United StatesThe return-to-office Catch 22What could go wrong when you're ordered to return to the office — but there's no office to go back to?
Post by @ivarnjk
iモード(2.0端末)利用者は,かんたんログインに関する脆弱性の責任の所在をNTTドコモが明言するまで,(そして対策がなされるまで)JavaScriptの無効化をして利用するのを勧めるのだ。 “NTTドコモでは、公式サイトを運営する約3000社には注意喚起したが、それ以外の無数にある「勝手サイト」には「ジャバスクリプトの安全な利用はサイトを作る側にとって基本的知識であり、具体的に説明はしていない」という。”“高木浩光主任研究員は、「利用者IDがあらゆる携帯サイトに自動で送られ、認証に使われる仕組みは問題だ」と指摘している。”
ドコモ携帯、情報流出の恐れ…最新29機種 : ニュース : ネット&デジタル : YOMIURI ONLINE(読売新聞)
NTTドコモの携帯電話のうち、インターネット閲覧ソフト「iモードブラウザ2・0」を搭載した最新29機種を通じて、利用者の個人情報を不正取得される恐れのあることが、専門家の指摘で明らかになった。 同社は携帯サイトの運営者にパスワード認証などの安全対策を呼びかけている。携帯電話の機能が高機能化するにつれ、こうした危険は増しており、利用者も注意が必要になってきた。 高機能ソフトを悪用 該当機種は、昨年5月以降に発表されたプロシリーズやスタイルシリーズなど。iモードブラウザ2・0は、ジャバスクリプトと呼ばれる機能が組み込まれており、携帯用のインターネットサイトと自動で情報をやりとりできる。 悪意ある携帯用サイトは、接続してきた利用者の携帯のジャバスクリプトを使って、利用者が会員になっている別のサイトに一瞬だけ接続させることができる。その時、この会員サイトに利用者の住所など個人データが登録されている
最新29機種ドコモ携帯、個人情報流出の恐れ : 社会 : YOMIURI ONLINE(読売新聞)
NTTドコモの携帯電話のうち、インターネット閲覧ソフト「iモードブラウザ2・0」を搭載した最新29機種を通じて、利用者の個人情報を不正取得される恐れのあることが、専門家の指摘で明らかになった。 同社は携帯サイトの運営者にパスワード認証などの安全対策を呼びかけている。携帯電話の機能が高機能化するにつれ、こうした危険は増しており、利用者も注意が必要になってきた。 該当機種は、昨年5月以降に発表されたプロシリーズやスタイルシリーズなど。iモードブラウザ2・0は、ジャバスクリプトと呼ばれる機能が組み込まれており、携帯用のインターネットサイトと自動で情報をやりとりできる。 悪意ある携帯用サイトは、接続してきた利用者の携帯のジャバスクリプトを使って、利用者が会員になっている別のサイトに一瞬だけ接続させることができる。その時、この会員サイトに利用者の住所など個人データが登録されていると、盗み出されてしま
ぼくがかんがえたおーぷんそーしゃる その1 - 知らないけどきっとそう。
みなさん、虫入れまくってますか? 自分はまだレベル6です 牧場行けないです。サンシャイン農園です 先日 のおさらいです OpenSocial JavaScript API で取得したソーシャルデータは、閲覧者の改ざんを受けている可能性があります ということで、Twixi のように、マイミクであることをある種の承認として扱いたい場合困る なので、改ざんを受けない方法を使いましょう、というようなことを書きました や、改ざんといわれても ここ では、Greasemonkey を使ってソーシャルデータの表示ができてただけだし、せいぜい変なアクティビティ投げる程度じゃん という(自分からの)突っ込みを受けたので、さらに実験してみました Rekooさんぱねぇっす レベル21て。というか既に背景のグラフィックが普通じゃない気がするんですけど (Rekooさんはサンシャイン牧場の提供者のアカウントです)
[気になる]JSONPの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
![[気になる]JSONPの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
モジラが新たな技術でXSSに取り組む
Mozillaのセキュリティエンジニアは、数多くのウェブアプリケーションの脆弱性を緩和が見込まれる新たな技術に取り組んでいる。この技術は特に、現代ウェブブラウザの抱えるクロスサイトスクリプティング(XSS)の問題を緩和するものだ。 この「コンテンツセキュリティポリシ」と呼ばれるプロジェクトは、ウェブサイトがブラウザに対し、明示的にどのコンテンツが正規のものであるかを指定する仕組みを提供することによって、XSS攻撃を止めるように設計されている。この技術は、クリックジャッキングとパケットスニッフィング攻撃の緩和にも役に立つ。 コンテンツセキュリティポリシがサーバ管理者にXSS攻撃を減らす、あるいはなくすことを可能にする仕組みは、以下の通りだ。 ウェブサイト管理者は、ブラウザがどのドメインを正規のスクリプト供給元として扱うべきかを指定する。 ブラウザは、ホワイトリストに載っているドメインからのソ
「Gumblar」攻撃、いまだに沈静化せず--ScanSafe報告
セキュリティ企業のScanSafeは現地時間5月28日、ウェブサイトを攻撃する「Gumblar」が新しいドメイン名を複数追加しているとして、注意を呼びかけた。ScanSafeによると、Gumblarはこれらドメインから無防備なコンピュータにマルウェアをダウンロードさせ、より多くのサイトを攻撃するためにFTP認証情報を盗み、ウェブトラフィックを改ざんするという。 Gumblarの攻撃は2009年3月に開始され、ウェブサイトがセキュリティ侵害を受け、攻撃コードがサイト内に埋め込まれた。ウェブサイトに埋め込まれたマルウェアは、ロシアとラトビアのIPアドレスを持つ中国のドメイン「gumblar.cn」から配布されており、ScanSafeは5月中旬、これらのIPアドレスは英国にあるサーバからコードを配信していることを報告していた。 ウェブサイトの運営者がマルウェアの除去を開始したことを受け、攻撃者は
SURGAVIP : Link Slot Gacor PG Soft Maxwin Slot Online
SURGAVIP # Link Slot Pragmatic Gacor Malam Ini Modal Kecil Janji Maxwin Sekarang ! Selamat datang di SURGAVIP situs slot terpercaya dari server PG Soft ternama, banyak jenis permainan slot gacor dan mudah menang maxwin disini bersama surgavip. main dengan modal receh pulang dengan uang berlimpah. SURGAVIP dikenal sebagai situs terpercaya dengan koleksi lengkap game dari pg oft, provider yang udah
クリックジャッキング対策、あるいはクリックジャッカーをジャックする方法
クリックジャッキング対策、あるいはクリックジャッカーをジャックする方法 2009年03月05日 12:24未分類 クリックジャッキングというのが話題になってるみたい。 主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは クリックジャッキングってこうですか? わかりません クリックジャック – 素人がプログラミングを勉強するブログ 404 Blog Not Found:javascript – クリックジャック殺しなbookmarklet 全ての人にとって有効な防御策がなかなか見あたらないみたいで おそろしいですね。 せめて自分が運営しているサイトが その対象にならないようにしたいところ。 というわけで こういう JavaScript を仕込んでおいてはどうかと思います。 添削歓迎。 →ご指摘いただいて書き換えました。 if (window.top !== window.self)
亡霊スクリプトにWebページを乗っ取られた | 技術動向 | 毎日がアップデート | あすなろBLOG
先日、過去の自分が作ったWebページを見ようと思い。昔メインで更新していたWebページを久しぶりに見てみたら、どのリンクを押しても、特定のアフィリエイトサイトにしかアクセスできなくなった。 はじめはWebページを乗っ取られたと思ったが、よく見ていたら、昔設置した。「レントラ」というサービスに原因があるようだった。この「レントラ」というサービスは、通常のWebページにトラックバック機能を持たせるサービスで、htmlファイル内に特定のジャバスクリプトを設置することで利用できたのだが、この設置したジャパスクリプトがレントラのサービス終了したことで、なぜか強引に「http://rentra.zansin.jp/」にアクセスをさせていたようだ。どうやら、私のWebページは過去にサービスを終了した「亡霊スクリプト」に乗っ取られた形になってしまったようだ。実際にhtmlファイルのソースから該当するスクリ
アルパカ牧場 那須ビッグファーム: FirefoxアドオンのNoScriptの仕様の罪をはてブックマークレットに擦り付けるのはお止めなさい
参考資料 http://b.hatena.ne.jp/entry/http://takagi-hiromitsu.jp/diary/20081125.html%23p01 なんか阿呆なこと書いている人がいるので言及しておく。 noscript入れてると(信頼してるサイト以外では)動かない?/ひとまず旧バージョン使ってます。 はてなブックマーク - 高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない 火狐でNoScript使ってると、どっちにしろ旧ブックマークレットしか使い物にならないんだよね はてなブックマーク - 高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない 残念、新旧どちらも動きません。 ブックマークレットはそのページのドメイン上で動きます。そのページを信頼するものとしない限り、ブックマークレットは動きま
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
「WPA突破」よりも重要なセキュリティ問題とは? − @IT
2008/11/11 11月12日、13日にわたってセキュリティをテーマとしたカンファレンス「PacSec.jp」が都内にて開催される。その主催者であるドラゴス・リジュ氏は、@ITの取材に対し「WPAの暗号鍵が破られたことを取り上げるプレゼンテーションに対する関心が高まっているが、自分としてはむしろ、マーク・ダウド氏が行うセッション『Browser Memory Protection Bypasses: Virtual Machines』のほうが重要性が高いと考えている」と述べた。 このセッションは、Webブラウザのセキュリティ保護機能を迂回してしまう攻撃方法について取り上げる予定だ。「伝統的なバッファオーバーフローの代わりに、FlashやJavaScriptといったリッチでパワフルなコンテンツを用いて、バイトコードを直接、ブラウザのコンテキストで実施してしまうという方法で、非常に驚くべき
ブラウザ「Sleipnir」と「Grani」の検索機能に任意のスクリプトが実行される脆弱性
有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)は、フェンリルが提供するウェブブラウザ「Sleipnir」および「Grani」のお気に入り検索機能に脆弱性が発見されたと発表した。 細工された文字列が検索に使用されていた場合、表示された検索結果を履歴より復元した際に、ユーザーのウェブブラウザ上で任意のスクリプトが実行される可能性がある。 この脆弱性が存在するのは、Sleipnir 2.7.1 Release 2とそれ以前のバージョン、Portable Sleipnir 2.7.1 Release2とそれ以前、Grani 3.1とそれ以前。フェンリルでは、この脆弱性を解消した最新バージョンを提供しており、該当するバージョンを使用するユーザーは早急にアップデートするよう呼びかけている。
はてなブログ | 無料ブログを作成しよう
思いは言葉に。 はてなブログは、あなたの思いや考えを残したり、 さまざまな人が綴った多様な価値観に触れたりできる場所です。
相次ぐWeb改ざん,いったい何が起こっているのか
知らぬ間に中国内サーバーの「fuckjp.js」を実行してしまう 3月に発生したWeb改ざんと,Webにアクセスしてきたエンドユーザーへの攻撃手法を,もう少し詳しく見てみよう(図2)。 図2●3月11~13日の攻撃の流れ (1)攻撃者は,SQLインジェクションを使って企業や団体のWebページを改ざん,悪意のあるJavaScriptへのリンクを挿入する。(2)Webページを閲覧したユーザーは,知らぬまにリンク先の悪意のあるJavaScriptを実行。(3)もしユーザーのパソコンにぜい弱性がある場合は,ウイルスなど不正プログラムに感染する。 [画像のクリックで拡大表示] 前述したように,まずはSQLインジェクション攻撃を使って企業や団体のWebサイトを改ざんする。改ざんといっても,昔のようにWebページをごっそり別のものに差し替えたり,なんらかのメッセージ文を表示したりするといったことではない
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サービス終了のお知らせ
MSDN ホームページ
Amazon.co.jp: Ajaxアプリケーション & Webセキュリティ: 本: Christopher Wells,牧野 聡
