TechCrunch
Smartphone sales have had their worst quarterly performance in over a decade, and fact that raises two big questions. Have the latest models finally bored the market with mere incremental improvements AI adoption among Mac app users is booming, according to a new report from app subscription service Setapp that found that 42% of Mac users today report using AI-based apps on a daily basis, and 63%
PHPのイタい入門書を読んでAjaxのXSSについて検討した(3)~JSON等の想定外読み出しによる攻撃~ - ockeghem(徳丸浩)の日記
昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。今回はJSON等の想定外読み出しによる攻撃です。これら攻撃手法は本来ブラウザ側で対応すべきもので、やむを得ずWebアプリケーション側で対応する上で、まだ定番となる対策がないように思えます。このため、複数の候補を示することで議論のきっかけにしたいと思います。 まず、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します(同書P20の図1-23)。 前回、前々回は、(5)のHTTPレスポンスの前後で、JSON等のデータ作成(エンコード)に起因するevalインジェクションや、(5)のレスポンスを受け取った後のHTMLレンダリングの際のXSSについて説明しました。 しかし、問題はこれだけではありません。正常
PHPのイタい入門書を読んでAjaxのXSSについて検討した(2)~evalインジェクション~ - ockeghem(徳丸浩)の日記
昨日の日記の続きで、Ajaxに固有なセキュリティ問題について検討します。タイトルはXSSとなっていますが、今回紹介する脆弱性はXSSではありません。 作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeから、Ajaxを利用したアプリケーションの概念図を引用します(本書P20の図1-23)。 Ajaxのアプリケーションでは、XMLHttpRequestメソッド等でデータを要求し、サーバーはXML、JSON、タブ区切り文字列など適当な形式で返します。ブラウザ側JavaScriptでは、データ形式をデコードして、さまざまな処理の後、HTMLとして表示します。以下に、Ajaxのリクエストがサーバーに届いた後の処理の流れを説明します。 サーバー側でデータを作成、取得 データ伝送用の形式(XML、JSON、タブ区切り文字列等)にエンコード
PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) - ockeghem's blog
このエントリでは、あるPHPの入門書を題材として、Ajaxアプリケーションの脆弱性について検討します。全3回となる予定です。 このエントリを書いたきっかけ twitterからタレコミをちょうだいして、作りながら基礎から学ぶPHPによるWebアプリケーション入門XAMPP/jQuery/HTML5で作るイマドキのWeという本を読みました。所感は以下の通りです。 タレコミ氏の主張のように、本書はセキュリティを一切考慮していない 主な脆弱性は、XSS、SQLインジェクション、任意のサーバーサイド・スクリプト実行(アップロード経由)、メールヘッダインジェクション等 脆弱性以前の問題としてサンプルスクリプトの品質が低い。デバッグしないと動かないスクリプトが多数あった 上記に関連して、流用元のソースやデバッグ用のalertなどがコメントとして残っていて痛々しい 今時この水準はないわーと思いました。以前
ここが危ない!Web2.0のセキュリティ 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
Ajaxアプリケーション開発における7つの大罪 - builder by ZDNet Japan
Ajaxは近ごろ人気を集めているが、その人気は伊達ではない。Ajaxを使うことで、より迅速に、より効率良く、より動的なアプリケーションを開発することができるのだ。しかし、Ajaxには固有の落とし穴もあるのだ。 こういった落とし穴は一見したところ、単なる常識を使うことで避けられるように思える。そして、この見方はある意味において正しい。しかし、Ajaxアプリケーションはその先祖にあたるDHTMLとはアーキテクチャが大きく異なっているのだ。あなたがアプリケーション開発作業においてどれ程の常識を発揮しようと、先人たちの犯した過ちから学んでおく方が良いことに変わりはない。そこで、こういった過ちを7つの大罪と呼ぶことにする。ただし、過ちは決してこれらだけに留まらない。 事実、こういった7つの大罪のいずれかを犯す前により小さな過ちを犯す可能性が高い。このため、まずはこのような小罪を7つ見てみることにしよ
Ajax普及でHTTP圧縮の利用率が上昇 - @IT
2007/08/20 調査会社の米ポート80ソフトウェアは8月16日(現地時間)、フォーチュン1000企業のWebサイトで利用されているWebサーバやアプリケーションサーバのシェアについての最新の調査結果を発表した。調査によれば、過去1年でマイクロソフトのIIS 6.0のシェアが9.5ポイント上昇して36.5%となり、IIS 5.0の18.10%を逆転。OSSのWebサーバ、Apacheの24.9%をしのぐ普及率となった。IISのバージョン4~7の合計シェアは55%。レポートでは、IIS普及の要因としてASP.NET利用が進んだことを挙げている。 同じくフォーチュン1000企業のWebサイトを対象とした調査で、アプリケーションサーバのシェアはASP/ASP.NETがトップで51.5%のシェアと2年前から7.9ポイントの上昇。J2EE、JSP、WebLogic、WebSphere、TomCa
待望のAjax Webアプリケーションフレームワーク"Ext 1.1"登場 | エンタープライズ | マイコミジャーナル
Ext JS, The Ext teamは1日(米国時間)、Extの最新版となる「Ext 1.1」を公開した。ExtはJavaScriptで開発されたWebアプリケーションフレームワーク。スタンドアロンで提供されているフレームワークで、軽量HTMLエディタ、新しいExt.Ajaxユーティリティクラス、拡張されたDateFieldおよびDatePickerコンポーネント、整備されたドキュメントなどに特徴がある。以前のバージョンと比較してバグ修正も実施されている。 Ext 1.1では、とくに他のサードパーティライブラリへの依存がなくなった点が特徴的。このためExtを使ってWebアプリケーションを開発する場合にはExtだけを用意すればよくなった。ただし他のライブラリと共有するためのアダプタ機能は引き続き提供されるため、デベロッパのチョイスで複数のライブラリやフレームワークを組み合わせて使うことも
【Symposium/ITxpo】こんなAjaxは失敗する,Gartnerのアナリストが指南
「AjaxはSOA(サービス指向アーキテクチャ)のフロントエンドに向いており,企業ITシステムの世界でも,メインストリームになるのは間違いない。しかしAjaxは2年内に『差異化のポイント』ではなくなる。流れはRIA(リッチ・ユーザーインターフェース・アプリケーション)にあるのであって,(RIAの実現手段は)Ajaxだけではない」--そう指摘するのは,米GartnerのResearch DirectorであるRay Valdes氏(写真1)だ。 Valdes氏は4月22日から26日(米国時間)まで米国サンフランシスコで開催された「Gartner Symposium/ITxpo 2007」で,「Ajaxの限界とRIAの可能性」と題する講演を行い,企業ユーザーが注意すべき「Ajaxの落とし穴」を指摘した。 「Ajaxは死んだ--とまでは言わないが,少なくとも2年内にAjaxは主流になり,差異化の
第1回 Ajaxとクロスサイトスクリプティング | gihyo.jp
初回はWeb2.0の中核技術ともいえるAjaxを見ていきたいと思います。 Ajaxのセキュリティについて考えていきますが、その前にAjaxについて簡単におさらいしてみましょう。 AjaxとはAsynchronous JavaScript XMLの略であり、一言で言えばJavaScriptとXMLを使って非同期に通信するということです(XML以外の形式が使われることも多くなりました)。通信を非同期にすることで、何か処理をする場合にいちいち待たなくても次の処理に移ることができます。その結果、ユーザを待たせずに多くの処理を行えるようになりました。また、画面全体を再読み込みする必要がなくなったことも、使い勝手の向上した理由です。 Ajaxの動作 それでは簡単なサンプルコードでAjaxの動作を見ていきたいと思います(リスト1)。これらはAjaxの入門サイトや書籍で一番最初に出てくるコードです
古いブラウザや低スペックな端末に対応したAjaxライブラリ:LoJAX:phpspot開発日誌
[brothercake] LoJAX LoJAX is a re-creation of the window.XMLHttpRequest object, designed for low-specification and legacy browsers古いブラウザや低スペックな端末に対応したAjaxライブラリ。 Prototype.jsなんかは、IEの場合、IE6のみサポートだったりします。 今回紹介するLoJAXライブラリは次のブラウザに対応しているようです。なんとPSPも。 Sony PSP (Version 2.00 or later) PSP (Version 2.00 or later) Opera 5, 6 and 7 (Versions 5.0 to 7.5 inclusive) Mac/IE5Mac/IE5 (Version 5.0 or later) Konque
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
