人気のFirefox拡張機能「Stylish」がポリシー違反でブロック、すべての閲覧履歴を収集か/有志のセキュリティエンジニアによる調査で発覚
Ubiquityのセキュリティ的問題点 - hogehoge @teramako
最近の事情は全く調べてないので、既出かもしれないが、Ubiquityは仕様上もの凄く怖い点がある。 それは、コマンドがChrome特権下で動作するということだ。 Chrome特権下で動くと言う事はXPCOMが使えると言う事。何でも出来るということになる。 実際に作ってみた。 テンプレートからexecuteの部分だけ書き換えたもの /* This is a template command */ CmdUtils.CreateCommand({ name: "example", icon: "http://example.com/example.png", homepage: "http://example.com/", author: { name: "Your Name", email: "you@example.com"}, license: "GPL", description: "
セキュリティ上の観点で「Firefox 2」と最新版の「Firefox 3」のどちらを使用させるのか?
セキュリティ上の観点で「Firefox 2」と最新版の「Firefox 3」のどちらを使用させるのか? 遅くとも2008年12月中旬までに「Firefox 3」への移行が必須 米国時間2008年6月17日に,米MozillaはオープンソースWebブラウザの最新版である「Firefox 3」を,日本語版も含めてリリースしました(関連記事:Mozillaが最新版Webブラウザ「Firefox 3」を公開,ダウンロード件数は順調に増加)。これに伴い,ある企業から『リリース当日に早速セキュリティ・ホールが発見されたらしい。システム管理者として従来の「Firefox 2」と最新版の「Firefox 3」のどちらを社内で使わせるべきか,アドバイスしてほしい』と相談を受けました。 Firefox 3.0には新機能として,ブックマークや閲覧履歴からWebページを簡単に見つけられる「スマートロケーションバー
Firefox 3のSSL対応方針、どう思う? | スラド セキュリティ
本家記事で、Firefox 3のSSL対応方針や認証や暗号化のあり方について議論が起こっている。 Firefox 3では、自己署名されたSSL証明書や承認されていないベンダー(新興のものや非営利のベンダーなど)によって署名されたSSL証明書を使用しているサイトに接続しようとすると、警告が発せられる。この警告が発せられない状態にするには、サイトはFirefox認証のベンダーに有料の証明書を発行してもらう必要がある。 本家タレコミ人のChandon Seldon氏は、「この仕様があるがためにSSL証明書にお金をかけざるを得ないサイトが発生したり、SSL認証無しへの変更を強いられるサイトもあるだろう」と自身のブログに綴っている。氏は、「自己署名SSLのサイトがEV SSLと同じ扱いをされるべきとまでは言わないが、だからといって全く暗号化されていないサイトへの接続時よりも『安全でない』といった印象
Firefoxがimg内だとresourceや、chromeスキーマにアクセスできる件 - 謎's キッチン
fileは無理っぽい。 画像があるかどうかは.heightを使えば大体分かる。 resource:///..%2f..%2fってやると上のディレクトリまで辿れる。 ってことでcon/con/conできるんじゃね? objectでtype="image/*"の時やscriptのsrcなどでも読めてるっぽい。内容の取得手段がないからそこまで危険じゃないけど。 xsltのdocumentで使えれば自由にxmlを取得できそうだけど、試すの面倒だなぁ。
Firefoxに脆弱性、投稿サイト使い悪用の恐れ
攻撃者はユーザーがコンテンツを投稿できるサイトを使い、クロスサイトスクリプティング攻撃を仕掛けることが可能になる。 MozillaのFirefoxブラウザに関する未パッチの脆弱性情報が公開され、米US-CERTが11月8日、アドバイザリーを発行した。 US-CERTによると、脆弱性は、Mozillaベースブラウザがサポートしている圧縮ファイル解凍のためのjarプロトコルに関して指摘されている。 攻撃者が脆弱性のあるサイトに細工を施したアーカイブを置き、ユーザーがMozillaベースのブラウザでこのファイルを開くように仕向けることにより、この問題が悪用される恐れがある。 攻撃者はユーザーがコンテンツを投稿できるサイトを使い、クロスサイトスクリプティング(XSS)攻撃を仕掛けることが可能になる。ユーザーがFirefoxのアドオンで悪質なURIを開いた場合、任意のコードを実行される恐れもある。
Greasemonkey スクリプトは安全ではありません
■ Greasemonkey スクリプトは安全ではありません Webアプリケーションセキュリティフォーラム の奥さんと高木先生のバトルより。 高木先生 ええと、「クッキーが漏洩する程度なので問題ない」と聞こえたような気がしたんですが。 Greasemonkey には超絶便利な GM_xmlhttpRequest があるので、どのウェブサイト上でスクリプトを動かそうが、あらゆるサイトにアクセスする事が可能です。この観点から考えると、クッキーが漏洩するどころの騒ぎではありませんし、スクリプトを有効にするドメインが限られていた所で大した意味はありません。例えば Google Search を便利にするようなスクリプトに、mixi のパスワードを任意の値に変更させるようなトロイを仕込む事も難しくないでしょう(実際に作って試しました*1)。もちろん対象サイト上に、XSS や CSRF の脆弱性がなく
Mozilla Firefoxは問題のあるセキュリティプロトコルに対応しません - Web標準普及プロジェクト
Mozilla Firefoxは問題のあるセキュリティプロトコルに対応しません Mozilla Firefoxは、新しいセキュリティプロトコル対応する一方、問題のあるセキュリティプロトコルの対応を中止します。 Mozilla Firefox 2.0は、以前のバージョンで有効だったSSL 2.0、SSL 3.0の一部、TLSの一部が初期設定では無効になりました。 無効となったセキュリティプロトコルを要求されると警告され、ウェブページは表示されません。 対策例 閲覧者に初期設定からの変更を求めないでください。設定の変更は、セキュリティリスクを高めてしまいます。 最新のMozilla Firefoxの初期設定で有効なセキュリティプロトコルに対応してください。 また、今後も問題が発見されたセキュリティプロトコルのサポートを新しいリリースでは順次中止する可能性があります。 暗号化を利用しているウェブ
推奨環境にFirefoxを明記する銀行が急激に増えている理由 - 「 Firefox ×?=!」を考えてみる、ブログ。
昨年「個人向けインターネットバンキングの推奨環境にFirefoxを記載する銀行は二行」とスラッシュドット・ジャパンに書き込んだが、一年近く経ったので今現在どの程度の数の銀行が推奨ブラウザとしてFirefoxを明記しているか改めて調べてみた。調査の対象は全銀協の名簿(全銀協の概要|全国銀行協会:全銀協の会員一覧)に記載の銀行のうち、正会員(128会員)と準会員(55会員)。準会員のうち半数以上は外国の銀行である為、実際には正会員+10行程度が調査の対象となる。 結果、Firefox対応を明記している銀行数は2007年4月21日現在で16行である*1。 調べてみて分かったのは、推奨環境にFirefoxを明記する銀行が急に増えているという事、そのほとんどが地方銀行である事、である。 ここで疑問。なぜ地方銀行ばかりなのだろうか? 答えは簡単。「システムを開発運用している会社が同じだから」である。
そろそろまたJavascriptオフの時代が来た
Google Maps以前のころ。ヘビーユーザーのあいだではJavascriptオフが常識になっていた。度重なる時計の再発明に業を煮やし、IEのActiveXに警戒心を抱き、不安定なOSをさらに不安定にするため暗躍するのがJavascriptでありJScriptだった。 Google Mapsがあれだけのインパクトを与えたのは、ひとえに、こういった先入観を打ち砕いたからに尽きる。信じられないことに、Javascriptって便利なのだ。実に見事な枯れた技術の水平思考である。 Ajaxという言葉が帰納され、ライブラリがぼこぼこと発表される。ネイティブオブジェクトの拡張と、クロスブラウザのための供物ラッパー集合体たるprototype.jsを筆頭に、様々なものが世に出、様々なアプリケーションがより手軽に実装できるようになった。 script.aculo.usやLightBoxやmoo.fxといっ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
blueimp (Sebastian Tschan)
TechCrunch Japanese アーカイブ » Gmailの大惨事: メール大量消失の報告