UTF-8 エンコーディングの危険性 - WebOS Goodies
基本的に、まともな国際化ライブラリを使っていれば、上記のような不正な文字コードはきちんと処理してくれるはずです。実際、 Opera, Firefox, IE ともに適切にエスケープしてくれました。また、 UCS に変換した後にエスケープ処理を行うことでも対処できるかもしれません。しかし、複数のモジュールで構成されるような規模の大きいアプリケーションでは、そのすべてが適切な処理を行っていると保証するのも、なかなか難しいかと思います。ここはやはり、すべての外部入力に含まれる不正なシーケンスを、水際で正規化するという処理を徹底するのが一番かと思います。 例えば Ruby の場合、不正な UTF-8 コードを検出する最も簡単な方法は、 String#unpack を使って UCS へ変換してみることです(昨日の記事への kazutanaka さんからのはてぶコメントにて、 iconv でも同様なこ
第1回 悪意のJavaScriptで情報が漏えい:ITpro
Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた,2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。従来の脅威対策は全く通用しない。今この瞬間にも,エンドユーザーは個人情報を盗まれる危険にさらされている。 ブログ/SNSなどユーザー発信型のサイト,Ajax,RSS──。華やかさがクローズアップされるWeb 2.0。ところがその裏側では,エンドユーザーに情報盗難などの危険が広がっている(図1)。インターネット・バンキングやEC(電子商取引)サイトのユーザーIDやパスワード,クレジットカード番号はもちろん,企業内のシステムにアクセスするためのパスワードや,パソコンに読み込んだ機密文書データなど,対象はあらゆる情報だ。 2006年12月末,米国のセキュリテ
「Web 2.0」導入が進む中、後回しにされるセキュリティ - CNET Japan
「Web 2.0」は、ウェブサイトで実現できることの限界を拡張する新技術として、導入が急速に進んでいる。しかし、機能を追加しようと急ぐあまり、セキュリティが後回しにされていると、専門家は指摘する。 Web 2.0の流行には、高額な参加費のカンファレンス、大量に生まれる新興企業、革新的な企業(「MySpace」を保有していたIntermix Mediaや「Writely」を開発したUpstartleなど)の巨額買収といった特徴から、1990年のインターネットブームを思い起こさせるところがある。そして、また別の面でこうした既視感をいっそう強く抱いている専門家たちもいる。デスクトップソフトウェアが登場して間もない頃と同じように、開発の推進力となっているのはすべて機能に関することで、セキュリティの確保はおろそかにされていると、専門家たちは話す。 ウェブセキュリティ企業のSPI Dynamicsでリ
Ajaxで基本認証 SSL - [JavaScript]All About
JavaScript ガイド:高橋 登史朗 Ajaxなど、何かと最近騒がれているJavaScriptの最新情報とその活用方法を解説します。 掲示板 取材依頼 問合せ Ajaxで基本認証+SSL 前回は、Ajax+PHPでの動的なテーブル書き換えを行いました。 つまり、Ajaxを利用したページ構築と動的書き換えについての話題でした。今回は、ページに入る前の話題です。 ユーザーを限定した基本認証ページをAjaxで利用してみます。 AjaxをいじっていてXMLHttpRquestのopen()メソッドに「ユーザー名」「パスワード」という引数があることに気づかれた方も多いと思います。これで、基本認証ページを利用することができます。 Webサービスなどの実際の業務の中で生まれてきたAjaxにとって、ユーザー限定のサービスは大切です。XMLHttpRquestオブジェクトに仕込まれ
クロスドメインでのデータ読み込みを防止するJavaScript ? - snippets from shinichitomita’s journal
GMailのコンタクトリスト漏洩のエントリのついでに。 JSONデータをscriptタグにのせて配信するサービス(JSONPなど)で、限られたサイトのみにしかそのデータを配信しないようにするためには、クライアントが送出してくるリファラ情報を使ってサービスコンシューマとなっているサイトを特定してアクセス制御する方法がある。 この方法はおそらく大部分のクライアント(ブラウザ)に対しては有効で、例えば実際にGoogle MapsなどもそれとAppKeyを組み合わせてサイトを判別しているっぽいのだけど、意図的にリファラ送出を切っているブラウザであったり、あるいはプロキシプログラムなどが自動的にリファラヘッダを除去してしまうようなクライアント環境に対しては無効になってしまう。 ということで、そんなクライアントでもなんとかならないだろうかと考えていたときにちょっと思いついた、もしかしたらこの方法なら許
Kazuho@Cybozu Labs: 安全な JSON, 危険な JSON (Cross-site Including?)
« クロスサイトのセキュリティモデル | メイン | E4X-XSS 脆弱性について » 2007年01月06日 安全な JSON, 危険な JSON (Cross-site Including?) 先のエントリで、 JSON については、JavaScript として副作用をもたない (もたせようがない) ゆえに文法違反であるがゆえに、秘密情報を含むデータフォーマットとして使用することができるのです。 (Kazuho@Cybozu Labs: クロスサイトのセキュリティモデル) と書いたのですが、認識が甘かったようです。Jeremiah Grossman: Advanced Web Attack Techniques using GMail によると、配列の初期化演算子 [] の動作を外部から変更することができる注1とのこと。 実際に手元の Firefox 1.5 で試してみたところ、JS
PukiWiki 【FrontPage】
なんだかやけに長い説明ばかり検索に引っかかったので書きました。 Linuxのローカル環境でDockerコンテナ内のXアプリ(GUIアプリ)を利用するには $ xhost localhost + を実行した後に $ docker run --rm --net host -e "DISPLAY" container_image_name x_app_binary_path とすれば良いです。 もっと読む SSHなどよく知られたサービスポートで何も対策せずにいると数えきらないくらいの攻撃リクエストが来ます。不必要なログを増やしてリソースを無駄にし、もし不用意なユーザーやシステムがあると攻撃に成功する場合もあります。 SshguardはC作られており、flex/bisonのパーサールールを足せば拡張できますがカスタム版をメンテナンスするのも面倒です。必要なルールを足してプルリクエストを送ってもマー
Ajaxが招く新たなセキュリティリスク
SPI Dynamicsの研究者によると、未熟なプログラマによるAjaxの実装が深刻な脆弱性を作り出す可能性がある。Black Hatからのレポート。 ラスベガス発――オンライン企業間におけるAjax(Asynchronous JavaScript and XML)技術の普及が急速に進み、Webサイトのインタラクティブ性の向上に一役買うようになった。一方で、経験の浅いプログラマが製作したサイトに潜む数多くの脆弱性が、Web 2.0技術の今後のセキュリティに影を落としているという。 7月31日から8月3日にかけて開催されたセキュリティカンファレンス「Black Hat」で講演を行ったビリー・ホフマン氏は、アトランタに拠点を置くセキュリティソフトウェアメーカー、SPI Dynamicsの研究施設で、主任リサーチエンジニアを務めている人物である。同氏は講演の中で、ごく一般的なAjaxアプリケーシ
XMLHttpProxy - ゆーたんのつぶやき
ちょっと前のエントリですが、SunでAjaxに注力されているGreg Murray氏が Ajaxで複数ドメインに渡ってデータを取得したい場合の対処としてプロクシ を用いる方法を紹介しています。 http://weblogs.java.net/blog/gmurray71/archive/2006/07/the_xmlhttpprox.html 他ドメインとデータをやりとりしたい場合はJSONPが一般的かなという感じがします。 FireFox限定で構わなければgreasemonkeyを使うという手もありますし、Flashなら crossdomain.xmlで対処するのが通例かと思います。 ですが、JSONPのようにクライアント側のスクリプトで対処する場合にはセキュリティ 上の不安もありますし、ブラウザがバージョンアップしてJavaScriptの実行に関する セキュリティを強くした場合に動作し
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
