Growl/GNTP 1.1.1が危険すぎる - hogehoge @teramako
今現在は修正されています! Growl/GNTP は危険じゃないよ!! あと、これはFirefox拡張の話で GNTP というプロトコルの話じゃないっす。ご注意を。 はてなユーザーがいま見ているページについてコメントをつぶやくグリモンを作った - 今日もスミマセン。でGrowl/GNTP :: Add-ons for Firefoxという拡張機能を知った。 Growl for WindowsというWindowsでMacOSのGrowlという通知機能を有効にするデーモンと組み合わせて使う拡張機能だ。 ちょっと気になったのでソースを拝見したところ。と〜っても危険なことが分かった。 この拡張機能、特定タイプのDOM Eventを受け取って通知を受け取ることが可能で、Webコンテンツからも受け取れるようになっている。これだけなら、まぁ良いのだが、データの受け取り方に問題がある。 簡単に書くと、JS
ごめんなさい、パッチ作りました - hogehoge @teramako
Vimperator1.0 をAMOで配布するにあたって、セキュリティ的なリスクがあると通知が来たようです。 vimperator 0.6pre (created: 2008/04/24 07:30:09)のsuggest機能 - hogehogeでオイラが作ったパッチの部分で検索エンジンからJSONを受け取ってJavaScriptのオブジェクト化するのにwindow.evalを使っているため、中間者攻撃の危険性があり、解決法として セキュアな通信を使う JSON.jsmを使う evalInSandboxを使う のいずれかを使用するように、とのことです。 即、パッチを作成して送りました。もしかすると、オイラのせいでAMOへの登録が遅くなっているかもしれません。 たいへんご迷惑をお掛けしました。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
