みんな大好き Google さんが、アカウントのパスワードを変更する時にパスワードの安全性を教えてくれるので真似っ子してみました。 最初は処理をパクってこっそり自分だけで使おうと思っていたのだけど、何やら単語の検索をしたりとややこしい事をしているようなので自前で作りました。 動作サンプル 使ってみ...
最近ブログパーツやシェアボタンをはじめとして外部サービスのJavaScriptコードを埋め込んで動作させたりすることが増えています。しかし外部のサービスにセキュリティ上の問題がある可能性もあります。そこで作られているのがJavaScriptによるJavaScript実装であるjs.jsです。 0 [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
07:56このタイトル見ると抽象的でピンとこないがこれを見てほしい:これ見たときはビビった。全部的中。これはたった30行のJavaScriptで実装されている。http://oxplot.github.com/visipisi/visipisi.htmlこのリンク先のページの下の「Do the m... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
JavaScriptは、最も利用されているWebサイトスクリプト言語だ。Webブラウザ上で動作し、HTMLのみの場合に比べてはるかに動的なページを実現できる。一方でハッカーにとっては、ブラウザを乗っ取り、不正な操作を実行できる存在でもある。 JavaScriptが攻撃に悪用されるケースが多いためク... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
2011年6月18日土曜日 アドレスバーからjavascript:を実行できなくするブラウザ側の対策について Facebookなどで、裏技する方法などと言ってjavascript:をアドレスバーにコピペして実行させて、情報を盗んだりするソーシャルエンジニアリングが流行っていて(ニコニコでも似たよう... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
2011年06月(1) 2011年05月(5) 2011年04月(7) 2010年09月(1) 2010年07月(1) 2010年02月(1) 2010年01月(1) 2009年12月(2) 2009年11月(1) 2009年07月(1) 2009年06月(1) 2009年05月(2) 2009年... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
「HTMLのscriptタグ内にデータを埋め込む際のエスケープ処理モジュール書いた」に引き続いて、XSSを避けつつ複数の値をJSONで渡す方法。答えはmalaさんが書いてますテンプレートエンジンでJSONを生成する(多くの場合間違えるので、推奨しない)scriptタグの中でJSONを使わない可能で... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
malaさんの「HTMLのscriptタグ内に出力されるJavaScriptのエスケープ処理に起因するXSSがとても多い件について」にちょろっとでているgistのコードをモジュールにしました。JavaScript::Value::Escape - https://github.com/kazebu... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
Yahoo! Developer NetworkWebサイトやWebアプリケーションを開発する場合、JavaScriptとCSSは欠かせない状況になっている。しかし中にはJavaScriptを無効しているユーザもいるため、JavaScriptやCSSを必須構成にして設計したサイトやWebアプリケー... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
|
昨晩のtwitter XSS祭りは、ふだんもtwitter.comは使わない私には遠くの祭り囃子だったのですが、せっかくの自戒の機会なので。Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について正しいアプローチは、全て... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
なぜ通常のXMLHttpRequestにはクロスドメイン制約があるのに、JSONPではクロスドメインでリクエストを送信できるのか?不思議に感じたので、ちょっと調べてみた。 クロスドメイン制約は「ブラウザ上で実行されるJavaScriptは同じドメインにしかリクエストの送信やクッキーの編集を行えない... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
|
# 最初にちょっと余談を。Chromium-Extensions-JapanのほうにChrome6 Betaの変更点を書きました。どうぞよろしく。さて、Togetter - 「scriptタグ内をHTMLコメントで括ってからJavaScript書くのって意味あるの?」の件に関して、関連ネタをいくつ... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
先日のブラウザー勉強会で吾郷さんにお会いした際に、JavaScriptには言語の仕様として「例外がどこから投げられたのか」を知る為の仕組みが無いので独自のフレームワークを作る時に困ったという話を伺った。オレ標準JavaScript勉強会で何話せばいいか困ってた所だったので、それをネタに発表させても... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
Web において使われる URI(URL)には様々な情報が埋め込まれるが、その埋め込みの際にはエスケープ(パーセントエンコード)が行われる。埋め込まれた情報は取り出されるときにアンエスケープ(パーセントデコード)される。 たとえば、四則演算を行う電卓の Web アプリケーションを考える。この電卓は... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
XHR level 2ではクロスドメインXHRがサポートされる、で、FirefoxとかChromeとかSafariの最新版だと既に普通に使えるようになっている。HTTPヘッダで Access-Control-Allow-Originを指定することで特定ドメインからの読み込みを許可することが出来る。... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
12月15日、JavaScript、正式にはECMAScriptと呼ばれる言語の仕様策定が完了したとEcma Internationalが発表しました。今回承認されたのはECMA-262 5th editionと呼ばれる仕様で、いわゆるJavaScript 2.0と呼ばれるものです。12月3日には... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
i-mode2.0は前途多難 - ockeghem(徳丸浩)の日記にて報告したように、ドコモのiモードブラウザ2.0のJavaScript機能が5/28に停止されていたが、本日ケータイアップデートが準備されたので、深夜3時まで待たずに即座にアップデートを実行した。そして、JavaScriptが復活... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
JavaScriptでパスワード強度のチェックを行うチュートリアル&サンプルがNettutsで公開されています。 次のように、ボックスに適当な文字列を入れることで、リアルタイムにパスワード強度が分かります。 長さ、大小英数字チェック、数字、シンボルによるボーナスと、ペナルティによってスコア付けして... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
jCryption.orgは8月2日、HTMLフォームを暗号化できるオープンソースJavaScriptライブラリ「jCryption 1.0」を公開した。ライセンスはMIT Licenseを利用、Google Codeのプロジェクトページよりダウンロードできる。jCryptionは、HTMLフォー... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
|
インターネット上でユーザ認証やセンシティブな情報を集める際にはSSLを使うことが一般的だ。とは言え個人やレンタルサーバレベルでは証明書を取得するのはコスト面や技術面で難しいことがある。だからといって、そのような情報を平文のまま流すのは気になる所だ。フォームの内容を暗号化して送信簡単な暗号化だけでも... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
■ 「NoScript」をやめて「RequestPolicy」にした セキュリティ屋が、Firefoxユーザに「NoScript」の使用を推奨することがしばしばあるが、私は賛同しない。JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開, INTERNET Watch, 2008年1... [ 詳細 ] [ 関連 ] [ ニコニコ風 ]
|
