XSS: 今こそXSS対策についてまとめよう - 徳丸浩の日記(2008-08-22)
_今こそXSS対策についてまとめよう 沢出水(さわ いずみ)さんからトラックバックを頂戴した。 元々はホワイトリスト方式の優位は神話というエントリでホワイトリストはどう作る?を引用(批判)した事が発端の模様です。 一見真っ向対決しているようなので興味深く読ませていただいたのですが、正直、両者の主張の違いがわかりません。 どちらもXSS等インジェクション系の対策としてはアプリケーションで入力値が正しい形式の範囲内かチェックし、出力時に必要なエスケープ処理を行う、という結論に思えるんですけど… [ホワイトリストとブラックリストより引用] ご指摘の通りで、XSS対策は入り口でのバリデーションと表示(HTML組み立て)時のエスケープだ。しかし、元ブログの主題はホワイトリストとブラックリストの比較なので、「ただ、表面的に文章を追っただけでは『何をホワイトリストと呼ぶのか』という部分がだいぶ違う印象を
MOONGIFT: » これはすごい!Firefoxを使ってサイトのモックアップを簡単に作成する「Pencil」:オープンソースを毎日紹介
これはデザイナーのみならず導入必須のソフトウェアと言えそうだ。 Webサイトを作る際には、モックアップが必要になる。それをベースにして「ここをこうしよう」「次はどこに遷移させよう」といった議論が可能になる。頭の中だけではイメージがはっきりせず、意見も出しづらい。 ドラッグアンドドロップでモックアップを作成できる そんなモックアップを作成しようと思ったら、紙やHTMLオーソライズソフトウェア、画像編集ソフトウェアを使うことが多かった。だが画像編集ソフトウェアではチェックボックスやテキストボックスが作りづらい、HTMLオーソライズソフトウェアではデザインの微調整が面倒、紙では重ね書きしづらい…とそれぞれに欠点があった。そこでこれを導入してみよう。 今回紹介するオープンソース・ソフトウェアはPencil、Firefoxアドオンとして動作するモックアップ作成ソフトウェアだ。 個人的にはモックアップ
ワラノート 動物の\(^o^)/画像
ブログ パスワード認証 閲覧するには管理人が設定した パスワードの入力が必要です。 管理人からのメッセージ 閲覧パスワード Copyright © since 1999 FC2 inc. All Rights Reserved.
iPhoneからキャラが3Dで浮き上がる:「iHologram」
また飲み会で大活躍しそうなiPhone用アプリが出ました。 「iHologram」は、驚嘆すべきiPhoneアプリです。作者はDavid O'Reilly。 なんていうか、画面が別次元へつながる窓のように見えてきます。とにかく動画を見てみてください。 まるで魔法のようですが、これはアナモルフォーズ(歪像)という、絵画の世界では15世紀から使われてきたテクニックとiPhoneのジャイロスコープを組み合わせて作られたものです。アナモルフォーズの画法で絵を歪めて描くと、特定の方向から絵を見た時に、その絵が2次元から立ち上がって見えます。このアプリは35度から45度の角度から見るように作ってあります。アプリはモーションセンサーを利用して、iPhoneの画面の位置を計算するので、見る人の位置が変わっても3Dの世界を見ることができます。 動画を見ればわかるとおもいますが、その仕上がりは完璧に近いといっ
第01回まっちゃ445勉強会に参加してきました - hnwの日記(情報元のブックマーク数) - ripjyr's blog
hnwさん、参加いただいてありがとうございます。そして、目覚まし勉強会のLT本当にありがとうございました。 内容的に、XHRとJavascriptを使ったクロスサイトスクリプティングの攻撃方法ですが、これやられるとユーザは気づかないし、情報ブッコ抜かれますね。 クロスサイトスクリプティング的に、説明が変わるかもしれないプレゼンです。 以前にPoCとして国分さんがやられた似たようなデモはありましたけど 朝10:30からLTの枠があって、「XSS脆弱性に対しXHRを用いた攻撃」という題名で僕も15分ほど喋りました。内容としては「XSSに対してXHRを使えば夢が広がりんぐ」ということで、あんまり他の人が主張してるのを見た事が無いので新ネタかもしれないけど、とりあえずセキュリティ界隈の人に斬ってもらおうと思って喋ってみました。 資料: http://hnw.sakura.ne.jp/documen
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://tokumaru.org/d/20080820.html
http://rejec.net/~cube/
