はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
はてなブログ | 無料ブログを作成しよう
来年も作りたい!ふきのとう料理を満喫した 2024年春の記録 春は自炊が楽しい季節 1年の中で最も自炊が楽しい季節は春だと思う。スーパーの棚にやわらかな色合いの野菜が並ぶと自然とこころが弾む。 中でもときめくのは山菜だ。早いと2月下旬ごろから並び始めるそれは、タラの芽、ふきのとうと続き、桜の頃にはうるい、ウド、こ…
ウェブサービスAPIにおける『成りすまし問題』に関する一考察
先週の末に、はてなのウェブ・サービスAPIを使ったMash-upアプリをFlash上で作り始めていきなりつまずいたのが、Cross-Domainセキュリティ。satoshi.blogs.comから取得したswfファイル上のActionScriptからb.hatena.ne.jp下にあるRSSフィードだとかXML-RPCにアクセスができないのだ。 「確か方法があったはず」と調べてみると、はてな側がサーバーにcrossdomain.xmlというファイルを置いて明示的にCross-Domainアクセスを許可していなければならない、という。そこで見つけたのが、「Flashから各APIの操作、データのロードができるよう、サーバ上に「crossdomain.xml」というポリシーファイルの設置をお願いしたい。」というはてなアイデアへのリクエスト。2006年の2月にリクエストが出されているのだが、11月
Flashでクロスドメイン.js
crossdomain.js とは? crossdomain.js は、Ajax でいうところの XMLHTTPRequest を Flash 経由で行う為のライブラリです。 通常の Ajax のリクエストでは、ドメインの異なるページへのリクエストが行えませんが、Flash 経由にすることで crossdomain.xml が置かれている一般的なAPI サーバーなら直接アクセスが可能です またJSON で E4X ライクに返値を返している為、XML の内側の要素に簡単にアクセスできて非常に便利です。 crossdomain.xml を利用してクロスドメインの壁を越えられる E4X ライクに簡単に XML 要素にアクセス ダウンロード 以下から入手できます。
機密情報にJSONPでアクセスするな
2007年6月7日 はてなブックマークのコメントをうけて、「常にJSONP、JSON、JavaScriptに機密事項を含めないように」という主張を改め、「クロスドメインアクセスの対策をとっていない状態ではJSONP、JSON、JavaScriptに機密事項を含めないように」という主張に関して記述しました。 こんにちは、SEの進地です。 今回から週単位でWebアプリケーションのセキュリティに関するエントリーを書いていこうと思います。 僕自身、日々勉強して精進というところですので、もし何らかの誤りがあれば是非ご指摘ください。 つっこみ大歓迎です。 今回取り上げるのはWeb 2.0なアプリケーションでセキュリティ面で気をつけるべきことの一つ、機密情報にJSONPでアクセスするなです。 JSON(JavaScript Object Notation)はJavaScript(ECMAScript)の
クロスドメインでのデータ読み込みを防止するJavaScript ? - snippets from shinichitomita’s journal
GMailのコンタクトリスト漏洩のエントリのついでに。 JSONデータをscriptタグにのせて配信するサービス(JSONPなど)で、限られたサイトのみにしかそのデータを配信しないようにするためには、クライアントが送出してくるリファラ情報を使ってサービスコンシューマとなっているサイトを特定してアクセス制御する方法がある。 この方法はおそらく大部分のクライアント(ブラウザ)に対しては有効で、例えば実際にGoogle MapsなどもそれとAppKeyを組み合わせてサイトを判別しているっぽいのだけど、意図的にリファラ送出を切っているブラウザであったり、あるいはプロキシプログラムなどが自動的にリファラヘッダを除去してしまうようなクライアント環境に対しては無効になってしまう。 ということで、そんなクライアントでもなんとかならないだろうかと考えていたときにちょっと思いついた、もしかしたらこの方法なら許
ウェブリブログ:サービスは終了しました。
「ウェブリブログ」は 2023年1月31日 をもちましてサービス提供を終了いたしました。 2004年3月のサービス開始より19年近くもの間、沢山の皆さまにご愛用いただきましたことを心よりお礼申し上げます。今後とも、BIGLOBEをご愛顧賜りますよう、よろしくお願い申し上げます。 ※引っ越し先ブログへのリダイレクトサービスは2024年1月31日で終了いたしました。 BIGLOBEのサービス一覧
Ajaxの特徴に潜むリスクをサンプルアプリで確認しよう ― @IT
Ajaxのセキュリティ対策状況 Ajaxのセキュリティは、各ブラウザのAjax実装である「XMLHttpRequest」で対策が行われています。それらのうち、今回は「SSLによる暗号通信」と「クロスドメインの制限」についてご紹介したいと思います。 SSLによる暗号通信 通常のWebページへのアクセスと同様、AjaxにおいてもSSLを利用した暗号通信を行い、ネットワーク上のデータ盗聴に対して備えることができます。Ajaxのプログラミング上では、URIのプロトコル「HTTP」を「HTTPS」に変更するのみでSSLによる暗号通信となります。しかし、Ajaxアプリケーションのロード後に、プロトコルを「HTTP」から「HTTPS」、もしくは「HTTPS」から「HTTP」へといった変更はできません。 クロスドメインの制限 Ajaxアプリケーションは、A)HTML部/B)JavaScript部/C)XM
川o´-`)<jknd life - Re: 「Ajax + PHP」でRSSリーダーを作る : きまぐれ日記2『オンとオフの狭間』
GIGAZINEの記事経由で知った記事。RSSリーダ作成には興味があったため読んでみました。その内容については・・・よろしくないことが普通にかかれています。 件の記事で作ろうとしているものはRSSリーダーですが、Ajax―つまりWebブラウザ側―でRSSをどうにかする式のものです。 このたった一言で読者の50%には何となくイヤな予感がよぎっているのではないかと思ったりもします。 さて、先に書いたとおり記事にあるRSSリーダーはAjaxでサーバからRSSをとってくる仕組みです。しかしながら一般的にAjaxと呼ばれる技術で使うXMLHttpRequestなどは異なるドメインにアクセスすることをセキュリティ上の観点から許可していません。そうなるとWebブラウザベースのRSSリーダーとしては大変困るわけです。RSSを読みたいのに他のドメインのものを取得できないのでは。それではこういった場合どうする
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://youmos.com/reference/greybox_sample.html