スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

11月15日のtwitterセキュリティクラスタ

今さらながら8円携帯に興味津々です。Androidも使ってみたいしねー。

まずはWebからのCSV吐き出しというか、IE6 の Content-Dispositionについて。
tokuhirom: 昔、なんとかエージェントの人に脆弱性を指摘されたので、金床本ではどうしろってかいてあったっけなーっておもって家にとりにかえったことがあったんだけど、「どうしようもないです」ってかいてあったようなことがあった。IE6 の Content-Disposition 関係の件。

tokuhirom: csv を httpd からだすときに、Content-Disposition: つけてても表示されてしまう IE6 のバージョンがあるという問題は、IE6 の問題であってウェブアプリケーションの脆弱性ではない!といっていいとおもう。

tokuhirom: IE6 の user-agent だったらダウンロードさせない、でFA か。

tokuhirom: いまだったらそうするなー。

hasegawayosuke: @tokuhirom IE[6-8]

tokuhirom: @hasegawayosuke あれ、content-disposition つけとけばたいがいのバージョンだったらだいじょうぶだとおもってました ><

hasegawayosuke: Webアプリケーションの出力としてCSVを吐きだすと、IEのMIME無視によるXSSだけでなく、他のブラウザでもJSとして読み込めてしまう(ので中身が盗み見される)問題がありますからね。

tokuhirom: 結局のところ「csv をつかうな」でFAなのかな。。

tokuhirom: excel にくわせるためなら、csv じゃなくて HTML でだす、でもいいんだけど、ツールにくわせるときとかだと微妙だよなー。。

tokuhirom: @hasegawayosuke よみこまれるという問題にたいする対策としては、URL にワンタイムトークンをふくむ、などで対策すればいいんでしょうか

hasegawayosuke: @tokuhirom いいとは思いますが、APIの結果としてCSVを吐いてるのだとすると、URLが毎回変わるのは使いにくそうですね。

hasegawayosuke: "/*", "value", "value",..., "*/" というCSVを吐くバッドノウハウ。



そんなことが言われている腐ったミルクことIE6ですがまだまだゾンビのように生き残ってくるようです。
gakkiy: ie6...な ん て 事 を し て く れ る ん だ / Win7でIE6を動かす--シマンテック、同社仮想化技術のメリットを強調 - CNET Japan http://htn.to/D1kGLR



USBブートのセキュリティ系ディストリビューション詰め合わせのKatanaがバージョンアップです。
THEdarknet: Katana v2 (y0jimb0) ? Portable Multi-Boot Security Suite: Katana is a portable multi-boot security suite which b... http://bit.ly/b7LtEb

ntsuji: マルチブートな「Katana」の2.0のコードネームが「y0j!mb0」(用心棒)でかっこいい件。 http://bit.ly/1WrnyD



年末商戦なのに大変ですね。
datahouseinfo: ビックカメラドットコム、会員IDとポイントの不正使用が発覚したそうです(MADより) http://j.mp/9D0HnE

ockeghem: 『ポイントを不正使用されたのは約20人』<手口はなんでしょうね / ビックカメラのネット通販でポイント不正使用、被害20人  :日本経済新聞 http://htn.to/nRSXrB



「HTMLのscriptタグ内に出力されるJavaScriptのエスケープ処理に起因するXSSがとても多い件について」に追記がありました。勉強になりますね。
bulkneets: エスケープの適用順序に起因する問題を追記した http://bit.ly/cU11tM

bulkneets: 自社サービスに問題がないことの確証が得られてから書くつもりでしたが、いつになるか分からないので自社サービスを棚に上げて書いています!! http://bit.ly/cU11tM



スクリプトは埋められるは他人のサービスは埋められるはで、ブログサービスって危険だなあと思ってますがどうなんでしょう。
bulkneets: 危険なWebサイト = 認証情報を扱うドメインに他社の提供するブログパーツを貼り付けを許可する

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。