kintoneはJavaScriptを使って自由にカスタマイズできます。 カスタマイズにより独自のリッチなUIを構築したり、新しい機能を追加したりできますが、セキュアなコーディングをしないと クロスサイトスクリプティング (以下、XSS)などの脆弱性を作り込んでしまう危険性があります。 この記事では、JavaScriptでセキュアなコーディングをするための基本的なポイントを解説します。
JavaScriptでセキュアなコーディングをするために気をつけること
kintoneはJavaScriptを使って自由にカスタマイズできます。 カスタマイズにより独自のリッチなUIを構築したり、新しい機能を追加したりできますが、セキュアなコーディングをしないと クロスサイトスクリプティング (以下、XSS)などの脆弱性を作り込んでしまう危険性があります。 この記事では、JavaScriptでセキュアなコーディングをするための基本的なポイントを解説します。
高木浩光さんへ、しっかりしてください - 最速転職研究会
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
FFRI、ブラウザを乗っ取る「MITB攻撃」に警告 - @IT
2012/08/10 キーロガーやフィッシング詐欺を悪用して金銭を盗み取るオンライン詐欺が依然として横行している。米国のフィッシング詐欺対策団体、Anti-Phishing Working Group(APWG)によれば、2012年2月に報告されたフィッシングサイトの数は5万6859件に上り、過去最高を記録した。国内でも、複数の銀行をかたるフィッシング詐欺メールやサイトが報告されている。 こうした状況を踏まえて、金融情報システムセンター(FISC)は「金融機関等コンピュータシステムの安全対策基準・解説書(FISC安全対策基準)」の中で、乱数表やワンタイムパスワードといった、認証方式の強化に触れている。しかし、「実は二要素認証だけでは十分ではない」と、フォティーンフォティ技術研究所(FFRI) 執行役員 技術戦略室長の村上純一氏は指摘する。 その理由は、マルウェアがWebブラウザを乗っ取り、
高木浩光@自宅の日記 - ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ
■ ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ (建設予定地) (27日追記)建設計画廃止。XMLHttpRequestだけ止めても効果がないことを理解したため。 (29日追記)何が言いたかったか、後日書く。
はてなブックマークボタンを外しました
この数日間問題になっている「はてなブックマークボタン」ですが、当日記およびHASHコンサルティングオフィシャルブログにも、当該ボタンがついていました。何が問題であるかは以下が詳しいですが、要は、はてなの管理下でない当サイトで、はてなのブログパーツが読者の皆様のトラッキングをしていることが問題です。 参考: はてなブックマークボタンは2011年9月1日より行動情報の取得をしている ブログパーツやソーシャルボタンの類でアクセスログが残るのは当然だけどトラッキングされるのは当たり前にはなっていない はてなブックマークボタンのトラッキング問題で高木浩光先生が決別ツイートをするに至った経緯まとめ 私は、2006年11月に、はてなダイアリーで日記を書き始めて以来、一貫してはてなのサービスを利用してきましたので、当ブログにも「はてなのボタンもつけとかなきゃな」程度のノリでボタンをつけておりました。その時
はてなブックマークボタンを行動情報を取得しない版に変更いたしました - 達人出版会日記
http://b.hatena.ne.jp/guide/bbutton?al=0#bbutton-generator 先日から話題になっていたはてなブックマークの行動情報取得ですが、当社サイトでは各書籍のページではてなブックマークボタンを使用しております(例)。先ほど確認したところ、このブックマークのJavaScriptコードが行動情報を取得するものになっていたため、行動情報を取得しない版に変更いたしました。 場合によっては、サイトをご利用の方に同意をとって行動情報を取得するですとか、ユーザによって利用する・しないを選べるようにするですとか、あるいはいっそブックマークボタンごと撤去する、という判断もありうるかもしれませんが、まずは一律に取得しない方針にいたします。引き続き当社サイトのご利用をよろしくお願いいたします。
サイバーセキュリティ注意喚起サービス「icat for JSON」:IPA 独立行政法人 情報処理推進機構
サイバーセキュリティ注意喚起サービス「icat for JSON(アイキャット・フォー・ジェイソン)(注釈1)」は、IPAが公開した「重要なセキュリティ情報」をリアルタイムに配信するサービスです。 本サービスをウェブサイト上で活用することにより、IPAが公開した最新の「重要なセキュリティ情報」の一覧を自動的に取得・表示することができるようになります。組織のポータルサイトや会員向けウェブサイト上などに設置をすることで、ウェブサイト利用者に向けてセキュリティ対策をリアルタイムに周知することが可能になります。利用方法は下記の機能概要を参照ください。 コンセプト icat for JSON 機能概要 ウェブページにHTMLタグを埋込むことで、IPAから発信する「重要なセキュリティ情報」とリアルタイムに同期できます。 本ツールの特長は以下の通りです。 表示方法は「縦表示」または「横表示」の指定が可能
Tween の新版で 広告が問題になってるので調べてみたよ - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 新しい Tween v1.20 にしたら広告が追加されたという話を聞いて、フリーソフトに広告くらいいいじゃん。 と思ったんですが、色々調べてみました。 11/23 ちなみに続報はこっち Tween の新版で 広告が問題の続報 11/29 さらに続報(リンク間違ってました) Tween の広告 が本当に 規約違反か 追加検証 12/7 利用の観点からの問題点の続報 ずっと起動してると tween 1.2.x がOSを巻き込んで死亡する件 12/9 リソースが気になる人用 Twe
グーグルから「JavaScriptは根本的な問題を抱えている」とのメモがリークか
グーグル社内で昨年の11月に関係者に送信されたとされるメモが公開されています。ただしグーグルは真偽について何もコメントしていません。 [Caja] Fwd: "Future of Javascript" doc from our internal "JavaScript Summit" last week - Mark S. Miller メモには、「JavaScriptは単なる言語の進化では修正できない根本的な問題を抱えている」とあります。同社は来月「Dart」と呼ばれる新言語を発表する予定で、このメモはその背景を説明したものではないかと推測されています。 内部メモはメールで送信されており、タイトルは「 "Future of Javascript" doc from our internal "JavaScript Summit"」。2010年11月16日付けです。非常に長いので、サマリ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
United States
はてなブログ | 無料ブログを作成しよう
[デブサミ2012]趣味と実益の脆弱性発見![[デブサミ2012]趣味と実益の脆弱性発見](https://cdn-ak-scissors.b.st-hatena.com/image/square/015ac7c0c6da545a8500c8b3b7ff71205daa1e44/height=288;version=1;width=512/https%3A%2F%2Fcdn.slidesharecdn.com%2Fss_thumbnails%2Fdevsumi-hasegawa-120216203637-phpapp01-thumbnail.jpg%3Fwidth%3D640%26height%3D640%26fit%3Dbounds)