タグ

ブックマーク / hasegawa.hatenablog.com (5)

  • Visual Studio Code における任意コード実行の問題 - 葉っぱ日記

    Microsoftの提供するテキストエディタ Visual Studio Code にはローカルに保存されている特定の名前のファイルを起動時に読み込み、その内容をコードとして実行してしまう問題があります。現在のv1.7.1では問題は解消されていますが、問題が発生することを確認したv0.8.0との間のどのバージョンで問題が修正されたのかは不明です。 Microsoftでは件を脆弱性として取り扱っているのか不明です。 以下、IPA経由でのMicrosoftとのやり取りです。 2015-10-04 IPAへの報告 2) 脆弱性を確認したソフトウエア等に関する情報 名称:Visual Studio Code for Windows (https://code.visualstudio.com/) バージョン: v0.8.0 パッチレベル: 言語: 設定情報: ※ パッチレベルについては、マイナー

    Visual Studio Code における任意コード実行の問題 - 葉っぱ日記

  • セキュリティ・キャンプ全国大会2015資料まとめ - 葉っぱ日記

    セキュリティ・キャンプ全国大会2015の講義で使用された資料のまとめ。公開されていない講義が多いので、すべての講義資料があるわけではありません。随時追加。 高レイヤートラック Webプラットフォームのセキュリティ JavaScript難読化読経 HTTP/2, QUIC入門 SSL/TLSの基礎と最新動向 フレームワークに見る Web セキュリティ対策(これからのWebセキュリティ) これからのWebセキュリティ フロントエンド編 クラウドセキュリティ基礎 バグハンティング入門 解析トラック 仮想化技術を用いたマルウェア解析 講義内容 TOMOYO / AKARI / CaitSith ハンズオン(アクセス解析初級・中級) セキュリティ・キャンプ全国大会2015でのマルウエア分析講義(2015-09-10) チューター発表 「脆弱性をみつける」から「脆弱性をなくす」へ カーネル空間からのセ

    セキュリティ・キャンプ全国大会2015資料まとめ - 葉っぱ日記

  • 補足編:機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記

    「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記」の補足編です。 結局、よくわからないんだけど。 よくわからない場合は、とにかく全てのレスポンスに X-Content-Type-Options: nosniff をつけましょう。 機密情報を含むJSONにX-Content-Type-Options:nosniffをつける理由はわかったけど、「あらゆる」コンテンツにつける理由はなぜ? 機密情報を含まなくても、<script>のような文字列を含むコンテンツをIEで直接開いた場合にはXSSにつながる可能性もあります。どのようなコンテンツにX-Content-Type-Options:nosniffが必要かを考えるくらいであれば、全てのコンテンツに付与したほうが間違いがなくていいでしょう、ということです。 IEのためだけの問

    補足編:機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記
    testedquality
    testedquality 2013/09/09
    自分の担当部分を確認する。
    リンク

  • 体系的に学ぶ 安全なWebアプリケーションの作り方 - 葉っぱ日記

    巷で話題の書籍「体系的に学ぶ 安全なWebアプリケーションの作り方」を著者である徳丸さんから頂きました。 徳丸さんが書籍を書くにあたりレビューアを募集していたときに、おもしろそうなので一足先に読みたいなと思ったものの、それがレビューというよりは自己満足のための動機であること、レビューアに求められている条件、特に「初心者目線」「言語(PHPPerlJava、C#/VB.NETJavaScriptSQL)のエキスパート」には当てはまりそうにないので申し込まなかったのですが、どうしても我慢しきれなくなり、XSSやリダイレクト、受動的攻撃に関する箇所だけフライングでレビューさせて頂きました。そもそも徳丸さんの書く文章は、世間では「安心の徳丸印」と言われるくらい完成度が高く、レビューするといっても指摘するような間違いは滅多になく、ほとんどが好みの問題として片付けられてしまうような些末なことば

    体系的に学ぶ 安全なWebアプリケーションの作り方 - 葉っぱ日記

  • IE9 RC マイナーな変更点リスト - 葉っぱ日記

    Eric Lawrence さんから、IE9 RC Minor Changes List - EricLaw's IEInternals - Site Home - MSDN Blogs の翻訳の許可をもらったので訳してみました。間違い等あれば教えてください。 遡ること9月に、私はIE9のマイナーな変更点のリスト*1を公開しました。今日は、IE9リリース候補版で変更された点について紹介します。注意:このリストは当時言及しなかったBetaでの変更点もいくつか含んでいます。 もちろん、ここには含まれていない多数の変更点があるので、この記事を完全なリストとは思わないでください。また、IEBlog上で論じられているような大きな機能変更については意図的に飛ばしている点にも注意してください。 過去にこのブログで論じた、IE9の新機能や改善点については BetterInIE9タグを検索することで参照でき

    IE9 RC マイナーな変更点リスト - 葉っぱ日記
    testedquality
    testedquality 2011/02/17
    IE9対応するものがいっぱいあるので。RC版と製品版で再度やんなきゃと思うとつらいけどがんばる。
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.