[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

タグ

xssに関するmuamqmのブックマーク (6)

  • フロントエンド開発のためのセキュリティ | 第1回 XSSの傾向と対策

    フロントエンド開発のためのセキュリティ 第1回 XSSの傾向と対策 シリーズではフロントエンドの開発に関係するセキュリティについて、理解を深めます。第1回目はXSS(クロスサイトスクリプティング)です。実装失敗例を挙げつつ、対策のポイントを解説します。 セキュリティはサーバーサイドの問題? セキュリティに関わるミスは「知らなかった」ではすまされない場合が、往々にしてあります。 ちょっとしたミスでプログラムにバグを作ってしまい、サービスが一部動かなくなったとしても程度にもよりますが、すぐに修正すれば一部のユーザーに少し不便をかけてしまう程度ですむでしょう*。 *注:サービス運営 この記事ではセキュリティ技術的な側面を扱います。ユーザーに不便をかけてしまったことに対するサービス提供側の倫理的問題についてはそのつど言及はしませんが、これらの側面を軽視すべきでないことはいうまでもありません。

    フロントエンド開発のためのセキュリティ | 第1回 XSSの傾向と対策
  • 知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法

    知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法:HTML5時代の「新しいセキュリティ・エチケット」(3)(1/2 ページ) 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。前回は、同一オリジンポリシーを突破する攻撃の代表的事例であるXSSについて、特にDOM based XSSと呼ばれるものについて解説しました。今回はその続きとして、XMLHttpRequestによるXSSを解説します。 XHR Level 2によるリモートからのコード挿入によるXSS 従来、XMLHttpRequest(以下、XHR)は、表示しているドキュメントと同じオリジン(オリジンについては第1回を参照)としか通信できませんでしたが、現在の主要なブラウザーではXHR Level 2と呼ばれる実装により、オリジンを超えて通信することが可能になっています。 これは、Jav

    知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法
  • jQuery 1.9 の $.parseHTML とかその辺 - ほむらちゃほむほむ

    まえがき 2013/01/15 に jQuery 1.9 と 2.0 ベータがリリースされて,サポートブラウザがどうとか互換性がどうとかいうお話がちらほら出る中,jQuery 1.6.3 から続く jQuery('セレクタだと思ったら要素生成でこんにちはこんにちは') 問題 への対応に一応の終止符が打たれたのでいろいろ書いてみる. ver 1.6.2 以前 jQuery の 1.6.2 までは $(String) としたとき,「String になんか( HTML の)タグが入ってるっぽいぞ」と判断すると要素を生成し,そうじゃなければ CSS 的なセレクタとして振る舞うという機能がありました. 大抵の場合,大きな問題はなかったのですけども,ユーザ入力からセレクタを組み立てるときに問題になりました. とくに '#' を含んだ文字列で ID セレクタとして振舞わせようとするのが典型的で,なかでも

    jQuery 1.9 の $.parseHTML とかその辺 - ほむらちゃほむほむ
  • XSSを放置してたら数十分でサイトのデザインが出来上がってた件

    作ってたオンラインゲームの通信部分らしきものがなんとなく出来上がったので、適当にチャットもどきを作り上げて公開してま(す|した)。 ここです http://osyoyu.com/client/ ところで、WebSocket+MessagePackを使った通信が実装できたことで嬉しくなって、XSS対策とか忘れてました。 そこに目をつけた @kyonfuee さんがjQueryを実行しまくってデザインしてくれました(!?) ありがとうございます!! before (お世辞にも良いデザインとは言えない): っていう感じになってました。気づかないうちに簡素なページが豪華になってました。感動…!! あと誰だ愛理をbackgroundにしたの。次からはできればロリっ娘でお願いします。 結論: XSSは積極的に放置して行け あ、最終的には em-websocket がバグって死んだっぽいので, 暇があっ

    muamqm
    muamqm 2012/10/08
    ワロタけど笑いづらいな
  • はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知

    はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28

    はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
  • 世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?

    皆さんこんにちは、川口です。コラムの第6回「IPSは“魔法の箱”か」でまっちゃ139で講演をしたお話を書きましたが、今度は関東でやっている「まっちゃ445」にお招きいただき、お話ししてきました。 まっちゃ445は募集開始から定員が埋まるまでがとても速く、今まで参加したことがなかったのですが、今回は運良く(?)講師側ということでキャンセル待ちにならずに参加することができました。ロックオンの福田さんがオープンソースのECサイト構築システム「EC-CUBE」に脆弱(ぜいじゃく)性が発見された際のインシデントハンドリングのお話をされていました。EC-CUBEにSQLインジェクションとクロスサイトスクリプティング(以下、XSS)が発見されたあとの対応のお話です。JSOCで日々インシデントにかかわっているいる自分としてはとても興味深い内容でした。 日エンジニアセキュリティ意識は過剰? 今回のよう

    世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
    muamqm
    muamqm 2009/03/27
    ふぅーむ
  • 1