タグ

RSSとAtomに関するlockcoleのブックマーク (4)

  • Atom や RDF を利用したXSS - 葉っぱ日記

    Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在することを確認しました。以下の例では Atom の場合について書いていますが RDF/RSS でも同様です。 例えば、http://example.com/search.cgi?output=atom&q=abcd という URL にアクセスすると、「abcd」という文字列の検索結果を Atom として返すCGIがあったとします。 GET /search.cgi?output=atom&q=abcd Host: example.com HTTP/1.1 200 OK Content-Type: ap

    Atom や RDF を利用したXSS - 葉っぱ日記
    lockcole
    lockcole 2007/08/04
    IE が認識できない Content-Type: 全般に当てはまる脆弱性の問題。UTF-7で記述した文字列を解釈してスクリプトを実行してしまう。
  • Greasemonkey でセキュアな RSS Syndication を実現する Remix - naoyaのはてなダイアリー

    What we're talking about is giving Bloglines a quick upgrade and doing it ourselves. That means we're talking Greasemonkey, a Firefox extension that allows you to write scripts that modify the pages you visit. In this case, the modification is going to be decryption. We'll write a Greasemonkey script, securesyndication.user.js that looks for encrypted content and, using the private key we provide,

    Greasemonkey でセキュアな RSS Syndication を実現する Remix - naoyaのはてなダイアリー
    lockcole
    lockcole 2006/07/24
    Blowfishアルゴリズムでフィードの一部のみを暗号化しておき,Greasemonkey等のユーザサイドJavascript環境で復号することでセキュアなフィード配信が可能に。これ,今からでもやる価値ありそうな。フィード以外にブログでも。
  • Six Apart - Docs: Mobile Link Discovery 仕様

    このページでは XHTML/RSS/Atom においてモバイル版 URL へのリンクをメタデータに埋め込む仕様: Mobile Link Discovery について解説します。 (See English version of this page.) サマリ モバイル端末に最適化されたウェブページをもつサイト(Publisher と呼びます)は、link タグにその URL を以下のように記述します。 <link rel="alternate" media="handheld" href="..." /> こうすると、サーチエンジン、ブログサイト、ソーシャルブックマーキングサイトといった外部のサイトのモバイル版ページから、Publisher 側のモバイルページに正しくリンクすることができます。 このモバイルリンクは RSS や Atom フィードに記述することもできます。 例 http:/

  • W3C、RSS/Atomフィードの文法を検証するバリデータを公開

    Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を

    lockcole
    lockcole 2005/11/30
    文法的に正しいフィードを配信しているか確認するために。あと,これをSOAPでアクセスするタイプのWebサービスとして公開。APIが用意されるのが今風だけど,SOAPだけじゃなくてRESTもほしいな。
  • 1