セキュリティアンテナでここがときどき更新されてるように見えるのは、spam コメントが登録されたり、それを削除したりしてるからです…。

こじま先生の手持ちのカードに「放置(見なかったことにする)」というのはないみたい。 …ITProの記事も修正が入りましたです。以下の内容は修正前の状態について書いています。 それはそうと、この ITPro の記事は、原稿の中の「<」「>」とかが記事に直すとき…

マイクロソフトのサーバー製品の標準機能を利用したログの収集及び監査について、その手順を記述するもの だそうです。 ファイルサーバー上のファイル操作における監査 (PDF 形式, 2.1MB) 印刷ジョブについての監査 (PDF 形式, 0.7MB) タスクについての監査 …

ikepyonさんより。 私（記者）も，2006年12月に「はてなブックマーク」で話題になった「それUnicodeで」というWebの文章を読んで，RLOのことを知ったばかりでした。 ｋｔｋｒ いやまぁしかし、今のところ Windows 側で拡張子偽装への対策ってする雰囲気ない…

「義妹の学費もあの人が出してやっていた」が伏線、に 1 票。 ちなみに、どうでもよいけど、画像「」の alt が「前のページへ」になってますね。

葉っぱの香りがする内容ですね。 おぉ。対策されましたか。脆弱性ではないなと思いつつ一応IPAに届け出たけれど、予想通り不受理になって、個別にアンチウイルスソフトのベンダに届けるのも大変だなぁとか思っていたら、まっちゃさんがトレンドマイクロに届…

産総研 RCIS: 安全なWebサイト利用の鉄則 (はてなブックマーク hotentry より) サイト運営者の鉄則 サイトからクロスサイトスクリプティング脆弱性を排除する 鉄則だよ！がんばれ＞＜

JavaScript で書かれた x86 アセンブラ。JASMなのかJSASMなのかよくわかんないけど、XSSでWebアプリにアセンブラなテキストを注入→JSASMでアセンブル→脆弱なIEとかにバイナリ注入、とかできれば Web 2.0 っぽいと思った今日この頃(違。

使ってないんだけど、ひさしぶりに ChangeLog とか見てたら、いつのまにか Anti-XSS protection って機能がついたんですね。試してみようかなぁ。

はてブで 「すべてをエンコードすると決めた」といいながらメタキャラクタしかエスケープしないのはなぜ？ と書いたら、b:id:HiromitsuTakagi さんに /↓hasegawayosuke「なぜ」 と言われてしまいますた。 全ての文字をエスケープしようなどと非現実的なこと…

あとで読む。 crossdomain.js は、Ajax でいうところの XMLHTTPRequest を Flash 経由で行う為のライブラリです。

「はせがわってﾋﾄが文字ｺｰﾄﾞを利用したき弱性（←なぜか変換できない）に詳しいよ」とか言うセリフとともにｷﾝﾕｶさん（←なぜか変換できない）に編集部に売り飛ばされてしまった都合で、ちょっとだけXSSに関連する記事を書きました。 ハッカージャパン5月号は「…

少し前に JSONP が XSS を引き起こすかもしれないという点に関する興味深い記事を奥さんが書かれていました。 Kazuho@Cybozu Labs: JSONP - データ提供者側のセキュリティについて JSONP における Padding 部分(だけでなくJSON部分も。4/5追記)に攻撃者が HT…

XHR経由でHTMLを取得し、リンク対象を順次XSSしないか検査するタイプのJiktoのようなツールに対しては、とりあえずページ内のリンクを全てJavaScriptで動的に生成するようにしておけば、それ以上XSSを突かれなくて済むように思いますた。 document.write( '<a href="' + url + '">'</a>…