■ - hoshikuzu | star_dust の書斎
■はてなダイアリー日記 - スタイルシートにおけるXSS脆弱性の修正について はてなからの発表 スタイルシートにおけるXSS脆弱性の修正について - はてなダイアリー日記 上記からちょっと引用。強調部分は私によります。 はてなダイアリーのスタイルシート設定では、セキュリティ確保のため expression 関数は使用できないよう制限を設けさせていただいておりますが、一部ブラウザで、全角文字を利用すると expression 関数を実行できてしまう脆弱性が見つかりましたので、対応を行いました。 2006年1月6日追記:この問題の報告者さん発見 おお!はてなダイアリー日記 - スタイルシートにおけるXSS脆弱性の修正について :: ぷろじぇくと、みすじら。 まぁなんにしても、危険なものを取り除いてして安全なものだけ利用できるようにするというのは難しいことだなーと改めて思ったのでした。 激しく同
ちょっと心配なので念押し
昨日のエントリ「CSSXSS」で言及したCSSXSSなんですが、一次ソースの示す危険性って、過小評価されてないか? 私は今回の実証コードがGoogle Desktop経由であったことはどうでもいいと思っているが、CSSXSSという攻撃手法が可能なブラウザの仕様そのものには、大変な危険性を感じている。 危険性の方をGDSよりも重視しているのは、今後出る新しいSafariや別のブラウザが、同じ轍を踏まないように、踏んでいたらすぐにベンダーに報告できるように自分の中で整理しておきたいからだ。そもそも私は個人的な用事でWindowsをほぼ全く使わないから*1今回の実証コード公開は、少なくとも私にとって「現実の脅威」ではないんだ。 イスラエルのハッカー、Gillon氏はGoogle Desktopというメジャーなサービスに対してのexploit(実証コード)を作ってしまった。おかげで「デカくて新しい
Google Desktopの情報が盗まれる恐れ…というかGoogleばかりでないです
■IE:新手法CSSXSS、Google Desktopの情報が盗まれる恐れ…というかGoogleばかりでないです、ヤバイのは、こりゃ参りましたね。 2006-01-30 追記:2006年01月20日付けで以下の状態です。マイクロソフト社からの言明です。 有用な情報を適切な方法でご連絡いただき大変感謝いたしておりますが、Web サイト側での対応が困難である事が判明し、また、Internet Explorer の脆弱性が近々対応できる見込みであるため、Internet Explorer の修正により、この問題に対応する方向で作業を進めております。 (snip) また、この問題の根幹となります Internet Explorer の脆弱性については、現在鋭意対応中でございますが、こちらのリリース時期につきましては、詳細をお伝えすることができません。 誠に申し訳ございませんが、何卒ご理解とお客様
Underconstruction by Taiyo@hatena
来年ものすごく流行りそうな手法が公開された。 これは痛い。 Google Desktop Exposed: Exploiting an Internet Explorer Vulnerability to Phish User Information 関連: eWeek記事 ITmediaの記事 I call this attack CSSXSS or Cascading Style Sheets Cross Site Scripting. うまいこと名前を付けたもんだなぁ…… 記事ではGoogle DesktopからHDDの情報を抜けることが問題視されるような書き方になっているが、CSSXSS自体はGDSとは関係がない。 一言で言うと、cssのimport文で任意のWebサイトの情報を抜き出せることを利用した攻撃だ。ログインして利用するWebサイトのHTMLが、ほかのWebサイトで利用で
■ - hoshikuzu | star_dust の書斎
■【土曜日、日焼けサロンイコウゼ。】 というのがはやっているのかな? 関係ないけど総理は【月曜日、靖国にイコウゼ】状態です。テレビで持ちきりです。ええと既に外務省のエライ人が中国に釈明に行っている模様です。 ■昨日やり残したIPAへの報告は順延に 再現方法を忘れている…orz18日追記:夢見でぼんやりと。http://example.com/ほえほえ/任意の文字列の挿入/%2E%2E/ぼげぼげ/…だったような気がしてきた。後で確認しましょう。確か、ばけらさんのサイトでみかけたような気がしてきました。 ■本日のIPAへの報告 Googleでニュース検索をしていたら古典的なXSS脆弱性がありそうだと匂わせる画面にぶつかりました。いえ、単に404なのですけどオウム返しっぽい。といいますか、Googleから飛んだら画面がおかしくなったダケですけど。ちょっと考えてサックリ検証。IPAさんに報告しまし
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://b.hatena.ne.jp/naoya/edit/
