はせがわようすけです。 第2回では、Internet Explorer（以下、IE）の仕様でも特に悪名高い「Content-Type無視」について説明します。 IEのContent-Type無視問題は非常に複雑で、私自身も完全に説明できる自信はないのですが、それでもセキュアなWebアプリケーションを開発するうえで避けては通れない問題ですので、取り上げることにしました。

全国のマークアップエンジニアの皆さん、こんにちは！ こんにちはこんにちは！！ 今日も元気にスタイルあててますか…！ ぼくはめっきりあててませんけど！ でもたまにはマークアップしたりスタイルあてたりしなきゃ、どんどん不健康になっちゃいますよね！ だから今日はぼくも久しぶりにCSSでも書いて、どんどんスタイルをあてていっちゃおうかなー、なんて気分です！ だけど、せっかくスタイルあてるんだったら、普段ほったらかしされがちな控えめな子をクローズアップして、ちょっぴり目立たせてあげたいですよね…！ はい！ そんな感じで今日は、<head>の中とかに書かれちゃっているような要素たちにスタイルをあてて遊んでみようかと思います！ … head … display: block、 title … display: block、 meta … display: block っと … …… …できた！ こんな感