雑記
平積みになってる「Webアプリケーションなんとか」という本を「今夜わかる何とか」という本で隠そうとする、身長2mくらいの人。
史上空前のクラムチャウダーを飲んで帰国ブームの間に何か書こうと思ってたのにブームが去ってしまったので、史上空前というほども流行っていないE4Xブームにのってみる。 E4Xという機能を使うと、JavaScript内にリテラルXMLを記述できる。徳丸さんのサンプ…
史上空前のブラウザ判別ブームらしいので、イメージファイトの原点に立ち返り、画像だけでIEを検出するようにしてみた。我ながらしょーもなすぎる…。 http://openmya.hacker.jp/hasegawa/test/detectie.png 参考文献 mod_imagefight.c (id:TAKESAKOさん) 免…
hoshikuzuさんによる回答がうまく動かない気がするので、ある程度意図を汲みつつ動く例を挙げてみると <img ""src="http://www.mozilla-japan.org/img/products/firefox-title.jpg" /src="http://www.microsoft.com/library/media/1041/japan/windows/images/products/winfamily/ie/icon_ie7.gif" src="http://jp.opera.com/img/operalogo.gif" > みたいな感じ。IE/Firefox/Ope…
世間では史上空前の参考文献記述ブームだそうですが、そんなことは気にせずにとりあえずhoshikuzuさんの出題された『詰めHTML』で遊んでみました。ちょっと思い出したのでクイズを書いてみます。以下の条件で、IEでは、imgie.gif、 Firefoxでは、imgfx.gif、…
充分実用的に動く「サニタァイズ・フラァァッシュ」の実装を、ネタの方向性と合わないからとあっさりと捨ててしまう潔さは、LL魂というよりむしろ芸人魂。
届出の受信から受理までがなんだか長くなった気がすると思っていたら、いつもとナニゲに違う返事が来た。 []IPA[] []セキュリティ[][]センター[]です。XXXX の件につきまして、届出必要項目が記述されている事を確認し、届出として受理いたしましたので、ご…
あとで考えるためのメモ。 http://d.hatena.ne.jp/hasegawayosuke/20070404/p1 に対しては Content-Disposition: inline; filename="dynscript.js"が有効な気がするが、時間がないのであとで再調査。 …と書いておくと、親切な誰かが調べてくれそうなので。
いま作ったのでかなり適当。というか意味不明。 ネタは夜更けすぎにDISへと変わるだろうサニタイズ♪ XSS Nite♪きっと彼は来ないskype越しの参加CTF♪ 予選♪角度深く飛ばすミサイル接続できそうにない必ずUnicodeなら行けそうな気がしたcharset♪ alert♪廊下に…
13日の金曜日だということで、このあたりみながらJSONで遊んでみました*1。残念ながらマッシュアップ系ではないスタンドアローンなアプリケーションですけど。 http://openmya.hacker.jp/hasegawa/tool/ways/sleep-0.1.zip Windows上で展開して、コマンドラ…
また,完全なアーカイブやリポジトリだけでなく,単一ファイルやサンプル・コードといった短いソースコードの検索にも対応した。 純粋なコードだけでなく、メーリングリストの投稿なんかもサンプルコード扱いみたいですね。すげー。
水中弾(というか水中用の火器?)というと、これが真っ先に浮かんだ今日この頃。サブロックガンはでかいなぁ…。
TAKESAKOさんが「You、Yes!プリキュア5もちゃんとビデオ撮ったから見に来ちゃいなYO」と言うので、第1回XSS祭りに行ってきました。超人代表の人とかニート代表の人とかあいのり代表の人とか、各界を代表する著名人揃いでしたが、とりあえず一般ユーザ代表と…
5/14の日記ockeghem(徳丸浩)の日記 - XSS対策:JavaScriptのエスケープ(その2)に対して、id:hasegawayosukeさんからコメントを頂戴した。その内容は、JavaScriptに対応していないブラウザの場合に対する考慮が抜けているという趣旨だと理解した。JavaScriptに…
セキュリティアンテナでここがときどき更新されてるように見えるのは、spam コメントが登録されたり、それを削除したりしてるからです…。
ikepyonさんより。 私(記者)も,2006年12月に「はてなブックマーク」で話題になった「それUnicodeで」というWebの文章を読んで,RLOのことを知ったばかりでした。 ktkr いやまぁしかし、今のところ Windows 側で拡張子偽装への対策ってする雰囲気ない…
「義妹の学費もあの人が出してやっていた」が伏線、に 1 票。 ちなみに、どうでもよいけど、画像「」の alt が「前のページへ」になってますね。
産総研 RCIS: 安全なWebサイト利用の鉄則 (はてなブックマーク hotentry より) サイト運営者の鉄則 サイトからクロスサイトスクリプティング脆弱性を排除する 鉄則だよ!がんばれ><
XHR経由でHTMLを取得し、リンク対象を順次XSSしないか検査するタイプのJiktoのようなツールに対しては、とりあえずページ内のリンクを全てJavaScriptで動的に生成するようにしておけば、それ以上XSSを突かれなくて済むように思いますた。 document.write( '<a href="' + url + '">'</a>…
今週はシアトルに行けないぶんスクリプトとか頑張る週なのです。というわけで、なければ作ってしまいましょう。 maillog.vbs とかって名前で保存して、コマンドラインから C:\> maillog.vbs foo.eml とかで eml の主要なヘッダを表示します。表示したいヘッ…
スルー力ないので逐一反応してるわけですけれど、 prepared statementは話題に上りもしなかったのかしらん。O/Rマッピングなんかどうでもいい(抽象化による解決の一例にすぎない)のになんでそんな話に時間を費やすのか。(変な解説記事をベースに話をした…
HTML を書く側では IE の設定は当然関与できないので、どちらかというと、ちゃんと RFC2368: The mailto URL schemeに対応して欲しい気がするんですけど、どうなんでしょう。 例示されている、mailto:name@example.com® な mailto:URIスキームを記述するので…
「未届けと推定される脆弱性情報が公開されているのを発見したら (takagi-hiromitsu.jp) 」。何となく注釈に反応。 *2 「自分で発見した」でないときに、「対策情報公表時の届出者情報の掲載について」で「希望する」を選択するとどうなるのか知らないが、そ…
先日に引き続き、また選択的排除(笑) http://www.st.ryukoku.ac.jp/~kjm/security/antenna/hina.di を見ると URL: http://d.hatena.ne.jp/hasegawayosuke/ Date: Wed, 7 Feb 2007 01:13:44 GMT Last-Modified: Sun, 4 Feb 2007 16:13:03 GMTという感じ。Last…
yamagata_love_project@example.jp ワロスww
そういえばと思って手元にある届出内容を漁ってみると、届け出たときの氏名が漢字表記とひらがな表記が混在してて、氏名「はせがわようすけ」と書いた場合でも正常に受理されてますです。以降の連絡においても「はせがわようすけ様」とか書いてありますし。…
スルー力が完全に欠如してるので、マジレスしてみるてすと。 「窓口があれば、みつけた人が教えてくれる機会がふえる」のは、 「機会がふえるような窓口があれば」→「機会がふやせる」 ではなくって、 「窓口があれば」→「個別に窓口を探す手間が省けるので…
Google で英語ページを検索する場合は、以下のようにするとよいです。 日本語で検索 まず、普通に検索したときの URL 。 google.com だったり、google.co.jp だったりするのはあまり気にしない。http://www.google.com/search?q=vox+atom+ecto&hl=ja&lr=lang…
こじま先生のところのセキュリティアンテナが、はてなダイアリーの更新をうまく拾えてない話やそれに対するこじま先生の回答を見たけど、やっぱり葉っぱ日記は置いてきぼり (´・ω・`) で、とりあえず http://www.st.ryukoku.ac.jp/~kjm/security/antenna/hi…