タグ

関連タグで絞り込む (18)

タグの絞り込みを解除

webappsecに関するmatsutakegohan1のブックマーク (5)

  • [気になる]JSONPの守り方

    XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見

    [気になる]JSONPの守り方

  • i-mode2.0セキュリティの検討: 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 - 徳丸浩の日記(2009-08-05)

    _携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログインの可能性について検討する。 5月28にはてなダイアリーに書いた日記「i-mode2.0は前途多難」にて、今年のNTTドコモの夏モデルP-07AにてJavaScript機能が利用停止されたことを指摘した。同日付のNTTドコモ社のリリースによると、「ソフトウェア更新に伴い、高度化した機能の一部をご利用いただけなくなっていますが、再びご利用いただけるよう速やかに対処いたします」とあったが、それ以来2ヶ月以上が経つものの、未だにJavaScript機能は利用できない状態のままだ。 実は、NTTドコモ社が慌てふためいてJavaScript機能を急遽停止

    matsutakegohan1
    matsutakegohan1 2009/08/06
    こんな簡単なものだとしたらなぜドコモはリリースまでに誰も気がつかなかったのか? コンテンツ屋の自分らはモバイルのポリシーをPCと同等まで上げて様々な可能性をつぶしていた。
    リンク

  • アカウントハッキングに関するお知らせ - オンラインゲームポータルの新しい形 エムゲーム! - 永久無料でRPG・ライトゲームが遊び放題!

    いつもご愛顧いただきありがとうございます。 エムゲームです。 エムゲームジャパンの運営するゲームタイトル『KNIGHT ONLINE Xross』 『ルナティア』『英雄』において発生いたしましたアカウントハッキングに 関する対応と経過をお知らせいたします。 このたびは多くのお客様に多大なご迷惑をおかけいたしましたこと、 また、この問題についてのご報告が遅くなってしまいましたこと、 深くお詫び申し上げます。まことに申し訳ございません。 ■経過と原因調査について 2009年4月初頭よりお客様から複数のハッキング被害のご報告が寄せられた ため調査を行ったところ、当該アカウントに不正アクセスと思われる接続 記録を確認いたしました。 このため、原因究明のための調査を行わせていただいたところ、弊社公式 サイトの一部にXSSコード上の脆弱性が確認されました。 この脆弱性を利用することで、通常の手順を経ず

  • C-Production – UNIXとプログラミングの備忘録

    大変ご無沙汰です。約1年半ぶりの更新です。 昨日、ブログを設置しているサーバでOSのアップデートに問題が発生したため、これを機に新サーバ・新OSに乗り換えることにしました。 現在のブログがマルチサイトのため、そのままでは新サーバの構築に苦戦すると予想されるため、他のブログの記事を統合しました。 統合内容は以下の通りです。 ・C-Production ・・・ メインサイトのため、他のブログを吸収して継続。 ・♪8thNote♪ ・・・ メインサイトに統合済みだったので、削除。 ・モバイル魂 ・・・ メインサイトに記事を引き継ぎ、並行稼働中。 ・無線のドキュメント ・・・ もともと閉鎖予定だったので、そのまま削除 外部SNSのアカウントについてはそのまま継続します。 今後ともよろしくお願いします。

  • ここギコ!: DoCoMoのGPSでの簡易詐称チェック

    Posted by nene2001 at 20:15 / Tag(Edit): mobile docomo gps iarea security / 1 Comments: Post / View / 0 TrackBack / Google Maps ケータイ位置情報を利用したエンターテイメントサイト(特に商品等金品が絡むもの)を作る場合、一番のキモになるユーザによる位置情報詐称の予防だが、大抵のケータイ位置情報は、詐称に関する脅威が通信経路でのユーザによるクエリストリング等書き換えなので、比較的簡単な方法で阻止できる。 うちでも以前1つの方法を紹介したし、他にも別解を思いついたり教えてもらったり、私が知ってるだけでも後2、3はある。 ただ、DoCoMoのGPSだけは、今までいかんともし難かった。 DoCoMoのGPSの場合、端末側の機能として、GPS測位した位置情報

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.