TopicsPlaceHolder SectionTitlePlaceHolder TIME rest time current/total en
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
@XSS (一部のブラウザのlocation.hrefがXSSを引き起こしやすいことに関する注意喚起) 概要 一部のブラウザのlocation.hrefは、XSSなどのセキュリティ問題を引き起こしやすい値を返します。この挙動により、location.hrefが自分と同じドメインのURLを返すことを前提に書いているコードは全て、正しく動かなくなる恐れがあります。 影響を受けるブラウザ Safari 6未満(Windowsは修正版がリリースされていません) iOS 6.0未満のSafari Mobile Android4.1未満?の標準ブラウザ(Android 2.3.6でテストしました。@bulkneetsさんによると4.1は修正済み、4.0.3は影響を受けるとのことです。@cubedlさんによると4.0.4は影響を受けるとのことです。) 挙動の再現 1. http://l0.cm/atx
指摘事項A中の(a)は、他を見なくても「セキュア」属性だと分かりますね。徳丸本(体系的に学ぶ 安全なWebアプリケーションの作り方)では、4.8.2クッキーのセキュア属性不備(P209)に説明があります。 指摘事項Bは、ここだけ読むと、XSSのようでもあり、サーバーサイドのスクリプトインジェクションのようでもありますが、検査ログからXSSであることがわかります(下図はIPAからの引用)。XSSは、徳丸本4.3.1クロスサイトスクリプティング(基本編)と4.3.2クロスサイトスクリプティング(発展編)にて説明しています。 ここまでは、ごく基本的な問題ですが、問題文P6に出てくる以下の部分は、少しだけひねってますね。 このプログラムは、利用者が入力した文字列をダイアログに表示するために、受け取ったパラメタの値をスクリプトに埋め込み、動的にスクリプトを生成する。図4の( c )行目では
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く