タグ

2007年12月16日のブックマーク (14件)

  • クロスサイトスクリプティング(XSS)とCSRFの違い早分かり - ockeghem(徳丸浩)の日記

    昨日の日記で、DK祭りで使われている脆弱性がXSSかCSRFかという問題になった。どうも、XSSとCSRFがごっちゃになっている人もいるように見受けるので、簡単な整理を試みたい。 XSSとCSRFには似た点がある。 どちらも「クロスサイト」という言葉が先頭につく なりすましのようなことが結果としてできる どちらも受動型攻撃である それに対して、もちろん違う点もある。専門家から見れば「似てるも何も、そもそも全然違うものですよ」となるのだろうが、現に混同している人がいるのだから紛らわしい点もあるのだろう。 私思うに、XSSとCSRFの決定的な違いは、以下の点ではないだろうか。 XSSは攻撃スクリプトがブラウザ上で動くが、CSRFはサーバー上で動く このため、XSSでできる悪いことは、すなわちJavaScriptでできることであって、攻撃対象のCookieを盗み出すことが典型例となる。一方、CS

    クロスサイトスクリプティング(XSS)とCSRFの違い早分かり - ockeghem(徳丸浩)の日記
  • 画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策

    補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブはてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2007年12月6日に公開されたもので、当時の徳丸の考えを示すものを、基的に内容を変更せずにそのまま転載するものです。 補足終わり 最近、画像ファイルを用いたクロスサイト・スクリプティングが注目されている。稿では、画像を悪用したXSSについて説明した後、対策方法について解説する。 画像によるXSSとはどのようなものか Internet Explorer(IE)の特性として、コンテンツの種類を判別する際に、レスポンスヘッダ内のContent-Typeだけでなく、コンテンツの内容も判断基準にしている。このため、Content-Typeが例えばimage/gif(GIF画像)となっていても、中身がHTMLであればHTMLと解釈して表示する。

    画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策
  • クイズ:XSSとCSRFはどこにありますか? - ockeghem's blog

    先の日記(XSSはブラウザ上でスクリプトが動き、CSRFはサーバー上でスクリプトが動く - ockeghem(徳丸浩)の日記)は、仕込んだネタがあたって多くの方に読んでいただいた。細かい内容については、頂戴した批判や反省もあるが、このテーマに対して多くの関心を集めることができたのは良かったと思う。今回も、手を変え品を変えて、XSSとCSRFの違いを説明しよう。ということで、今回はクイズ仕立てにしてみた。 といっても、非常に簡単なクイズだ。 認証を必要とする会員制サイトmaitter.comで、個人情報を入力する画面がある。典型的な、入力(A)-確認(B)-登録(C)という画面遷移(下図)を想定した場合、 XSSが発生しやすい画面を一つあげよ CSRFが発生しやすい画面を一つあげよ というものだ(入力画面は初期入力のみ想定)。エラー時の挙動などは指定されていないので想定しないものとする。 解

    クイズ:XSSとCSRFはどこにありますか? - ockeghem's blog
  • 100% エアーマンが倒せない Full ver.

    ■2011.6.1 一年前はニートだったのですが、ニコニコ動画のお陰でもなく今では仕事も見つかり結婚までしてしまいました。人生って不思議なものですね。ニコニコ動画ありがとう!■【私のmylist/4886424】◆この曲を生み出した、せら氏に尊敬と敬意を。出会わせてくれたニコ動に感謝。 応援してくれた方々に感謝。そして視聴&コメしてくれた皆に感謝です! 家様sm350170 sm542936 曲様sm466185 sm482877 sm1125310

    100% エアーマンが倒せない Full ver.
    raimon49
    raimon49 2007/12/16
    ネタ大杉ww 葉っぱ隊拭いたwww
  • 【初音ミク】melody...3D PV ver1.50‐ニコニコ動画(SP1)

    PVキオ式ミク(sm1200230)とmelody...(sm1381337)に惚れて作ってみた。応援してもらえたからここまで作れました。預かった元気玉返します!CG動画の作り方vol.1 sm1824202vol.2 sm1843339vol.3 sm1871645他作品→mylist/4193178http://kio-pv-sound.com/応援されてついに100万再生!みんなありがとおぉぉぉ!(´;ω;`)8/20 MMD杯初参加しますた!→sm11819454

    【初音ミク】melody...3D PV ver1.50‐ニコニコ動画(SP1)
    raimon49
    raimon49 2007/12/16
    壮大だな。
  • 一応SIerと呼ばれる会社に就職してるわけだから言及してみようと思う - 404 じゃばてないわー Not Found(一部X-RATED)

    http://d.hatena.ne.jp/Yoshiori/20071104/1194171954まず断っておきたいのは、この文章は私の体験に基づいて書いてますので、ひょっとしたら単に私が不幸なだけかもしれません。でもひょっとしたら、業界の中では幸運なほうかもしれません。それくらいによくわからない業界と思ってください。他のあちこちの言及で、こういう職場にきたらさっさと仕事を変えてしまうのも手である、といわれていますが、あえて、「仕事をしていく」という観点で書いていると自分では思っています。下書きとかしないでそのままかいてますから当初の目的とは違っても許してくださいえへへ。あーこわいこわいと思いながら投稿してみます。コンピュータ好きだからIT業界入りたいと思ったとはいえ、どの会社もやることなんてそうそう変わらないだろう、違うとしたら顧客から仕事を請けてカスタムメイドなソフトを設計して実装し

    raimon49
    raimon49 2007/12/16
    一部のIT業界で言うところの「コミュニケーション能力」について。分かり易い。
  • MORI LOG ACADEMY: 再び「すぎ」について

    WEB Davinci Last update 20 Jun,2004. WuƂɂ͏cDɊ҂BvԊO WuguKN̍hɕqȕ|͂ǂꂾHvԊO eWB fڎ҂ɂ͒IŐ}v[gI ̃v`i{ 6/5UP cȐ̖{oł�Â錻݁A ̒{ɂ낢{ɏo̂͂ȂȂނB vĂǎ҂݂̂ȂɁA_EB`ҏW Acホテル東京銀座 東京都 Anaインターコンチネンタルホテル東京 東京都 Bulgari Hotel 東京都 The Aoyama Grand Hotel 東京都 THE GATE HOTEL 東京 by HULIC 東京都 ウェスティンホテル東京 東京都 キンプトン 新宿東京 東京都 グランドプリンスホテル新高輪 東京都 ザ・キタノホテル東京 東京都 ザ・キャピトルホテル東急 東京都 ザ・プリンスギャラリー 東京紀尾井町, ラグジュアリーコレクションホテル 東京都 シェラトン・グランデ・トーキョーベイ・ホ

    raimon49
    raimon49 2007/12/16
    この人の作品は最近読んでないけど、執筆業の終わり方に関するブレの無さは立派だなと思う。ブログも読者サービスって扱いなんだろうな。またVシリーズから読み始めようかな。
  • 名前にまつわるライフハックいろいろ

    ドットインストール代表のライフハックブログ

    raimon49
    raimon49 2007/12/16
    >「あれ、漢字ってどう書かれるんでしたっけ?」 / 今度使おう!
  • “惨敗”PCメーカーに残された道 / SAFETY JAPAN [大前 研一氏] / 日経BP社

    raimon49
    raimon49 2007/12/16
    日本国内でのPCへの需要が世界とずれているんだろうな。携帯電話と同じ構図か。
  • 我が家に401Kがやって来た! / SAFETY JAPAN [暮らしに潜むリスクを考える会] / 日経BP社

    raimon49
    raimon49 2007/12/16
    >401Kの運用は長期・継続・分散投資してこそメリットがある。 / ちゃんとあとで読もう。最初に選択したまま放置だからなぁ・・・。
  • 特集:基礎から理解するデータベースのしくみ - 特集:基礎から理解するデータベースのしくみ:ITpro

    「データベースはブラックボックス。どんなSQL文を投げたらどんな結果が返ってくるかさえ知っていればよい」---そう思っている人も多いかもしれません。 しかし,物のソフトウエア・エンジニアを目指すのであれば,データベースが動く仕組みを学ぶことは避けて通れません。パフォーマンスなどに問題が生じたときどこから手を付けていいのか皆目見当がつかない,といった事態に陥りかねません。 市販のRDBMSの内部はかなり複雑ですが,基的な部分を理解するのはそれほど難しくありません。この特集でデータベースの動く仕組みを理解してください。 イントロ ●ブラックボックスのままでいいの? 基礎から理解するデータベースのしくみ(1) Part1 ●SQL文はどのように実行されるのか 基礎から理解するデータベースのしくみ(2) 基礎から理解するデータベースのしくみ(3) 基礎から理解するデータベースのしくみ(4) 基

    特集:基礎から理解するデータベースのしくみ - 特集:基礎から理解するデータベースのしくみ:ITpro
    raimon49
    raimon49 2007/12/16
    休暇にじっくり読みたい。
  • テキスト変換(笑)

    テキストを解析し、適宜「(笑)」を追加します。 Web2.0で愛されモテカワスイーツな次世代ウェブサービスです。 例:Web2.0で愛されモテカワ… 入力されたテキストに対して MeCab で形態素解析を行い、 名詞連続の最後に「(笑)」を挿入するという単純なロジックです。 簡易版もあります。ソースコードも公開中。 関連記事:テキスト変換(笑)を堂々公開(笑)(たつをの ChangeLog

    テキスト変換(笑)
    raimon49
    raimon49 2007/12/16
    形態素解析サービスって色んな使い道があるなぁ。
  • tDiary.org

    tDiary 2.2.0(安定版)をリリースしました。 このリリースは約3年半ぶりの新しい安定版系列のリリースになります。これまで、2.1系列として開発を続けて来たものの、正式リリースです。いくつもの新しい機能が含まれています。お楽しみください。 また、旧バージョン(2.0系・2.1系とも)には、新しい脆弱性が発見されています。脆弱性の内容については脆弱性に関する報告(2007-12-16)をご覧下さい。速やかに2.2.0へのアップデートをしてください。 →ダウンロード 2.0から2.2への更新方法と、主な変更内容は以下の通りです。 2.0から2.2への更新方法 体のパッケージにはdoc/UPGRADEというファイルが含まれています。これを参照してください。いくつかのプラグインファイルの名称変更に伴う非互換に、あらかじめ対応しておく必要があります。 その他は、基的に上書きするだけで動作

    raimon49
    raimon49 2007/12/16
    あとで入れ替える。 / 入れ替えた。
  • 高木浩光@自宅の日記 - 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている, オレオレ警告を無視せよと指示する金融機関が他にも

    ■ 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている Internet Explorerの独自機能である「スクリプトによる貼り付け処理」が危険なものであることは、いろいろな場面で何度も言い続けてきた。 Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する, 2001年11月5日 この問題は、Internet Explorer 7 と Windows Vista においてようやくそれなりに一応の解決がなされた。2006年5月13日の日記に書いていたように、「スクリプトによる貼り付け処理の許可」のデフォルト設定は、「ダイアログを表示する」に変更されているのである。 当時、「こんな解決方法じゃ、設定を元に戻させる糞サイトが登場して元の木阿弥にされてしまう」との心配が頭をよぎったが、その懸念が早くも現実のものとなっていた。それも、よりによって、銀