x86コードのサンドボックス、グーグルの「NaCl」は安全か? - @IT
2009/08/06 Webブラウザ上で、ネットワークからダウンロードしたx86バイナリを安全に実行する――。2008年暮れにグーグルがオープンソースプロジェクトとして公開した「NaCl」(Native Client)は、本当に安全なものに仕上げることができるのか。先日グーグルが主催したセキュリティ・コンテスト、「Native Client Security Contest」でNaClの脆弱性を2つ発見して、日本人で唯一入賞したサイバーディフェンス研究所 上級分析官の福森大喜氏に話を聞いた。 静的解析で安全にx86コードを実行 福森氏は、Webブラウザ上にx86バイナリを実行するサンドボックスを載せるというアイデアを評価する。「基本的には、いい考え。コードに悪意がある場合でも、WebブラウザやOSが被害を受けないようにできている。ソースコードを見た印象ではOSのカーネルに似ている」(福森氏
第12回 [最終回]拡散するWebの脅威 | gihyo.jp
被害範囲の拡大 今回は最終回ということで、Webのセキュリティがどのように変化しているのか、また今後どのように変化していくのかということを考えてみます。 Web2.0という言葉が生まれてから、いろいろなものがWebを用いて提供されるようになってきました。従来のように、ブラウザを起動しアドレスを打ち込み、Webサーバにアクセスするという形態だけではなくなっています。さまざまな場面でWebが使われるようになっており、中にはユーザが気づかない所で使われていることもあります。ここでは、見落とされがちな部分を中心にいくつか例を挙げて説明していきます。 デスクトップとの連携 Googleデスクトップ(図1)は、ユーザのPC内のファイルやネットワーク共有されているファイルを検索できるソフトウェアです。これによりGoogleが持つ強力な検索機能をユーザPC内のファイルに対しても適用することができるようにな
![第12回 [最終回]拡散するWebの脅威 | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/8017528ec50969dbe30aaf48b96ac4694bc14457/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2007%2F049_web20.png)
第11回 ガジェット、ウィジェットのセキュリティ | gihyo.jp
ガジェットは小物か? ガジェットやウィジェットという言葉を聞いたことがあるでしょうか。デスクトップやWebに表示された時計やカレンダーのような小さなソフトウェアのことです。大規模なことを行うソフトウェアではなく、かゆい所に手が届く小物といった位置づけです。HTMLやJavaScriptを使って作られるため、開発もインストールも容易であることが広まった理由だと思います。元々は、「Window + Gadget = Widget」という関係にあったようですが、現在はどちらも同じ意味で使われることが多くなっています。そのため、この記事でも同じ意味として用いることにします。 Windows VistaではWindowsサイドバーという名称でデフォルトでインストールされています。図1の画面右側に表示されているのがサイドバーで、1つ1つのパーツをガジェットと呼びます。 図1 Windowsサイドバー
第8回 Wikiのセキュリティ | gihyo.jp
○:実行される ×:実行されない (バージョンは執筆時点での最新版, OSはWindows XP) ご覧のとおり、ブラウザによって異なる結果になっています。HTMLの構文解析はブラウザによって解釈の異なる部分もあるため、解析しきれないというのが現実です。また、今後各ブラウザがいつ仕様変更されるかもわかりません。 次に以下をご覧ください。攻撃者は以下のようなHTMLを挿入してくることが考えられます。 <H2/onmouseover=alert('xss')>見出し</H2> <H2 onmouseover=alert('xss')>見出し</H2> <H2 style="{javascript:expression(alert('xss'))}">見出し</H2> <H2 style="{a:expression(alert('xss'))}">見出し</H2> <H2 style="{ja
第7回 マッシュアップのセキュリティ | gihyo.jp
マッシュアップサイトの仕組み 前回まで、WebAPIやJSONPのセキュリティについて見てきましたが、これらWebAPIやJSONPが活躍する場といえるのが、マッシュアップです。 マッシュアップとは、複数サイトの情報を組み合わせて1つのサービスを提供することで、新たな価値を生み出すことです。たとえば、地図情報と不動産情報を組み合わせることで、視覚効果の高い不動産検索サービスを提供するものなどがあります。 WebAPIという形で、情報にアクセスするためのインターフェースを提供する企業が増えたことで、簡単にマッシュアップサイトを作ることができるようになりました。 それではまず、マッシュアップサイトの仕組みを説明します。 図1 マッシュアップサイトのイメージ マッシュアップサイトを構成する元となる情報を提供するサイトをコンテンツプロバイダ、マッシュアップによって作られたサイトのことをマッシュアッ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://code.google.com/webtoolkit/releases/release-notes-1.4.61.html
JVN#75130343: Google Web Toolkit におけるクロスサイトスクリプティングの脆弱性
