‘-‘ という名前の、中身が無いのに70万回ダウンロードされてる謎のnpmパッケージ
– という名前の JavaScript/TypeScript パッケージについて警告を発している記事が話題となっています。 このパッケージ、中身はほとんど空で、Readme と、dev で TypeScript を動かせるようにするライブラリ群を呼ぶ箇所だけのもの。 しかし、この “-” を使っている他の npm パッケージが 50個以上あり、約一年前の公開時からのトータルのダウンロード数は72万回にもなります。 しかし、”-” を読み込んでいるパッケージを見てみても、”-” が必要そうには見えません。 警告記事では、この無名のパッケージが密かに使われるようになった原因が、npm コマンドのコマンドラインを打つときのミスタイプにあるのではないかとの仮説を立てています。 つまり、someFlag というオプションを使い npm i -someFlag somepackage と打つべきところ
「ループURL貼って補導」「Coinhive逮捕」に、“JavaScriptの父”ブレンダン・アイク氏も苦言
「ループURL貼って補導」「Coinhive逮捕」に、“JavaScriptの父”ブレンダン・アイク氏も苦言 JavaScriptのループ機能を使った“ブラクラ”のURLを書き込んだ3人が摘発され物議。昨年には、JavaScriptを使った仮想通貨採掘プログラム「Coinhive」設置者が逮捕された。これらの事件について“JavaScriptの父”ブレンダン・アイク氏が意見を述べ注目を集めている。 JavaScriptのループ機能を使ってポップアップが繰り返し表示されるサイトのURLを掲示板に書き込んだとして、不正指令電磁的記録(ウイルス)供用未遂の疑いで中学生が補導され、男性2人が家宅捜索を受けた事件がネットで波紋を呼んでいる。「これだけで補導や家宅捜索はやり過ぎだ」と警察を批判する声も強い。 似た事件として昨年、JavaScriptのプログラムを使い、サイト閲覧者に仮想通貨をマイニング
不正プログラム書き込み疑い補導|NHK 兵庫県のニュース
クリックすると同じ画面が表示され、消えなくなる不正なプログラムのアドレスをインターネットの掲示板に書き込んだとして、13歳の女子中学生が兵庫県警に補導されました。 補導されたのは、愛知県刈谷市に住む中学1年生の13歳の女子生徒で、警察によりますと、インターネットの掲示板に、不正なプログラムのアドレスを書き込んだ疑いがもたれています。 このプログラムでは、クリックすると、画面の真ん中に「何回閉じても無駄ですよ〜」という文字や、顔文字などが表示され続けるよう設定されているということです。 書き込みを見つけた警察が、インターネットの接続記録を調べ、4日、補導しました。 また、同じアドレスを別の掲示板に書き込んだ疑いで、山口県の39歳の無職の男と鹿児島県の47歳の建設作業員の男のそれぞれの自宅も捜索しました。 今後、書類送検する方針です。 警察によりますと、3人に面識はなく、それぞれネット上の別の
スマートフォンアプリへのブラウザ機能の実装に潜む危険 ――WebViewクラスの問題について
はじめに AndroidにはWebViewと呼ばれるクラスが用意されています。簡易的なブラウザの機能を提供しているクラスで、URLを渡してHTMLをレンダリングさせたり、JavaScriptを実行させたりすることができます。内部ではWebKitを使用しておりAndroidの標準ブラウザと同じような出力結果を得ることができるため、このクラスを使用することで簡単にWebブラウザの機能を持ったアプリケーションを作成できます。 しかし、その簡単さ故、使い方を誤ったり仕様をよく把握していなかったりすると、脆弱性の元になります。今回はこのWebViewクラスの使い方に起因する脆弱性について見ていくことにしましょう。 WebViewクラスとJavaScript WebViewクラスを使用した場合、注意しなければならないのはJavaScriptを有効にした場合です。デフォルトではJavaScriptの機能
サイトに来た人のブラウザ画面をリアルタイム閲覧できる「SiteSupport」 - GIGAZINE
訪れたユーザーがページのどこをどう見て、どのように移動し、どのあたりで詰まるのか、そういった各種行動を把握するためにユーザーのデスクトップ自体をリアルタイムにリモートデスクトップっぽく見ることを可能にするというのがこの「SiteSupport」です。 SiteSupport - Remote Desktop for Web Apps http://sitesupport.com/ ブラウザのセッションを共有し、特別なソフトウェアをインストールする必要性は一切無し。JavaScriptのウィジェットをサイトに設置すればユーザーのデスクトップをリモートで見せてもらう仕組みを簡単に導入することが可能であり、APIが提供されているので自分の好きなようにカスタマイズすることも可能、全部のコネクションはSSL経由であるためセキュリティも万全です。 実際にどのような感じで動作するかというのは以下のムービ
私はいかにしてソフトバンク端末60機種のJavaScriptを検証したか - ockeghem's blog
昨日のソフトバンクの非公式JavaScript対応の調査結果 | 徳丸浩の日記で報告したように、昨年5月に、ソフトバンク60機種の検証を行い、JavaScript対応の状況などを調査しました。当時はまだ公式なJavaScript対応機種はない状態でしたが、既にほとんどの端末が *非公式に* JavaScriptに対応していました。 このエントリでは、検証の様子を報告します。 なぜJavaScript対応状況を調査したか http://www.hash-c.co.jp/info/20091124.htmlを公表した前後に、とある方(この方)から、ソフトバンクのケータイでもJavaScriptが動作すると伺いました(参考のやりとり)。XMLHttpRequestも含めてJavaScrptが動くと教えていただいた932SHを私も購入して調べたところ、以下が判明しました。 確かにJavaScrip
JavaScriptを無効にしているユーザは1.3% | エンタープライズ | マイコミジャーナル
Yahoo! Developer Network WebサイトやWebアプリケーションを開発する場合、JavaScriptとCSSは欠かせない状況になっている。しかし中にはJavaScriptを無効しているユーザもいるため、JavaScriptやCSSを必須構成にして設計したサイトやWebアプリケーションは、こうしたユーザに対して情報を提供できないことになる。気になるのは具体的にどの程度のユーザがJavaScriptを無効にしているのか、というところにある。 米国サイトにおけるアクセス分析の結果であるため日本のサイトでも同じデータが適用できるがわからないが、興味深い報告がYDNブログに掲載されている。米国のYahoo!サイトアクセスログから検索エンジンのクローリングやボットからのアクセス、スパムアクセスなどを除外して、リアルユーザのアクセスのうち何%がJavaScriptを無効にした状態で
2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について
【お知らせ】 9 月 21 日午後 11 時頃、公式サイドから脆弱性が修正されたとの発表がありました。 はじめに 2010 年 9 月 21 日、ツイッターで深刻な脆弱性(ぜいじゃくせい)が発見され、被害が広がっています。これが何なのか、簡単に説明します。 JavaScript とマウスオーバーイベント まず、下のピンク色の枠内にマウスカーソルをすべらせてみてください。 この枠の中をマウスカーソルで触って! どうでしたか。「触ってくれてありがとう!」というメッセージが表示されましたね。 このように、ウェブページには簡単なプログラムを仕込むことができます。どのウェブブラウザー(皆さんがウェブを見る時に使うソフトウェア。インターネットエクスプローラーなど)でも共通で使える「JavaScript (ジャバスクリプト)」という言語が一般的に使われています。 今回は、ページ上のある部分にマウスカーソ
yebo blog: SNMPインジェクション
2008/10/23 SNMPインジェクション Bugtraq によると、SNMPを経由して組み込み系デバイスに対して、永続的なHTMLインジェクションを可能にする攻撃 (SNMPインジェクション) が可能なことが分かったそうだ。元々はZyXELのゲートウェイをハッキングしている中で見付かった攻撃法で、SNMPの書き込みが出来る事が条件になるが、SNMPのパラメータを通じて悪意のあるHTMLやJavaScriptコードを送り込むことが可能になるそうだ。SNMPの書き込みのコミュニティ名は出荷時は簡単な値 (典型的な例では private) になっており、これを放置しているユーザは非常に多いと考えられる。この攻撃方法は Cisco、Proxim、3Com などのネットワークデバイスでも使えるそうだ。 例えば、下記のように実行するとユーザのWebコンソールに警告ウィンドウが表示されてしまう。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
