よそのサービスのidやパスワードを入力させる、ってのは基本的にやっちゃいけないんだけれども。 例えば、 del.icio.usはブックマークしか預からない。 twitterは今何をしてる、しか預からない。 なので、あなたのdel.icio.usアカウントと連携したいのでidとパスワード教えて、とか、twitterアカウントと連携したいのでidとパスワードを教えて、なんてのが、比較的気軽に出来る。色々まずいこともあるけど、ユーザーが十分にリスクを承知してidとパスワードを預けるのであれば、それはアリだと思う。 それ以外に何も出来ないサービスであるということにメリットがある。面倒くさい住所入力、メールアドレス認証、なんてのを通り越して捨てアカウントを作れる。お金が絡まない。犯罪に使われたりしない。他に何もないんだから悪用されようがない。 もしこれが、yahooのidとパスワード入れてくれ、go
UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
あるAnonymous Coward曰く、"最近WebアプリのCSRF脆弱性への対策が注目されていますが、30日に金床氏が「開発者のための正しいCSRF対策」という秀逸なテキストを発表してくれました。 Googleで「CSRF 対策」で検索すると高木浩光氏の「クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法」がトップに出てきますが、金床氏によると、この方法は誤った対策であり「CSSXSS脆弱性が知られている現在では、絶対に実施すべきでないもの」とのことです。この対策は、IPAの「情報セキュリティ白書2006年版」や「用語「CSRF」@鳩丸ぐろっさり (用語集)」ほか書籍などにも書かれており、金床氏は「記事の内容を訂正していただきたい」としています。スラドの開発者のみなさんはきちんと正しいCSRF対策をしていますか?"
_ 徳保さんのはてなXSS関連の認識の間違い あるいは「ブログサービスの XSS 脆弱性対策はいらない その3」。 徳保さんはセキュリティ関係の知識が足りていないんで、きちんと勉強するまではXSSなどのセキュリティ関係の用語を使わないで語った方がいい。というか誤解を広げめられると迷惑だ。 「d.hatena.ne.jp 以下のコンテンツでスクリプトの悪用はありません、なぜならはてなが特別に許可したスクリプト以外は使用が制限されているからです」という安心感を売り物にしようとしている はてなはCookieによるユーザー認証を利用しており、ユーザーに自由なJavaScriptを許すと、認証情報の盗難・悪用が可能になるから、ユーザーのJavaScript利用を禁止している。それは「安心感を売り物にしている」というレベルではなく、ユーザー認証を利用したサービスを提供しているサービス提供者の最低限の義
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く