タグ「subtech」 - はてブログ

タグ subtech

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 25 / 160件)

はてなグループ終了に寄せて - #生存戦略、それは - subtech

2019/07/04 238 users 生存戦略はてなグループ終了

「セカンドライフ、はてなグループのディレクターやらへん？」 2006年、鉢山オフィスの会議室に呼び出された。当時のはてなでは、基本パブリックスペースでの会議が主だったので、何なんだろうと思った。会議室では、jkondo と naoya んが居て、上記のようなことを言われた。曰く、はてなグループはとても価値があるサー... 続きを読む

WebサイトにXSS脆弱性があった場合にブラウザのパスワード保存機能で保存したパスワードを読み取り可能かどうか - 金利0無利息キャッシング – キャッシングできます - subtech

2018/01/03 101 users XSS XSS脆弱性利息キャッシング金利ブラウザ

WebサイトにXSS脆弱性があった場合にブラウザのパスワード保存機能で保存したパスワードを読み取り可能かどうか 18:28 | XSS脆弱性があった場合にそのサービスで使っているパスワードを盗むことが可能かどうかについて書く。 XSS を通してパスワードを盗むことができるのか？「現在のパスワードを表示する機能」があるなら出来る(そういう機能があるサービスはおかしい) メールアドレス... 続きを読む

Mailbox for Macで添付ファイル経由でローカルファイルを盗み出せる問題を報告した - 金利0無利息キャッシング – キャッシングできます - subtech

2014/09/04 80 users MAILBOX 利息キャッシングメールクライアント金利

Dropboxの開発してるメールクライアントのMailboxのMac用beta版の脆弱性を報告しました。 https://twitter.com/bulkneets/status/502458954517979136 iOS版にあった問題過去にiOS用のMailboxで、HTMLメール内のJavaScriptが実行可能という問題があり http://miki.it/blog/2013/9/24/... 続きを読む

OAuth2.0で強制連携させるCSRFの影響と、その対策について - 金利0無利息キャッシング – キャッシングできます - subtech

2014/07/24 146 users CSRF 周知利息キャッシング co.jp 金利

OAuth2.0で強制連携させるCSRFについて、いまいち周知が十分でない気がするので解説します。簡単に言うと、複数のid providerによるログインをサポートしているのであれば「CSRFによる外部アカウント強制連携」は、アカウントハイジャックが可能な脆弱性だと考えなくてはいけない、ということです。このへんの話 http://alpha.mixi.co.jp/2013/12020/ http... 続きを読む

iOSにバックドアがあるとされた問題について - 金利0無利息キャッシング – キャッシングできます - subtech

2014/07/24 263 users iOS 利息キャッシング金利バックドア問題

なんか話題になっている http://www.zdziarski.com/blog/?p=3441 について。このスライドは、この筆者のブログ記事で書かれてることのまとめなので、それぞれ詳細に書かれた記事を読めばいい。具体的には http://www.zdziarski.com/blog/?p=2571 http://www.zdziarski.com/blog/?p=2589 が分かりやすかっ... 続きを読む

パスワード保存と自動フィルインは違うという話 - 金利0無利息キャッシング – キャッシングできます - subtech

2014/07/08 137 users autocomplete password OFF 金利全て

何か input type="password"のautocomplete="off"をメジャーなブラウザが全て無視するようになったという話があるのですが http://www.slideshare.net/hebikuzure/autocomplete-off 実のところブラウザごとに細かい挙動が違います http://gyazo.com/e06c6d63521249f7a99a2a7c075c... 続きを読む

同一originにあるフォームを利用してCSPバイパスっぽいことをする話 - 金利0無利息キャッシング – キャッシングできます - subtech

2014/06/12 55 users 利息キャッシング金利フォーム

Content Security Policyが適用されているWebアプリにXSSがあって、任意のscriptタグを挿入することが出来る状況下で、盗み出したいデータを攻撃者の保持するドメインに送信しようとする場合。 (inline-scriptを完全に禁止すると移行が大変なので、unsafe-inlineが許可されている想定。実際そういうサイトが多い) 画面遷移なしでユーザーに気付かれないように、... 続きを読む

JSONP Sandboxを使ったXSS - 金利0無利息キャッシング – キャッシングできます - subtech

2014/01/20 80 users 利息キャッシング

Cybozu security challengeで見つけたXSSについて解説します。とても珍しい感じのXSSで、JSONP sandboxの実装不備というタイトルで報告しました。 http://cybozu.co.jp/specialthanks.html https://kintone.cybozu.com/jp/support/update/140112.html#k04 slideshar... 続きを読む

AndroidのWebViewの脆弱性についての私的なまとめ - 金利0無利息キャッシング – キャッシングできます - subtech

2014/01/10 364 users WebView 利息キャッシング Android 脆弱性

http://jvn.jp/jp/JVN53768697/ についての私的なまとめです。業務時間中に調べた内容も含まれていますが、この記事はmala個人の文責で書かれています(所属している組織の見解ではありませんし、所属している組織やそのグループ会社からリリースしているアプリが必ずしもこの記事で書かれているような対策が取られているとは限りません) 書きかけの部分があるので、あとで追記します。 An... 続きを読む

IISのステータスコードは小数点つきという話 - ういはるかぜの化学 - subtech

2013/11/19 112 users ステータスコード IIS http 小数点化学

IISのステータスコードには小数点があるという話が話題になっていました。IIS 7.0、IIS 7.5、および IIS 8.0 の HTTP 状態コードというKBが元で広がってるのですけど、まあこれはKBの書き方が悪くて誤解されている感じです。 IISはHTTPのステータスコードに加え診断用にサブステータスコードというのを内部的に持っています。たとえば「403だけどなんで403なの?(IP拒否?デ... 続きを読む

テンプレートエンジンでJavaScriptを動的生成する際のアンチパターン - 金利0無利息キャッシング – キャッシングできます - subtech

2013/11/08 309 users JSON script Key テンプレートエンジン HTML

素のJSONをscriptタグ内に埋め込む任意の文字列を突っ込める場合には {"key": "</script>"} でscriptタグを強制終了できてしまうからです。 JSONとしては正しいですがHTMLに埋め込む際には、それだけではダメなのです。文字列中に U+2028, U+2029が出現する場合もエラーになります。 http://timelessrepo.com/json-isnt-a-... 続きを読む

ブラウザ上で動作するテスティングフレームワーク上でXSSが可能な事例 - 金利0無利息キャッシング – キャッシングできます - subtech

2013/10/22 67 users XSS Selenium archives パブリック金利

少し前にこちらのXSS脆弱性について報告をした。 http://www.ark-web.jp/blog/archives/2013/10/a-series-20131011.html のだけれど、その際に同梱されているSeleniumのtest runner用のHTMLにXSSがあるのを見つけた。開発中に使うものだし、パブリックにアクセス可能な箇所にtest runnerのHTMLファイルが設置... 続きを読む

Firefoxにマスターパスワードを設定しているユーザーが画面ロック掛けない状態で離席するとどうなるかについて - 金利0無利息キャッシング – キャッシングできます - subtech

2013/08/13 100 users Firefox 利息キャッシング金利離席画面ロック

Webサイト一個一個訪問して自動フィルインから拾ってくるというのもできるし、重要なサービスのパスワード(メールとか)一個取れれば大体十分なんじゃねーのという気もしないでもないんだけどマスターパスワード入力後のケース以下のようにしてパスワードを表示することが出来る 1. chrome://passwordmgr/content/passwordManager.xul を開く 2. Web開発者ツ... 続きを読む

FlashのloaderInfo.parametersがhash fragmentでも受け取っちゃう問題が修正された - 金利0無利息キャッシング – キャッシングできます - subtech

2013/07/18 19 users mala support Flash 利息キャッシング金利

http://subtech.g.hatena.ne.jp/mala/20130604/1370328781 で書いた #? 以降の文字列をloaderInfo.parametersで受け取ってしまう件が7月9にリリースされたFlash Player 11.8.800.94 で修正されました。 http://www.adobe.com/support/security/bulletins/apsb... 続きを読む

Internet Explorer 11の新機能その2 - ういはるかぜの化学 - subtech

2013/06/30 24 users 化学ういはるかぜ Internet Explorer

今回はUI周りについて変わったところをいくつか紹介します。特にいわゆる新しいUI側がほとんどですね。タブがナビゲーションバー(上部のアプリバー)から下のアプリバーに統合以前は画面下部がアドレスバー、画面上部がタブでしたが下のアドレスバーの領域に合体しました。タブの複製/他のタブで開く/別ウィンドウで開く機能の追加別ウィンドウで開くというのは前回のエントリで紹介した通り、新しいUIのIEを複... 続きを読む

Internet Explorer 11の新機能とか - ういはるかぜの化学 - subtech

2013/06/25 115 users WebGL SPDY WIn API 化学

Windows Server 2012 R2 Previewがリリースされたので、Windows 8.1に先駆けてInternet Explorer 11を触れたので気になったところをまとめておきます。 WebGLとSPDY/3対応複数ウィンドウ対応窓(デスクトップのではなく)を複数並べられます。いくつかのAPIの追加 WebGL window.ondeviceorientation/win... 続きを読む

Flash Based XSSについてその3 Flash Player側の問題について - 金利0無利息キャッシング – キャッシングできます - subtech

2013/06/04 39 users 利息キャッシング金利 mod_rewrite 現時点問題

Flash Player側の問題について考察します #? 以降の文字列をloaderInfo.parametersで受け取ってしまう件 Flash Based XSSを報告された場合に、とりあえずmod_rewriteでQuery Stringをフィルタして、403あるいはリダイレクトしてしまおう、と(多分多くの人が)考えるのだけど、この修正方法は現時点では使えないものになってしまっている。 Se... 続きを読む

カスタムヘッダを使ったCSRF対策は安全に使えるかどうかということについて - 金利0無利息キャッシング – キャッシングできます - subtech

2013/03/04 81 users カスタムヘッダ hasegawayosuke CSRF対策

について。 http://d.hatena.ne.jp/hasegawayosuke/20130302/p1 http://d.hatena.ne.jp/hasegawayosuke/20130303/p1 これはsame originからじゃないとカスタムヘッダの付与ができないよ、ということに依存したCSRF対策ということになります。ブラウザやプラグインの実装がバグってて、色々組み合わせること... 続きを読む

テストが失敗したときに再試行できるようにするモジュールを書きました - NaN days - subtech

2013/02/19 20 users sleep GitHub Selenium motemen

Selenium を使ったときなどテストの状態が外部に依存しているような場合、状態が確実に変化するのを待つために sleep などしてみているけれどやりたいのはそういうことじゃないんだ！　という訳で、テストが失敗したら少しウェイトを入れて再試行するモジュールを書きました。 motemen/Test-Retry ? GitHub 無意味な例ですが、 use Test::More; use Test:... 続きを読む

jQuery のメソッドチェーン呼び出しのコードを簡単に生成できる Perl モジュールを書きました - NaN days - subtech

2013/02/15 16 users jQuery NaN days メソッドチェーンコード

PhantomJS 1.8 のリリースでまっとうな方法で Perl から PhantomJS の操作ができるようになったおかげで去年の YAPC::Asia 2012 で発表した Wight はめでたくオワコン化しました……。だけれど Wight のオマケで作っていたモジュールは便利なので、別に分けてみました。 motemen/String-jQuery ? GitHub SYNOPSIS ... 続きを読む

GitHub のリポジトリを管理する小さいツール ghq - NaN days - subtech

2013/02/07 18 users GitHub GHQ Clone motemen Author

GitHub 上の面白そうなコードは手元に clone してから見るのが普通だと思いますがそれをこんな感じに整理してます。 ~/extrepo/@author/project に git clone する（~/extrepo/@motemen/ghq とか） ~/extrepo/project からそこに symlink する（~/extrepo/ghq → ~/extrepo/@motemen/... 続きを読む

GitHub Enterprise TechTalk に見る、各社の運用法 - #生存戦略、それは - subtech

2013/01/24 174 users 生存戦略各社運用法

弊社もバリバリ GHE を使ってるので落ちると開発が回らなくなる(pull request できないのは、master に merge できないのとほぼ等価)ので、他社どうやってるのかーと大変気になってたのでしれて良かった。間違ってたら教えてくだしぃクックパッド開発者は GHE へ push, webhook でメインの git サーバに同期 GHE の git レポジトリは本番からは利用し... 続きを読む

Big Sky :: 意外と知られていない github 技

2012/12/25 132 users GitHub plain ＰＵ diff text

github で git diff from..to を表示する - #生存戦略、それは - subtech で text/plain な diff が表示される。.. じゃなくて ... 。 http://subtech.g.hatena.ne.jp/secondlife/20121225/1356421602 github のコミットページ URL は、実は凄く良く出来ている。例えば pu... 続きを読む

Capybara の using_session でセッションを切り替えつつインテグレーションテストをする - #生存戦略、それは - subtech

2012/12/20 19 users GitHub Capybara spec ドキュ master

ユーザAとユーザBが順番にアクセスしに来て云々という spec を書きたい、のでググったら Capybara に using_session なんつー便利メソッドがあった！のでみなさん使うと良いです。 http://rubydoc.info/github/jnicklas/capybara/master/Capybara/DSL#using_session-instance_method ドキュ... 続きを読む

Rails でアプリ内部から発行してる http をトレースする - #生存戦略、それは - subtech

2012/12/20 58 users Rails require config test http

Ruby で HTTP の内容をトレースする - #生存戦略、それは - subtech の続き。デバッグ用にセットしたら便利だったのでメモ。 Gemfile group :test, :development do gem 'webmock', require: false end しておいて config/environments/development.rb if ENV['WEBMOCK... 続きを読む