各ブラウザが解釈可能なcharsetの比較表
変更履歴 2013年 3月 6日:作成 2013年 4月11日:Firefox 20、19でブラウザメニューからのみ選択可能になっていたBig5-HKSCSを再びサポートしたようなので更新 https://bugzilla.mozilla.org/show_bug.cgi?id=845743 2013年 8月24日:Firefox 20、「UTF-16」と指定した場合、「UTF-16LE」のエイリアスとして固定で解釈するようになったようなので更新 2014年 3月22日:Firefox 28の結果に更新(使用できるものがかなり限られた/一部がreplacementになった) 2014年 9月 5日:Chrome 37の結果に更新(一部がreplacementになった) 2014年12月15日:Chrome 39の結果に更新(SCSU/BOCU-1/CESU-8/ibm864のサポート終了、
アラビア語の文字列でアプリがクラッシュ、iOSとMac OS Xに問題発覚
iOSとMac OS Xで特定のアラビア語の文字列を表示させると、アプリやSafariブラウザのセッションがクラッシュする問題があることが分かった。メディア各社が8月29日に伝えた。 ロシアのセキュリティ企業Kaspersky Labのニュースサービス「threatpost」によると、この文字列は当初、ロシア語のWebサイトに掲載され、8月28日ごろからソーシャルメディアなどで出回るようになった。 問題のロシア語サイトでは、Mac OS 10.8とiOS 6でSMSやiMessages、Safariなどに問題の文字列が表示されるとクラッシュすると説明しているという。また、Twitterアプリなども影響を受けるとされる。 原因はページレイアウトやフォントを処理するApple Core Textの問題にあるといい、間もなく登場予定の次期OS X「Mavericks」(10.9)とiOS 7のβ
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Masato Kinugawa Security Blog: エンコーディングの切り替えによるSelf-XSSを考える
Shift_JISにすると、UTF-8でひらがなの「く」を構成する「0xE3818F」の先頭2バイトが、まず「縺(0xE381)」という文字と解釈され、残った「0x8F」が、後続の、二重引用符のエスケープシーケンスである「\(0x5C)」と1つの文字、「十(0x8F5C)」を作ってしまうのです。これにより、エスケープシーケンスがなくなった二重引用符は、そこで文字列リテラルを閉じることになります。こうして、その後ろに書かれたアラートが動いてしまうという訳です。 つまりこれは、攻撃者に誘導され、ユーザー自身が文字エンコーディングを切り替えた場合、本来XSSがないページでもXSSが起こせる場合があるということです。 IE以外のブラウザは、親フレームのエンコーディングを変更した場合、クロスドメインでも子フレームのエンコーディングまで変更するので、こんな誘導の仕方もできます。 http://l0.c
BK通信 - ブラウザのバッドノウハウ コンテンツ編
最終更新日: 2008-11-21 WEB+DB PRESS Vol. 48 に向けて書いた記事の元の原稿です。 ソフトウェアなどを使いこなすために、ストレスを感じながらもしぶしぶ覚えなければならないようなノウハウ、「バッドノウハウ」がテーマの本連載、第5回の今回はブラウザのBK を、コンテンツの扱いに関連するものに絞って取り上げたいと思います。 IE の Content-Type sniffing 通常、ブラウザはHTTP のレスポンスの Content-Type ヘッダに応じて、コンテンツをどのように処理するか決めますが、Internet Explorer 7 (IE7) はこのヘッダを無視するときがあります*1。 たとえば、次のようなファイルを test.txt という名前でウェブサーバに置いて、 IE7 からアクセスすると、サーバから Content-Type: text/plai
PHP以外では: 既にあたり前になりつつある文字エンコーディングバリデーション - 徳丸浩の日記(2009-09-14)
_既にあたり前になりつつある文字エンコーディングバリデーション 大垣靖男さんの日記「何故かあたり前にならない文字エンコーディングバリデーション」に端を発して、入力データなどの文字エンコーディングの妥当性チェックをどう行うかが議論になっています。チェック自体が必要であることは皆さん同意のようですが、 チェック担当はアプリケーションか、基盤ソフト(言語、フレームワークなど)か 入力・処理・出力のどこでチェックするのか という点で、さまざまな意見が寄せられています。大垣さん自身は、アプリケーションが入力時点でチェックすべきと主張されています。これに対して、いや基盤ソフトでチェックすべきだとか、文字列を「使うとき」にチェックすべきだという意見が出ています。 たとえば、id:ikepyonの日記「[セキュリティ]何故かあたり前にならない文字エンコーディングバリデーション」では、このチェックは基盤ソフ
JavaScriptにおけるURLエンコードの処理
このメモは、JavaScriptでクッキーを処理する場合のポイントをお示しし、URLエンコードに関わるトラブルを回避していただくことを目的にしています。お急ぎの方は3章と4章を飛ばして読んで頂いて構いません。なおこのメモはなるべくIEでご覧下さい。 目次 1. 1 クッキーとURLエンコーディング 2. 2 URLエンコーディングとは 3. 3 JavaScriptにおけるescape()とunescape()関数 4. 4 JavaScriptにおけるencodeURI、decodeURI、encodeURIComponent、decodeURIComponent 5. 5 それでは一体どうすればよいか? 6. 6 UTF-8のURLエンコード・デコード関数の例: プログラム例 7. 7 JSPとJavaScript間のクッキーによるデータ交換例 HTMLテキスト以外にウェ
yohgaki's blog - これからのプログラムの作り方 - 文字エンコーディング検証は必須
(Last Updated On: 2016年3月3日)最近PostgreSQL、MySQL両方にSJISエンコーディングを利用している際のエスケープ方法の問題を修正がリリースされています。この件は単純に「データベースシステムにセキュリティ上の脆弱性があった」と言う問題ではなく「アプリケーションの作り方を変える必要性」を提起した問題です。 参考:セキュアなアプリケーションのアーキテクチャ – sandbox化 PostgreSQL、MySQLの脆弱性は特にSJIS等、マルチバイト文字に\が含まれる文字エンコーディングが大きな影響を受けますが、同類の不正な文字エンコーディングを利用した攻撃方法が他の文字エンコーディングでも可能です。例えば、UTF-8エンコーディングは1文字を構成するバイト列の最初のバイトの何ビット目までが1であるか、を取得してUTF-8文字として1バイト~6バイト必要なのか
UTF-7でXSSを発生させる10の方法 - UTF-7でXSSを発生させる10の方法
ちょっと書いてみました。毎回毎回、UTF-7に変換してURLエンコードして…とかするのがめんどくさいので、よく使うパターンを書いていこうと思います。 UTF-7 XSS Cheat Sheet 今日は眠いのでここまで。他のパターンとか解説を書き加えて、随時更新していきます。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「UnicodeによるXSSとSQLインジェクションの可能性」プレゼン資料 - ockeghem's blog