OAuth Security Hole Test using Google PlayGround - r-weblife
今日は、Google PlayGroundを使ってOAuthのSecurity Holeをテストしてみます。 ■ 目的 第3者のgmailの内容をいただく ■ 準備 OAuth Playgroundの動作確認 googlecodesamples.com(Consumer)からwww.google.com(SP)へのAuthrization URIを確認 □ Authrization URIの確認 0. http://www.google.comにアクセスし、Googleをログアウト 1. http://googlecodesamples.com/oauth_playground/index.phpにアクセス 2. "1 Choose your Scope(s)"でGMailを選択 3. "Get the Token"のところにある"3 Get a Request Token:" のボタンを
Secure Data Connector Developer's Guide: Overview - Google Secure Data Connector - Google Code
Secure Data Connector Developer's Guide: Overview Google Secure Data Connector (SDC) is a client tool that you can use with Google Apps Premier Edition or Education Edition to connect gadgets, applications, and spreadsheets to data that is protected by a corporate firewall. This guide assumes that you are familiar with Google Apps concepts and terminology. The Configuring section and the Google
Google Secure Data Connector - Google Code
Google I/O Developer Conference May 27-28, San Francisco Learn more » How do I start? Download the latest version of SDC Read an overview of SDC Check out the tutorials to see how to use SDC with Google App Engine, Google Gadgets, and Google Spreadsheets Google Apps provides powerful communication, collaboration, and productivity tools right from the browser. But even if your business uses Google
高木浩光@自宅の日記 - 通信プラットフォーム研究会 傍聴録 (Google社の発言あり)
■ 通信プラットフォーム研究会 傍聴録 (Google社の発言あり) 通信プラットフォーム研究会が一般公開されているのを最近になって知り、先週7日に開かれた第6回会合を傍聴してきたので、討議の様子を書き留めておく。 それまでの会合の議事録を事前に読んで行ったのだが、これほど大きな会合(たくさんの人に発言権があり、たくさんの人が傍聴するもの)とは予期していなかった。構成員だけに発言権があると思っていた(各回のヒアリング対象が「オブザーバー」として発言することもあると理解していた)が、そうではなく、「オブザーバー」(傍聴者のことではない)全員に発言権がある形式だった。「オブザーバー」の今回の出席者は、配布資料の座席表によると以下の通り。 ヤフー、モバイル・コンテンツ・フォーラム事務局、マイクロソフト、東日本旅客道、日本インターネットプロバイダー協会、テレコムサービス協会、情報通信ネットワーク産
Ajaxian ? Gmail CSRF Security Flaw
Enterprise Strategy Group: Go-to-market Expertise to Help You Win
JavaScriptのソースに重要なデータを埋め込むなんて….
(Last Updated On: 2007年1月3日)GmailでJavaScriptのソースとしてコンタクトリストデータを埋め込んでいたため、第三者がコンタクトリストを盗めてしまう、という問題が話題になっています。 まだ詳しく調べていませんがsrc属性に指定されたソースは誰でも(どのサイトからでも)取得できるブラウザの仕様を利用したものだと思います。 比較的早くからsrc属性で他のサイトのJavaScritpが指定できる仕様のリスクは指摘されていました。Gmailでさえ重要なデータをJavaScriptのソースに埋め込んでいるのですからAjaxアプリケーションの多くに同じ脆弱性があるような気がします… 手っ取り早く不完全な方法で修正するにはリファラチェック、きちんと修正するならJavaScriptのリクエストに鍵を付けてチェックする、といった方法で対策可能です。 http://exam
Greg Murray's Blog: Restricting Access to your AJAX Services
Restricting Access to your AJAX Services Posted by gmurray71 on August 02, 2006 at 11:32 AM | Comments (6) Services like the XmlHttpProxy for Java are designed to return JavaScript that is evaluated on the client. Unfortunately, if you are not careful with the design of your services, JSONP techniques could be used to hijack your services. While I'm not saying JSONP is bad, I do highly recommend y
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google I/O - Using the Google Secure Data Connector to Access Behind-the-Firewall Data from Google's cloud
Ping Identity Demonstrates Identity-Enabled Web Services for Google Apps | SYS-CON UK
JSONP, Google Spreadsheet security
Camilla's genealogy
Hole in Google SSO service – Kim Cameron's Identity Weblog
TechCrunch | Startup and Technology News
Blogs | ZDNet
Blogs | ZDNet
Google Authentication/Authorization for Enterprise SPI Guide