mixCipher - mixi Diary Cryptographer - Lab MagicVox.net
mixCipher は mixi の日記本文やコメントを暗号化することで,心無いユーザによる情報漏えいを防ぐためのソリューション(?)です。 "みっくすさいふぁー"と読みます。投稿者が設定したパスワードを正しく入力しない限り元の文章を読むことはできません。しかし貴方が信頼してパスワードを教えた人が,実は情報漏えいの黒幕であった場合にはどうしようもありません。マイミクは大切にしましょう。 どうやって読むの? mixi 日記を読んでいて -----BEGIN BLOWFISH DATA BLOCK----- DWVKdwrD2vbTQiDeeHN5ZoKGi9YOUZdiMClHGHXj Wub+YxpRqvobqw== -----END BLOWFISH DATA BLOCK----- のような日記本文やコメントを見かけたら,すかさず次の Bookmarklet(ブックマークレット) を実行
ウェブリブログ:サービスは終了しました。
「ウェブリブログ」は 2023年1月31日 をもちましてサービス提供を終了いたしました。 2004年3月のサービス開始より19年近くもの間、沢山の皆さまにご愛用いただきましたことを心よりお礼申し上げます。今後とも、BIGLOBEをご愛顧賜りますよう、よろしくお願い申し上げます。 ※引っ越し先ブログへのリダイレクトサービスは2024年1月31日で終了いたしました。 BIGLOBEのサービス一覧
「Web 2.0」導入が進む中、後回しにされるセキュリティ
だが、クロスサイトスクリプティングの問題は、リスクの1つに過ぎない。Fortify SoftwareのチーフサイエンティストBrian Chess氏によれば、Ajaxのコードで問題を引き起こすおそれがあるものとして、レースコンディション、妥当でないコード、オブジェクトモデルの違反、不完全な乱数、不適切なエラー処理などがあるという。 このようなエラーから、ユーザーのデータが外部に流出したり、あるユーザーが他のユーザーのセッション制御を奪い、悪意のあるプログラムの実行その他の攻撃を行ったりする可能性があると、Fortify Softwareは説明している。同社が2005年12月に「Foundations of Ajax」というソフトウェア開発者向けの解説書を調べたところ、掲載されているAjaxのサンプルコード中に、こうした問題がすべて見つかったという。 「(同書に載っている)サンプルコードは、
JavaScriptを悪用した攻撃手法--セキュリティ研究者らが発見
JavaScriptを使って家庭や企業におけるネットワークの構成を把握し、接続されたサーバやプリンタ、ルータなどのデバイスを攻撃する方法を、セキュリティ研究者らが発見した。 こうした悪質なJavaScriptが埋め込まれたウェブページを一般のブラウザ上に表示すると、スクリプトが何の警告も表示しないまま実行されてしまうと、研究者らは述べる。また、これはユーザーのブラウザ上で動作するため、ファイアウォールなどのセキュリティ対策も回避するという。 ウェブセキュリティを専門にするSPI DynamicsのリードエンジニアBilly Hoffman氏は「われわれは、ネットワークをスキャンして見つかったすべてのウェブ対応デバイスを識別し、これらのデバイスに攻撃を仕掛けたり、コマンドを送信したりする技術を発見した。このテクニックを使えば、ファイアウォールで守られた企業のネットワークもスキャンできるように
Ajaxの特徴に潜むリスクをサンプルアプリで確認しよう ― @IT
Ajaxのセキュリティ対策状況 Ajaxのセキュリティは、各ブラウザのAjax実装である「XMLHttpRequest」で対策が行われています。それらのうち、今回は「SSLによる暗号通信」と「クロスドメインの制限」についてご紹介したいと思います。 SSLによる暗号通信 通常のWebページへのアクセスと同様、AjaxにおいてもSSLを利用した暗号通信を行い、ネットワーク上のデータ盗聴に対して備えることができます。Ajaxのプログラミング上では、URIのプロトコル「HTTP」を「HTTPS」に変更するのみでSSLによる暗号通信となります。しかし、Ajaxアプリケーションのロード後に、プロトコルを「HTTP」から「HTTPS」、もしくは「HTTPS」から「HTTP」へといった変更はできません。 クロスドメインの制限 Ajaxアプリケーションは、A)HTML部/B)JavaScript部/C)XM
Ajaxの特徴に潜むリスクをサンプルアプリで確認しよう
セキュリティ低下のサンプル 前述のとおり、Ajaxの実行環境では、原則としてJavaScriptの有効化が前提となっています。このため、JavaScriptによって収集可能なユーザー情報が、無意識なうちにサーバに転送されてしまう可能性も考えられます。つまり、悪意を持った開発者が作成したAjaxアプリケーションは、あなたのパソコンに送り込まれたスパイのように振る舞う「スパイウェア注1)」となっているかもしれません。スパイウェアには、さまざまな定義がありますが、ここでは以下のような振る舞いに着目して紹介することにします。 注1) スパイウェア:PCユーザーが気付かないうちに、ユーザーの情報を集め、特定の団体に送信するアプリケーション 注2) PCのキーボード入力を監視し記録するソフトウェア/ハードウェア 注3) キーロガーと同様に、ユーザーのマウス操作を監視して、それを記録するソフトウェア 参
Ajaxの特徴に潜むリスクをサンプルアプリで確認しよう ― @IT
第1回 Ajax技術の目に見えない通信内容をのぞいてみようでは、Ajaxの技術背景を解説しました。今回は、「セキュリティ」という観点でAjaxを見ていきたいと思います。 2回目の今回は、非常に幅広く、奥が深い「Ajaxの特徴に潜むセキュリティリスク」を、実際のサンプルアプリケーションの通信や、マウスの動きを動画で見ながら、理解しましょう。スパイウェアやキーロガーへの基本的な対策も解説します。 通常のWebアプリと異なるAjaxの特徴に潜むリスク 「Ajaxのセキュリティ」といきなりいっても、『Ajaxとはいえ、単なるWebブラウザで動作するアプリケーションなのだから、これまでのWebアプリケーションのセキュリティとあまり変わらないのでは?』と予想される方も多いでしょう。確かに、Webアプリケーションとして注意すべきセキュリティのポイントは、Ajaxにおいても共通して当てはまると考えて問題あ
高木浩光@自宅の日記 - 「Remojin」は不正指令電磁的記録か?
■ Greasemonkey利用者の感覚と不正指令電磁的記録作成罪立法者の感覚 JavaScriptでコードを書くことによりFirefoxの機能を手軽に拡張できるようにするという、Firefoxの機能拡張モジュール「Greasemonkey」がある。同様の機能が Operaでは標準搭載されているようだ。 これらは「User JavaScript」(ユーザスクリプト)という概念で、「ユーザスタイルシート」に似ている。ユーザスタイルシートとは、Webページの見た目のデザインをブラウザ側の設定で変更するものであるが、ユーザスクリプトではさらに進めて、ブラウザ側に設定したJavaScriptプログラムをページごとに動作させることによって、HTML内容などを改変して表示させるものだ。 自分で自分のブラウザに表示するHTMLを改変するという行為は、プロキシサーバ上での変換フィルタなどを用いるなどして古
スラッシュドット ジャパン | UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意
jbeef曰く、"本家に「Cross Site Scripting Discovered in Google」というストーリが掲載された。 これは、Web Application Security Consortiumが主宰するメーリングリストに投稿された記事を伝えるもの。その記事によると、Google.comにXSS(クロスサイトスクリプティング)脆弱性が見つかり、発見者が11月15日にGoogleに連絡したところ、12月1日に修正されたという。この脆弱性の原因と対策は以下の通り。" (つづく...) "まず、Googleの404 Not Foundのページはこの例のように、リクエストされたURLのパス名を画面に表示するようになっている。ここで、そのパス名にHTMLのタグを構成する文字「<」「>」が含まれている場合、Googleは、これをきちんと「<」「>」にエスケープして出
マウスジェスチャーAjax
Try it! This app uses javascript and XMLHttpRequest. Your browser must have these enabled to try this out. I didn't put in code that would check for incompability, sorry. See limitations section below for other shortcomings. Known to work with FireFox 1.5beta and IE 6.0. Recording Move the mouse into the record area. To start recording, press and keep a mouse button clicked. While keeping the mous
IEBlog
Internet Explorer Team Blog We've moved! Find us at the new Microsoft Edge Dev Blog As we announced last week, with the reveal of Microsoft Edge we are archiving the IEBlog. Future... Date: 05/08/2015 Microsoft Edge is the browser for Windows 10 This morning, Joe Belfiore took to the stage at Build 2015 to share more about the next chapter in... Date: 04/29/2015 Announcing improvements to Enterpri
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
