Closure Templatesのオートエスケープが最強すぎる件 - teppeis blog
rails3以降のWEBアプリケーションにありがちなXSS - hanagemanの日記ではない この記事を読んで、ちょうど最近使っているGoogle Closure Templatesがいい感じだったので紹介します。 コンテキストが異なる/重なるポイントでのエスケープ問題 最近のほとんどのテンプレートエンジンでは、変数埋め込みをデフォルトでHTMLエスケープしてくれます。が、元記事で指摘されているように、それでは正しくないケースがあります。HTML PCDATA以外のコンテキストで文字列を生成したり、複数のコンテキストが重なっている箇所です。 極端な例としてはこんな感じです。 <a href="{$x1}" onclick="alert('{$x2}')">{$x3}</a> <script> var x = '{$x4}'; var y = {$x5}; </script> <styl
Closure Tools | Google for Developers
Stay organized with collections Save and categorize content based on your preferences. The Closure Compiler compiles JavaScript into compact, high-performance code. The compiler removes dead code and rewrites and minimizes what's left so that it downloads and runs quickly. It also checks syntax, variable references, and types, and warns about common JavaScript pitfalls. These checks and optimizati
text.ssig33.com - Shibuya.XSS に行ってきた。
Shibuya.XSS に行ってきた。 徳丸さんの隣に居座って膨大な量の酒を飲んだ。 発表内容については、書けないことが多いし、書けないことが多いなか纏めている人がいるので、そういうのを適宜参照してほしく思う。 小保田さんのエントリあたりがよくまとまっている。 以下考えたこと。 1. 「素人」の話 割と真剣に伝えたいこと。セキュリティの話突き詰めてくと素人はアプリ書くな!!ってなりがちなんだけど、良くない傾向。素人でもアプリを自由に書けるようにライブラリや認証システム作る人が全力で、バグがあってもセキュリティホールにならないように設計しないといけない #shibuyaxss— mala (@bulkneets) April 4, 2012 マラのこの意見は実のところ結構片手落ちだと僕は思っている。この意見は「素人はアプリケーションを作ってよいが、ライブラリは作ってはいけない」という意見にす
Shibuya.xss で話してきました - nothing but trouble
すごい面白かった。会いたかった人にも沢山会えたし。 適当な感じのスライドですが、そこそこ反応があって嬉しかった。 [Shibuya.xss] セキュリティ小ネタ二本 View more PowerPoint from send_
Shibuya.XSSに参加してきました
表題の通り、Shibuya.XSS テクニカルトーク#1に参加させていただきました。定員30名に対して、希望者が241名。実に8倍の難関イベントに参加できた、と言うからには、ログを残しておかないと。 ただ、内容自体は技術的、その他諸事情によりオフレコなものが多かった為、ログは個人的な感想だけになります。ごめんなさい。 資料等は発表者の方々が可能な範囲で公開していただけると思うので、それを楽しみに待ちましょう。 opening 株式会社mixi コラボルーム とっても広ーい。机、電源、Wi-Fi、自販機等完備。こういうOpenな場所があるというのは素晴らしいですね。 そして、机の上には食事とお酒が!本当に、本当にありがとうございました。美味しかったです。 徳丸さんの乾杯で勉強会スタート。 DOM Based XSSの傾向と対策 by malaさん 問題の原因、影響、システム側対処方法
Shibuya.XSS テクニカルトーク#1 に行ってきた - すぎゃーんメモ
Shibuya.XSS テクニカルトーク#1 : ATND 大人気イベントに何故か3番目で申し込むことが出来ていたので行ってきた。ちょっと書くわけにはいかないような話や怖い話もあったりして楽しかった。とりあえずTwitterでの呟きだけメモ代わりに残しておく。 #shibuyaxss キター @ 株式会社ミクシィ(mixi, Inc.)なう URL 2012-04-04 18:59:31 via ロケタッチ(loctouch) MAP 「ミクシィ」シールを手に入れた! URL 2012-04-04 18:59:32 via ロケタッチ(loctouch) 自重せずにピザとビール始めてる #shibuyaxss 2012-04-04 19:04:33 via Twitter for iPhone XSSによるパスワード盗み対策例: パスワード入力させるようなところは"login.exampl
首相官邸ホームページとアクセシビリティ - ただのにっき(2012-04-06)
■ 首相官邸ホームページとアクセシビリティ 首相官邸ホームページのリニューアルに4,500万円かかったというニュースで高いの安いのと話題になっているけど、それはまぁどうでもよくて*1。これに対してあるWebデザイン会社が書いた「高くないよ!」というエントリを読んだアクセシビリティ業界人たちがそろって天を仰いだという話である。 件のエントリは「首相官邸ホームページのリニューアル構築費用に対して製作者側からの考察」で、特にアクセシビリティのところはツッコミどころ満載なんだけど、その点にかんしてはすでに木達さんが書いているので(ようするに先をこされた)、Web業界人はろくろなんて回してないで読んでおいた方がよいです。特にアクセシビリティとデザインの両立のところ。 さて、首相官邸ホームページのリニューアルでアクセシビリティを確保するとして、件の記事では300万円の見積を出しているのだが*2、じゃあ
亀井静香氏らが離党表明、国民新党が分裂 - 日本経済新聞
国民新党の連立政権残留派6人に代表を「解任」された亀井静香氏は6日、党本部で記者会見し、党の混乱の責任を取る形で離党を表明した。当面は無所属で活動する考えで、将来の新党結成に意欲を示した。政調会長だった亀井亜紀子氏も一緒に離党する意向を表明。消費増税関連法案の国会提出を契機とし
きらりの部屋
2020年6月に脳出血の緊急手術を受けた俳優でモデルの清原翔(きよはら しょう)さん。 1993年2月2日生まれの清原さん、2024年2月に31歳になりました! 清原翔さんが脳出血のその後はどうなったのか気になる人も多いようですが、2024年現在も療養中とのこと...
とある技術屋の日記 改めて警告します。「超光懐中電灯無料アプリ」は利用することが望ましくないアプリです
マルウェア対策ソフトで検知されても、アプリが持っている危険性に対して信じようとしない(信じたくない)方がいらっしゃるようなので…。 超光懐中電灯無料アプリは、起動するたびに端末を特定する情報と共に現在の位置情報を広告企業に送っていますし、いまでも遠隔操作用の命令を送り込むサーバに接続を試みています。 それでもご自身の端末で使うことを厭わない方は、ご自身の責任でご使用ください。でも、「(リスクすら説明せずに無邪気に)他人に勧めるのはやめてください」。 以下、かなり大雑把ですが超光懐中電灯無料アプリの問題点をまとめておきます。 超光懐中電灯無料アプリにはApperHandと呼ばれる不適切なプログラムや端末の位置情報/識別情報を収集する広告プログラムが多数組み込まれています。 この組み込まれたプログラムによってアプリを立ち上げるたびに、次の動作をします。 広告プログラムによって端末を特定できる情
とある技術屋の日記 改めて警告します。「超光懐中電灯無料アプリ」は利用することが望ましくないアプリです
マルウェア対策ソフトで検知されても、アプリが持っている危険性に対して信じようとしない(信じたくない)方がいらっしゃるようなので…。 超光懐中電灯無料アプリは、起動するたびに端末を特定する情報と共に現在の位置情報を広告企業に送っていますし、いまでも遠隔操作用の命令を送り込むサーバに接続を試みています。 それでもご自身の端末で使うことを厭わない方は、ご自身の責任でご使用ください。でも、「(リスクすら説明せずに無邪気に)他人に勧めるのはやめてください」。 以下、かなり大雑把ですが超光懐中電灯無料アプリの問題点をまとめておきます。 超光懐中電灯無料アプリにはApperHandと呼ばれる不適切なプログラムや端末の位置情報/識別情報を収集する広告プログラムが多数組み込まれています。 この組み込まれたプログラムによってアプリを立ち上げるたびに、次の動作をします。 広告プログラムによって端末を特定できる情
GALAXY Noteを持って日本各地を自転車で巡る「Tour de GALAXY」 がスタート!ラフォーレ原宿にてスタートセレモニー開催 : S-MAX
GALAXY Noteを持って日本各地を自転車で巡る「Tour de GALAXY」 がスタート!ラフォーレ原宿にてスタートセレモニー開催 2012年04月06日13:55 posted by 河童丸(KPL) カテゴリイベント・レポートGalaxy list 2人のイラストレーターがGALAXY Noteを持って国内の世界遺産を巡る旅に出発します! 本日6日に発売開始となったドコモスマートフォン「GALAXY Note SC-05D」の発売記念プロジェクトとして、2人のイラストレーターが自転車で日本全国の世界遺産を巡りながらイラストやブログなどのレポートをしていくプロジェクト「Tour de GALAXY」がスタートしました。 発売にあわせ、ラフォーレ原宿にてTour de GALAXYの出発セレモニーイベントが開催されました。本記事では、そのセレモニーの様子を写真を交えてお伝えします。
Sakura Script Transfer Protocol - Wikipedia
この記事には複数の問題があります。改善やノートページでの議論にご協力ください。 出典がまったく示されていないか不十分です。内容に関する文献や情報源が必要です。(2011年8月) 独自研究が含まれているおそれがあります。(2011年8月) 独立記事作成の目安を満たしていないおそれがあります。(2011年8月) 出典検索?: "Sakura Script Transfer Protocol" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL Sakura Script Transfer Protocol (サクラ スクリプト トランスファー プロトコル、SSTP) とは、伺か、およびその互換環境(以下 SSTP サーバ)の制御に使われる SAKURA Script の転送プロトコルである。 HTTP ヘッダ
Twitterブログ: スパム撲滅のために
Twitterはかなりの速度で成長しています。現在、アクティブユーザー数は1億4千万、1日のツイート数は3億4千万件です。ユーザー数が増えるほど、たくさんの素晴らしい情報を得ることができるようになりますが、反面、スパムのターゲットにもなってしまいます。スパムの数はたくさんの良い情報の中で微々たるものではありますが、やっぱり見たくないものですよね。 以前、スパムについて触れたことがあります。Twitterのエンジニアたちはスパムをやっつけようと日々戦っています。そして、今、法律という素晴らしい武器をみつけました。 スパムと戦う上でのチャレンジのひとつは、Twitter上にスパムが拡散されるようにつくられたツールです。これは他のスパマーたちも簡単に使えるように設計されています。 今回、Twitterはもっともユーザーに迷惑をかける5つのツールを対象に、サンフランシスコの連邦裁判所で訴訟を起こし
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Shibuya.XSSまとめ
ThinkGeek :: Stuff for Smart Masses
http://jpinfo.jp/topics-column/020.pdf
キャッシュDNSサーバーには lo を
まとめよう、あつまろう - Togetter
[Apache-Users 198] mod_sstp.c