対策遅らせるHTMLエンコーディングの「神話」
クロスサイト・スクリプティングという言葉は元々,WebアプリケーションのHTMLエンコード漏れなどを利用することによって第三者にJavaScriptを実行させる手法を指す。広義では,HTMLのエンコードによる画面改変などを含むこともある。 前回述べたように,クロスサイト・スクリプティングのぜい弱性はWebアプリケーションに見付かるぜい弱性の半分以上を占める。数年前から指摘されているにもかかわらず,一向になくならない。その理由として,クロスサイト・スクリプティング対策あるいはHTMLエンコード注1)に対する「神話」があり,正しい対策の普及を遅らせているように思う。その「神話」の数々について説明しよう。 注1)実体参照(entity reference)というのが正式だが,あまり普及していない用語なので,HTMLエンコードという用語を用いる 「すべからくHTMLエンコードすべし」が鉄則 HTM
ビデオ流出による3つの問題 - リアリズムと防衛を学ぶ
尖閣諸島沖で中国漁船が海保の巡視船に体当たりしてきた事件で、公開だ、非公開だと議論になっていたビデオがYoutubeに流出しました。ビデオの内容と検証画像は「週刊オブイェクト」で見られます(参照「尖閣衝突ビデオが流出 : 週刊オブイェクト」)。NHK他の報道によればこのビデオは本物の可能性が高いようです。すでに海保はこれを本物とみて、流出経路の調査をはじめました。(NHK 11/5) この流出事件にはネット上、報道ですでに色々な意見が出されていますが、大別すれば論点は3つに分かれるでしょう。第一にはこのビデオの公開に一貫して抵抗、反対し続けた政府の判断と能力への疑問です。第二には、恐らく個人的な暴走によってかかる流出をおこなった容疑者の処罰と統制の問題です。第三にはこのような流出が可能であった、海保、ひいては日本政府の情報保全体制の問題です。 政府の問題 流出ビデオの内容は、これまで断片的
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【やじうまWatch】パスワードの変更間隔、16日でも27年でも効果は大差なし? 定量的評価の結果が話題に -INTERNET Watch