You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
追記 CPANリリースしました http://search.cpan.org/dist/JavaScript-Value-Escape/ /追記 malaさんの「HTMLのscriptタグ内に出力されるJavaScriptのエスケープ処理に起因するXSSがとても多い件について」にちょろっとでているgistのコードをモジュールにしました。 JavaScript::Value::Escape - https://github.com/kazeburo/JavaScript-Value-Escape JavaScript::Value::EscapはHTMLのscriptタグ内にデータを埋め込む際に、少々過剰にエスケープを行うものです。このモジュールではq!”!, q!’!, q!&!, q!>!, q!<!, q!/!, q!\!, qq!\r! と qq!\n! を\u00xxなどに変換しま
Latest topics > 拡張機能におけるeval()の5つの間違った使い方 宣伝。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能! « Firefox 3.5 + Glasser + Aeroの環境でやっておきたい設定 for Glasser 3.5 Main 仏陀再誕 The REBIRTH of BUDDHA » 拡張機能におけるeval()の5つの間違った使い方 - Nov 28, 2009 以下、Adblock Plus and (a little) more: Five wrong reasons to use eval() in an extensionのいいかげんな訳です。XUL/Migemoのバージョンアップ時のエディタによるレビュー
Javascript の話題禁止うける http://gyazo.com/d9ad561d597e7e93ee76a0bf87c6b80f.png http://gyazo.com/d6c52b716e85b43c4212f098629a27f7.png
以前の続き。JavaScriptからプライベートデータの参照、更新が出来る。Google Account Authenticationの仕組みを利用している。この前動かなかったサンプルはいつの間にか動くようになってた。 最初プロトコルは勝手にJSONPと思ってたけど、中身見てみたらIFRAME 使った fragment identifier (window.location.hashの値、URLの#以降)による通信だった。たしかに、IEで音をONにしたらクリック音カチカチする。ちなみにfragment identifierによるクロスドメイン通信は他にdojoがライブラリとして実装しているのは知っているけど、これだけ大々的にサービスで使われてるのを見たのは初めて。もっとも、ブラウザでクロスドメイン通信を達成する方法のうち現時点でもっともマシなのはこれじゃないかという意見もある。 解析してみ
(Last Updated On: 2017年4月12日)Firefoxユーザなら必ずインストールして使用する事をお勧めするのがNoScript拡張です。 参考:新しい紹介文を書きました。 簡単にインターネットから内部ネットワークを守る方法 NoScriptはデフォルトでJavaScriptの実行を拒否します。これだけでもかなり安全にWebサイトを参照できるようになります。しかし、NoScriptはプラグインの実行も拒否できるようになっています。Java, Firefox, Silverlight,その他全ての拡張を選択して実行を拒否できます。残念ながらJava, Sliverlight以外はデフォルトで実行可能に設定されています。 ブラウザウィンドウの右下のNoScriptアイコンをクリックしオプション設定画面を開きます。下のスクリーンショットのように設定します。 (追記:間違ってチェッ
GMailのコンタクトリスト漏洩のエントリのついでに。 JSONデータをscriptタグにのせて配信するサービス(JSONPなど)で、限られたサイトのみにしかそのデータを配信しないようにするためには、クライアントが送出してくるリファラ情報を使ってサービスコンシューマとなっているサイトを特定してアクセス制御する方法がある。 この方法はおそらく大部分のクライアント(ブラウザ)に対しては有効で、例えば実際にGoogle MapsなどもそれとAppKeyを組み合わせてサイトを判別しているっぽいのだけど、意図的にリファラ送出を切っているブラウザであったり、あるいはプロキシプログラムなどが自動的にリファラヘッダを除去してしまうようなクライアント環境に対しては無効になってしまう。 ということで、そんなクライアントでもなんとかならないだろうかと考えていたときにちょっと思いついた、もしかしたらこの方法なら許
GMailのコンタクトリストが外部から呼び出し可能になってしまってた件について。 Google内プライベートなはずのデータが、関係のない外部のサイトからもスクリプト経由で読み込まれてしまうというもの。 http://ajaxian.com/archives/gmail-csrf-security-flaw でもこれってCSRFっていうのかな?なんか問題がちょっと違ってるような気もするけど。CSRFは情報が抜き取れるかどうかってとこは別に関係ないはずだし。外部サイトにプライベートデータを盗まれるという脅威としてはCSSXSSに近いような。(追記:どうもCSRFの定義ってのはもうちょっと広いみたい) この騒ぎに呼応して、クロスサイトのセキュリティモデルについてまとめてあった。 http://labs.cybozu.co.jp/blog/kazuho/archives/2007/01/cross
下のソースでローカルにHTMLファイルを作りIE6で開く。一行目はおまじないなので省略しない。img要素とかbr要素とかが泣ける。 <!-- saved from url=(0014)about:internet --> <html> <head> <title>nandakore</title> </head> <body> <base id="b00" style="width:expression(setTimeout(this.innerText,0))"> <pre> resizeTo (400, 400); </pre> <img> document.title='areare'; </img> <br> var hoge = 'foo'; </br> <blockquote> window.status = hoge; </blockquote> </body> </html
来年ものすごく流行りそうな手法が公開された。 これは痛い。 Google Desktop Exposed: Exploiting an Internet Explorer Vulnerability to Phish User Information 関連: eWeek記事 ITmediaの記事 I call this attack CSSXSS or Cascading Style Sheets Cross Site Scripting. うまいこと名前を付けたもんだなぁ…… 記事ではGoogle DesktopからHDDの情報を抜けることが問題視されるような書き方になっているが、CSSXSS自体はGDSとは関係がない。 一言で言うと、cssのimport文で任意のWebサイトの情報を抜き出せることを利用した攻撃だ。ログインして利用するWebサイトのHTMLが、ほかのWebサイトで利用で
■ パスワードの安全性を教えてくれる JavaScript みんな大好き Google さんが、アカウントのパスワードを変更する時にパスワードの安全性を教えてくれるので真似っ子してみました。 最初は処理をパクってこっそり自分だけで使おうと思っていたのだけど、何やら単語の検索をしたりとややこしい事をしているようなので自前で作りました。 動作サンプル 使ってみたい人は、上の動作サンプルを見てパクッて下さい。 例のごとく。 var safe = new safetyCheck(document.getElementById('password')); safe.set(); みたいにして動かします。 コードを見るとわかりますが、かなり単純な計算方法です。Google さんみたいに単語だったら駄目だとかそんな事はありません。文字の種類(英大文字小文字、数字、記号)と文字の長さを元にして計算していま
2001年11月5日 作成 2001年11月11日 追記: 「関連」の3番目の項目 目次 概要 検証実験 脅威 Microsoftの公式見解 クリップボードの盗聴を防止する設定 関連 FAQ 概要 MicrosoftのWebブラウザ「Internet Explorer」(以下「IE」と略す)には、 「スクリプトによる貼り付け」という名の機能があります。これは、 「JScript」(JavaScriptをMicrosoftが独自拡張した言語の名称)の 独自機能のひとつで、 var str = clipboardData.getData("Text"); という一文で、 システムのクリップボードの中身を取り出せる機能です。 これは、おそらく、Web上のサービスでカット&ペースト機能をJScriptで 実現するために用意された機能と考えられます。 しかし、この機能が悪用されると、 悪意のあるペー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く