Movatterモバイル変換

drumsco id:drumsco

JavaScriptとjavascriptとsecurityに関するdrumscoのブックマーク (8)

Google Code Archive - Long-term storage for Google Code Project Hosting.
CodeArchive Skip to contentGoogle AboutGoogle Privacy Terms
drumsco2011/01/04
input[type='password']要素のhack. 直前に入力した文字はraw表示し、より前に入力した文字はマスクして表示する
開発
JavaScript
security
usability
リンク
ockeghem(徳丸浩)の日記 - XSS対策:どの文字をエスケープするべきなのか－コメント#1
ITproの連載中に、id:hasegawayosukeさんから以下のようなコメントをいただいていました。対策遅らせるHTMLエンコーディングの「神話」：ITpro - 葉っぱ日記全ての文字をエスケープしようなどと非現実的なことは言わないけれど(とはいえMicrosoft Anti-Cross Site Scripting Libraryのようにほとんど全ての文字を実体参照に置き換えるものもあるので、あながち非現実的とも言えないのかも知れない)、エスケープ対象を「'」「"」「<」「>」「&」の5文字に限定しているのは何かこの記事に書かれていない理由があるはずだと思ったからです。はてぶの方は見ていましたが、日記の方を見落としていまして、お返事が遅れました(_ _)。なぜ、「<」、「>」、「&」、「"」、「'」の5種類の文字をエスケープするのかについては、色々考えるところがあります。
drumsco2010/03/19
文字のエスケープ処理について、経緯やHTML仕様、IPAの資料に言及して再考している。
security
HTML
JavaScript
XSS
リンク
XSS対策:JavaScriptのエスケープ(その3) - ockeghem's blog
5/14の日記XSS対策:JavaScriptのエスケープ(その2) - ockeghem(徳丸浩)の日記に対して、id:hasegawayosukeさんからコメントを頂戴した。その内容は、JavaScriptに対応していないブラウザの場合に対する考慮が抜けているという趣旨だと理解した。元の日記にも書いたように、私自身はJavaScriptの動的生成は(特殊な場合を除いて)好ましくないと考えているが、始めた以上は最後まで検討しようと思う。解決すべき課題の整理まず、解決すべき課題を整理しよう。元の日記では、JavaScriptを動的生成する(ただし、文字列リテラル内のデータに限る)場合のXSS対策として二段階のエスケープが必要であることを説明した。具体的には、(1)JavaScript文字列リテラルのエスケープとして、「"」、「'」、「\」のエスケープの実施、(2)HTMLとしてのエス
drumsco2010/03/19
javascript 文字列リテラルのエスケープ処理に、 ">" -> "\x3e" を追加する。
security
JavaScript
XSS
リンク
AJAX and Mashup Security
drumsco2010/03/19
security
Ajax
XSS
JavaScript
リンク
Oracle.com Outage
drumsco2010/03/19
eval(), javascript, script を削除すること。
security
XSS
JavaScript
JSON
リンク
JavaScriptインジェクション攻撃
F-Secure「JavaScript Injection Attack」より September 18，2008　Posted by Choon Hong このところJavaScriptインジェクション攻撃が流行している。マルウエア感染を広める有効な手段として，この種の攻撃を活用するマルウエア作者が増えている。ほんの1年前まで，悪意ある攻撃者が頼りにしていたのは攻撃用Webサイトを指す（電子メール，検索リンク，またはインスタント・メッセージング・ワームの）リンクに人々を誘導する手法だった。今では，JavaScriptインジェクション攻撃を利用し，Webサイトの訪問者をやすやすと「誘拐」してしまう。この攻撃は，いわば闇世界のハッカーたちがマルウエアをまん延させるのに使うアーミーナイフである。我々が確認したところ，アクセス数の多いWebサイトの多くがJavaScriptインジェクション攻
drumsco2008/10/15
security
JavaScript
あとで読む
リンク
専門家が実証、JavaScriptコードでルータを乗っ取る——対策はルータのパスワード変更 | OSDN Magazine
米国シマンテックとインディアナ大学の研究者らは、悪意のあるJavaScriptコードによって、家庭用ルータが乗っ取られる可能性があるというテスト結果を発表した。研究者らは対策として、ルータの管理パスワードをデフォルト設定から変更するようユーザーに呼びかけている。研究者らによると、この攻撃は2つの条件が満たされたときに可能になるという。1つはユーザーが悪意あるJavaScriptコードを含むWebページにアクセスしたとき、もう1つはルータの管理パスワードをデフォルトの状態で利用しているときだ。研究者らは、シスコシステムズのリンクシス部門であるディーリンク（D-Link）の無線ルータ「DI-524」を利用し、ファームウェアを変更したうえでテストを行った。その結果、DI-524経由でインターネットにアクセスしたユーザーを、指定したDNS（Domain Name System）サーバ経由で特定
drumsco2007/03/28
何にしても、デフォルトのパスワードはダメだぞってこと。
security
JavaScript
リンク
expression() のまとめ
前書き expression()のことをダイナミックプロパティといいます。スタイルシートのプロパティで body { height: expression(); } みたいに使います。簡単に言うと、CSSの中でJavaScriptが動かせる、って感じです。 IE5以上での、独自拡張です。Googleで検索しても、イマイチまとめサイトとかサンプルみたいなものがなかったので、値としてスクリプトのようなものが書けるということしか知らないのですが、いろいろ実験してでてきた経験則を、ここでまとめて紹介して置いておくことにします。あくまで経験則なので、もしかしたら間違ってたりもっとうまいやり方があったりするかもしれません。備考 IE5以上で、 expression() というプロパティを使うことで、ダイナミックにページや要素のスタイルを変えることができます。一番簡単で、かつ一番
drumsco2006/11/06
css内でscriptを実行
CSS
security
JavaScript
リンク
1