2007/08/01(水)水曜日ー。(夏らしくなってきましたね♪)
[セキュリティ] * クライアントサイドでのXSS対策 (yohgaki’s blog)
「* Anti XSS AJAX (Infinite Loop)
」の紹介。 ページ出力時に正規のスクリプトタグにランダムなid属性を付与することで、攻撃者が混入したスクリプトタグを識別して記録&警告するコンセプトコード。 アイディアとしては面白いのかも知れませんが、こんなことする前に、普通に着実にエスケープをして欲しい気がw また、スクリプトタグだけをターゲットにしていますが、実際には、他のタグで イベントハンドラや style属性や javascript:スキームなどを用いてスクリプトを実行させることが可能ですので回避可能ですよね。 あと、チェックする関数よりも後方にタグを出力できれば回避可能ですし、それを見越してチェックする関数を一番最後に置いているとしても </script> なしに <script src=http://example.jp/xss.js> したり、その他 後方に置かれたチェック用スクリプトの実行を妨害する手段が考えられそうに思えます。 (チェック関数を onLoad= で呼ぶとか色々改善も可能かも知れませんが。) そして、何よりも・・・悪意あるスクリプトを実行させられた後に警告が表示されたとしても手遅れな気がしますが。(^-^;;[雑談] * 手術中に病院が停電、しかし携帯電話の明かりで無事成功 (GIGAZINE)
明かり以外にも、手術中に止まったら困るような機械がたくさんありそうな気もしますが。(汗[出来事] * 今度は「vvindovvs.com」−「vv」を使ったドメイン名が相次ぐ (ITPro)
先日の「vvindowsupdate.com」に続いて、「vvindovvs.com」なども出てきているそうです。[ツール] * 「mixiツールバー」登場 (ITmedia)
マイミクさんの新着日記を取得したり、ワンクリックで日記投稿画面にアクセスしたり、検索窓からmixi内を検索したりできる、IE用ツールバーだそうです。 ミクシィ純正。関連: * 「mixiツールバー」、機能追加のお知らせ (株式会社ミクシィ)
「* Anti XSS AJAX (Infinite Loop)
」の紹介。 ページ出力時に正規のスクリプトタグにランダムなid属性を付与することで、攻撃者が混入したスクリプトタグを識別して記録&警告するコンセプトコード。 アイディアとしては面白いのかも知れませんが、こんなことする前に、普通に着実にエスケープをして欲しい気がw また、スクリプトタグだけをターゲットにしていますが、実際には、他のタグで イベントハンドラや style属性や javascript:スキームなどを用いてスクリプトを実行させることが可能ですので回避可能ですよね。 あと、チェックする関数よりも後方にタグを出力できれば回避可能ですし、それを見越してチェックする関数を一番最後に置いているとしても </script> なしに <script src=http://example.jp/xss.js> したり、その他 後方に置かれたチェック用スクリプトの実行を妨害する手段が考えられそうに思えます。 (チェック関数を onLoad= で呼ぶとか色々改善も可能かも知れませんが。) そして、何よりも・・・悪意あるスクリプトを実行させられた後に警告が表示されたとしても手遅れな気がしますが。(^-^;;[雑談] * 手術中に病院が停電、しかし携帯電話の明かりで無事成功 (GIGAZINE)
明かり以外にも、手術中に止まったら困るような機械がたくさんありそうな気もしますが。(汗[出来事] * 今度は「vvindovvs.com」−「vv」を使ったドメイン名が相次ぐ (ITPro)
先日の「vvindowsupdate.com」に続いて、「vvindovvs.com」なども出てきているそうです。[ツール] * 「mixiツールバー」登場 (ITmedia)
マイミクさんの新着日記を取得したり、ワンクリックで日記投稿画面にアクセスしたり、検索窓からmixi内を検索したりできる、IE用ツールバーだそうです。 ミクシィ純正。関連: * 「mixiツールバー」、機能追加のお知らせ (株式会社ミクシィ)