webに関するkogawamのブックマーク (95)

  • ウェブブラウザのセキュリティをテストする5つのウェブサイト

    #2:BrowserSpy.dk 2009年に筆者はPanopticlickについての記事を執筆した。その後、筆者はBrowserSpy.dkという同種のウェブサイトを見つけた(図B)。このサイトでは、Panopticlickと同様のテストの他にも64種類のテストが実施される。ただし、残念なことにBrowserSpy.dkは問題の解決方法を提示してくれない。とは言うものの、ウェブサイトにアクセスした際に、どれだけの情報が危険にさらされるのかを実際に見せてくれるわけだ。 #3:PC Flank PC Flankはインターネットという観点から見たコンピュータのセキュリティを網羅的にテストしてくれるウェブサイトである。テストには「Stealth Test」や「Advanced Port Scanner Test」「Trojans Test」「Exploits Test」「Browser Test

    ウェブブラウザのセキュリティをテストする5つのウェブサイト
  • Mobile Web Application Best Practices (W3C Proposed Recommendation 21 October 2010)

    W3C Recommendation 14 December 2010 This version: http://www.w3.org/TR/2010/REC-mwabp-20101214/ Latest version: http://www.w3.org/TR/mwabp/ Previous version: http://www.w3.org/TR/2010/PR-mwabp-20101021/ Editors: Adam Connors, Google Bryan Sullivan, AT&T (until 2008) Please refer to the errata for this document, which may include some normative corrections. See also translations. Copyright ©2010 W3

  • Internet Explorer 8 にはアドオンの「Upgrade Advisor」機能があるらしい - kogawamの日記

    知らなかったのですが、Internet Explorer 8 には「Upgrade Advisor」という機能が備わっていて、起動時に「アドオンのバージョンが古いですよ」というチェックをしてくれるんですね。 Add-on Guidelines and Requirements in Action – Upgrade Advisor - IEBlog ( http://blogs.msdn.com/b/ie/archive/2010/08/11/add-on-guidelines-and-requirements-in-action-upgrade-advisor.aspx ) IEBlogの記事によると、大雑把に言って、ツールバーなどを対象にしたUIのガイドラインに沿ったバージョンをお勧めするのに使われているらしいです。 そんなことより、Firefoxみたいに、FlashとかAdobe R

    Internet Explorer 8 にはアドオンの「Upgrade Advisor」機能があるらしい - kogawamの日記
    kogawam
    kogawam 2010/10/04
    セルクマ
  • 携帯電話事業者に学ぶ「XSS対策」 - ockeghem's blog

    NTTドコモとソフトバンクモバイルは、フィーチャーフォン(いわゆるガラケー)にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている(しようとしている)挙動が観測されましたので報告します。この内容は、オレ標準JavaScript勉強会でネタとして使ったものです。 NTTドコモに学ぶ「XSS対策」まず、サンプルとして以下のようなXSS脆弱なスクリプトを用意します。 <?php session_start(); ?> <body> こんにちは<?php echo $_GET['p']; ?>さん </body>これを以下のURLで起動すると、IE7では下図のような表示になります。 []http://example.com/xss01.php?p=山田<scrip

    携帯電話事業者に学ぶ「XSS対策」 - ockeghem's blog
    kogawam
    kogawam 2010/07/26
    「何もしない」という挙動は非常にマズイのでは。ユーザが押してもいないボタンを押したことにしてシステムは動くんでしょ。imode-awareなページ以外は危険。それはユーザには判別不可能。
  • 初心者Webアプリケーション開発者がチェックすべき情報源 - ハニーポッターの部屋

    初心者Webアプリケーション開発者がチェックすべき情報源を集めてみた。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。 @ikepyonさんのご指摘により「LASDEC ウェブ健康診断」を追記した。 はてなブックマークの関連リンクによさそうな情報源があったので追記しました。それから、カテゴリを作りました。 ■Webサイト構築 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/websecurity.html 安全なウェブサイトの作り方(全92ページ、2.09MB) セキュリティ実装 チェックリスト(Excel形式、33KB) 安全なSQLの呼び出し方(全40ページ、714KB) ■Webアプリケーション開発 セキュア・プログラミング講座 http://www.ipa.go.jp/security/awareness/ve

    初心者Webアプリケーション開発者がチェックすべき情報源 - ハニーポッターの部屋
  • 「Webアプリの脆弱性対策は簡単です」

    「Webアプリケーションの脆弱性対策は簡単です」。 セキュリティ関連の取材をするようになって10年以上になるが、セキュリティ対策が「簡単」だと聞いたのは恐らく初めてである。取材の相手は、TISの早矢仕善弘氏(技術部 セキュアワン室 室長)。ソースコードを対象にした脆弱性チェックツールとして広く利用されている米Fortify Softwareに、同社ソフトの検証を依頼されたこともあるというセキュリティの専門家である。 早矢仕氏によるとWebアプリケーションの脆弱性は、たった四つの原則を守れば防げるという。SQLインジェクションやクロスサイトスクリプティング(XSS)など著名なものはもちろん、最近になって発見されている数多くの脆弱性が、いずれかの原則の対象になる。四つの原則を紹介しよう。 (1)ユーザー入力を精査する Webページのフォームなどに入力された文字列は、きちんとチェックしなければ

    「Webアプリの脆弱性対策は簡単です」
    kogawam
    kogawam 2010/06/24
    「入力を精査」なんて開発の実感から遠い。コーディング上もインジェクションを意識できるのは出力時だし、マスタ投入、移行データ、システム連携のことを考慮できてないし、そもそも外部仕様うぃ満たせなくなる
  • 高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて

    ■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な

  • HTML PurifierのSecurity Fix - teracc’s blog

    HTML Purifierの4.1.1がリリースされました。今回のリリースには1件のSecurity Fixが含まれています。今日はその内容について少し書きます。 IEのCSSのurl()の扱い 以下のようなstyle属性があったとき、ブラウザはどのように解釈するでしょうか? <span style="background: url('http://host/aaa\'\);color:red;')">111</span> Firefox、Opera、Safariでは、「http://host/aaa');color:red;」というURIをもつbackgroundプロパティと解釈します。したがってcolorプロパティが有効になることはありません。これはCSSの仕様から見ても至極妥当な挙動です。 ところがIEだけが違う解釈をします。IEで上記のHTMLを表示させると、backgroundプ

    HTML PurifierのSecurity Fix - teracc’s blog
  • どのブラウザだとExploitコードが実行されてしまうのか確認してみる - 思い立ったら書く日記

    Web サイトの改ざん事件を追っていると、「どのサイトが改ざんされた」や「どこどこのサイトに誘導される」、「どういったマルウェアに感染する」といった解説記事をよく見ます。しかし、「どうやって Exploit コードが実行される」とか、「どのブラウザだと Exploit コードが実行される」のかといった解説記事をあまり読んだことがありません(単に僕が読んだことがないだけかも)。Exploit コードの起動処理を調べるたびに、Wepawet (alpha)からサンプルを探すのも面倒なので、Wepawet からサンプルをピックアップして、それらをまとめてみます。 いつも以上にニッチなテーマなので(汗)、長々としたまとめを読みたくない場合、結論だけどうそ。 注意事項 この日記を読む際には、以下の点をご理解ください。 Adobe Reader の脆弱性を悪用する攻撃コードのみまとめています Wepa

    どのブラウザだとExploitコードが実行されてしまうのか確認してみる - 思い立ったら書く日記
  • 【レポート】"かんたんログイン"のセキュリティ問題とは何なのか? - WASForum 2010 (1) 「かんたんログイン」で指摘される問題性 | ネット | マイコミジャーナル

    Webアプリのセキュリティを検討する「Webアプリケーションセキュリティフォーラム(WASForum)」が5月22日、認証と認可に関するイベントを開催した。その中で携帯電話の「かんたんログイン」のセキュリティに関して講演が行われた。 WASFは、もともとPCの一般的なインターネットのセキュリティを対象にしていたが、昨今のスマートフォンの流行などで携帯電話からも通常のインターネットが頻繁に利用されるようになったことから、今回のような考察が行われたという。 かんたんログインに関して講演をしたのは、HASHコンサルティングの徳丸浩氏と、産業技術総合研究所(産総研)の高木浩光氏。 パンドラの箱を開いたキャリア 携帯電話のWebサイト(携帯Web)で一般的に利用される「かんたんログイン」は、iモード(NTTドコモ)やEZweb(au)、Yahoo!ケータイ(ソフトバンクモバイル)で利用されているログ

  • 転送中

    リダイレクトします 以前ここにあったブログは、現在 http://blog.yujikosuga.com/2010/05/recent-mobile-security-in-japan-dns.html にあります。 リダイレクトしますか。

  • 【更新・復旧済】12月11日に発生した一部サイトへアクセスしづらい状況について | SoftBank

    ソフトバンクの公式ホームページです。スマートフォン・携帯電話の「お知らせ」をご紹介します。

    【更新・復旧済】12月11日に発生した一部サイトへアクセスしづらい状況について | SoftBank
    kogawam
    kogawam 2010/05/28
    来ましたかね。徳丸さん(as HASH-C)発表の件が絡んでる可能性が高いかと
  • セキュリティ情報 - Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題

    文書番号HASHC2010052401 Yahoo!ケータイの一部端末に「かんたんログイン」なりすましを許す問題 HASHコンサルティング株式会社 公開日:2010年5月24日 概要 昨年11月24日づけアドバイザリにて、iモードブラウザ2.0のJavaScriptにより、携帯端末に割り当てられたID(以下、端末固有ID)を利用した認証機能(以下、かんたんログイン)に対する不正アクセスが可能となる場合があることを報告した。その後の調査により、同種の問題がYahoo!ケータイのブラウザ(通信事業者はソフトバンクモバイル)でも発生することを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者およびYahoo!ケータイ利用者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザに用意された端末固有IDを利用した簡易的な認証であり、ユーザがIDやパスワード

  • WASForumまとめ

    @nsiena ダブって午前に入れてしまったタスクをほぼ消化。後片付けして WASForum へ向かおう。現地入は 11:00 くらいかしらん ;_; #wasf 2010-05-22 09:42:58

    WASForumまとめ
    kogawam
    kogawam 2010/05/23
    まとめ有り難うございます
  • 高木浩光@自宅の日記 - クッキー食えないのはドコモだけ

    ■ クッキーえないのはドコモだけ ろくに安全な作り方も確立していないくせになぜかやたら蔓延ってしまった「簡単ログイン」。そもそもUI設計からしておかしい。ボタンを押せば入れるなら、ボタンがある意味がない*1。ログアウト不可能な常時ログインサイトだ。(それなのに「ログアウト」ボタンがあったりする。) 「そんなこと言ったって便利だから必要なんだ」とか、「ケータイでパスワードなんか入れてられない」だとか、「お客さんが付けてくれって言ったら俺たちIT土方には何も助言なんてできないんだ」とか言う人が出てくるわけだが、そんなのは、一般のインターネットのサイトだって、昔から「□ 次回から自動的にログイン 」とか「□ 次回から入力を省略」といったチェックボックスが普通に用意されている。amazon.comなんか大昔からログインしっぱなしだ。 そしてそれはcookieによって実現されてきた。個人識別番号な

  • 「Wi-Fi WIN」を利用できる「au Wi-Fi WINカード」の発売について | 2010年 | KDDI株式会社

    Wi-Fi WIN」を利用できる「au Wi-Fi WINカード」の発売について ~microSDカードスロットに挿すだけで「Wi-Fi WIN」が利用可能に~ KDDI、沖縄セルラーは、お客さまのau携帯電話のmicroSDカードスロットに挿すことにより「Wi-Fi WIN」がご利用いただける「au Wi-Fi WINカード」を、2010年6月中旬より発売します。製品は無線LANカードとしては世界最小サイズであり、microSDカードタイプの無線LANカードとしては、日初の製品となります。 「Wi-Fi WIN」は、対応のau携帯電話をお持ちのお客さまが「Wi-Fi WIN」オプションにご契約いただくことで、au携帯電話を無線LANに接続して、EZwebやPCサイトビューアーなどを、より快適な環境かつパケット通信料無料でご利用いただけるサービスです。 従来、「Wi-Fi WIN」を

  • ガラケーでもOAuthに対応できそうな話

    Hiromitsu Takagi @HiromitsuTakagi @mb4sqjp http://www.mb4sq.jp/login ケータイ版の「初めて利用する方」で、OAuthを使うとあるのに他サイトのIDとパスワードを入力させるのはなぜですか?「OAuth認証」ボタンの上に他サイトのパスワード入力欄があるのはおかしくないですか? 2010-05-09 00:01:40 モバイルフォースクエア @mb4sqjp @HiromitsuTakagi ご指摘ごもっともです。始めはOAuthで実装していたのですが、現在はxAuth(4sqではAuth Exchange)で認証しています。※4sqのoauth画面が一部の機種だと文字化けするため。 説明文早めに直しておきます。 2010-05-09 00:13:19

    ガラケーでもOAuthに対応できそうな話
  • WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記

    以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(

    WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
    kogawam
    kogawam 2010/05/09
    出先なので細かい所は見てないけど、XSSのくだりは出力時のエスケープを主対策とするべきだ。思いつくところでは、例えば、大垣靖男氏の主張に対する反論を読んでみればいいかも/追記:100以上ブクマついてる.あかんやろ
  • Firefox、ログインとログアウトの簡単操作ボタン | エンタープライズ | マイコミジャーナル

    Firefox web browser - Faster, more secure & customizable Mozilla Labs ≫ Concept Series ≫ Welcome To Account ManagerにおいてFirefoxの新しい機能が実験的に公開された。公開されたのはプロトタイプという位置づけにあり、UIもシンプルなもの。しかし、可能なかぎり早い段階でマージすることが計画されており、今後はデフォルトで提供される機能のひとつになる見通し。 WebアプリケーションやWebサービスの依存度が高まるにつれ、ブラウザからサイトやサービスへのログイン・ログアウトは今まで以上に重要な操作になりつつある。しかし、サイトやサービスごとにログインの操作やログアウトの操作は違っており、統一されていないというのが現実だ。今回公開されたAccount Managerはこうしたログイン

    kogawam
    kogawam 2010/05/06
    産総研がこういうUIのもの作ってなかったっけ?
  • HTML5 Security Cheatsheet - 葉っぱ日記

    html5security - Project Hosting on Google Code HTML5 Security Cheatsheet 足りてない攻撃パターンとか日語訳もぼちぼちとcommitしていきますので、間違いとかツッコミあったら教えてくださいませ。

    HTML5 Security Cheatsheet - 葉っぱ日記