securityに関するstrobotsのブックマーク (2)

  • 正体が見えた「クリックジャッキング」

    9月末,Internet Explorer(IE),Firefox,Safariなど主要ブラウザやFlashPlayerなどのプラグイン・ソフトに潜む「クリックジャッキング」のぜい弱性が報告された。想定される影響範囲が広いうえ,決定的な防御策がなかったことから情報公開が遅れていたが,10月7日に,いくつかのベンダーによる防御策とともにようやく詳細が公開された。 クリックジャッキングを端的に説明すると,悪意あるWebコンテンツに“見えない”ボタンを埋め込み,それをユーザーにクリックさせる攻撃手法である。ユーザーは目に見えているボタンをクリックしているつもりで,悪意あるコンテンツにアクセスしてしまう。 このぜい弱性の主な特徴は, ・JavaScriptの利用を必要としない ・複数のWebブラウザに影響がある ・何度もクリックさせることが可能 の3点だ。クリックジャッキングのぜい弱性報告者の一人

    正体が見えた「クリックジャッキング」
  • kunzo.log:Flash Player が4月にアップデートされるワケだが - livedoor Blog(ブログ)

    いってるそばから、Updateされるらしいです。 akihiro kamijo: 来月 (2008/4) の Flash Player セキュリティアップデート 確かに、昨年末には発表してたけど、予定日の発表おそすぎます。 夏くらいかなぁ?と余裕ぶっこいてました。 ま。不満を言ってても始まりませんので。 さて。 前回のエントリーしましたが、Socket用のcrossdomain.xmlは同一ドメインでもダメで、HTTP経由のcrossdomain.xmlでもダメになりますという話で、今回もそこを中心に補足したいと思います。 なお、通常の(Socket,XMLSocketクラス以外)crossdomain制約については従来通りと思いますので、ご心配なく。 ちょっとアレゲなことをしている人達が被害にあいます。 (他の変更点もあるので、安心しないでください。kamijoさんのブログ参照。) かな

  • 1