はてブの新型ブックマークレットは、見ているページにJavaScriptを注入し、DOMを操作してページを書き換えることで、このような「ページ内JavaScriptウィンドウ」を出現させるようになっている。ブックマークレットでそこまでやることが許されるのか。もちろ…

これ、ほんとうにだめなのかな？http://kokogiko.net/m/archives/002062.html 2007年09月07日 kazuhooku kazuhooku security 実装みてみないとわかんないけど、危ない橋のにおい。別のガジェットからiframeされたらどうなるのとか、Consumerの身元をどうやっ…

すでにいつの間にか終わってた話。http://www.wasf.net/conference070705.html □S6『JSONPとブラウザエクステンションのセキュリティ』 スピーカ：奥 一穂 サイボウズ・ラボ株式会社 http://shugo.net/jit/20070705.html#p01 JSONPの脆弱性の対策手法は汚い…

http://code.google.com/apis/gears/security.html Database Security Best Practice:: Avoid SQL injection attacks. Never insert user input directly into a SQL statement. Instead, use substitution parameters in Database.execute(). ユーザの入力…

http://ajaxian.com/archives/subspace-enabling-trusted-cross-domain-ajax http://www2007.org/papers/paper801.pdfこれ読んだときは単純に「へー、これでJSONPみたいなのを気軽にできるんだったらまあいい話なのかなあ」とか思ったんだけど、あくまでJava…

http://usrb.in/amachang/static/devsum/ 複数ユーザが 同ドメインを使いユーザが JS を 自由に 記述出来る場合要注意プライベートな 部分はすべて 別ドメインにする ブログのように表示はパブリック、編集はプライベートと完全に分けられる場合は上手く行く…

PlaceEngineという無線LANから位置情報を得るサービスなんだけれども、このサービス、WiFiから得た位置情報にJavaScriptのAPIでアクセスできるようになっている。Firefoxからも楽勝でアクセスできるのできっとActiveXなんかではないだろうという思い、どうい…

GMailのコンタクトリストが外部から呼び出し可能になってしまってた件について。 Google内プライベートなはずのデータが、関係のない外部のサイトからもスクリプト経由で読み込まれてしまうというもの。http://ajaxian.com/archives/gmail-csrf-security-fla…

GoogleがGDataをJSONでも配信しているわけです。 http://code.google.com/apis/gdata/json.htmlスクリプト埋め込みでのJSON呼び出しをJSONPとは言わずにJSON-in-scriptと言っているあたりは微妙に気になる。まあこっちの方がよりよく実体を表していそうなネ…

JSONPという強力なAjaxアプローチが認知されだしたとたん、JSONPってセキュリティ的にやばいんじゃないの、という話がそこらここらで聞かれる。注意して使った方がいいよー、とか、どうなっても知らないよー、とか。JSONPで軽量Webサービスインフラを、と提…

http://d.hatena.ne.jp/dufresne/20060802#1154514674 他ドメインとデータをやりとりしたい場合はJSONPが一般的かなという感じがします。FireFox限定で構わなければgreasemonkeyを使うという手もありますし、Flashならcrossdomain.xmlで対処するのが通例かと…