2006-11-01から1ヶ月間の記事一覧

IE7にオンライン・ストレージやWebメールで日本語ファイル名が化ける不具合:ITpro

Content-Type: application/octet-stream; charset=UTF-8 Content-Disposition: attachment; filename="%E4%BA%88%E7%AE%97.zip"とかにすると、IE7でも「予算.zip」ってファイル名で保存できるけど、そうすると Firefox で問題が…。あとで時間とってもうちょ…

もじのなまえ - ショック! ISO/IEC 10646の規格票がフリー・ダウンロード

ISO/IEC 10646の完全なPDFが無料でダウンロードできるそうです!! (info from XMLと文字メーリングリスト)

はてなセリフ

そのださんところから。 ごめんなさいごめんなさい。とか言いながら、調子にのってみる。 ごめんなさいごめんなさいw

ワリカン負け

なんのこっちゃ。これでおしまい。

ぷろじぇくと、みすじら。 - AAで図解!ずばり一目で全く解らないコンピュータセキュリティ

ワロスwww ところで Officeさんって誰ですかね。あ、直ってる。

Fiddler2 HTTP Debugger - Fiddler2

これまでの Fiddler v1.x + RPASpy では、HTTPS のヘッダを見ることしかできなかったが、Fiddler2 では RPASpy なしで HTTPS のデバッグに対応してるっぽい。v1.x との共存も可能。 Fiddler2 HTTP Debugger - FAQ

KB923980 が延々と自動更新であがってくる。

NetWare 用クライアント サービスの脆弱性により、リモートでコードが実行される (923980) (MS06-066) が、XP Home Edition で何度も自動更新の対象となる現象が発生(当てるごとに正常完了)することがあるそうで。というか、手元の1台がまさにそれなんですけ…

[connect24h:11232] 第8回 セキュリティもみじ セミナー 「保全と調査約款/ライトニングトーク 五連発」

ライトニングトークで「それ Unicode で」という小ネタをやります。5分間なのでどれだけできるかなぁ…。 あと、会場が60名なのに、84名募集だそうなので、少し狭いかも?

Network Security Forum 2006 カンファレンスノート追加資料 − JNSA

NSF2006 の「ForensicsとAnti-Forensicsの攻防」の資料が公開されています。

RFC 4716 SSH Public Key File Format

とりあえずメモ。SSHの公開鍵ファイルのフォーマットがRFC化されたそうで。

Write Great Code Vol.2〜低いレベルで考え、高いレベルで書く〜

ちょっと気になるのでメモ。というか、BINARY HACKS もまだ買ってない orz Write Great Code〈Vol.2〉低いレベルで考え高いレベルで書く作者: Randall Hyde,鵜飼文敏,まつもとゆきひろ,後藤正徳,八重樫剛史,トップスタジオ出版社/メーカー: 毎日コミュニケー…

ha.ckers.org web application security lab - Archive » Widespread XSS for Google Search Appliance

まっちゃさんところより。Google 検索アプライアンスにクロスサイトスクリプティングの脆弱性があるそうで。検索文字列を UTF-7 で指定した場合に検査が不十分なために %2BADw-SCRIPT%2BAD4-alert(%2BACI-XSS%2BACI-)%2BADw-/SCRIPT%2BAD4-%2BADw-xというよ…

セキュリティ要件検討支援ツール − IPA

準備中だそうで。よくわかんないのでまたゆっくり見よっと。

Download details: Anti-Cross Site Scripting Library V1.5 − Microsoft Download Center

試そうと思って放置しているあいだに1.5 にバージョンが上がってた。 Michael Howard's Web Log : Anti-Cross Site Scripting Library v1.5 Now Available Anti-Cross Site Scripting

H18年度ウェブアプリケーション開発者向けセキュリティ実装講座の開催について

2006年12月13日13:00〜16:15、80名、無料。

スラッシュドット ジャパン | 知らぬ間にファイルに摺り込まれる情報、気にしてますか?

気になる人は、適当にオプションを変更しておきましょう。文書の比較と反映の精度を向上するためのランダムな番号ってのは落とし穴ですね。どうでもよいけど、Microsoft のはすごいHTMLですね。 個人情報や隠し情報を削除する - Word - Microsoft Office Onl…

第 1 回 Admintech.jp 勉強会 - Admintech.jp

2006年12月2日(土)、マイクロソフト株式会社本社、無料、40名。 はじめての Windows Vista 講師: やまにょんWindows Vista の RTM を記念して、「Windows Vista の全貌に迫る!」をテーマに、さまざまな角度から見た Windows Vista について紹介していきます…

mixiの画像URLの取扱いの変更

画像に対するURLがワンタイムなものとなって、一定時間経過後(10分程度)でアクセスできなくなったらしいです。

httpOnly | Firefox Add-ons | Mozilla Corporation

「yohgaki's blog - httpOnlyをFirefoxで」より。Mozilla Firefox 2.0 以降で、IEのように Cookie の HttpOnly 属性のサポートを実現するアドオンだそうです。いちおう入れてみる。

Hotmail and Windows Live Mail XSS Vulnerabilities

Hotmail および Windows Live Mail にて、GB2312 を使っておかしな expression を記述することで XSS が可能だったそうです。openmya な記事も載ってるよ!!

データベースセキュリティガイドライン第1.0版 − データベース・セキュリティ・コンソーシアム

公開されました。 http://www.db-security.org/report/dbsc_guideline01_ver1.0.pdf 業界団体がDBセキュリティのガイドラインを公開,「国内初,ビジネス利用も可」:ITpro

交差点の猫 - リファラーを 偽装するのよ Flashで

ここらへんの話、追加ではなく上書きできるそうです。

クロスサイトスクリプティングの実例

https://www.webappsec.jp/modules/bwiki/index.php?XSS%A4%CE%BC%C2%CE%E3 少しだけまとめてみました。 どうでもよいけれど、「JavaScriptの文」と書こうとして変換したら「JavaScriptのbun」になったよ(笑) 間違いじゃないかもしれないけど。

25番ポートブロック(OP25B)への対応について − almail.com

サブミッションポートを使ってメールを送信するための設定資料とともに、SMTP-AUTH について現行の CRAM-MD5 だけでなく PLAIN、LOGIN にも対応したバージョン(バージョン 1.13b)がこっそり公開されています。

ha.ckers.org web application security lab - Archive » Additional Non Alpha Non Digit Character Evasion

script の後ろにゴミを付け加えて、"<script" + XX + ">" のような表記にしてもスクリプトが動作する。XX に指定可能な文字は、IE6 では 0x00、0x09、0x0B、0x0C、0x20、0x2F。Firefox 1.5.0.7 では 0x08、0x09、0x20 となっている。というお話。 もう少し説明すると、IEでは 0</script">…