GreaseMonkey による OpenSocial アプリの情報&機能の奪取 ( ラボブログ )
スパイスラボ神部です。 なんだか OpenSocial アプリに関するちょっと気になるエントリが出てました。 -GreaseMonkeyが好きだ! - Favorites! 気になるエントリはこちら -グリモンで OpenSocial - 知らないけどきっとそう。 まず、このエントリで「出来ること」として挙げられているのが ・(たぶん)JavaScript オブジェクトの取得と編集、更新ができる ということ。 これにより、コンテキスト的には ・Viewer の ID などアプリ上に呼び出されているものが個人情報も含め奪取可能 (本来はアプリ上のみで処理されるべきものであるが、このような取得のされ方だと利用規約の範囲を超えるケースにあてはまることになるだろう) ・オブジェクト書き換えることでゲームのスコアを偽物に(ランキングなどもめちゃめちゃに?/これは対策しようがあるかもだけど) ・ア
Firefoxパッチに早くも不具合発覚、再リリースで修正へ
26日にリリースされたばかりのFirefox 2.0.0.10に不具合が発覚した。問題を修正したアップデート版「2.0.0.11」が近くリリース予定という。 Mozillaが11月26日にリリースしたばかりのFirefoxアップデート「2.0.0.10」に不具合が発覚した。Mozillaは米国時間で30日にもバグ修正のアップデートを再リリースする予定だ。 2.0.0.10ではjar:プロトコルに関するクロスサイトスクリプティング(XSS)の脆弱性など、3件の問題が修正された。 ところがリリース直後から、Mozillaのバグ報告データベースBugzillaには、「canvas.drawImage」が機能していないという報告が相次いだ。不具合はWindowsとMacの両方に影響すると伝えられている。 drawImageを利用している写真サービスサイトでは、ほかのブラウザとFirefox 2.0
秋元@サイボウズ研究所プログラマーBlog 訪問者が入れているFirefox extensionを検知するJavascript
chrome:プロトコルで Firefox Extension が持っている画像などをアクセスすることで、その Firefox である extension がインストールされているかどうかを判定できるらしい。 実際のデモはこちら(自分の使ってる拡張機能を知られたくない人は押さないこと) 著名な extension ごとのチェック対象画像のリストを整理している人もいた。 リンクが訪問済かどうかをCSSの属性からチェックする技法がちょっと前に話題になったけど、いろいろ考えるもんだ。 # こちらは、 あなたのWeb2.0度判定テストやHatebu::Addiction(はてブ中毒度)などで使われている。 この記事は移転前の古いURLで公開された時のものですブックマークが新旧で分散している場合があります。移転前は現在とは文体が違い「である」調です。(参考)記事の内容が古くて役に立たなくなっている、
セキュリティ・ホールは公開しない者勝ち?
「Internet Explorer(IE)はFirefoxよりも安全」。最近,このような話を読んだり耳にしたりする機会が何度かあった。ほとんどの場合,米Symantecが2005年9月に発表した「Internet Security Threat Report Volume VIII(インターネットセキュリティ脅威レポート 8巻)」のデータが根拠になっている(関連記事)。 Internet Security Threat Reportとは,同社が世界中に設置しているセンサーなどから収集した情報を基に,同社が半年ごとに作成し公表しているレポート。レポートではセキュリティに関するさまざまなデータがまとめられている。その一部として,2005年上半期(1月~6月)に公表された,主要ブラウザのセキュリティ・ホールの数がまとめられている。そのデータによると,Firefoxでは25件のセキュリティ・ホー
Firefox 1.0.7にDoS脆弱性 | スラド
個人的観測ですが、これを修正した1.0.x系列は出ないのではないかと思われます。 この問題はbugzilla.mozilla.orgにBug 303433 [mozilla.org]として登録されていますが、斜め読みする限り、1.5系列及び以降の開発版ではBug 238493 [mozilla.org]の修正により直ったんだからよかんべぇ、ということになっている模様です。これが単なるクラッシュバグで、悪用出来ないだろうというコメント (Bug 303433 comment #43) もあります (summaryからも "seems exploitable" が削除されている)。 Bug 238493が大き目の変更でバックポートし辛く、新たにクラッシュの修正のみのパッチを作るような暇が (11/9リリース見込み?の) 1.5目前で無い為に、見送られるのではないかと思います。 繰り返しますが、
@IT:ノートン2006シリーズは、とっても積極的
2005/10/1 シマンテックは9月30日、個人向けのセキュリティ製品「ノートン・シリーズ」の最新バージョン3製品を10月14日に発売すると発表した。発表されたのは「ノートン・インターネットセキュリティ 2006」「ノートン・アンチウイルス 2006」「ノートン・パーソナルファイアウォール 2006」の3製品。集中管理ができるコンソールを用意して操作性を向上させたほか、スパイウェア対策機能を強化した点が特徴だ。 最新バージョンのノートン2006シリーズでは、メールやWeb、メッセンジャーなどのセキュリティに関するさまざまな設定を集中的に管理・確認できる「ノートン・プロテクションセンター(Norton Protection Center)」を搭載。Windows OSが持つ機能とも密接に連携し、PCのセキュリティを保つという。例えば、Windowsの機能である「Microsoft Upda
FirefoxとMozillaの新版、まもなくリリースに--未公開の脆弱性に対応
Mozilla Foundationの関係者は米国時間14日、同グループが「Firefox」と「Mozilla」 の両ブラウザの新バージョンをまもなくリリースする計画であることを明らかにした。各ブラウザの新バージョンでは、先ごろ公表された深刻なセキュリティバグをはじめとする複数の脆弱性が修正されるという。 同団体が今回のようなポイントリリースを決断した背景には、先週、International Domain Names(IDN)の処理方法に関して両ブラウザに問題があることが明らかにされたという事情がある。IDNとは各国独自の言語を使うドメイン名のことで、攻撃者はこの脆弱性を悪用して、ユーザーの気付かないうちに悪質なソフトウェアをPC上で実行することができてしまう。ハッカーらは現在この脆弱性を悪用するプログラムの開発を進めているといわれている。 Mozilla Foundationのエンジニ
Firefoxの脆弱性、攻撃に悪用されるのも時間の問題--専門家が警告
ウェブブラウザの「Firefox」と「Mozilla」に存在する深刻なセキュリティバグを悪用する方法が複数見つかったことから、まもなくこれを悪用した攻撃が発生する可能性があるとしてセキュリティ専門家らが注意を呼びかけている。 問題の脆弱性は米国時間8日にセキュリティ研究者のTom Ferrisが明らかにしたもので、攻撃者にこれを悪用されると、ユーザーの気付かないうちに悪質なソフトウェアをPC上で実行されてしまうというもの。 FirefoxやMozillaブラウザの配布や開発のとりまとめを行うMozilla Foundationでは、同脆弱性にただちに対応し、9日には暫定版の修正パッチをリリースしていた。 セキュリティ専門家らによれば、「Netscape」ブラウザの最新版も同脆弱性の影響を受けるという。Netscape関係者が13日に明らかにしたところによると、Time Warner傘下のA
Firefoxなどに深刻な脆弱性--暫定版の修正パッチが公開に
Mozilla Foundationは米国時間9日、Firefoxブラウザなどに深刻な脆弱性が見つかったことを受け、ユーザーを保護するための暫定的な回避策を公開した。 この修正パッチは、新たに見つかった脆弱性を悪用した攻撃からユーザーを守るためのもの。この脆弱性により、攻撃者はユーザーに気づかれることなくPC上で悪質なソフトウェアを実行できてしまう。この脆弱性は、セキュリティ研究者のTom Ferrisによって8日夜に明らかにされ、Mozillaスタッフが対応に追われることになった。 Mozilla開発チームのエンジニアリングディレクター、Mike Schroepferによると、この問題はFirefoxとMozillaの両ブラウザによるInternational Domain Names(IDN)の処理方法に関連するものだという。IDNとは各国独自の言語を使うドメイン名のことで、公開された
Firefoxに極めて重大な脆弱性
FirefoxにDoS攻撃を誘発する深刻な脆弱性が発見された。最新の1.5 β1も影響を受ける。Mozilla Foundationでは急遽パッチを公開した。 オープンソースのWebブラウザ、Firefoxに「極めて重大」な脆弱性が報告された。悪用されるとサービス妨害(DoS)攻撃を誘発したり、システムをリモートから制御され、コードを実行されてしまう恐れがあるという。 問題を指摘したトム・フェリス氏によると、この脆弱性は、長すぎ、かつハイフンを含んだURLの処理に関するエラーが原因で発生し、ヒープオーバーフローを引き起こす可能性がある。ユーザーを悪質なWebサイトに誘導したり、細工を施したHTMLファイルを開かせることで悪用でき、Firefoxがクラッシュしたり、コードを実行される恐れがある。 フェリス氏は9月8日、Firefox 1.5のβ1がリリースされたその日に脆弱性の存在を公にした
高木浩光@自宅の日記 - SSL 2.0をオンにしろと指示するサイト
■ SSL 2.0をオンにしろと指示するサイト FirefoxがSSL 2.0を廃止する予定 という話が出ている。SSL 2.0では、プロトコルの冒頭部分で使用する暗号 の種類を決める際に、その部分が通信路上で改竄される攻撃を受ける可能性が あり(なにしろまだSSL通信は始まっていないのだから)、それによって使用 する暗号強度をダウングレードさせられる危険性などの問題があった。SSL 3.0では、この問題を解決するために冒頭の最後で改竄がなかったかをハッシュ 値で確認するよう対策されるなど、改善が施されている。 ブラウザには使用するSSLのバージョンを指定する設定が用意されている(図1)。 複数のバージョンがオンに設定されている場合、サーバ側が提示してくる利用 可能なバージョンと突き合せて、利用可能な最も新しいものを自動選択して使 うようになっている。 そのため、サーバ側がSSL 2.0し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://shin.s-ence.org/archives/2008/10/16197.html
IDEA * IDEA
http://japan.internet.com/webtech/20080807/12.html
http://japan.internet.com/webtech/20070823/11.html
http://syasya.or.tv/diary/2005-12.html
三井住友銀行 > 簡単!やさしいセキュリティ教室
http://japan.internet.com/webtech/20051124/11.html
「Netscape 8.0.4」公開、Firefoxにもあった危険な脆弱性を修正
Expired