はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ 利息キャッシング

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 25 / 34件)
次の25件 »

WebサイトにXSS脆弱性があった場合にブラウザのパスワード保存機能で保存したパスワードを読み取り可能かどうか - 金利0無利息キャッシング – キャッシングできます - subtech

2018/01/03 このエントリーをはてなブックマークに追加 101 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech XSS XSS脆弱性 金利 ブラウザ

WebサイトにXSS脆弱性があった場合にブラウザのパスワード保存機能で保存したパスワードを読み取り可能かどうか 18:28 | XSS脆弱性 があった場合にそのサービスで使っている パスワード を盗むことが可能かどうかについて書く。 XSS を通して パスワード を盗むことができるのか? 「現在の パスワード を表示する機能」があるなら出来る(そういう機能があるサービスはおかしい) メールアドレス... 続きを読む

OAuth2.0で強制連携させるCSRFの影響と、その対策について - 金利0無利息キャッシング – キャッシングできます - subtech

2014/07/24 このエントリーをはてなブックマークに追加 146 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech CSRF 周知 co.jp 金利

OAuth2.0で強制連携させるCSRFについて、いまいち周知が十分でない気がするので解説します。簡単に言うと、複数のid providerによるログインをサポートしているのであれば「CSRFによる外部アカウント強制連携」は、アカウントハイジャックが可能な脆弱性だと考えなくてはいけない、ということです。 このへんの話 http://alpha.mixi.co.jp/2013/12020/ http... 続きを読む

iOSにバックドアがあるとされた問題について - 金利0無利息キャッシング – キャッシングできます - subtech

2014/07/24 このエントリーをはてなブックマークに追加 263 users Instapaper Pocket Tweet Facebook Share Evernote Clip iOS subtech 金利 バックドア 問題

なんか話題になっている http://www.zdziarski.com/blog/?p=3441 について。このスライドは、この筆者のブログ記事で書かれてることのまとめなので、それぞれ詳細に書かれた記事を読めばいい。 具体的には http://www.zdziarski.com/blog/?p=2571 http://www.zdziarski.com/blog/?p=2589 が分かりやすかっ... 続きを読む

パスワード保存と自動フィルインは違うという話 - 金利0無利息キャッシング – キャッシングできます - subtech

2014/07/08 このエントリーをはてなブックマークに追加 137 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech autocomplete password

何か input type="password"のautocomplete="off"をメジャーなブラウザが全て無視するようになったという話があるのですが http://www.slideshare.net/hebikuzure/autocomplete-off 実のところブラウザごとに細かい挙動が違います http://gyazo.com/e06c6d63521249f7a99a2a7c075c... 続きを読む

AndroidのWebViewの脆弱性についての私的なまとめ - 金利0無利息キャッシング – キャッシングできます - subtech

2014/01/10 このエントリーをはてなブックマークに追加 364 users Instapaper Pocket Tweet Facebook Share Evernote Clip WebView subtech Android 脆弱性

http://jvn.jp/jp/JVN53768697/ についての私的なまとめです。業務時間中に調べた内容も含まれていますが、この記事はmala個人の文責で書かれています(所属している組織の見解ではありませんし、所属している組織やそのグループ会社からリリースしているアプリが必ずしもこの記事で書かれているような対策が取られているとは限りません) 書きかけの部分があるので、あとで追記します。 An... 続きを読む

テンプレートエンジンでJavaScriptを動的生成する際のアンチパターン - 金利0無利息キャッシング – キャッシングできます - subtech

2013/11/08 このエントリーをはてなブックマークに追加 309 users Instapaper Pocket Tweet Facebook Share Evernote Clip JSON script Key テンプレートエンジン HTML

素のJSONをscriptタグ内に埋め込む 任意の文字列を突っ込める場合には {"key": "</script>"} でscriptタグを強制終了できてしまうからです。 JSONとしては正しいですがHTMLに埋め込む際には、それだけではダメなのです。文字列中に U+2028, U+2029が出現する場合もエラーになります。 http://timelessrepo.com/json-isnt-a-... 続きを読む

Firefoxにマスターパスワードを設定しているユーザーが画面ロック掛けない状態で離席するとどうなるかについて - 金利0無利息キャッシング – キャッシングできます - subtech

2013/08/13 このエントリーをはてなブックマークに追加 100 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech Firefox 金利 離席 マスターパスワード

Webサイト一個一個訪問して自動フィルインから拾ってくるというのもできるし、重要なサービスのパスワード(メールとか)一個取れれば大体十分なんじゃねーのという気もしないでもないんだけど マスターパスワード入力後のケース 以下のようにしてパスワードを表示することが出来る 1. chrome://passwordmgr/content/passwordManager.xul を開く 2. Web開発者ツ... 続きを読む

リファラとCSRF対策の話 - 金利0無利息キャッシング – キャッシングできます - subtech

2012/10/18 このエントリーをはてなブックマークに追加 241 users Instapaper Pocket Tweet Facebook Share Evernote Clip リファラ subtech CSRF対策 data URI 金利

リファラを使ったCSRF対策では多くの場合、想定していない、外部サイトのリファラが付いていたらエラーにする、ということが行われます。 一方で、ブラウザ側の設定に関わらず、リファラはいくつかの方法で消せます。 data uriからの送信 https から http への送信 meta referrerタグで送信しない指定をする(対応ブラウザのみ) 参考: http://wiki.whatwg.org... 続きを読む

GoogleのSparrow買収に寄せて - 金利0無利息キャッシング – キャッシングできます - subtech

2012/07/21 このエントリーをはてなブックマークに追加 123 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech 金利 Google

SparrowにはHTMLメール経由での情報漏洩を引き起こす脆弱性があります。 攻撃コードと影響範囲について あとで書く 経緯 この問題は2012年7月9日に伝えています。参考 https://twitter.com/domleca/status/222354049863925760 7月21日時点で 問題がないのは、Sparrow公式サイトで配布されているものです AppStoreで配布されてい... 続きを読む

JavaScriptでdocument.cookieへのアクセスを禁止する - 金利0無利息キャッシング – キャッシングできます - subtech

2012/07/09 このエントリーをはてなブックマークに追加 246 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech document cookie false

JavaScriptからdocument.cookieへのアクセスを禁止するという手法が知られていて Object.defineProperty(document, 'cookie', { get: function(){return false}, set: function(){return false}, configurable:false }); XSS界で有名なMarioさんのスライド... 続きを読む

サーバーにパスワードを送らないフォームを作る - 金利0無利息キャッシング – キャッシングできます - subtech

2012/07/03 このエントリーをはてなブックマークに追加 197 users Instapaper Pocket Tweet Facebook Share Evernote Clip Form subtech return false 実装 金利

まあ伝統的にはこういうの書いてやればいいわけなんだけど <form onsubmit="return false"> ... </form> これだとJavaScript無効の時には普通にフォームが送信されてしまう。 ジョークサイトとかパスワード強度チェッカーの類でパスワード入力させるサイトが、JavaScript無効だったり、エラーが起きると入力したパスワードが送られてしまうという実装になってる... 続きを読む

jQueryのXSS引き起こしやすい問題に対する動的パッチ - 金利0無利息キャッシング – キャッシングできます - subtech

2012/04/26 このエントリーをはてなブックマークに追加 144 users Instapaper Pocket Tweet Facebook Share Evernote Clip jQuery subtech XSS mala 金利

この問題 http://subtech.g.hatena.ne.jp/mala/20110624/1308881526 このパターンのXSSは未だに非常に多く見かける。jQueryを最新版にすれば、#が含まれるパターンは防げるのだけど、$("a[rel=" + user_input_string +"]")といったケースが防げない。1/3ぐらいはアップデートしても問題があるという印象。 というわけ... 続きを読む

Shibuya.XSSで発表してきました - 金利0無利息キャッシング – キャッシングできます - subtech

2012/04/05 このエントリーをはてなブックマークに追加 216 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech Shibuya.xss 金利

http://atnd.org/events/25689 以下資料、適当に口頭で補足しながらしゃべりました。オフレコ部分は抜いてあります + 参考URL等を少し足しました。 ---- DOM Based XSSの傾向と対策 DOM Based XSS 基礎的な説明は省略 機械的なスキャンで見つからない 人間が読んでも見つけにくい ログに残らないことがある location.hash経由で発火が多い... 続きを読む

localStorageをサードパーティCookieの代用として使う人々に伝えたいこと - 金利0無利息キャッシング – キャッシングできます - subtech

2012/03/27 このエントリーをはてなブックマークに追加 125 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech localStorage DOM 代用 金利

セキュリティ的なことについて localStorageにデータを保存して別ドメインからpostMessageで読み出すというものなのだけど、保存したデータをどのドメインからでも参照可能になってる事例を3件連続で見た。 これ読んで欲しい https://developer.mozilla.org/ja/DOM/window.postMessage#.E3.82.BB.E3.82.AD.E3.83.A... 続きを読む

メールアドレスや電話番号から友人を検索する機能について知っているいくつかのこと - 金利0無利息キャッシング – キャッシングできます - subtech

2012/02/27 このエントリーをはてなブックマークに追加 133 users Instapaper Pocket Tweet Facebook Share Evernote Clip オプトイン subtech NEWS mixi デフォルト

日本だとmixiで炎上した事例があったために、オプトインで提供する機能だろうと思っているユーザーが少なくないはず。 http://www.itmedia.co.jp/news/articles/1012/02/news080.html なのだけど海外のサービスではデフォルトで有効化されていることが多く、今後、アドレス帳送る機能に警告が出るようになったりはするだろうけど、さらにいくつか注意すべきポイ... 続きを読む

OAuthにおける「クライアントサイドに対する認可」なのか「サーバーサイドに対する認可」なのか明確でない問題 - 金利0無利息キャッシング – キャッシングできます - subtech

2012/02/14 このエントリーをはてなブックマークに追加 123 users Instapaper Pocket Tweet Facebook Share Evernote Clip bulkneets ritou クライアントサイド 認可 金利

ココらへんの問題について、適当に自分の考えを書いたりします。 http://www.sakimura.org/2012/02/1487/ http://d.hatena.ne.jp/ritou/20120206/1328484575 http://oauth.jp/oauth-20-implicit-flow https://twitter.com/#!/bulkneets/status/1669... 続きを読む

jQuery MobileのXSSについての解説 - 金利0無利息キャッシング – キャッシングできます - subtech

2011/07/11 このエントリーをはてなブックマークに追加 130 users Instapaper Pocket Tweet Facebook Share Evernote Clip リリースバージョン XSS subtech XSS脆弱性 承知

この記事執筆時点でのjQuery Mobileの最新のリリースバージョンであるbeta1を含む全てのバージョンにはXSS脆弱性があり、その結果jQuery Mobileを使ってるサイトの多くにXSS脆弱性があり、未修正の状態のサイトを危険にさらすのは承知の上で書いてますけど、周知させたほうが良いと考えてブログに書いている次第です。 http://jquerymobile.com/blog/2011... 続きを読む

jQuery XSS問題の補足 - 金利0無利息キャッシング – キャッシングできます - subtech

2011/07/05 このエントリーをはてなブックマークに追加 199 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech 補足 金利

主に精神論 http://subtech.g.hatena.ne.jp/mala/20110624/1308881526 http://b.hatena.ne.jp/entry/http://subtech.g.hatena.ne.jp/mala/20110624/1308881526 「使い方の問題」とか「こういうコード書いてるなら他にも問題がある」という反応がいくつかある。John Resig... 続きを読む

jQueryにおけるXSSを引き起こしやすい問題について - 金利0無利息キャッシング – キャッシングできます - subtech

2011/06/24 このエントリーをはてなブックマークに追加 713 users Instapaper Pocket Tweet Facebook Share Evernote Clip XSS ma.la Twitter jQuery 金利

jQueryのマイナーバージョンアップがリリースされて取り敢えずバージョンアップしましょう、みたいになる状況を想定してたんだけど1ヶ月以上経ってしまったのでブログに書きます。twitterなどでちょくちょく書いていたので知っている人は知っていると思いますが、jQueryにXSSを誘発しやすい問題があります。 http://ma.la/jquery_xss/ http://bugs.jquery.c... 続きを読む

Skype for Macの脆弱性についての見解と見識 - 金利0無利息キャッシング – キャッシングできます - subtech

2011/05/12 このエントリーをはてなブックマークに追加 177 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech Skyp 見識 パク 見解

まず最初にSkype for Macを使ってるユーザーは自動アップデートした方がいいです。(2.x系列は影響を受けないとのことだけど2.x系列に未公開で深刻なバグがある可能性もあるしそこら辺は知らない) MSに買収されるだの何だのの少し前に話題になったSkype for Macの脆弱性について http://www.purehacking.com/blogs/gordon-maddern/skyp... 続きを読む

Boxcarに学ぶプラットフォーム別セキュリティリスク - 金利0無利息キャッシング – キャッシングできます - subtech

2011/04/28 このエントリーをはてなブックマークに追加 198 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech Boxcar XSS Twit laiso

WebアプリにおけるXSSの影響がどんなものかと、ローカルアプリにおけるXSSっぽい問題が起きたときの影響がどんなものかについて。 Boxcarというアプリ Boxcarというなんか色々通知してくれる便利サービスがあって、提供してるアプリ全部に深刻なバグがあった。 発見の経緯 http://twitter.com/laiso/status/62692483318026240 http://twit... 続きを読む

WebサイトにXSS脆弱性があった場合にブラウザのパスワード保存機能で保存したパスワードを読み取り可能かどうか - 金利0無利息キャッシング – キャッシングできます - subtech

2011/04/28 このエントリーをはてなブックマークに追加 311 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech メールアド XSS脆弱性 金利 ブラウザ

XSS脆弱性があった場合にそのサービスで使っているパスワードを盗むことが可能かどうかについて書く。 XSSを通してパスワードを盗むことができるのか? 「現在のパスワードを表示する機能」があるなら出来る(そういう機能があるサービスはおかしい) メールアドレス変更+パスワード再送で現在使っているパスワードが返ってくるケース(そういう機能があるサービスはおかしい) パスワード取得はできないが、メールアド... 続きを読む

ローカルのHTMLファイルからどこまで読み取れるか選手権 2011 - 金利0無利息キャッシング – キャッシングできます - subtech

2011/04/25 このエントリーをはてなブックマークに追加 414 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech 金利 HTMLファイル 選手権

ブラウザ開発者の間では、よく知られている問題だと思うけど、普通にインターネットを使っているユーザーからすると、あまり知られていないのではないかと思うので書く。 例えば ~/.ssh/id_rsa にSSHの秘密鍵を保存している平均的なMac OS Xユーザーが居るとして、こういう var req = new XMLHttpRequest; var username = locat... 続きを読む

XSSフィルタの誤検出とその対策について - 金利0無利息キャッシング – キャッシングできます - subtech

2011/04/23 このエントリーをはてなブックマークに追加 118 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech XSSフィルタ XSS マヌケ 誤検出

たまに「XSSフィルタが反応した」ことを指して、そのサービスにはXSSがあると考えてしまう素人や情弱やバカやマヌケがいる。XSSフィルタはその動作原理上、誤検出がつきもので、XSSフィルタが反応したからと言ってそのサービスにXSSがあるとは限らない。この文章ではXSSフィルタが反応したときにWebサービス開発者側がどういった対策を取るべきかについて述べる。 誤検出の問題 自分もIEのXSSフィルタ... 続きを読む

複数のニュースサイトで外部サイトにシェアするボタンの実装方法に問題がある件 - 金利0無利息キャッシング – キャッシングできます - subtech

2011/04/13 このエントリーをはてなブックマークに追加 453 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech document.write like 金利

はてブやらmixiチェックやらgreeいいねやらfacebookのlikeやらのボタンを出力するコードがおかしなことになってる大手サイトが結構ある。 具体的には、こういったコードを使っているサイトが結構ある。 document.write(' 続きを読む

 
(1 - 25 / 34件)
次の25件 »