Google ToolbarやGoogle Chromeで秘密のURLが漏れるといった話 - 最速転職研究会
http://d.hatena.ne.jp/m-bird/20100402/1270190863 とか http://anond.hatelabo.jp/20100403084111 とか ずいぶん適当なこと書いてあるなと思ったので調べた。 見ているページのURLが送られるかという話 ツールバーは使ってないのでChromeについてだけ軽く検証したので書いておく。検証したバージョンはGoogle Chrome 5.0.366.2 devでモニタに使ったのはFiddler。 見ているページのURLを自動で送信する機能はChrome自体には無い。アドレスバーにURLを貼りつければ検索語句の補完機能が動いて送られることがある。 ただしhttpsの場合はホスト名まで、httpの場合はクエリストリング(URLの?以降)は含まれない。 フォームの自動入力を有効にしたらなんかXMLが送られるけど、これは見
XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会
適当 XSSがある=なんでもやり放題ではない ブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。個人情報を預かってるサイトは、重要個人情報についてはHTTPSじゃないと参照できなかったり、そもそも表示しなかったり(パスワードやカード番号等)、決済用のパスワードや暗証番号を入れないと操作できなかったりする。 参考までに http://blog.bulknews.net/mt/archives/001274.html (2004年のアメブロ脆弱性の話) http://d.hatena.ne.jp/yamaz/20090114 (信頼できないデータを取り扱うドメインを分ける話) 管理用と別ドメインに分けたにも関わらず、script実行できることに対してDISられ
楽天が抱えている問題点その11 - 最速転職研究会
楽天への問い合わせ その2 この度の掲載記事に関しては多くのお客様をご不安なお気持ちと させてしまう内容となっており、まことに遺憾であるとともに、 当社としても到底静観できる状況ではないと考えております。 当該ニュースサイトにつきましては、当社でも確認のうえ、 今後しかるべき対応をおこなって参る所存でございます。 楽天 顧客情報の流出騒動 会社側は一貫無視の姿勢 一部インターネット掲示板を発端として、これに関連した記述が各個人ブログなどに波及したが、楽天側では「事実誤認の大間違い」(広報担当)といちべつ。正式な対応をとる予定もなく、完全無視の姿勢を貫くことで事態が自然に沈静化するの待つ意向だ。 どっちなんだよ。
楽天のサポートに問い合わせた - 最速転職研究会
楽天で商品購入の際に出店者にメールアドレスが通知されるのかということが純粋に気になったので、客として楽天のサポートに問い合わせました。 文面はこんな感じです。 http://gyazo.com/12bdebc38f8412d776836fb5c983a11e.png まともな回答が得られなければ出店者側に聞いてみるつもりでしたが、サポート担当者からはっきりとした回答が得られました。 お問い合わせの件で、ご心配をおかけしております。 この度、「Gigazine」で掲載されておりました「楽天、利用者の メールアドレスを含む個人情報を1件10円でダウンロード販売」は 全くの事実誤認でございます。 (中略) 注文のステップ4で表示されておりますお客様の情報 (お名前、メールアドレス、フリガナ、住所、電話番号等)が [この内容で注文する]のボタンをご利用いただいた時点で、 該当のショップへ送信されま
そろそろクリックジャッキングについて一言いっておくか - 最速転職研究会
Firefox3で「サードパーティのCookieも保存する」をオフにする。 防げる。 いずれのブラウザにもサードパーティ製のcookieを制限するオプションがあるが、Firefox3以外だと、フレーム内表示された場合に「新規にcookieを保存しない」だけで保存済みのcookieは送信してしまう。 軽く調べてみたところ、次のようになった。(間違ってたら教えてください) サードパーティのcookieの新規保存 サードパーティの保存済みcookieの送信 表示中のドメインのcookieの保存/送信 IE6,7,8(デフォルト) x o o IE6,7,8(セキュリティ高) x x x Opera9.6(デフォルト) o o o Opera9.6(制限) x △ o Safari(制限/デフォルト) x o o Safari(全て受け入れる) o o o Firefox2(デフォルト) o o
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
