ピェンロー
マスターからおいしいなべの作り方を教えてもらったので 白菜がおいしくなったらぜひ、おためしあれ 文芸春秋 妹尾河童 著 河童のスケッチブック 1650円より抜粋 扁炉(ピェンロー) 冬になると、何人もの友人たちから、 「寒くなりましたね」 と電話がかかってくる。日ごろ季節の挨拶などするはずのない奴が、 わざわざ電話をかけてくるのだから、その魂胆はすぐにバレる。 それは我が家の「ピェンロー」と呼ぶ鍋料理を食べさせろ、とさいそく いう催促である。この前の冬も、一週間に客が入れ替わり立ち替 わりで、なんと三回も作らされたことがあった。でも飽きないか ら不思議だ。我が家に出入りしている連中の人気投票では、この 鍋は常に第一位で、その座を三十数年間も守りつづけている。 この「扁炉(ピェンロー)」なる鍋料理は中国料理ではあるが、 レストランのメ
adiaryのXSS対策
Version1.00β9以降についての記述です。 対外部ユーザー=アカウント非保持者 コメント欄、TBなどのtag記号<, >, "はすべてエスケープ。 USER_AGENT, DNS逆引きホスト名内のタグ文字などをエスケープ。 PATH_INFOなどの文字列は、エスケープなしに(表示等に)使用しない。 CSSXSS対策。「{」を「{」に置き換える。 対内部ユーザー=アカウント保持者 日記内や日記の紹介、RSSなどで使用可能なタグと属性値をホワイトリスト式とする。 タグの href, src, site, cite, action属性では、登録されたプロトコル以外で始まるリンクを消去*1。相対パスの場合は"./"を付加。 タグの最後の属性値が0x80以上の文字で終わる場合、スペースを付加するかさらに後ろにダミーの属性値xss=""を追加する(EBXSS対策)。 スタイルシートX
akiyan.com : 新たなXSS(CSS)脆弱性、EBCSS
新たなXSS(CSS)脆弱性、EBCSS 2006-03-30 かなりヤバめなXSS的攻撃方法が見つかりました。詳細は以下のリンク先をご覧下さい。 文字コード(SJIS)とHTMLエンコードとCross-Site Scriptingの微妙な関係 文字コードとHTMLエンコードとCross-Site Scriptingの微妙な関係 (EUCの場合、UTF-8の場合) 何がヤバいのかというと、この攻撃方法に対する根本的対策がほとんどのサイトで行われていないと思われるからです。 今までCross-Site Scripting脆弱性への対策はHTMLで使われる文字列を実体参照に変換するのが基本でした。しかし、マルチバイト文字列の仕様を突いて半端な文字列を送信しクオート文字を無効化(escape)することで、実体参照に変換されていてもスクリプトの実行が可能なケースがあることが判明したのです。 ちなみ
セキュリティホール memo - 2003.12
2003.12.10 は Windows Update の日です。 ……と思ったら、12 月の patch はないそうです (T_T)。 2003 年 12 月現在のセキュリティ情報 (Microsoft) に「今月の月刊セキュリティ情報のリリースはありません」と明記されています。 つまり、List the Unpatched IE Vulnerabilities Secunia Advisory SA10289: Internet Explorer System Compromise Vulnerabilities はあと 1 か月は存在しつづける、ということですか……。Qwik-Fix 0.57 で防ぐことができるらしいですが……。 と言っている間に、IEにURLを偽装できるパッチ未公開の脆弱性が発見されてしまってさあたいへん。誰でも簡単に、アドレスバー / ステータスバーの URL
www.google.comにクロスサイト・スクリプティングのぜい弱性,米Watchfireが報告
米Watchfireは,米GoogleのWebサイト「www.google.com」にクロスサイト・スクリプティング(XSS)攻撃を許すぜい弱性が存在していたと,米国時間12月21日に発表した。Watchfire社は「フィッシング攻撃に使われる恐れがあった」としている。 このぜい弱性は,www.google.com内のエラー表示Webページを悪用すると,文字コードUTF-7によってエンコードされたスクリプトを実行できてしまうというもの。Watchfire社が11月15日に発見してGoogle社に報告した。Googole社は12月1日に修正を施し,現在は解決済みだ。 同サイトには,Webアクセス要求をリダイレクトする際に発生したエラーを表示する「Forbidden」(403エラー)ページと,存在しないWebページへのアクセスに対するエラーを表示する「Not Found」(404エラー)ページ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
mod_perl: Apache2::Reload - Reload Perl Modules when Changed on Disk
