PHPのイタい入門書を読んでAjaxのXSSについて検討した(2)~evalインジェクション~ - ockeghem(徳丸浩)の日記
昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。タイトルはXSSとなっていますが、今回紹介する脆弱性はXSSではありません。 作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します(本書P20の図1-23)。 Ajaxのアプリケーションでは、XMLHttpRequestメソッド等でデータを要求し、サーバーはXML、JSON、タブ区切り文字列など適当な形式で返します。ブラウザ側JavaScriptでは、データ形式をデコードして、さまざまな処理の後、HTMLとして表示します。以下に、Ajaxのリクエストがサーバーに届いた後の処理の流れを説明します。 サーバー側でデータを作成、取得 データ伝送用の形式(XML、JSON、タブ区切り文字列等)にエンコード
PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) - ockeghem's blog
このエントリでは、あるPHPの入門書を題材として、Ajaxアプリケーションの脆弱性について検討します。全3回となる予定です。 このエントリを書いたきっかけ twitterからタレコミをちょうだいして、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeという本を読みました。所感は以下の通りです。 タレコミ氏の主張のように、本書はセキュリティを一切考慮していない 主な脆弱性は、XSS、SQLインジェクション、任意のサーバーサイド・スクリプト実行(アップロード経由)、メールヘッダインジェクション等 脆弱性以前の問題としてサンプルスクリプトの品質が低い。デバッグしないと動かないスクリプトが多数あった 上記に関連して、流用元のソースやデバッグ用のalertなどがコメントとして残っていて痛々しい 今時この水準はないわーと思いました。以前
Full Specification - Making AJAX Applications Crawlable - Google Code
Full Specification Abstract This document describes an agreement between web servers and search engine crawlers that allows for dynamically created content to be visible to crawlers. Google currently supports this agreement. The hope is that other search engines will also adopt this proposal. Basic definitions Web application: In this document, a web application is an AJAX-enabled, interactive web
Tim Bray: 「URLに#!入れるな」 - karasuyamatenguの日記
Tim Bray(GoogleのAndroid応援団長)が「#!」の入ったajax用URLを使用を批判している。 http://www.tbray.org/ongoing/When/201x/2011/02/09/Hash-Blecch new: さらならる「#!」URL批判 例にtwitterのtwitter.com/#!/timbrayを挙げている。 #!の働き サーバ側は#!の前までしか見えない。上の例だとサーバはtwitter.com/のリクエストを受ける #!以降はブラウザの中のジャバスクリプトが解釈する 何故#!を使うのか ajaxのアプリは古いブラウザでは基本的にURLを変更することができない… ただし#(フラグメント)以降はブラウザ内のJavaScriptからでも変更可能 なので、ajaxアプリケーションが自分の状態をURLバーに表示するために使われるようになった。 つまり
Ajaxの起動を高速化するツール「Doloto」、マイクロソフトが発表
マイクロソフトリサーチが、AjaxによるWebアプリケーションを最適化して起動速度を改善するツール「Doloto」をの公開を、9月8日から開始しました。 DolotoのWebページの解説によると、Dolotoとは「Download Time Optimizer」の略であり、またロシア語で「彫る、干渉する」という意味の単語だとのこと。発表されている資料を基にDolotoがどのようなツールなのか、紹介していきましょう。 JavaScriptのロードを最適化するDoloto 最近の大規模なWebアプリケーション、例えばGMailやGoogle MapなどのAjaxで開発されたアプリケーションは、Webページを呼び出した時点で大量のJavaScriptコードをサーバからWebブラウザへとダウンロードするため、起動に時間がかかるようになってきています。 DolotoはこうしたWebアプリケーションを
VDS : the Voice Delivery System
Voice Delivery System ホームページ音声読み上げサービスを提供しています。音声読み上げサービスは、インターネットに誰もが使いやすい手すりをつけるをコンセプトにサービスを提供しています。 vds(Voice Delivery System) 私たちは「インターネットに手すりをつける」をビジョンにvdsサービスを提供します。vdsはホームページやウェブアプリケーションのテキスト情報をリアルタイムに音声変換し利用者に届けます。vdsを利用することでホームページを見るメディアから聞くメディアに成長させる画期的なサービスです。また、特殊なアプリケーションを必要とせず、日本語を基本とし多言語(オプション)にも対応したユニバーサルなサービスです。 vdsは30カ国以上の言語であらゆるWebサイトやWebアプリケーションを「見る」に加え、なめらかな音声読み上げによる「聴く」ことを可能に
Developer's Guide - Google AJAX Libraries API - Google Code
Developer's Guide The AJAX Libraries API is a content distribution network and loading architecture for the most popular, open source JavaScript libraries. By using the google.load() method, your application has high speed, globally available access to a growing list of the most popular, open source JavaScript libraries. Table of Contents Audience This documentation is designed for people familiar
最速インターフェース研究会 :: 全てのWeb開発者必見:fluxiom
fluxiomである。 http://www.fluxiom.com/ fluxiomはRuby on Railsで作られた、ソーシャルとタギングを備えたオンラインファイラーというようなものらしい。まだサービス開始していないが、デモムービーが公開されている。 fluxiomを開発している会社はscript.aculo.usの開発元ということであるので、 当然「Rails + prototype.js + script.aculo.us」で作られている、ということになるのだろう。 と思ってみたら、開発者のBlogに追記されていた。「Ruby on Railsで作られていて、Flashは一切使っていない」ということである。 http://mir.aculo.us/articles/2005/11/24/fluxiom script.aculo.usは「web2.0 JavaScript」だそう
成功しているサイトはAjaxを積極活用,GartnerがECサイトのWeb 2.0利用状況を調査
米Gartnerは米国時間2008年5月29日,電子商取引(EC)サイトによるWeb 2.0技術の利用状況についての調査結果を発表した。それによると,新しい技術を利用してユーザビリティやインタラクティブ性を高めているサイトは市場全体で見るとごくわずかという。一方で,成功しているサイト運営者はAjaxに代表される新技術を積極的に取り入れて,常にサイトの向上に努めていることも分かった。 同社によると,ユーザーは商品を見つけることの困難さや,煩雑な支払い手続きなどを理由に,オンライン・ショッピングを敬遠する傾向にある。ユーザーの多くは同じサイトを何度も訪れないため,ECサイトが訪問者に商品を買ってもらうチャンスは一度しかなく,サイトの第一印象は非常に重要という。 同社は,Web 2.0技術は,販売効率を向上できるほか,CRM(顧客関係管理)への取り組みにも寄与すると分析する。リッチなインターネッ
AJAX vs. Flash、fladdictブログより
昨日のエントリーで、深津氏のブログに「Flash使いから見たAJAX」のことが書かれていて読んで勉強になった話を書いたのに、それらのエントリーへのリンクを張るのを忘れていたので、今日はそのリンク集。 以下のエントリーは、AJAXが騒がれ始めた2005年3月から2006年1月の間に書かれたものだが、この「閉じたFlash」vs.「オープンなAJAX」という構図は相変わらずである。特に、FlashはActionScript3.0で大幅に言語として整備されたにも関わらず、AJAXに押されぎみなのはなんとも微妙である。 それで思い出したのが、GoogleにUIEngineの説明に行った時の会話。「もっとオープンにしてくれ」という彼らに、「Flashはどうなんだ」と答えると、「Macromediaの連中にもオープンにしろと言いつづけている」と言う。GoogleもYoutubeなど一部のサービスではF
あるSEのつぶやき: 06.Ajaxライブラリまとめ
Ajax/JavaScriptライブラリをまとめておきます。(順不同) | 基本 | 統合 | 表示系 | GUI部品 | イメージ | PGM連携 | ブラウザ | Flash | その他 | | 部品集 | リンク | 編集履歴 | ・基本ライブラリ ・・・Ajax開発のベースになるもの ↑TOP prototype.js 超メジャーなAjaxライブラリ prototype.js の開発者向けメモ prototype.jsリファレンス prototype.jsリファレンス(JavaScriptist) prototype.js逆引きサンプル集 Prototype 1.5.0 Cheat Sheet Prototype 1.5 PDF - API/サンプル/解説 Prototype.js Documentation - まとめサイト Prototype 1.6.0へのアップグレード実例紹
OpenAjax Alliance
Welcome to the OpenAjax Alliance The OpenAjax Alliance is an organization of leading vendors, open source projects, and companies using Ajax that are dedicated to the successful adoption of open and interoperable Ajax-based Web technologies. The prime objective is to accelerate customer success with Ajax by promoting a customer's ability to mix and match solutions from Ajax technology providers an
Ajaxとか使ってデスクトップアプリを作れるApolloのα版が公開
Posted by masuidrive Mon, 19 Mar 2007 08:53:00 GMT Adobeがリリースするデスクトップアプリ環境の Apollo がやっとリリースされたので、fladdict.net のTaka君からずっと勧められていた事もあって、早速試してみました。 ApolloはFlashやHTML、JavaScriptなどを使ってデスクトップアプリを作るための環境らしいのです。最近は、OSXのDashboardやVistaのGadgetなど、Webの技術を使ってデスクトップアプリを作るのは流行だから、その流れの一つと言えるでしょう。 その辺の違いとかは、ニュースサイトとか他のブログで書かれるから、ここでは書かないとして、まずはインストールして実際に使ってみます。 Apolloはアルファ版なので、Adobe Labs からダウンロードします。 画面の真ん中よりちょっ
Kazuho@Cybozu Labs: クロスサイトのセキュリティモデル
« Japanize - IE 系の User JavaScript エンジンに対応しました | メイン | 安全な JSON, 危険な JSON (Cross-site Including?) » 2007年01月04日 クロスサイトのセキュリティモデル あけましておめでとうございます。 昨年、社内で「XMLHttpRequest は何故クロスサイトで使えないのか。画像や SCRIPT タグは使えるのに」という疑問 (というより試問) を耳にしました。おもしろい話なのでブログネタにしようと思っていたのですが、新年早々 GMAIL の事例がスラッシュドットされていたので、自分の現時点での理解をまとめてみることにしました。文書を確認して書いているわけではないので、間違いがあれば指摘してください。また、よい参考文献をご存知の方がいらっしゃいましたら、教えていただければ幸いです。 ウェブブラウザ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google Code Archive - Long-term storage for Google Code Project Hosting.
flensed.com
JavaScript++かも日記 - 1997年からの
Comet: 1秒未満のレイテンシで1万人超のユーザを処理する
IBM Ajax と XML: Ajax に共通の 5 つのデザイン・パターン - Japan
MS、グーグルなど32社がOpenAjaxに加入 - @IT