タグ

2007年7月25日のブックマーク (3件)

  • 第3回 JSONPでのクロスドメインアクセス | gihyo.jp

    JSONPの動作原理 前回はAjaxに存在するセキュリティモデルであるSame-Originポリシーを紹介し、そのSame-Originポリシーを迂回する方法とセキュリティについて見てきました。また、回避する方法の1つめとしてリバースProxyを用いた方法を紹介しました。リバースProxyを用いた方法ではセキュリティ的な問題点もありましたが、そもそもProxyサーバを用意しなければならないため、この方法は手軽に使うことはできませんでした。 そこで考え出されたのがJSONP(JavaScript Object Notation with Padding)という方法です。 それではまず簡単にJSONPについて説明します。 Ajaxで使われるXMLHttpRequestオブジェクトには前回説明したとおりSame-Originポリシーがありクロスドメインアクセスはできません。一方、SCRIPTタグ

    第3回 JSONPでのクロスドメインアクセス | gihyo.jp
    ockeghem
    ockeghem 2007/07/25
    今回は少し物足りなかった。もう少し対策などの説明が欲しい。
  • XSSワームが増加、高度化の傾向

    McAfeeによると、クロスサイトスクリプティング(XSS)の脆弱性を突いて4大Webメールに感染するコンセプト実証ワームも出現しているという。 Webアプリケーションのクロスサイトスクリプティング(XSS)の脆弱性を突いたワームが増加し、高度化の一途をたどっているという。セキュリティ企業のMcAfeeが7月19日のブログで報告した。 McAfeeによると、XSSワームは古くは2002年に話題になったことがある。これは、Hotmailに存在するというXSSの脆弱性を悪用すれば、感染したユーザーのアドレス帳に登録された全員に電子メールを送信できるというものだった。 この種のワームは2006年になって増加し、WikiやYahoo! MailといったWebサイトのXSS脆弱性を突いた「Samy」「Yamanner」などのワームが出現。WebページのXSSの脆弱性を探し出す自動ツールも登場している

    XSSワームが増加、高度化の傾向
    ockeghem
    ockeghem 2007/07/25
    興味深い
  • 書評のお稽古: 書評 - ウェブアプリケーションセキュリティ - 徳丸浩の日記(2007-07-24)

    _ 書評 - ウェブアプリケーションセキュリティ 金床氏の話題の新作「ウェブアプリケーションセキュリティ」が届いたので、ざっと目を通した。まだあまり紹介などが出ていないようなので、早い者勝ちで書評してみようと思う。 を手にとって最初に思うことは、その大部さである。いまどき、箱入り、ハードカバーで494ページもあり、ずしりとした手ごたえを感じる。日常のリファレンスや満員電車のお供にするのであれば、もっと軽薄短小であって欲しいと思うところだが、書の場合そうではない。その理由は後述する。 まず、書の想定読者はどのような人だろうか。ウェプアプリケーションセキュリティの初心者でないことは確かだ。書は内容にムラが多い。XSSや、CSRF、SQLインジェクション、セッション管理などについてはやたら詳しい代わりに、ディレクトリトラバーサル、コマンドインジェクション、ヘッダインジェクションについては

    ockeghem
    ockeghem 2007/07/25
    せるくま