＃2：BrowserSpy.dk 2009年に筆者はPanopticlickについての記事を執筆した。その後、筆者はBrowserSpy.dkという同種のウェブサイトを見つけた（図B）。このサイトでは、Panopticlickと同様のテストの他にも64種類のテストが実施される。ただし、残念なことにBrowserSpy.dkは問題の解決方法を提示してくれない。とは言うものの、ウェブサイトにアクセスした際に、どれだけの情報が危険にさらされるのかを実際に見せてくれるわけだ。 ＃3：PC Flank PC Flankはインターネットという観点から見たコンピュータのセキュリティを網羅的にテストしてくれるウェブサイトである。テストには「Stealth Test」や「Advanced Port Scanner Test」「Trojans Test」「Exploits Test」「Browser Test

知らなかったのですが、Internet Explorer 8 には「Upgrade Advisor」という機能が備わっていて、起動時に「アドオンのバージョンが古いですよ」というチェックをしてくれるんですね。 Add-on Guidelines and Requirements in Action – Upgrade Advisor - IEBlog ( http://blogs.msdn.com/b/ie/archive/2010/08/11/add-on-guidelines-and-requirements-in-action-upgrade-advisor.aspx ) IEBlogの記事によると、大雑把に言って、ツールバーなどを対象にしたUIのガイドラインに沿ったバージョンをお勧めするのに使われているらしいです。 そんなことより、Firefoxみたいに、FlashとかAdobe R

HTML Purifierの4.1.1がリリースされました。今回のリリースには1件のSecurity Fixが含まれています。今日はその内容について少し書きます。 IEのCSSのurl()の扱い 以下のようなstyle属性があったとき、ブラウザはどのように解釈するでしょうか？ <span style="background: url('http://host/aaa\'\);color:red;')">111</span> Firefox、Opera、Safariでは、「http://host/aaa');color:red;」というURIをもつbackgroundプロパティと解釈します。したがってcolorプロパティが有効になることはありません。これはCSSの仕様から見ても至極妥当な挙動です。 ところがIEだけが違う解釈をします。IEで上記のHTMLを表示させると、backgroundプ

Web サイトの改ざん事件を追っていると、「どのサイトが改ざんされた」や「どこどこのサイトに誘導される」、「どういったマルウェアに感染する」といった解説記事をよく見ます。しかし、「どうやって Exploit コードが実行される」とか、「どのブラウザだと Exploit コードが実行される」のかといった解説記事をあまり読んだことがありません（単に僕が読んだことがないだけかも）。Exploit コードの起動処理を調べるたびに、Wepawet (alpha)からサンプルを探すのも面倒なので、Wepawet からサンプルをピックアップして、それらをまとめてみます。 いつも以上にニッチなテーマなので（汗）、長々としたまとめを読みたくない場合、結論だけどうそ。 注意事項 この日記を読む際には、以下の点をご理解ください。 Adobe Reader の脆弱性を悪用する攻撃コードのみまとめています Wepa

Google、McAfee、Adobe を狙った攻撃で発覚した CVE-2010-0249 の脆弱性を悪用する Exploit を生成するツールが確認されたようですね（元ネタ：PANDALABS Blog）。いつものように中国製ツールですが、この手のツールが話題にのぼるのは、なんだが久々な感じがします。当該ツールが実際にあるのか、また当該ツールがどのような Exploit コードを生成するか確認してみました。 【注意】 この日記で書いている手順を実施する場合、自己責任でお願いします。 【追記 2010年3月10日】 Avira AntiVir をインストールした PC で Internet Explorer でこの日記を閲覧すると、「JS/Aurora.3657」を検出する場合があります。これは「JS/Aurora.3657」に該当する Exploit コードを掲載しているためです。日記を

通常、オレオレ証明書が使われているサイトにアクセスするとブラウザは警告を表示します。iPhone版のSafariでも警告が表示されます。たとえばオレオレ証明書が使われているサイトにアクセスすると、以下のように警告が表示されます。 が、Opera miniでアクセスした場合は何も警告が表示されません。ちなみに表示が崩れているように見えるのは、Opera miniの専用サーバが元のコンテンツを携帯デバイス用の軽量コンテンツに変換して返している為です。 Opera miniではhttpsなサイトにアクセスした時には、画面上部のサイトタイトルの右側に鍵マークが表示されるようになっています。よく見るとオレオレ証明書の場合はこの鍵マークが表示されていないことが分かります。したがってURLがhttpsであるにも関わらず鍵マークが表示されていない場合はオレオレ証明書だと判断することができます。 ですが、現

基本報酬はMozillaと同じ500ドルで、危険度が極めて高い、または極めて優れた情報だと判断した場合は1337ドルを支払う。 米Googleは、Chromeブラウザのセキュリティ強化に向けて社外からの情報提供を促すため、新たな脆弱性を発見・報告した研究者に報酬を支払う制度を試験的に開始したと発表した。 同社のChromiumブログによると、この制度ではGoogle Chromeに存在する興味深い脆弱性、独自に発見した脆弱性情報を寄せてくれた研究者を選考委員会で選び、報酬を支払う。 選考の対象となるのは同社の専用サイト「Chromium bug tracker」を通じて寄せられた情報。基本報酬はMozillaと同じ500ドルで、危険度が極めて高い、または極めて優れた情報だと判断した場合は1337ドルを支払うとしている（訳注：「1337＝elite」という良い意味でのスーパーハッカーを指す俗

ユーザーがWindows XPを使っているか、IEの保護モードを無効にしている場合、ファイルにアクセスされてしまう恐れがある。 米Microsoftは2月3日、Internet Explorer（IE）の脆弱性情報が公開されたことに対応して、新たなセキュリティアドバイザリー（980088）を公開した。 Microsoftのこれまでの調べによると、この脆弱性はユーザーがWindows XPを使っているか、IEの保護モードを無効にしている場合に影響を受ける。悪用された場合、攻撃者がファイルにアクセスできてしまう恐れがあり、情報流出につながる可能性が指摘されている。現時点でこの脆弱性を突いた攻撃の発生は確認していないという。 なお、Windows Vista以降のOSで、IE 7と8をデフォルトの状態で使っている場合は、保護モードが機能するためこの問題の影響は受けないとしている。 Windows

文字コードが引き起こす問題点は、これまで説明したような比較の一致・不一致といったソフトウェアの処理上のものだけでなく、人間に対する視覚的な効果という点でも強く影響を与え、攻撃者にとっての強力な道具となることがあります。 今回および次回で、そのような文字コードが引き起こす視覚的な問題点を紹介します。 視覚的に似た文字 見かけのよく似た文字は、フィッシングなどによく利用されます。典型的な例としては、アルファベット小文字のl（エル）と数字の1などがあります。たとえば、http://bank1.example.jp/ というURLのオンラインバンクがあったとすると、攻撃者は http://bankl.example.jp/ というURLを使ってフィッシングを企むということは容易に想像できると思います。 もちろん、収録している文字数が増えれば増えるだけ、このように見かけのよく似た文字が存在する率も高

Spring BootによるAPIバックエンド構築実践ガイド 第2版 何千人もの開発者が、InfoQのミニブック「Practical Guide to Building an API Back End with Spring Boot」から、Spring Bootを使ったREST API構築の基礎を学んだ。この本では、出版時に新しくリリースされたバージョンである Spring Boot 2 を使用している。しかし、Spring Boot3が最近リリースされ、重要な変...

結果がありません: <script type="text/javascript">スペルを確認するか、別のキーワードを試してみてください Ref A: 66f8a2104aaa43028d71784619f7dc14 Ref B: PUSEEAP00002CAB Ref C: 2024-09-29T00:40:48Z

既に発表されているように、NTTドコモの夏モデルからi-modeの仕様が大幅に拡張され、JavaScript、Cookie、Refererに対応するようになった。これら仕様変更はセキュリティの面からも影響が大きいため、私は夏モデルの中から、P-07Aを発売開始日(5月22日)に購入した。そして、リリースどおりJavaScript、Cookie、Refererが動作することを、実機にて確認した。 ところが、P-07Aと同日に発売開始されたN-06Aは、その日のうちに一時販売停止のお知らせが出る。 この度、弊社の携帯電話「N-06A」において、iモード接続時の不具合が確認されましたので、販売を一時見合わせさせていただきます。 なお、本事象に伴い、本日発表いたしました「N-08A」の販売開始日につきましても、5月28日から延期となります。 「N-06A」の販売再開及び「N-08A」の販売開始時期

［無視できない］IEのContent-Type無視：教科書に載らないWebアプリケーションセキュリティ（2）（1/2 ページ） XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます（編集部） 無視できないIEの「Content-Type無視」問題 皆さんこんにちは、はせがわようすけです。 第2回では、Internet Explorer（以下、IE）の仕様でも特に悪名高い「Content-Type無視」について説明します。 IEのContent-Type無視問題は非常に複雑で、私自身も完全に説明できる自信はないのですが、それでもセキュアなWebアプリケーションを開発するうえで避けては通れない問題ですので、取り上げることにしました。