クリックジャッキング対策、あるいはクリックジャッカーをジャックする方法
クリックジャッキング対策、あるいはクリックジャッカーをジャックする方法 2009年03月05日 12:24未分類 クリックジャッキングというのが話題になってるみたい。 主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは クリックジャッキングってこうですか? わかりません クリックジャック – 素人がプログラミングを勉強するブログ 404 Blog Not Found:javascript – クリックジャック殺しなbookmarklet 全ての人にとって有効な防御策がなかなか見あたらないみたいで おそろしいですね。 せめて自分が運営しているサイトが その対象にならないようにしたいところ。 というわけで こういう JavaScript を仕込んでおいてはどうかと思います。 添削歓迎。 →ご指摘いただいて書き換えました。 if (window.top !== window.self)
bookreader.js
bookreader.jsは、長文を縦スクロールではなく、横スクロールで表示し読みやすくするJavaScriptライブラリです。 →プロジェクトのホーム (Google Code) - New!! →ダウンロード(ver 0.4.6) - 2009/04/18公開 ※ダウンロードの詳細については、こちらのページをご覧下さい。 まずは、このページで体験してみて下さい。キーボードの[→]/[←]キーが、「進む」あるいは「戻る」に対応します。画面上に表示される、半透明の▶/◀ボタンをクリックしてもOKです。使い方の詳細は「ヘルプ」を参照ください。 次期バージョンの開発状況 幸いにしてさまざまな方からフィードバックをいただきました。ありがとうございます。それを元に機能の絞り込みとWEBサイトへの「組込み方」について検討を行っています。まだ、実装の方針が定まった、という段階ですが次期0.8.x系のサ
色分け、自動補完機能などを備えたJavascriptで出来た高機能なコードエディター『CodePress』 | POP*POP
コードを書く人には便利そうなツールのご紹介。 ↑ かなり高機能なエディターです。是非触ってみてください。 JavascriptでできたCodePressを使えば、以下のようなことができてしまいます。 コードを色分け(定数や命令文などがわかりやすくなりますね)。 命令を書いてTABを押すと対応する括弧などを自動補完。 括弧を自動補完。 ショートカットを装備(CTRL+SHIFT+SPACEで「 」など) 対応している言語はPHP、JS、Java、Perl、SQL、HTML、CSSとのこと。これはかなり使えるのでは・・・。 実際の動作デモ&ダウンロードは以下からどうぞ。 » CodePress – Real Time Syntax Highlighting Editor written in JavaScript
JavaScriptボットネット・コードがインターネットに流出――Webブラウザを攻撃者のツールに変質させる | OSDN Magazine
ユーザーが気づかないうちにWebブラウザを攻撃者のツールに変えてしまうソフトウェアがインターネットにポストされたことが明らかになった。この事態は、今年3月に米国ワシントンD.C.で開催されたハッカー・コンファレンス「ShmooCon」(3月23~25日)の会場で来場者の1人がこのソフトウェアをダウンロードしたことから始まった。 「Jikto」と呼ばれる同ソフトウェアは、スパイ・ダイナミクスの主任研究員であるビリー・ホフマン氏が作成した。同氏は3月24日、JavaScriptを使った悪意のあるプログラムの危険性をテーマとした講演でこのコードのデモンストレーションを行った。 ホフマン氏は、あらゆるWebブラウザで稼働させることができるWeb言語であるJavaScriptを使ってWeb脆弱性スキャン・プログラムを作成する方法を発見した。この手法を使えば、JavaScriptのセキュリティ機能を迂
第2回 Webブラウザが乗っ取られ,犯罪者の支配下に
Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた,2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。第2回目となる今回は,今そこにある危機に迫る。 Zone-Hの場合,犯人は自己顕示を目的としていたため,被害はページ改ざん程度で済んだ。しかし,犯罪者の狙い次第で危険度はもっと高まる(図3)。 図3●XSSのぜい弱性を突くことで可能になる攻撃 キー入力の盗難や他サイトへの攻撃などユーザーが知らないうちに,背後での攻撃が可能になる。 [画像のクリックで拡大表示] 例えば銀行や証券会社のWebサイトにXSSの穴があれば,クッキーを盗まれ,不正送金などにつながるかもしれない。盗んだクッキーを使って業務で使用しているWebメールを盗み見られれば,開発や営業の資
第1回 悪意のJavaScriptで情報が漏えい:ITpro
Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた,2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。従来の脅威対策は全く通用しない。今この瞬間にも,エンドユーザーは個人情報を盗まれる危険にさらされている。 ブログ/SNSなどユーザー発信型のサイト,Ajax,RSS──。華やかさがクローズアップされるWeb 2.0。ところがその裏側では,エンドユーザーに情報盗難などの危険が広がっている(図1)。インターネット・バンキングやEC(電子商取引)サイトのユーザーIDやパスワード,クレジットカード番号はもちろん,企業内のシステムにアクセスするためのパスワードや,パソコンに読み込んだ機密文書データなど,対象はあらゆる情報だ。 2006年12月末,米国のセキュリテ
hoshikuzu | star_dust の書斎 InternetExplorer6::base要素のstyle属性が全要素に効くのでJavaScriptも記述し放題
下のソースでローカルにHTMLファイルを作りIE6で開く。一行目はおまじないなので省略しない。img要素とかbr要素とかが泣ける。 <!-- saved from url=(0014)about:internet --> <html> <head> <title>nandakore</title> </head> <body> <base id="b00" style="width:expression(setTimeout(this.innerText,0))"> <pre> resizeTo (400, 400); </pre> <img> document.title='areare'; </img> <br> var hoge = 'foo'; </br> <blockquote> window.status = hoge; </blockquote> </body> </html
0.5秒分の価値 : 404 Blog Not Found
2006年10月16日07:30 カテゴリLoveLightweight Languages 0.5秒分の価値 以下の下りを見て思わず作ってしまったのが→。 ここギコ!: 死ぬ死ぬ詐欺に募金した もしかして本当に詐欺ならネットパワーの勝利だが、もしこれがネットの暴走によるデマの拡大再生産で、一人の命が失われるとしたら悲しすぎる。 「404 Blog Not Found:javascript - 借金時計をブログパーツに」とコードはそれほど変わらないのであっという魔にできてしまった。 貼りたい人は、以下をコピペ。 <script src="http://blog.livedoor.jp/dankogai/js/wpclock.js" type="text/javascript"></script> <script type="text/javascript">//<
「Web 2.0」導入が進む中、後回しにされるセキュリティ - CNET Japan
「Web 2.0」は、ウェブサイトで実現できることの限界を拡張する新技術として、導入が急速に進んでいる。しかし、機能を追加しようと急ぐあまり、セキュリティが後回しにされていると、専門家は指摘する。 Web 2.0の流行には、高額な参加費のカンファレンス、大量に生まれる新興企業、革新的な企業(「MySpace」を保有していたIntermix Mediaや「Writely」を開発したUpstartleなど)の巨額買収といった特徴から、1990年のインターネットブームを思い起こさせるところがある。そして、また別の面でこうした既視感をいっそう強く抱いている専門家たちもいる。デスクトップソフトウェアが登場して間もない頃と同じように、開発の推進力となっているのはすべて機能に関することで、セキュリティの確保はおろそかにされていると、専門家たちは話す。 ウェブセキュリティ企業のSPI Dynamicsでリ
blog.8-p.info: Amazon のレーティングが Ajax っぽい
ちょっと前に Amazon.co.jp の買った商品のレーティング画面が、昔ながらの「全部のラジオボタンを変更してから送信してページ遷移」から「変更即送信ページ遷移無し」の、いわゆる Ajax っぽい動きになっていた。便利になったと喜んでいたので、こういう文章を読むとあせる。 CNET Japan Blog - 中島聡・ネット時代のデジタルライフスタイル:既存のウェブサイトをAJAX化する意味が本当にあるのか? ちなみに、上の質問に対する私の答えは「たぶん無いでしょう。アマゾンがAJAX化しないのは理由があると思います。AJAX化したとしても売り上げが上がるとは私には思えません」である。 ソースを読んでみたら確かに XMLHttpRequest は無いんだけど、window.location.href に代入してリクエストを投げて、サーバー側が「HTTP 204 No Content」とい
我的春秋: JavaScript ソースが HTML から消える日
[2006-06-10 付記]このエントリーは、2006-01-05 時点のもので情報が古くなってます。現時点で把握している最新情報を「続 JavaScript ソースが HTML から消える日」にアップしましたので、あわせてご参照ください。 Behaviour.js ― JavaScript ソースを (X)HTML から完全分離できるライブラリ 昨日、職場の同僚の人がたまたま見つけた JavaScript ライブラリを教えていただたんですけど、これがもうびっくり!なんと、このライブラリがあれば、イベントハンドラーも含めて JavaScript ソースが (X)HTML の body 内から、ほぼ完全に分離できてしまいます! しかも、HTML 内で JavaScript 関数を適用する場所は、なんと JavaScript ソース内に CSS セレクタを書き込むことで指定!あまり日本では取
ウェブリブログ:サービスは終了しました。
「ウェブリブログ」は 2023年1月31日 をもちましてサービス提供を終了いたしました。 2004年3月のサービス開始より19年近くもの間、沢山の皆さまにご愛用いただきましたことを心よりお礼申し上げます。今後とも、BIGLOBEをご愛顧賜りますよう、よろしくお願い申し上げます。 ※引っ越し先ブログへのリダイレクトサービスは2024年1月31日で終了いたしました。 BIGLOBEのサービス一覧
403 Forbidden
\閉鎖予定のサイトも売れるかも?/ アクセスがないサイトもコンテンツ価値で売れる場合も… ドメインの有効期限を更新してサイト売却にトライしてみましょう
XML2JSON + LWWS で導入簡単なお天気 JavaScript
XML2JSON サービスは、最近はあふれかえるほど存在する Web service をより簡単に使うための道具な訳ですが、リリースしたまま放置状態が長い間続いてしまったので、XML2JSON ってなんのために存在するのだろう??って思っていた方も多いかと思います。 今週末はちょっと時間ができたので、Livedoor Weather Web Service を使って自分のサイトにお天気情報を表示する JavaScript ツールを作ってみました。当サイトで配布している MTWeather と違って、Movable Type 以外のサイトにも設置頂けます。 お天気好きな方は、どうぞご利用下さい。近いうちに、Japan Weather Forecast xml 版も作るので、降水確率や週間予報が欲しい方は今しばらくお待ちを。 導入方法についての説明 JavaScript 一式をインストールする
はてなブックマーク件数を blog に貼り付けるウィジェット
はてなブックマーク件数を blog に貼り付けるウィジェット 2006-02-27-1: [JavaScript][Ajax][Ruby][Code] ウィジェットというほどのものではないけど,はてなブックマーク件数を簡単に blog に貼り付けることが出来る部品を作ってみました. はてなブックマーク件数とは以下の画像の赤枠のようなものです. この赤枠の中で囲まれた部品を blog に貼り付けることが出来ます. このウィジェットの使い方はとても簡単で <link rel="stylesheet" type="text/css" href="./styles/hatebu-count.css" /> <script type="text/javascript" src="./js/prototype.js"></script> <script type="text/javascript" s
The Yahoo! User Interface Library (YUI)
YUI Library Controls/Widgets: AutoComplete Button Calendar Charts [experimental] Color Picker Container (including Module, Overlay, Panel, Tooltip, Dialog, SimpleDialog) DataTable ImageCropper Layout Manager Menu Rich Text Editor Slider TabView TreeView Uploader [experimental] YUI Library CSS Tools: CSS Reset (neutralizes browser CSS styles) CSS Base (applies consistent style foundation for c
レビログ::【AJAX】mixiが重い?【間違った使い方】
最近mixiがニュースや広告を初めて重くなりました・・・ おもいーーーたすけてーーーー mixiのバナーだけ表示されて本文が出ないという人はJavascriptを切ると表示が速くなる場合があります。 その場合は運営方針(AJAX優先なサイトの作り方が)が原因。 URLを見ると・・・ 何がダメなの? Javascriptの問題点として、このタグがあるとスクリプトの読み込みが終わるまで ブラウザの画面表示が止まるということ(IEの場合) つまりページを読み終わって表示できるのにJavascriptの読み込みが終わらないと表示されない。 よくgoogle広告などがあると表示が途中で止まったようになることがあるのはこのセイ。 Javascriptが悪いのではなくプログラムが・・・ つまりは、Javascriptを最後に書けば、画面は表示されて、その後Javascriptになるので・・
Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する
2001年11月5日 作成 2001年11月11日 追記: 「関連」の3番目の項目 目次 概要 検証実験 脅威 Microsoftの公式見解 クリップボードの盗聴を防止する設定 関連 FAQ 概要 MicrosoftのWebブラウザ「Internet Explorer」(以下「IE」と略す)には、 「スクリプトによる貼り付け」という名の機能があります。これは、 「JScript」(JavaScriptをMicrosoftが独自拡張した言語の名称)の 独自機能のひとつで、 var str = clipboardData.getData("Text"); という一文で、 システムのクリップボードの中身を取り出せる機能です。 これは、おそらく、Web上のサービスでカット&ペースト機能をJScriptで 実現するために用意された機能と考えられます。 しかし、この機能が悪用されると、 悪意のあるペー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
アドバタフライで firefox が固まるんですけど - val it : α → α = fun
はてなブログ | 無料ブログを作成しよう
