高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
第1回 悪意のJavaScriptで情報が漏えい:ITpro
Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた,2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。従来の脅威対策は全く通用しない。今この瞬間にも,エンドユーザーは個人情報を盗まれる危険にさらされている。 ブログ/SNSなどユーザー発信型のサイト,Ajax,RSS──。華やかさがクローズアップされるWeb 2.0。ところがその裏側では,エンドユーザーに情報盗難などの危険が広がっている(図1)。インターネット・バンキングやEC(電子商取引)サイトのユーザーIDやパスワード,クレジットカード番号はもちろん,企業内のシステムにアクセスするためのパスワードや,パソコンに読み込んだ機密文書データなど,対象はあらゆる情報だ。 2006年12月末,米国のセキュリテ
【レビュー】JavaScript ASPでセキュア通信を - パスワード盗聴対策に"aSSL"はいかが? (1) JavaScriptで開発されたセキュア通信用Ajaxライブラリ | エンタープライズ | マイコミジャーナル
Webサービスにおけるセキュア通信といえばHTTPS(HTTP over SSL, HTTP over TLS)がデファクトスタンダード。これはSSL/TLSを活用してWebブラウザレベルで暗号化通信を実現し、Webブラウザとサーバ間における通信データをまるごと暗号化するというもの。Ajaxアプリケーションといえど、そこは同じだ。 しかし、HTTPSにするほどではないものの、通信内容の暗号化は実現したいという向きも多い。HTTPSでは認証局から許可を得た鍵を使わないとWebブラウザから警告が出るなど、面倒なことが多いからだ。そんなときには「aSSL」というライブラリを検討してみてほしい。HTTPSほど安全ではないものの、パスワード盗聴対策レベルなら便利に使うことができる。 aSSLとは aSSLはJavaScriptで開発されたセキュア通信のためのAjaxライブラリ。Francesco S
Ajaxの特徴に潜むリスクをサンプルアプリで確認しよう ― @IT
第1回 Ajax技術の目に見えない通信内容をのぞいてみようでは、Ajaxの技術背景を解説しました。今回は、「セキュリティ」という観点でAjaxを見ていきたいと思います。 2回目の今回は、非常に幅広く、奥が深い「Ajaxの特徴に潜むセキュリティリスク」を、実際のサンプルアプリケーションの通信や、マウスの動きを動画で見ながら、理解しましょう。スパイウェアやキーロガーへの基本的な対策も解説します。 通常のWebアプリと異なるAjaxの特徴に潜むリスク 「Ajaxのセキュリティ」といきなりいっても、『Ajaxとはいえ、単なるWebブラウザで動作するアプリケーションなのだから、これまでのWebアプリケーションのセキュリティとあまり変わらないのでは?』と予想される方も多いでしょう。確かに、Webアプリケーションとして注意すべきセキュリティのポイントは、Ajaxにおいても共通して当てはまると考えて問題あ
AjaxとPHPを使ったワンタイムパスワード方式のログイン認証:phpspot開発日誌
JamesDam.com ? AJAX Login System Demo This is an example of a login system that does not require page refreshes, but is still very secure. Ajax+PHPでの画面遷移なしのログイン画面作成サンプルが公開されています。 フォームに、user1, pass1 を入力すると即時認証が行われ、次のようにログイン状態になります。 認証には、Ajaxを使ったワンタイムパスワード方式が使われます。 具体的には、Ajaxでサーバからチャレンジコードを取得し、チャレンジコードとパスワードをmd5でハッシュして、更にその値をサーバに送信し、認証を取ります。 このため、従来の方式よりは安全な認証が可能となります。 Ajaxが出てきたことで、ブラウザを開いたままの状態でインタ
Ajaxに潜むセキュリティとパフォーマンスリスク
Webを動的でリッチなものへと変化させるAjax。その魅力の裏に実は、セキュリティ問題が潜んでいるという。その指摘とは? Webサービスとサービス指向アーキテクチャを対象としたセキュリティソフトウェアのプロバイダーであるForum Systemsは1月30日、Ajaxに関連したセキュリティ上の脅威とパフォーマンス問題について警告を発した。 Ajax(Asynchronous JavaScript and XML)は、応答性に優れたインタラクティブなWebサービスを可能にする。しかしForumによると、リクエストとレスポンスのペイロードのコンテンツタイプとしてXMLを使用しているため、アプリケーションがWebサービスの脆弱性に影響される恐れがあるという。 ユタ州サンディに本社を置くForum Systemsによると、Ajaxはネットワーク上で送信されるXMLトラフィック量を飛躍的に増加させ、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
