タグ

hasegawayosukeに関するmi1kmanのブックマーク (6)

  • 脆弱性関連情報の非開示依頼の取下げ申請の結果が返ってきた - 葉っぱ日記

    2008年8月5日に届け出た脆弱性というか仕様というか問題ある挙動について、いつまで経っても修正されず、むしろ問題を公にしてユーザーが自衛するほうが社会的公益性が高いと思い、2012年10月21日に脆弱性関連情報の非開示依頼の取下げ申請をIPAに送ってみたら以下のような返事が返ってきた。 ドキュメント検査だけでは不十分なので、とりあえず、自分の名前や所属、使用しているコンピュータ名等が公に知られたくないという人は、Microsoft Officeで作成されたファイル(PDFに変換したのを含む)を他人に配布するのを避けるとよいと思います。 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 - ----------------------------------------------------------------- このメールは、取扱い番号 I

    脆弱性関連情報の非開示依頼の取下げ申請の結果が返ってきた - 葉っぱ日記
    mi1kman
    mi1kman 2012/11/07
    MSは脆弱性じゃないと判断してなおKBとしても公表しないくせに、どうして『当問題の情報公開ですが、 ユーザーの混乱を招く恐れもありますので、控えていただけば助かります』なんて言っちゃうの。軟弱だなぁ。
  • 退職のお知らせ - 葉っぱ日記

    昨日2012年3月31日をもってネットエージェント株式会社を退職しました。 2008年1月からでしたので4年と少しという長くはない期間でしたが、とても密度の高い時間を過ごせたと感じています。周りには、新卒で入って1年も経っていないのにバイナリの固まりを見るだけでそのなかに埋め込まれたデータを的確に目視で抽出するような人や、再現性が恐ろしく低くなかなか原因がわからなかったバグを退治する手伝いをお願いしたら、1時間もしないうちに「だいたい原因はわかりました。xxxという関数のバッファが1バイト足りていないんだと思いますが、ちゃんと確認したいのでソースコード見せて下さい」という返事を返してくるような気違いみたいなバイナリアンが多く、どれだけ学んでも自分なんて追いつけない圧倒的な劣等感を感じさせてくれる会社でした。 また、課長や部長といった管理職への昇進だけが昇給の道ではなく、技術面で優れた人材を

    退職のお知らせ - 葉っぱ日記
    mi1kman
    mi1kman 2012/04/01
    さすがです
  • [デブサミ2012]趣味と実益の脆弱性発見

    神戸ITフェスティバル講演 http://kobe-it-fes.org/kif2014/seminar/entry-197.html

    [デブサミ2012]趣味と実益の脆弱性発見
    mi1kman
    mi1kman 2012/02/17
    筆者の想いが書かれていて参考になる。
  • MFSA 2011-47: Shift-JIS を用いた潜在的な XSS 攻撃

    現在地: セキュリティセンター > Mozilla Foundation セキュリティアドバイザリ > MFSA 2011-47 Mozilla Foundation セキュリティアドバイザリ 2011-47 タイトル: Shift-JIS を用いた潜在的な XSS 攻撃 重要度: 高 公開日: 2011/11/08 報告者: Yosuke Hasegawa 影響を受ける製品: Firefox、Thunderbird 修正済みのバージョン: Firefox 8.0 Firefox 3.6.24 Thunderbird 8.0 Thunderbird 3.1.16 概要 Mozilla のブラウザエンジンが Shift-JIS 文字エンコーディングにおける不正なシーケンスを適切に処理していないことが、Yosuke Hasegawa 氏によって報告されました。不正なペアに遭遇

  • 正しい脆弱性報告のあり方 - 葉っぱ日記

    「XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会」を読んで。 IPAを通じて脆弱性の報告が来るということは、脆弱性の発見者がセキュリティ専門家だったりするため、対策が取られるまで公開されないことが予測できる。つまりIPAから脆弱性の報告が来る=緊急ではないという図式が成り立ってしまう!!XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会よりううむ。個人的には、脆弱性を発見した場合にはむしろ専門家以外の素人ほどIPAを通じて報告するほうがよいと思っている。理由は以下の通り。 連絡先の把握が困難 Webサイトにもよりますが、脆弱性報告のための窓口を用意しそれを明確に示しているWebサイトはあまり多くはありません。そのような連絡先をサイトごとに逐一探すくらいであれば、IPAに連絡するほうが手間が圧倒的に少なくて済みます。また、一般的な問い合わせ窓口

    正しい脆弱性報告のあり方 - 葉っぱ日記
    mi1kman
    mi1kman 2010/02/23
    標準化されてるってのはメリットだよな
  • 文字コード polyglot - 葉っぱ日記

    IE限定。外から指定されるcharsetに応じて挙動を変えるJavaScriptの関数の実装例。以下のコードを Shift_JIS として例えば charset.js のような名前で保存する。 function detectCharSet() { try{ var ADE = 'アア'; // 0xB1 x2 if(+ADE-0 == 10 ){ return 'UTF-7'; } if( ADE == 11 ){ return 'US-ASCII'; // 0xB1 means 0x31 } if( ADE.charCodeAt(0) == 0xFF71 ){ return 'Shift_JIS'; // Halfwidth Katakana Letter A x2 } if( ADE.charCodeAt(0) == 0x81FC ){ return 'EUC-JP'; // 0xB1

    文字コード polyglot - 葉っぱ日記
  • 1