対策遅らせるHTMLエンコーディングの「神話」
クロスサイト・スクリプティングという言葉は元々,WebアプリケーションのHTMLエンコード漏れなどを利用することによって第三者にJavaScriptを実行させる手法を指す。広義では,HTMLのエンコードによる画面改変などを含むこともある。 前回述べたように,クロスサイト・スクリプティングのぜい弱性はWebアプリケーションに見付かるぜい弱性の半分以上を占める。数年前から指摘されているにもかかわらず,一向になくならない。その理由として,クロスサイト・スクリプティング対策あるいはHTMLエンコード注1)に対する「神話」があり,正しい対策の普及を遅らせているように思う。その「神話」の数々について説明しよう。 注1)実体参照(entity reference)というのが正式だが,あまり普及していない用語なので,HTMLエンコードという用語を用いる 「すべからくHTMLエンコードすべし」が鉄則 HTM
X Window System(1:Xの特徴と仕組み)
図2 Xサーバーは,個々のウインドウの表示やマウス,キーボードからの入力を管理します [画像のクリックで拡大表示] 図3 ネットワーク接続された異なるパソコン上で利用する パソコンAのユーザーは,Xサーバーを介してパソコンBやパソコンCで動かしているXクライアントを利用できます。 [画像のクリックで拡大表示] 「インストールしてみたけど,使い方が分からず途方に暮れた」「操作手順だけでなく,基本的な仕組みを知りたい」...。こうした意見にこたえるため,“Linuxの基本”を説明するコラムが復活しました。Linuxを操作しながら,基本操作と仕組みに関する知識を身に付けましょう。 LinuxをはじめとするUNIX系OSでは,WindowsやMac OS XのようにOSとウインドウ・システム*が一体化*1しているわけではありません。UNIX系OSの上でウインドウ・システムが独立したソフトウエアとし
RFCとなった「OAuth 2.0」――その要点は?
RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
