security

はてなのブックマークレットとブックマークレットに対する攻撃可能性について

はてブの新型ブックマークレットは、見ているページにJavaScriptを注入し、DOMを操作してページを書き換えることで、このような「ページ内JavaScriptウィンドウ」を出現させるようになっている。ブックマークレットでそこまでやることが許されるのか。もちろ…

認証情報の受け取りにJSONPを利用する

これ、ほんとうにだめなのかな?http://kokogiko.net/m/archives/002062.html 2007年09月07日 kazuhooku kazuhooku security 実装みてみないとわかんないけど、危ない橋のにおい。別のガジェットからiframeされたらどうなるのとか、Consumerの身元をどうやっ…

Webアプリケーションセキュリティフォーラムの話の内容が気になる

すでにいつの間にか終わってた話。http://www.wasf.net/conference070705.html □S6『JSONPとブラウザエクステンションのセキュリティ』 スピーカ:奥 一穂 サイボウズ・ラボ株式会社 http://shugo.net/jit/20070705.html#p01 JSONPの脆弱性の対策手法は汚い…

Google GearsのSQLインジェクション対策

http://code.google.com/apis/gears/security.html Database Security Best Practice:: Avoid SQL injection attacks. Never insert user input directly into a SQL statement. Instead, use substitution parameters in Database.execute(). ユーザの入力…

Subspace: Secure Cross-Domain Communication for Web Mashups:

http://ajaxian.com/archives/subspace-enabling-trusted-cross-domain-ajax http://www2007.org/papers/paper801.pdfこれ読んだときは単純に「へー、これでJSONPみたいなのを気軽にできるんだったらまあいい話なのかなあ」とか思ったんだけど、あくまでJava…

JavaScriptセキュリティとWebDAV

http://usrb.in/amachang/static/devsum/ 複数ユーザが 同ドメインを使いユーザが JS を 自由に 記述出来る場合要注意プライベートな 部分はすべて 別ドメインにする ブログのように表示はパブリック、編集はプライベートと完全に分けられる場合は上手く行く…

PlaceEngineのJavaScriptAPIのセキュリティ実装について

PlaceEngineという無線LANから位置情報を得るサービスなんだけれども、このサービス、WiFiから得た位置情報にJavaScriptのAPIでアクセスできるようになっている。Firefoxからも楽勝でアクセスできるのできっとActiveXなんかではないだろうという思い、どうい…

GMailのコンタクトリスト漏洩とプライベートJSONP

GMailのコンタクトリストが外部から呼び出し可能になってしまってた件について。 Google内プライベートなはずのデータが、関係のない外部のサイトからもスクリプト経由で読み込まれてしまうというもの。http://ajaxian.com/archives/gmail-csrf-security-fla…

GDataのJSONPとコールバック関数名

GoogleがGDataをJSONでも配信しているわけです。 http://code.google.com/apis/gdata/json.htmlスクリプト埋め込みでのJSON呼び出しをJSONPとは言わずにJSON-in-scriptと言っているあたりは微妙に気になる。まあこっちの方がよりよく実体を表していそうなネ…

JSONPはセキュアでないのか?

JSONPという強力なAjaxアプローチが認知されだしたとたん、JSONPってセキュリティ的にやばいんじゃないの、という話がそこらここらで聞かれる。注意して使った方がいいよー、とか、どうなっても知らないよー、とか。JSONPで軽量Webサービスインフラを、と提…

クロスドメイン読み込みについての記事

http://d.hatena.ne.jp/dufresne/20060802#1154514674 他ドメインとデータをやりとりしたい場合はJSONPが一般的かなという感じがします。FireFox限定で構わなければgreasemonkeyを使うという手もありますし、Flashならcrossdomain.xmlで対処するのが通例かと…