タグ

web2.0とXSSに関するpoolmmjpのブックマーク (4)

  • 第4回 JavaScript実行制御で情報漏えいを防ぐ

    Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた,2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。従来の脅威対策は全く通用しない。今回はユーザーが今すぐ実践可能な対策を解説する。 XSS対策は,Webサイトとクライアント(ブラウザ)の両方からのアプローチが考えられる(図5)。Webサイトに潜むXSSのぜい弱性を根絶することと,ブラウザの設定変更や機能拡張によってエンドユーザーが自衛手段を講じることである。 そもそもWebサーバー側にXSSのぜい弱性がなければ,攻撃されるリスクはぐっと小さくなり,クライアント側の対策は必要最低限で済むはず。にもかかわらず専門家はクライアント側の対策を積極的に勧める。サイト側の対策にはどうしても漏れが生じがちなためであ

    第4回 JavaScript実行制御で情報漏えいを防ぐ
    poolmmjp
    poolmmjp 2007/03/15
    「クッキーを無効にしておけば(略)自分になりすまされる危険は回避できる」<なりすまされても困らないサイトでしか無効にできなくない?実際に著者は実施してるの?信頼済みサイトの使い方を紹介してるのは良。
  • 第3回 Web 2.0で事態が悪化

    前回ではWeb 2.0の興隆とともに,JavaScriptが多用され,使用をできないようにするととたんに,Webが使い物にならなくなる現状が,脅威を生んでいることを示した。今回は,RSSといった新しい技術や,ユーザーからの情報公開といったWeb 2.0の特徴がさらに火に油を注ぐことになることを示す。 RSS,ATOMのリーダー・ソフトなど新しいアプリケーションの台頭は,ブラウザ以外にもJavaScript実行環境が増えることにほかならない。 RSSやATOMのリーダー・ソフトは来,最新情報のリストを表示するための仕組み。JavaScriptを解釈する必要はない。しかし多くが,Internet Explorerなど既存のソフトのコンポーネントを使用してリストを表示しているため,JavaScriptを解釈してしまうケースがある。 実際,無償で配布されているRSSリーダーのいくつかでXSSのぜ

    第3回 Web 2.0で事態が悪化
    poolmmjp
    poolmmjp 2007/03/14
    「:」「;」をサニタイジング?やっぱりよくわかってないで書いてるのでは?
  • 第2回 Webブラウザが乗っ取られ,犯罪者の支配下に

    Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた,2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。第2回目となる今回は,今そこにある危機に迫る。 Zone-Hの場合,犯人は自己顕示を目的としていたため,被害はページ改ざん程度で済んだ。しかし,犯罪者の狙い次第で危険度はもっと高まる(図3)。 図3●XSSのぜい弱性を突くことで可能になる攻撃 キー入力の盗難や他サイトへの攻撃などユーザーが知らないうちに,背後での攻撃が可能になる。 [画像のクリックで拡大表示] 例えば銀行や証券会社のWebサイトにXSSの穴があれば,クッキーを盗まれ,不正送金などにつながるかもしれない。盗んだクッキーを使って業務で使用しているWebメールを盗み見られれば,開発や営業の資

    第2回 Webブラウザが乗っ取られ,犯罪者の支配下に
    poolmmjp
    poolmmjp 2007/03/13
    Web2.0時代はブラウザのJSを有効にするから攻撃を回避できないと言いたい?ならば「Web 2.0はぜい弱性の温床を生む」の見出しが変。脆弱性とWeb2.0は関係ない。回避策とWeb2.0が関係あるだけ。
  • 第1回 悪意のJavaScriptで情報が漏えい:ITpro

    Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた,2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。従来の脅威対策は全く通用しない。今この瞬間にも,エンドユーザーは個人情報を盗まれる危険にさらされている。 ブログ/SNSなどユーザー発信型のサイト,Ajax,RSS──。華やかさがクローズアップされるWeb 2.0。ところがその裏側では,エンドユーザーに情報盗難などの危険が広がっている(図1)。インターネット・バンキングやEC(電子商取引)サイトのユーザーIDやパスワード,クレジットカード番号はもちろん,企業内のシステムにアクセスするためのパスワードや,パソコンに読み込んだ機密文書データなど,対象はあらゆる情報だ。 2006年12月末,米国のセキュリテ

    第1回 悪意のJavaScriptで情報が漏えい:ITpro
    poolmmjp
    poolmmjp 2007/03/13
    何度読んでも意味ワカンネ。攻撃者がXSSする際にJSを使うからWeb2.0?一般に昔からXSSにはJSを使うし、脆弱性さえあれば攻撃対象がWeb2.0だとかは関係ない。Web2.0って言いたいだけか?
  • 1