対策遅らせるHTMLエンコーディングの「神話」
クロスサイト・スクリプティングという言葉は元々,WebアプリケーションのHTMLエンコード漏れなどを利用することによって第三者にJavaScriptを実行させる手法を指す。広義では,HTMLのエンコードによる画面改変などを含むこともある。 前回述べたように,クロスサイト・スクリプティングのぜい弱性はWebアプリケーションに見付かるぜい弱性の半分以上を占める。数年前から指摘されているにもかかわらず,一向になくならない。その理由として,クロスサイト・スクリプティング対策あるいはHTMLエンコード注1)に対する「神話」があり,正しい対策の普及を遅らせているように思う。その「神話」の数々について説明しよう。 注1)実体参照(entity reference)というのが正式だが,あまり普及していない用語なので,HTMLエンコードという用語を用いる 「すべからくHTMLエンコードすべし」が鉄則 HTM
マルウェア対策用USBメモリ携行の勧め ― TechTargetジャパン
医者や弁護士は、カクテルパーティーのような場では自分の職業をあまり人に明かしたがらないという話を聞いたことがある。それを耳にしたほかの出席者が病気や法律問題に関するアドバイスを求めて周囲に集まり、無料相談の輪が形成されてしまうからだ。昨今のパーティーでは、コンピュータセキュリティの分野で働いているとほのめかそうものなら、あっという間にそういった輪ができるのは間違いない。セキュリティ専門家が出席していると聞けば、誰もが動作の遅くなったPCや煩わしいポップアップウィンドウに関してアドバイスを求めようと思うのは無理からぬことだ。 情報セキュリティ専門家にとって、手元に本格的なツールセットがなくても、取りあえず応急対策を実施する必要がある、といったケースはよくある。本稿ではこういった場合のために、マルウェアに感染したマシンに対して利用できるポータブルなソフトウェアキットを作成する方法を紹介する。イ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
