■ - hoshikuzu | star_dust の書斎
■XSS脆弱性悲喜こもごも XSS脆弱性関連で本日嬉しかったこと1 はてなのサービスのXSS脆弱性をはてなさんに報告したら5分以内に返事が返ってきたこと。これは嬉しいですね。私がはてなを継続的に使うのはこういうマジメさが好きだからです。 とはいえ、恐らく、通常のXSS脆弱性対処策がとれないはずですので、対処は非常に難しいと思います。はてなユーザはログインしたまま、かつJavaScriptオンの状態でうろつきまわるのはやめましょう。Cookieを盗まれます。そして乗っ取られます。制御権を奪われます。あなたのIDが奪われます。 私の対策は、はてなダイアリーを編集する時にだけログオンし、しかもJavaScriptを切ります。日記をアップしたらそそくさとログアウトします。JavaScriptが有効でないと利用できないはてなの各種サービスは一切利用しません。無防備のまま信頼できないサイトの訪問もしま
hoshikuzu | star_dust の書斎 XSS脆弱性修正に失敗してしまった駄目な例
■XSS脆弱性修正に失敗してしまった駄目な例 はじめに 本件は本日IPAに報告したものです。未修正の脆弱性を抱えているサイトについてつまびらかにすることは宜しくありませんし、そのことは重々承知しております。しかしながら色々な意味で非常に教訓的ですので、やや辛口の意見をここに書くことにしました。 XSS脆弱性があったのはどんなサイトでどんなページか 世界的に有数の超優良営利企業であり、主たる利益をITのセキュリティ方面で叩き出している某企業の公式サイトです。XSS脆弱性が存在するページは、その企業の収益を支える基幹ないし中核部分を担うサービスを行うCGIページです。 過去の恥辱と現在と 該当するページには、最近のことではありませんが、かつてXSS脆弱性が存在することが明らかになり広く報道された経緯があります。セキュリティ方面の企業としてはいかがなものかという評価を誰もが下すことでしょう。 そ
■ - hoshikuzu | star_dust の書斎
■CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね そのうち整理され、まとまった情報が日本語で出ることでしょうけれど。とりあえず。 Secunia - Advisories - Internet Explorer "mhtml:" Redirection Disclosure of Sensitive Information Secunia - Internet Explorer Arbitrary Content Disclosure Vulnerability Test CSSXSS脆弱性と同じ方向性のIEの脆弱性が発見され、実証コードがSecuniaでデモンストレーションされています。 このことによりログイン中の本人でないと閲覧できないはずの情報が、罠ページを踏むことで悪意ある者に盗まれます。セッション管理にも影響あり。最悪乗っ取りまで考えられるかも… mhtml
hoshikuzu | star_dust の書斎 年齢を当てる
■不等式の証明 4つの正数、a,b,c,d が、 abcd=1 を満たすとき、a^2 + b^2 + c^2 + d^2 + ab + ac + ad + bc + bd + cd は10以上であることを示せ。 ちょっと見、わかんない… あ、わかった(^^) ■年齢を当てる 以下は私が解けていないパズル。高名らしい。答えは知りません。 2人の金髪の女性が通り沿いのカフェで座っていた。最初の女性は、彼女には3人の娘達がいると言った。3人の娘達の年齢を、それぞれ全て掛け合わせると36になること、それぞれ全て加えると、丁度、(そこからみえる)通りの向こう側の家の数番号になるのだと言った。2番目の金髪の女性は、それだけの情報では3人の娘達のそれぞれの年齢は判らないと応えた。すると最初の女性はそのことを肯定し、さらに情報を付け加えて『一番上の娘は美しい青い目をしているのよ』と応じた。すると2番目の女
■ - hoshikuzu | star_dust の書斎
■はてなダイアリー本体のXSS脆弱性 background 属性の XSS 脆弱性について::はてなダイアリー日記 あれ?いつからはてなダイアリーではHTMLの意味でのbackground属性が使えるようになったのでしょう。background属性でXSS脆弱性が発見されたようですけれど。 はてなダイアリーはHTML4.01を採用しています。background属性はbody要素でのみ有効なはず。はてなダイアリーでは当初、background属性など許可されていなかったはずです。だって、スタイルシートが使えるのが売りですしね。background属性など必要ないでしょう。悲しみながら調べてみます。 更新履歴-はてなダイアリー利用可能タグとは::はてなダイアリー 更新履歴-はてなダイアリー利用可能タグとは::はてなダイアリーから引用すると、どうも以下のようです。 ■更新履歴 (snip) 利
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
