タグ

関連タグで絞り込む (4)

タグの絞り込みを解除

これはすごいとセキュリティに関するcubed-lのブックマーク (4)

  • XSS: 今こそXSS対策についてまとめよう - 徳丸浩の日記(2008-08-22)

    _今こそXSS対策についてまとめよう 沢出水(さわ いずみ)さんからトラックバックを頂戴した。 元々はホワイトリスト方式の優位は神話というエントリでホワイトリストはどう作る?を引用(批判)した事が発端の模様です。 一見真っ向対決しているようなので興味深く読ませていただいたのですが、正直、両者の主張の違いがわかりません。 どちらもXSS等インジェクション系の対策としてはアプリケーションで入力値が正しい形式の範囲内かチェックし、出力時に必要なエスケープ処理を行う、という結論に思えるんですけど… [ホワイトリストとブラックリストより引用] ご指摘の通りで、XSS対策は入り口でのバリデーションと表示(HTML組み立て)時のエスケープだ。しかし、元ブログの主題はホワイトリストとブラックリストの比較なので、「ただ、表面的に文章を追っただけでは『何をホワイトリストと呼ぶのか』という部分がだいぶ違う印象を

    cubed-l
    cubed-l 2008/08/23
    とても正しい。「HTMLなりJavaScriptの文法をしっかり学ぶこと」正しくHTMLやJavaScriptを出力できていればそれが自ずと対策になる
    リンク

  • Firefox3のオレオレ警告 | 水無月ばけらのえび日記

    ……なんと「そのままアクセスする」とか「一時的に受け入れる」とかいう選択肢がありません。そのかわり「例外として扱うこともできます」という謎のリンクがあります。クリックすると、「例外を追加」というボタンが現れます。 「インターネット接続環境を完全には信頼できない場合や、これまでこのサーバではこの警告が表示されなかった場合は、このサイトを例外として追加しないでください。」という注意書きが。そして例外に追加しようとすると、だめ押しの一撃。 「物の銀行、ショップ、その他公共サイトがこの操作を求めることはありません。」太字で断言ですよ。これは気持ち良い! ここまでされると、物サイトをオレオレ証明書で運用するのもかなり抵抗が出てくるでしょう。 ※興味位で一時的にアクセスしてみたりするのがやりにくくなりますが……。まあ、一般の人はそんなことをする必要がありませんしね。 「Firefox3のオレオレ

    cubed-l
    cubed-l 2008/06/18
    素晴らしい/自己署名証明書を機器のセットアップに用いているベンダの動向が気になるね
    リンク

  • [データセンターを疑似攻撃]クロスサイト・スクリプティング,SQLインジェクション

    (4)クロスサイト・スクリプティング 「クロスサイト・スクリプティング」の手口は,次のようなものだ。一般的なWebブラウザは,信頼性の低いWebページから読み込んだスクリプトを実行しないように設定できる。そのため,ユーザーが閲覧した信頼性の低いWebページに悪意あるスクリプトが埋め込まれていても実行されない。ところが攻撃者は,リダイレクトとHTML タグを組み合わせることで,悪意あるスクリプトを信頼性の高いWeb サイトから配信されたかのように見せかけることができる。そうなると,Web ブラウザの設定にかかわらず, 悪意あるスクリプトが実行されてしまう。 悪意あるスクリプトが実行されると,ユーザーの情報を抜き出されたり,ローカル・ディスクのデータを改竄(ざん)されたりするといった被害を受ける。 もう一つ別の手口を挙げよう。まず攻撃者が,電子掲示板サイトなどに,悪意あるスクリプトを埋め込んだ

    [データセンターを疑似攻撃]クロスサイト・スクリプティング,SQLインジェクション
    cubed-l
    cubed-l 2008/06/04
    XSSの説明と対処が悪い意味ですごい。スターあげたくなる
    リンク

  • JPCERT/CCとの「脆弱性情報ハンドリング」の記録 : DSAS開発者の部屋

    ■ はじめに 「△△製のソフトウェア××に脆弱性が発見された」というニュースが連日のようにネットの上を行き交っています。 このブログの読者にはプログラム開発者の方も多いと思いますが、 自分の携わるソフトウェアの脆弱性を第三者から指摘された経験のある方はどのくらいおられるでしょう? 先日、筆者は「HttpLogger」というフリーソフトウェアのセキュリティホールを修正しました。 そのきっかけとなったのはJPCERT/CC(有限責任中間法人 JPCERT コーディネーションセンター)様から届いた 一通のメールでした。 それから私は同センターと連携し、10日余りの準備期間を経て修正ずみのモジュールの公開と 旧バージョンにおける脆弱性情報の開示を行いました。 この「脆弱性情報ハンドリング」と呼ばれるプロセスに関わったことは、一般的な知名度とは裏腹に 普段あまり身近な存在ではない「JPCERT/CC

    JPCERT/CCとの「脆弱性情報ハンドリング」の記録 : DSAS開発者の部屋
    cubed-l
    cubed-l 2008/01/18
    これはリファレンスになる
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.