はてブ経由。IE6 および FireFox 1.5 で動く、FireBug みたいな JavaScript 用デバッグコンソール。-

建設予定地( 笑)

「仕様です」とかいいながらこっそり修正って流行ってるんですかね。

IE において、スタイルシート内の "expression" の検出範囲が広すぎるため、フィルタをすり抜け XSS することがある、という警告。Web アプリ開発者の人は理不尽な対応、頑張ってください。 ちなみに、IE6 までは、"expression" という語の検出に、NORM_IGNO…

MS06-049(KB920958) をあてた Windows 2000 にて、NTFS 上に保存したファイルの一部が圧縮により壊れることがあるそうです。Stressful Angelより。たまには逆リンク(笑) NTFS - oopsの日記 NTFSの件その２ - oopsの日記 NTFSの件その３ - oopsの日記 NTFSの…

Microsoft Impossible って、マイクロソフトには不可能ってことですかね(笑) 最後から3コマ目の奥天さん、「適用してれれば」って舌まわってないし。小野寺さん、最後の決めゼリフは「な、なんだってー!!」がよかったな。

すっかり間があいてしまいました。ごめんなさい。今回のテーマは Unicode 文字列の比較です。 文字列の比較には、プログラミング言語によっては s1 = s2 のように簡単な演算子で比較できる場合もありますし、strcmp や StrComp のような関数を呼び出す必要が…

Live View is a Java-based graphical forensics tool that creates a VMware virtual machine out of a raw (dd-style) disk image or physical disk.This allows the forensic examiner to "boot up" the image or disk and gain an interactive, user-lev…

Internet Explorer 6 では、<input type="file"> を使用してファイルのアップロードを行うときに、ファイル名をフルパスで送信するため、マイドキュメントなどに置かれてるファイルをアップロードすると、ログインユーザ名がサーバ側に漏洩するという問題がありました*1。 例え…

IE7 RC1 (英語版)出ました。 Internet Explorer 7: Home Internet Explorer Developer Center: Release Notes for Internet Explorer 7 Release Candidate 1 IEBlog : Internet Explorer 7 Release Candidate Now Available IEBlog : Installation Changes i…

Microsoft は TechNet Plus サブスクリプション の新しい形態として、「TechNet Plus Direct サブスクリプション」の提供を開始するそうです。 最新のソフトウェアと技術情報の年間購読をダウンロードで提供する TechNet Plus Direct サブスクリプション の…

今年は lumin さんが講演だそうで。

生のポインタを保存しない、保存されてるポインタを生のまま利用しないというのは、リターンアドレスの書き換えを困難にするため、バッファオーバーフローなどを本質的に防ぐことができるわけではありませんが、攻撃の成功を難しくできますね。 というか、Wi…

ウイルス対策、スパイウェア対策、ボット対策、不正アクセス対策、情報漏えい対策の各しおり。営利目的でなければ自由に印刷・配布可能とのこと。

予約受付が始まっていたので、さっそく１冊予約。自費出版なので、逃すと手に入らないかも。

OnePointWall を SQL サーバと Web サーバの間に入れて、SQLインジェクションを検出、ブロックだそうです。制限はいろいろ多そうですけど、簡易的なWAFのような感じで簡単に導入できるのかな。 OnePointWall の SQL Injection ルールについて

このあたりを参考に。意外に簡単。 <form method="post" enctype="application/x-www-form-urlencoded" action="トラックバックPing URL"> <input type="text" name="title" value="記事のタイトル"> <input type="text" name="excerpt" value="記事の要約"> <input type="text" name="url" value="記事のURL"> <input type="text" name="blog_name" value="ブログ名">…</form>

UTR# 36: Unicode Security Considerations UTR# 39: Unicode Security Mechanisms

そういえば、昔実験したときは、アプリケーションで F1 を押してヘルプを呼び出したときは、カレントディレクトリのヘルプファイルが優先的に使用されていました。ので、信頼できないヘルプファイルは「開かない」ではなく「手元に置かない」ようにしましょ…

JVN#27428836 04WebServer におけるディレクトリトラバーサルの脆弱性 JVN#02091617 04WebServer におけるクロスサイトスクリプティングの脆弱性 上記JVNでは 影響を受けるシステム - v1.82 およびそれ以前 と書かれていますが、04WebServer : セキュリティ…

Windows RSS Platform では、RSS Feed 内はテキストとして扱われるためスクリプトは実行されない。IE7 の Feed View では、RSS Feed の出処に関わりなく制限付きサイトとして扱われるため、デフォルトではスクリプトの実行は禁止されている。RSS Feed のレン…

「『MS06-040』のパッチ適用を優先させるべき」，MSのセキュリティ・チーム：ITpro そのほかの「緊急」セキュリティ・ホールは，「ファイルを開く」や「Webページにアクセスする」といったユーザーのアクションを必要とするのに対して，「MS06-040」について…

Support Professionals Toolkit for Windows Download details: Desktop Heap Monitor Version 8.1 Download details: User Mode Process Dumper Version 8.1

2005年度 情報セキュリティインシデントに関する調査報告書 InsideHTTP: New Beta 1.2.0.4 公開: Internet Explorer 7準備ツールキット

不受理になりました＞誰となく 制限付きサイトとして指定されているところに置かれているスクリプトであっても、インターネットゾーンで実行されます。が、 本件に関して、届出内容および IPA からの質問に対する回答内容を検討し、調整機関である JPCERT/CC…