RedCloth における未修正の XSS 脆弱性についての注意喚起 - co3k.org
TL;DR 任意のスクリプトの実行をユーザに許している場合を除き、 RedCloth によってパースしたユーザ入力値を出力するべきではありません。 RedCloth には 9 年ほど前から存在する未修正の XSS 脆弱性があり、しかもその存在が 2 年前に明らかになっています。 残念なことに、現在の開発者によるこの脆弱性の修正は期待できません。開発者は "バグの修正や次のメジャーリリースに関する作業をおこなえない (unable to keep fixing bugs or work on the next major release)" 旨を宣言しています。 もしそのようなコンテンツに対する RedCloth の利用を継続したい場合、この問題に対する修正を自分で実施するか、 RedCloth へのコントリビュートをおこなうことなどを検討してください。 RedCloth とは RedClo
script, styleタグ内のコードの書き方 - os0x.blog
# 最初にちょっと余談を。Chromium-Extensions-JapanのほうにChrome6 Betaの変更点を書きました。どうぞよろしく。 さて、scriptタグ内をHTMLコメントで括ってからJavaScript書くのって意味あるの? - Togetterの件に関して、関連ネタをいくつか書いておきます。。 まず前提として、scriptタグの中に直にコードを書くというのはできる限り避けたほうが良いです。とはいえ、ちょっとしたコードをいちいち外部ファイルにしていると読み込みのコストも馬鹿にならないので、インラインで書く事もよくあります。なので、以下は主に数行程度のコードをインラインに書く場合の話です。 scriptタグの中に直にコードを書くときはscriptタグに非対応なブラウザのために<!--で始め*1 // -->で閉じるというノウハウは今でも結構使われているみたいです。 しかし
フィードリーダーの脆弱性まわりのこと
最近、FreshReaderに脆弱性があったということで、いくつか調べて直したり、赤松さんと連絡取り合ったり、それからはてな使ってないのにユーザー様とか書かれて不愉快な気分になったりしてたんですが。 この記事はひどすぎると思う。 フレッシュリーダーの脆弱性に関連してSage++のこと そもそもの問題として「ローカルディスク上のHTMLファイルをブラウザで開くと超危険」です。XMLHttpRequestやIFRAMEでローカルファイルの内容を読み取れるからです。Sageに脆弱性があるということは、あらゆる個人情報の漏洩につながります。「開発者の個人情報を晒すリスクが云々」というのは、個人的には分からなくもないですが、ユーザーの個人情報を危険に晒していることを認識すべきです。 開発者本人が過去に書いているので、危険性の大きさは十分に認識できているはずです。「脆弱性がある」と公表してしまった時点
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ダイアリーとブログとXSS // Speaker Deck
