タグ subtech
人気順 5 users 10 users 100 users 500 users 1000 usersはてなグループ終了に寄せて - #生存戦略 、それは - subtech
2019/07/04
238 users
生存戦略
はてなグループ終了
「セカンドライフ、はてなグループのディレクターやらへん?」 2006年、鉢山オフィスの会議室に呼び出された。当時のはてなでは、基本パブリックスペースでの会議が主だったので、何なんだろうと思った。会議室では、jkondo と naoya んが居て、上記のようなことを言われた。曰く、はてなグループはとても価値があるサー... 続きを読む
WebサイトにXSS脆弱性があった場合にブラウザのパスワード保存機能で保存したパスワードを読み取り可能かどうか - 金利0無利息キャッシング – キャッシングできます - subtech
2018/01/03
101 users
XSS
XSS脆弱性
利息キャッシング
金利
ブラウザ
WebサイトにXSS脆弱性があった場合にブラウザのパスワード保存機能で保存したパスワードを読み取り可能かどうか 18:28 | XSS脆弱性 があった場合にそのサービスで使っている パスワード を盗むことが可能かどうかについて書く。 XSS を通して パスワード を盗むことができるのか? 「現在の パスワード を表示する機能」があるなら出来る(そういう機能があるサービスはおかしい) メールアドレス... 続きを読む
Mailbox for Macで添付ファイル経由でローカルファイルを盗み出せる問題を報告した - 金利0無利息キャッシング – キャッシングできます - subtech
2014/09/04
80 users
MAILBOX
利息キャッシング
メールクライアント
金利
Dropboxの開発してるメールクライアントのMailboxのMac用beta版の脆弱性を報告しました。 https://twitter.com/bulkneets/status/502458954517979136 iOS版にあった問題 過去にiOS用のMailboxで、HTMLメール内のJavaScriptが実行可能という問題があり http://miki.it/blog/2013/9/24/... 続きを読む
OAuth2.0で強制連携させるCSRFの影響と、その対策について - 金利0無利息キャッシング – キャッシングできます - subtech
2014/07/24
146 users
CSRF
周知
利息キャッシング
co.jp
金利
OAuth2.0で強制連携させるCSRFについて、いまいち周知が十分でない気がするので解説します。簡単に言うと、複数のid providerによるログインをサポートしているのであれば「CSRFによる外部アカウント強制連携」は、アカウントハイジャックが可能な脆弱性だと考えなくてはいけない、ということです。 このへんの話 http://alpha.mixi.co.jp/2013/12020/ http... 続きを読む
iOSにバックドアがあるとされた問題について - 金利0無利息キャッシング – キャッシングできます - subtech
2014/07/24
263 users
iOS
利息キャッシング
金利
バックドア
問題
なんか話題になっている http://www.zdziarski.com/blog/?p=3441 について。このスライドは、この筆者のブログ記事で書かれてることのまとめなので、それぞれ詳細に書かれた記事を読めばいい。 具体的には http://www.zdziarski.com/blog/?p=2571 http://www.zdziarski.com/blog/?p=2589 が分かりやすかっ... 続きを読む
パスワード保存と自動フィルインは違うという話 - 金利0無利息キャッシング – キャッシングできます - subtech
2014/07/08
137 users
autocomplete
password
OFF
金利
全て
何か input type="password"のautocomplete="off"をメジャーなブラウザが全て無視するようになったという話があるのですが http://www.slideshare.net/hebikuzure/autocomplete-off 実のところブラウザごとに細かい挙動が違います http://gyazo.com/e06c6d63521249f7a99a2a7c075c... 続きを読む
同一originにあるフォームを利用してCSPバイパスっぽいことをする話 - 金利0無利息キャッシング – キャッシングできます - subtech
2014/06/12
55 users
利息キャッシング
金利
フォーム
Content Security Policyが適用されているWebアプリにXSSがあって、任意のscriptタグを挿入することが出来る状況下で、盗み出したいデータを攻撃者の保持するドメインに送信しようとする場合。 (inline-scriptを完全に禁止すると移行が大変なので、unsafe-inlineが許可されている想定。実際そういうサイトが多い) 画面遷移なしでユーザーに気付かれないように、... 続きを読む
JSONP Sandboxを使ったXSS - 金利0無利息キャッシング – キャッシングできます - subtech
Cybozu security challengeで見つけたXSSについて解説します。とても珍しい感じのXSSで、JSONP sandboxの実装不備というタイトルで報告しました。 http://cybozu.co.jp/specialthanks.html https://kintone.cybozu.com/jp/support/update/140112.html#k04 slideshar... 続きを読む
AndroidのWebViewの脆弱性についての私的なまとめ - 金利0無利息キャッシング – キャッシングできます - subtech
2014/01/10
364 users
WebView
利息キャッシング
Android
脆弱性
http://jvn.jp/jp/JVN53768697/ についての私的なまとめです。業務時間中に調べた内容も含まれていますが、この記事はmala個人の文責で書かれています(所属している組織の見解ではありませんし、所属している組織やそのグループ会社からリリースしているアプリが必ずしもこの記事で書かれているような対策が取られているとは限りません) 書きかけの部分があるので、あとで追記します。 An... 続きを読む
IISのステータスコードは小数点つきという話 - ういはるかぜの化学 - subtech
2013/11/19
112 users
ステータスコード
IIS
http
小数点
化学
IISのステータスコードには小数点があるという話が話題になっていました。IIS 7.0、IIS 7.5、および IIS 8.0 の HTTP 状態コードというKBが元で広がってるのですけど、まあこれはKBの書き方が悪くて誤解されている感じです。 IISはHTTPのステータスコードに加え診断用にサブステータスコードというのを内部的に持っています。たとえば「403だけどなんで403なの?(IP拒否?デ... 続きを読む
テンプレートエンジンでJavaScriptを動的生成する際のアンチパターン - 金利0無利息キャッシング – キャッシングできます - subtech
2013/11/08
309 users
JSON
script
Key
テンプレートエンジン
HTML
素のJSONをscriptタグ内に埋め込む 任意の文字列を突っ込める場合には {"key": "</script>"} でscriptタグを強制終了できてしまうからです。 JSONとしては正しいですがHTMLに埋め込む際には、それだけではダメなのです。文字列中に U+2028, U+2029が出現する場合もエラーになります。 http://timelessrepo.com/json-isnt-a-... 続きを読む
ブラウザ上で動作するテスティングフレームワーク上でXSSが可能な事例 - 金利0無利息キャッシング – キャッシングできます - subtech
2013/10/22
67 users
XSS
Selenium
archives
パブリック
金利
少し前にこちらのXSS脆弱性について報告をした。 http://www.ark-web.jp/blog/archives/2013/10/a-series-20131011.html のだけれど、その際に同梱されているSeleniumのtest runner用のHTMLにXSSがあるのを見つけた。 開発中に使うものだし、パブリックにアクセス可能な箇所にtest runnerのHTMLファイルが設置... 続きを読む
Firefoxにマスターパスワードを設定しているユーザーが画面ロック掛けない状態で離席するとどうなるかについて - 金利0無利息キャッシング – キャッシングできます - subtech
2013/08/13
100 users
Firefox
利息キャッシング
金利
離席
画面ロック
Webサイト一個一個訪問して自動フィルインから拾ってくるというのもできるし、重要なサービスのパスワード(メールとか)一個取れれば大体十分なんじゃねーのという気もしないでもないんだけど マスターパスワード入力後のケース 以下のようにしてパスワードを表示することが出来る 1. chrome://passwordmgr/content/passwordManager.xul を開く 2. Web開発者ツ... 続きを読む
Internet Explorer 11の新機能とか - ういはるかぜの化学 - subtech
2013/06/25
115 users
WebGL
SPDY
WIn
API
化学
Windows Server 2012 R2 Previewがリリースされたので、Windows 8.1に先駆けてInternet Explorer 11を触れたので気になったところをまとめておきます。 WebGLとSPDY/3対応 複数ウィンドウ対応 窓(デスクトップのではなく)を複数並べられます。 いくつかのAPIの追加 WebGL window.ondeviceorientation/win... 続きを読む
カスタムヘッダを使ったCSRF対策は安全に使えるかどうかということについて - 金利0無利息キャッシング – キャッシングできます - subtech
2013/03/04
81 users
カスタムヘッダ
hasegawayosuke
CSRF対策
について。 http://d.hatena.ne.jp/hasegawayosuke/20130302/p1 http://d.hatena.ne.jp/hasegawayosuke/20130303/p1 これはsame originからじゃないとカスタムヘッダの付与ができないよ、ということに依存したCSRF対策ということになります。 ブラウザやプラグインの実装がバグってて、色々組み合わせること... 続きを読む
GitHub Enterprise TechTalk に見る、各社の運用法 - #生存戦略 、それは - subtech
2013/01/24
174 users
生存戦略
各社
運用法
弊社もバリバリ GHE を使ってるので落ちると開発が回らなくなる(pull request できないのは、master に merge できないのとほぼ等価)ので、他社どうやってるのかーと大変気になってたのでしれて良かった。 間違ってたら教えてくだしぃ クックパッド 開発者は GHE へ push, webhook でメインの git サーバに同期 GHE の git レポジトリは本番からは利用し... 続きを読む
Big Sky :: 意外と知られていない github 技
2012/12/25
132 users
GitHub
plain
PU
diff
text
github で git diff from..to を表示する - #生存戦略 、それは - subtech で text/plain な diff が表示される。.. じゃなくて ... 。 http://subtech.g.hatena.ne.jp/secondlife/20121225/1356421602 github のコミットページ URL は、実は凄く良く出来ている。 例えば pu... 続きを読む
Rails でアプリ内部から発行してる http をトレースする - #生存戦略 、それは - subtech
2012/12/20
58 users
Rails
require
config
test
http
Ruby で HTTP の内容をトレースする - #生存戦略 、それは - subtech の続き。デバッグ用にセットしたら便利だったのでメモ。 Gemfile group :test, :development do gem 'webmock', require: false end しておいて config/environments/development.rb if ENV['WEBMOCK... 続きを読む
git-new-workdir が便利 - #生存戦略 、それは - subtech
2012/12/07
285 users
contrib
Clone
usr
local
生存戦略
作業中、別のベクトルの作業するからブランチ切り替えじゃ無くてもういっこワーキングディレクトリを作って作業したい!って思った経験ありませんか?みなさん n 回ぐらいあるんじゃないでしょか。 そんなときいちいち clone して…などしなくても git-new-workdir コマンドを使えば一発!git-core の contrib に入ってます。 ln -s /usr/local/share/gi... 続きを読む
Google Spread Sheet のクソ複雑で使う気がなくなるAPIを、さくっと使えるJSONP APIに変身させるたった1つの方法 - 冬通りに消え行く制服ガールは✖夢物語にリアルを求めない。 - subtech
2012/12/06
170 users
OAuth
XML
スコープ
API
制服ガール
Google Spread Sheet の API は OAuth と XML を使ってシートを変更するものなのですが、これが非常に使いづらい。OAuth はいいとして、XML 作ったりするのがつらい。そのうえ JavaScript だけで完結させるのが、クロスドメインXHR が必要になるので難しい。あと XML 作ったりするのがつらい。OAuth のスコープもスプレッドシート全体への変更を許して... 続きを読む
Ruby を 1.9.3 p327 から 2.0.0 dev に上げたら rails の起動時間が2.5倍速、rake spec の速度が1.8倍速になった - #生存戦略 、それは - subtech
2012/11/22
115 users
Rails
dev
Ruby
生存戦略
速度
流しのフェローが Ruby 2.0.0 速いって言ってたので、いやいや速いっていっても〜、と思って社内の ruby 1.9.3 な Rails プロジェクトで 2.0.0dev 使ってみたら 1.9.3 [5]>_<X time bx rails runner 'puts Rails' Rails bundle exec rails runner 'puts Rails' 6.24s user 1... 続きを読む
Google Apps Script はマジですごい。自分でサーバーを持たず、定期的に Gmail のメールを集計することができる - 冬通りに消え行く制服ガールは✖夢物語にリアルを求めない。 - subtech
2012/11/16
968 users
スクリプトエディタ
Gmail
Run
サーバー
制服ガール
最近知ったがGoogle Apps Scriptはだいぶいろいろなことができてすごい。 ので、とりあえず楽天カード (今話題) の売上情報メールを集計して家計簿に記録していくみたいなスクリプトを書いてみた。 Google SpreadSheet を開き、ツール → スクリプトエディタ で開かれるエディタに以下をコピペして、run 関数を実行すると、Gmail のメール直近1ヶ月のうち、楽天カードの... 続きを読む
プライベートブラウズを使用中かどうかを高い精度で判別できるブラウザがあるという話 - 金利0無利息キャッシング – キャッシングできます - subtech
2012/10/25
50 users
localStorage
プライベートブラウズ
判別
精度
Safariです。WebKit組み込みブラウザのいくつかも多分そうです。Google Chromeはできません、多分意図的に判別が困難であるようにしています。 Safariの場合、プライベートブラウズを有効にするとlocalStorageに書き込めなります Safariの場合、プライベートブラウズを有効にするとDo Not Trackが有効になります プライベートブラウズ中かどうかを検出する汎用的... 続きを読む
Safariのfile://におけるSame origin policyについてのアップデート - 金利0無利息キャッシング – キャッシングできます - subtech
2012/10/23
50 users
File
Safari
利息キャッシング
金利
アップデート
http://subtech.g.hatena.ne.jp/mala/20110425/1303730089 を書いた時から、少し変化があったので書いておきます。 http://jvn.jp/jp/JVN42676559/ http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000088.html SafariにおいてローカルHTMLファイルかローカルフ... 続きを読む
リファラとCSRF対策の話 - 金利0無利息キャッシング – キャッシングできます - subtech
2012/10/18
241 users
リファラ
CSRF対策
data URI
利息キャッシング
リファラを使ったCSRF対策では多くの場合、想定していない、外部サイトのリファラが付いていたらエラーにする、ということが行われます。 一方で、ブラウザ側の設定に関わらず、リファラはいくつかの方法で消せます。 data uriからの送信 https から http への送信 meta referrerタグで送信しない指定をする(対応ブラウザのみ) 参考: http://wiki.whatwg.org... 続きを読む