Movatterモバイル変換

tsupo id:tsupo

JavaScriptとsummarySiteとsecurityに関するtsupoのブックマーク (14)

ソフトバンク端末100機種以上にJavaScript関連の不具合
tsupo2010/05/30
「Yahoo!ケータイやフルブラウザにおいてJavaScriptが有効な状態で、悪意あるサイトを閲覧した場合、ユーザーにとって重要な情報が詐取される可能性がある」 / ユーザー自身でJavaScriptをOFF設定にするという対応策
security
softbank
mobile
javascript
かんたんログイン
Internet
summarySite
リンク
ドコモ携帯、情報流出の恐れ…最新２９機種 : ニュース : ネット＆デジタル : YOMIURI ONLINE（読売新聞）
ＮＴＴドコモの携帯電話のうち、インターネット閲覧ソフト「ｉモードブラウザ２・０」を搭載した最新２９機種を通じて、利用者の個人情報を不正取得される恐れのあることが、専門家の指摘で明らかになった。同社は携帯サイトの運営者にパスワード認証などの安全対策を呼びかけている。携帯電話の機能が高機能化するにつれ、こうした危険は増しており、利用者も注意が必要になってきた。高機能ソフトを悪用該当機種は、昨年５月以降に発表されたプロシリーズやスタイルシリーズなど。ｉモードブラウザ２・０は、ジャバスクリプトと呼ばれる機能が組み込まれており、携帯用のインターネットサイトと自動で情報をやりとりできる。悪意ある携帯用サイトは、接続してきた利用者の携帯のジャバスクリプトを使って、利用者が会員になっている別のサイトに一瞬だけ接続させることができる。その時、この会員サイトに利用者の住所など個人データが登録されている
tsupo2010/01/13
高木浩光主任研究員は、「利用者IDがあらゆる携帯サイトに自動で送られ、認証に使われる仕組みは問題だ」と指摘 / 「多くの関係者が技術情報を議論し、安全性を高める必要がある」
security
privacy
mobile
javascript
高木浩光
Internet
summarySite
リンク
ぼくがかんがえたおーぷんそーしゃるその1 - 知らないけどきっとそう。
みなさん、虫入れまくってますか？自分はまだレベル6です牧場行けないです。サンシャイン農園です先日のおさらいです OpenSocialJavaScript API で取得したソーシャルデータは、閲覧者の改ざんを受けている可能性がありますということで、Twixi のように、マイミクであることをある種の承認として扱いたい場合困るなので、改ざんを受けない方法を使いましょう、というようなことを書きましたや、改ざんといわれてもここでは、Greasemonkey を使ってソーシャルデータの表示ができてただけだし、せいぜい変なアクティビティ投げる程度じゃんという（自分からの）突っ込みを受けたので、さらに実験してみました Rekooさんぱねぇっすレベル21て。というか既に背景のグラフィックが普通じゃない気がするんですけど（Rekooさんはサンシャイン牧場の提供者のアカウントです）
tsupo2009/10/23
OpenSocial JavaScript API で取得したソーシャルデータは、閲覧者の改ざんを受けている可能性がある / 邪悪なグリモンによってカジュアルにユーザーの意思と関係なくTwitterでフォローさせられまくってKOEEEEEEEEEEEEEEEEE
security
openSocial
mixiアプリ
サンシャイン牧場
userscript
javascript
Internet
summarySite
リンク
アルパカ牧場　那須ビッグファーム: FirefoxアドオンのNoScriptの仕様の罪をはてブックマークレットに擦り付けるのはお止めなさい
参考資料 http://b.hatena.ne.jp/entry/http://takagi-hiromitsu.jp/diary/20081125.html%23p01 なんか阿呆なこと書いている人がいるので言及しておく。 noscript入れてると（信頼してるサイト以外では）動かない？/ひとまず旧バージョン使ってます。はてなブックマーク - 高木浩光＠自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない火狐でNoScript使ってると、どっちにしろ旧ブックマークレットしか使い物にならないんだよねはてなブックマーク - 高木浩光＠自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない残念、新旧どちらも動きません。ブックマークレットはそのページのドメイン上で動きます。そのページを信頼するものとしない限り、ブックマークレットは動きま
tsupo2008/11/26
「何かされそうな気がしません?」 / 「オイラも専門家じゃないのでこれ以上は避けますが、ブックマークレットの仕様は結構怖いと思いますよ」
security
bookmarklet
javascript
technology
summarySite
リンク
高木浩光＠自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク（以下「はてブ」）がリニューアルされ、ブラウザからブックマークレットでブックマーク登録（以下「ブクマ登録」）しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。（この指示には従わなくてもブクマ登録はできる。）新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト（通常、はてな以外のサイト）上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。（ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。）
tsupo2008/11/26
ブックマークレットでそこまでやることが許されるのか / ギークの人が内容を理解して自己責任で様々なブックマークレットを使うのはかまわない。だが、一般の人を巻き込まないで欲しい / Webの安全な利用手順を破壊
hatenaBookmark
bookmarklet
javascript
security
phishing
Internet
summarySite
リンク
「WPA突破」よりも重要なセキュリティ問題とは？ − ＠IT
2008/11/11 11月12日、13日にわたってセキュリティをテーマとしたカンファレンス「PacSec.jp」が都内にて開催される。その主催者であるドラゴス・リジュ氏は、＠ITの取材に対し「WPAの暗号鍵が破られたことを取り上げるプレゼンテーションに対する関心が高まっているが、自分としてはむしろ、マーク・ダウド氏が行うセッション『Browser Memory Protection Bypasses: VirtualMachines』のほうが重要性が高いと考えている」と述べた。このセッションは、Webブラウザのセキュリティ保護機能を迂回してしまう攻撃方法について取り上げる予定だ。「伝統的なバッファオーバーフローの代わりに、FlashやJavaScriptといったリッチでパワフルなコンテンツを用いて、バイトコードを直接、ブラウザのコンテキストで実施してしまうという方法で、非常に驚くべき
tsupo2008/11/12
セキュリティ対策が進めば進むほど、攻撃は高度化 / 業界全体が議論し、プログラマなどへの教育を実施していかねばならず、対策には時間が掛かる // カジュアルに作成された脆弱性のあるアプリが氾濫しつつある
security
flash
javascript
programming
Internet
summarySite
リンク
ブラウザ「Sleipnir」と「Grani」の検索機能に任意のスクリプトが実行される脆弱性
有限責任中間法人 JPCERT コーディネーションセンター（JPCERT/CC）は、フェンリルが提供するウェブブラウザ「Sleipnir」および「Grani」のお気に入り検索機能に脆弱性が発見されたと発表した。細工された文字列が検索に使用されていた場合、表示された検索結果を履歴より復元した際に、ユーザーのウェブブラウザ上で任意のスクリプトが実行される可能性がある。この脆弱性が存在するのは、Sleipnir 2.7.1 Release 2とそれ以前のバージョン、Porta ble Sleipnir 2.7.1 Release2とそれ以前、Grani 3.1とそれ以前。フェンリルでは、この脆弱性を解消した最新バージョンを提供しており、該当するバージョンを使用するユーザーは早急にアップデートするよう呼びかけている。
tsupo2008/06/06
細工された文字列が検索に使用されていた場合、表示された検索結果を履歴より復元した際に、ユーザーのウェブブラウザ上で任意のスクリプトが実行される可能性 → 検索結果を細工できてしまうの?
security
Sleipnir
javascript
Internet
summarySite
リンク
はてなブログ | 無料ブログを作成しよう
2024/12/27 ベイスターズのドキュメンタリー映画「勝ち切る覚悟」を見た！シーズン終盤～日本シリーズ優勝までの舞台裏を抑えたドキュメンタリーで、ベンチ裏での映像がメインとなっている。ナレーションは無く、説明がほとんど無いので「いつ何があったか」があらかじめわかって…
tsupo2008/04/09
IE なら ActiveXObject("Microsoft.XMLDOM") を使うという方法もありますよ。XMLファイルしか取ってこれませんが。たぶん、XDomainRequest のフォアランナー的実装?
crossdomain
browser
javascript
programming
security
json
Internet
summarySite
リンク
相次ぐWeb改ざん，いったい何が起こっているのか
知らぬ間に中国内サーバーの「fuckjp.js」を実行してしまう 3月に発生したWeb改ざんと，Webにアクセスしてきたエンドユーザーへの攻撃手法を，もう少し詳しく見てみよう（図2）。図2●3月11～13日の攻撃の流れ（1）攻撃者は，SQLインジェクションを使って企業や団体のWebページを改ざん，悪意のあるJavaScriptへのリンクを挿入する。（2）Webページを閲覧したユーザーは，知らぬまにリンク先の悪意のあるJavaScriptを実行。（3）もしユーザーのパソコンにぜい弱性がある場合は，ウイルスなど不正プログラムに感染する。 [画像のクリックで拡大表示] 前述したように，まずはSQLインジェクション攻撃を使って企業や団体のWebサイトを改ざんする。改ざんといっても，昔のようにWebページをごっそり別のものに差し替えたり，なんらかのメッセージ文を表示したりするといったことではない
tsupo2008/04/07
SQLインジェクション攻撃を使って改ざん(Javascriptを仕込む) /ユーザーが気付かないままこのJavaScriptを実行 / Windows の脆弱性を突くものだけでなく，RealPlayerやYahoo! Messengerの脆弱性を狙ったものも
security
SQLinjection
改竄
javascript
Internet
summarySite
リンク
MSDN ホームページ
このブラウザーはサポートされなくなりました。Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカルサポートを利用できます。Microsoft Learn。可能性を刺激する。扉を開くスキルを身につけましょう。Microsoft 製品を最大限に活用するための、役割や製品に特化したドキュメント、ハンズオントレーニング、認定資格などのすべてをご覧いただけます。
tsupo2008/02/15
window.open() で開こうとしたウィンドウがポップアップブロックに引っ掛かると window.open() は null を返す。なので、window.open() のリターン値をチェックするのは必須。
IE6
IE7
javascript
popupBlock
programming
Internet
summarySite
リンク
Linux/Apache系Webサイトを狙った正体不明の攻撃についての現状報告 | OSDN Magazine
セキュリティ調査会社のFinjanから今月中旬に出されたプレスリリースにて、ある一群のWebサーバに何らかの不正操作を施された結果、そこにアクセスする多数のWindowsマシンが連日マルウェアに感染させられ続けており、こうして汚染されたマシンは未だ正体のつかめぬ犯罪組織の意図するボットとして活動するようになっているという警告が報じられている。この問題の発覚後、セキュリティ企業のScanSafeおよびSecureWorksもこの件に取り組んではいるが、感染されたサイト数の正確な数は未だ把握しかねているとのことだ。ただし今のところ、被害にあったサーバはLinuxおよびApacheの組み合わせという点において、すべてのレポートが一致している。 ServerTune.comの掲載記事にある説明では、今回の手口では不正操作を受けたサーバにルートキットの一種がインストールされており、それが正規のシステ
tsupo2008/01/28
今のところ、被害にあったサーバはLinuxおよびApacheの組み合わせという点において、すべてのレポートが一致 / JavaScript型マルウェアが感染時の窓口として利用しているのは、サイト訪問者のマシンにあるWindows、QuickTime、Yahoo
security
malware
JavaScript
payload
Internet
summarySite
リンク
yohgaki's blog - いろいろ変わったXSSがありますが...
(Last Updated On: )私が知らなかっただけかもしれませんが、これにはかなり驚きました。いろんな所で問題が指摘されていますが、ECMAScriptにXML機能を追加したのはどうなんでしょうね…. 確かにかなり便利なのですが以下のコードでスクリプトが実行されることはほとんど知られていないでしょうね。 <script> 123[”+<_>ev</_>+<_>al</_>](”+<_>aler</_>+<_>t</_>+<_>(1)</_>); </script> 好むと好まざる関係なくFirefox 1.5から使えるのでWeb開発者は知っておかなればならないです。日本語訳 http://www.ne.jp/asahi/nanto/moon/specs/ecma-357.html 原文 http://www.ecma-international.org/publications/
tsupo2007/10/15
123[''+<_>ev</_>+<_>al</_>](''+<_>aler</_>+<_>t</_>+<_>(1)</_>);
security
ECMAScript
JavaScript
E4X
XML
XSS
Internet
summarySite
リンク
ウェブリブログ：サービスは終了しました。
「ウェブリブログ」は2023年1月31日をもちましてサービス提供を終了いたしました。 2004年3月のサービス開始より19年近くもの間、沢山の皆さまにご愛用いただきましたことを心よりお礼申し上げます。今後とも、BIGLOBEをご愛顧賜りますよう、よろしくお願い申し上げます。 ※引っ越し先ブログへのリダイレクトサービスは2024年1月31日で終了いたしました。 BIGLOBEのサービス一覧
tsupo2006/08/08
Dojoの新しい手法はIFrameを複数使うことで、JavaScriptのみでクロスドメインの通信に対応するものです
Ajax
security
crossDomain
JavaScript
dojo
Internet
summarySite
リンク
IEBlog
Internet Explorer TeamBlog We've moved! Find us at the newMicrosoft Edge DevBlog As we announced last week, with the reveal ofMicrosoft Edge we are archiving the IEBlog. Future... Date: 05/08/2015Microsoft Edge is the browser forWindows 10 This morning, Joe Belfiore took to the stage atBuild 2015 to share more about the next chapter in... Date: 04/29/2015 Announcing improvements to Enterpri
tsupo2005/12/08
Once the investigation is complete we'll take appropriate action for our customers which may include fixing this in a future security update for IE.
security
CSSXSS
IE
microSoft
リンク
1