T.Teradaの日記 - SessionSafe: Implementing XSS Immune Session Handling
SessionSafeは、ハンブルグ大学のMartin Johnsさんが書いたWeb APの方式案です。 もしWeb APにXSS脆弱性があって、これが攻撃されたとしても、 セッションIDが盗まれない 当該ページ以外の情報が窃取・改竄されない ことを目指しています。 面白いなーと思ったので、内容について少し書きます。 なお、元記事を高速斜め読みしたので、この日記の内容には間違いが含まれているかもしれません。興味のある方は原本を見てください。 セッションIDが盗まれない 以下の二つのドメインがあるとします。 www.example.com secure.example.com セッションIDのCookieは、secureサブドメインに発行します。 Webページを表示する際はwww.example.comのURLにアクセスします。そこで返すHTMLに色々と仕掛けを施します。 HTMLの仕掛け
JavaScript(AJAX)サンプル集 Yahoo! User Interface Library(YUI) - Drag and Drop Utility
スポンサードリンク Yahoo! User Interface Library - Drag and Drop Utility Drag and Drop Utilityとは ドラッグ&ドロップ可能な要素を作るためのユーティリティーです。ドラッグやドロップのイベントハンドラーを間単に作成することが可能なフレームワークが用意されています。 詳しくはhttp://developer.yahoo.com/yui/dragdrop/のオリジナルを読まれるのがよいと思います。 Drag and Drop Utilityを使う前準備 必要なのは4つのファイルです。もちろんインストールは済ませておく必要があります。 <script type="text/javascript" src="your install path/yahoo-min.js"></script> <script type="tex
Java初心者のチームが挑む基幹系刷新プロジェクト(番外編)
私は,2007年2月2日付の記者の眼「『使えない人間』などいない」で「Java初心者で構成されるチームがいかにプロジェクトを完遂したか,という事例」があり,その事例を取材したうえで,日経ソフトウエア2007年5月号のJava特集でレポートすると書いた。その号がいよいよ明日(3月24日),発売される。特集のルポ「Java初心者のチームが挑む基幹系刷新プロジェクト」という記事である。 具体的には,群馬県内の各JAやJA関連組織のIT共同利用施設であるJA群馬電算センターが提供しているシステムの事例だ。Javaをほとんど知らなかった4人のメンバー,JA群馬電算センター 経済情報部の片野富久氏,前原貴美子氏,大久保浩治氏,渋谷知央氏が,基幹系システムの刷新プロジェクトに先立つパイロット・プロジェクトを成功させた,というものである。 もっとも,取材を終えた今では,この事例を「『使えない人間』などいな
SCRAPBLOG » [userChrome.js] 軽量マウスジェスチャで利用可能なスクリプト集
[userChrome.js] 軽量マウスジェスチャで利用可能なスクリプト 「○○をジェスチャにしたいんだけど、userChrome.jsには何て書けばいいの」といった話題はこちらでコメントお願いします。 ナビゲーション // 戻る document.getElementById("Browser:Back").doCommand(); // 進む document.getElementById("Browser:Forward").doCommand(); // 更新 document.getElementById("Browser:Reload").doCommand(); // 更新(キャッシュを無視) document.getElementById("Browser:ReloadSkipCache").doCommand(); // ホーム document.getElementB
第3回 ウイルス対策ソフトは効果なし:ITpro
取引先や同僚を装って限られたユーザーをピンポイントに狙い,ウイルス・メールを送り付けるスピア型攻撃が国内で顕在化してきた。まんまと騙され,ウイルスをパソコン上に仕込まれると,これを発見するのは至難の業だ。 スピア攻撃で添付されてくるウイルスを対策ソフトが阻止してくれれば,感染は防げる。しかし,実際にはウイルス対策ソフトは無力だ。 犯罪者は「ウイルス対策ソフトを使って検知されないことを確認した上で攻撃を仕掛けてくる」(ISSの高橋CTO)からである。当然,送られてきたときには対応するパターン・ファイルがないため,ウイルス対策ソフトは反応しない。 スピア攻撃を助長する,こうした未知のウイルスが世の中にまん延していることを象徴する数字がある(図3)。テレコム・アイザック推進協議会とJPCERTコーディネーションセンターが2005年4月~5月に実施した調査結果だ。インターネット上にウイルスに感染さ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://yamanoue.sakura.ne.jp/blog/blog/16
This Document has Moved
記事・ニュース一覧 | gihyo.jp