AVTOKYO 2014で「CSPが切り開くWebセキュリティの未来」という題で話してきた - 葉っぱ日記
AVTOKYO2014で、にしむねあさんといっしょに「はせむねあ」というユニット名でContent-Security-Policyをテーマに話をしてきました。 Future of Web Security Opened up by CSP from Muneaki Nishimura 内容はスライドのとおりで、攻撃者はFiddlerなどを使って任意のCSP違反レポートJSONを送信可能であること、Firefoxの場合にはCSP違反レポートのJSON内に「<」「>」などが含まれるので、違反レポートを表示する管理画面でのエスケープ漏れがあると違反レポートを通じて管理画面内でXSSする、などの話を行い、実際に管理画面でのXSSのデモを行いました。 デモはあんまり細かいことは考えてなかったんですが、アドリブ苦手なにしむねあさんがいい味を出してて、横で見ていても楽しかったです。ちなみに直前の打ち合わ
IE6/7のでは「;」で区切ってURLが複数指定できる問題 - 葉っぱ日記
Masato Kinugawaさんのブログ「Masato Kinugawa Security Blog: Googleのmetaリダイレクトに存在した問題」を読んで、 <meta http-equiv="refresh" content="0;url=http://good/;url=http://evil/"> みたいな書き方をするとIE6、IE7ではevilなほうにリダイレクトされるということを初めて知ったわけですけど、それをTwitter上で言ったら みたいに言われてしまって軽くショック受けたんで追試してみたけど、「;」をエスケープしようと <meta http-equiv="refresh" content="0;url=http://good/;url=http://evil/"> みたいに書いても、「;url=」みたいな文字列が出現してしまって、やっぱりevilにリダ
文字コード polyglot - 葉っぱ日記
IE限定。外から指定されるcharsetに応じて挙動を変えるJavaScriptの関数の実装例。以下のコードを Shift_JIS として例えば charset.js のような名前で保存する。 function detectCharSet() { try{ var ADE = 'アア'; // 0xB1 x2 if(+ADE-0 == 10 ){ return 'UTF-7'; } if( ADE == 11 ){ return 'US-ASCII'; // 0xB1 means 0x31 } if( ADE.charCodeAt(0) == 0xFF71 ){ return 'Shift_JIS'; // Halfwidth Katakana Letter A x2 } if( ADE.charCodeAt(0) == 0x81FC ){ return 'EUC-JP'; // 0xB1
JSONのエスケープをどこまでやるか問題 - 葉っぱ日記
Ajaxなアプリケーションにおいて、サーバからJSONを返す場合に、JSON自体はvalidであるにも関わらず、(IEの都合で)エスケープが不足していて脆弱性につながってる場合があるので、書いておきます。 発生するかもしれない脆弱性 JSONのエスケープが不足している場合に発生する可能性のある脆弱性は以下の通りです。 JSON内に含まれる機密情報の漏えい XSS それぞれの詳細については後述します。 開発側でやるべきこと 文字列中のUnicode文字は "\uXXXX" な形式にエスケープするとともに、ASCIIな範囲であっても「/」「<」「>」「+」も同様にエスケープすることにより、前述の脆弱性を防ぐことができます。 Perlであれば、以下のような感じになります。JSON->ascii(1) に続けて、JSON文字列を正規表現で置換しているあたりがキモになります。 use utf8; u
IEのローカルファイルをXHRでどこまで読みとらせるか - 葉っぱ日記
ローカルのHTMLファイルからどこまで読み取れるか選手権 2011 - 金利0無利息キャッシング – キャッシングできます - subtech を読んでの補足。 IE9 on Windows 7 においてXHRを使ってローカルファイルを読み取る場合について、「許可するとやりたい放題」と書かれているとおり、IEが表示する警告をいったん「許可する」側に選択するとhtml内の JavaScript (あるいはVBScript)において通常のローカルのプログラムと同様にあらゆる操作が可能になります。(写真は英語版IE9) これは、IE6 / XP SP2 以降で導入された「ローカルコンピュータのロックダウン」が解除された状態になり、WSHやHTAと同様に、ローカルリソースへのアクセスや任意のActiveX Objectの生成を含め任意のコード実行が可能な状態になったということです。 ローカルに置い
1分でわかる「X-ナントカ」HTTPレスポンスヘッダ - 葉っぱ日記
最近のモダンなWebブラウザがサポートしている、セキュリティに関連しそうな X- なHTTPレスポンスヘッダをまとめてみました。それ以外にもあったら教えてください。 X-XSS-Protection 0:XSSフィルタを無効にする。 1:XSSフィルタを有効にする。 XSSフィルタを有効にすることでエンドユーザがXSSの被害にあう可能性が低減するが、まれに誤検知することで画面の表示が乱れることもある。IE8+、Safari、Chrome(多分) で有効。IEでは「X-XSS-Protection: 1; mode=block」という指定も可能。 2008/7/2 - IE8 Security Part IV: The XSS FilterBug 27312 – [XSSAuditor] Add support for header X-XSS-Protection X-Content-Ty
IE9 Beta のマイナーな変更点リスト - 葉っぱ日記
Eric Lawrence さんから、IE9 Beta Minor Changes List - EricLaw's IEInternals - Site Home - MSDN Blogs の翻訳の許可をもらったので訳してみました。間違い等あれば教えてください。 ブラウザの各リリースにおいて我々が行う様々な機能の追加変更のほとんどは、IEBlog の投稿において読むことができます。しかしながら、我々は同時に、見落とされがちな、あるいはあまり広くは知られていないような多数の小さな改善も行っています。この記事では、それらの小さな改善のうち私が興味深いと考えるものについてピックアップしてみます。影響を与える改善点やこれまでにこのブログ上で議論された機能などは、BetterInIE9 を検索することにより見つかります。 もちろん、私が把握していない何千もの変更があるので、これを包括的なリストと誤
はてなの画像は俺のもの。俺の画像は俺のもの。 - 葉っぱ日記
先日IRCでOyaji-pun guyの人と話してて、f.hatena.ne.jp の画像が見れないときに少し不満があるという話をしてた。 ざっと上げると いろんな理由で f.hatena.ne.jp 以下の画像が取得できないことがある。 その場合にブックマークレットを使ってrescue901.appspot.com/http://f.hatena.ne.jp/xxxxxx/xxx.jpg のように置換することで表示できるようにしたい HTMLのレンダリング後に<img src>で指定された画像が表示できているかを調べる標準的な方法がない とりあえず、naturalHeight / naturalWidth あたりを使ってお茶を濁した こんな感じ。mattn は Chrome User だからこれで良くなるのかもしれないけど、さすがにIEでも対応したいよね...って事で3分程度で調べてみた
nopっていうメモ帳ラッパー作った - 葉っぱ日記
よく JScript とかで、 C:\>copy con|CScript //E:JScript alert( "テストコードを色々..." ); ... ^Zとかやってテストしたくなるけど、CScriptは標準入力をソースとして受け付けてくれないのと、コード書き間違えちゃったりした時に編集できなくてめんどいのと、書いたコードが失われちゃうのが嫌だなあと思ってた。で、ついに重い腰をあげて、2つの問題を解決するラッパー書いた。 C:\>nop|CScript //E:JScriptとかやると、メモ帳で編集した結果を標準出力にはいてくれる。ファイルは $APPDATA/nop 以下に保存されるので、あとから探すこともできる。 以下FAQ Q. CScriptは標準入力をソースとして見てくれないのですが? A. nop なので役に立ちません。 ... てかkazuhoさんのブログパクリたいだけ
言わずとしれた超有名弁士竹迫氏に学ぶプレゼン技法。 - 葉っぱ日記
挙手の要求 聴衆の気を引くための古典的手段だけど、手を挙げた結果は以降の流れにはまったく役に立たない。 PlayStationとWii「どちらがWeb2.0的か」 予約語だけのソース見せて「これは何をするプログラムでしょう?」 Perlが好きな人!きらいな人!挙手 <img src=1.gif src=2.gif> どっちの画像が表示される? 量で圧倒 普通ならLTの時間枠内で終わらない量を詰め込む。 100枚超えるプレゼンを5分で PolyglotコードをPerl/Ruby/Google/v8でそれぞれ動かすデモを5分に詰め込む ネタ画像 話の本筋とはぜんぜん関係ないどうでもよい部分で勝負用のネタ画像を表示する。 「ぐぐるな危険」 鈴木ヒロミツ画像 「おまえはすでに死んでいる」 話し方 話し方にあまり抑揚をつけない。盛り上げる部分でもテンション上げたりしない。むしろネタほどおとなしく。
いろいろメモ@Firefox - 葉っぱ日記
配列の添え字にマイナスの値。 javascript:"abcde"[-1] // length javascript:(function(){ alert( arguments[-1] ) })(1,2,3) // argument.length javascript:(function(){ alert( arguments[-3] ) })() // toSource() windowの取得。直接 alert って書けないときに便利。 javascript:({}=[].concat)()[0] javascript:([],[].sort)() javascript:({},[].reverse)() ({},[].["re" + "verse"])()["al" + "ert"](1) みたいに使う。記号以外は全て文字列に入れることができる。
Shibuya Perl Mongersテクニカルトーク#11 でLTしてきました - 葉っぱ日記
昨日開催された Shibuya Perl Mongersテクニカルトーク#11で「Windowsユーザのための初めてのPerlプログラミング」というテーマでLTしてきました。なかなかゆっくり説明はできなかったので、デモとして用意しておいたコードを貼っておきます。 (追記)プレゼンテーション資料もアップロードしておきます。 http://www.slideshare.net/hasegawayosuke/windowsperl-1330816 ちなみに、「そのPPTのテンプレよく見つけたね」と言われたんですけど、手頃なテンプレがなかったので自分でハートとか並べて作ったやつです。 Perlからx86コードを呼びたいときの例。Win32 APIの SetConsoleCtrlHandler を使ってバイナリコードをシグナルハンドラに設定し、GenerateConsoleCtrlEvent で C
IEBlog : IE8 Security Part V: Comprehensive Protection - 葉っぱ日記
IEBlog : IE8 Security Part V: Comprehensive Protection について、著者ではないのですが、David Rossさんに翻訳許可をもらいましたので、訳してみました。誤訳や指摘がありましたらガンガン突っ込みをお願いいたします(他の記事も時間をとって訳していこうと思います)。当然ながら、これは私が私的に訳したものであり、Microsoftによる公式な翻訳/見解ではありません。 長いので、とりあえず途中までです。続きはまた訳します。 訳注: 読んでいただければわかりますが、「サニタイズ」という語の意味がさっぱり不明です。かなり「サニタイズ脳」にやられているようですので、そのあたりは適当に割り引いて読んでください。 IE8の新機能である XDomainRequest(XDR) や Cross Document Messageing (XDM) につい
HTTPな夢を見た - 葉っぱ日記
夢の中でもHTTPが流れていた。まどろみながら「あぁ、これは夢だけどHTTPだ。」とか、そういう感じ。そう思った瞬間「やばい、考えたことがそのままHTTPリクエストになってサーバ側に伝わってしまう。邪念を捨ててHTTPリクエストだけに意識を集中した夢をみないと!」とか思いながら寝てた。どこかのサーバに「布団蹴飛ばして寒い」みたいなアクセスログを残してしまって焦りながら寝てた。なんだかよくわからない夢だった。
KB923980 が延々と自動更新であがってくる。 - 葉っぱ日記
NetWare 用クライアント サービスの脆弱性により、リモートでコードが実行される (923980) (MS06-066) が、XP Home Edition で何度も自動更新の対象となる現象が発生(当てるごとに正常完了)することがあるそうで。というか、手元の1台がまさにそれなんですけど。XP Home Edition は MS06-066 は対象外じゃないのかなぁ…。 KB927978 もおんなじように無限ループの罠があるのかな。 とりあえず時間がないので、あとで見るためのメモ。 http://winfaq.jp/cgi-bin/bbs2k/wforum.cgi?mode=allread&no=649496 http://pc8.2ch.net/test/read.cgi/win/1161359272/200- http://pc8.2ch.net/test/read.cgi/win/
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
