トップ 最新 追記

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2006-01-03

_ [etc] あけましておめでとうございます

今年もよろしくお願いします。

今年の初仕事は、リハビリ兼ねて親戚のPCのセットアップ。

本日のツッコミ(全1件) [ツッコミを入れる]

_ Simurgh [弟のPC直してて年越した○| ̄|_]


2006-01-05

_ [etc] Microsoft MVP

今年も頂きました。カテゴリは昨年とは違い Visual Developer - Security でした。

本日のツッコミ(全10件) [ツッコミを入れる]

_ はせがわ [おめでとうございますー。]

_ まっちゃ [おめでとうございますー♪すげー日本初か?!]

_ masa [さすがbunさん。おめでとさまです!]

_ hanazukin [おめでとうございますw]

_ intotheblue [おめでとうございます!]

_ TrackBack [http://d.hatena.ne.jp/ripjyr/20060105/1136419919 まっちゃだいふくの..]

_ ikepyon [おめでとうございます]

_ bun [ありがとうございます。皆様のご支援あってのことです。これからより一層がんばりますので、よろしくお願いします。]

_ yasu [おめでとうございます。]

_ wakatono [おめでとーございますー。 つぅか、bunさんVisual系だからw、"Visual" Developerでの受賞にな..]


2006-01-16

本日のツッコミ(全1件) [ツッコミを入れる]

_ TrackBack [http://d.hatena.ne.jp/ripjyr/20060117/1137446533 まっちゃだいふくの..]


2006-01-20

_ [etc] Firefox の動作

Cookie を発行してくれるサイトがあって、そのサイトに普通にアクセスしているときは Firefox が Cookie を送ってくれてるとします。

まず、その Cookie を送っている URL を img タグに埋め込んだ HTML ファイルを作っておきます。

<img src="http://www.example.com">

Cookie を送受信するサイトにアクセスして何度かリロードし、Cookie が送られていることを確認した上で、この準備したファイルをそのまま開くか、どこかのサーバに置いてアクセスすると、自動的にhttp://www.example.com/ にアクセスします。

そこで、そのとき送られてるリクエストをよく見てみると、Cookie が送られていませんでした。

  • Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.7.12) Gecko/20051214 Firefox/1.0.7
  • Mozilla/5.0 (Windows; U; Windows NT 5.1; ja; rv:1.8) Gecko/20051111 Firefox/1.5

この2つのバージョンでこの動作を観測できたのですが、そういうものでしたっけ?ちなみに、img だけじゃなく、frame とか iframe とか input とかも試しましたが、同様の動作でした。どうやら、

<hoge src="http://www.example.com/">

というように、src 属性で指定している場合は飛ばないっぽいです。でも、

<link rel="stylesheet" href="http://www.example.com/">

の場合は、Cookie を送ってくれてました。

CSRF 被害軽減には役立ってないみたいです。

_ [etc]

文字列の HTML エンコーディングについて

HTML や ASP のソースコードをそのままクライアントに表示したい場合、そのまま出力したのでは「<」、「>」、「&」、「&quoe;」などの文字をタグやスクリプトと判断してしまい正しく表示できません。このような場合には、HTML 文字列を表示可能な文字列へエンコーディングする必要があります。

逆にして欲しい。確かにこれはエスケープ漏れする場面が多そう。隣の人の話では、もっとめんどくさいことをしないとエスケープできないコントロールもあるとのこと。

本日のツッコミ(全3件) [ツッコミを入れる]

_ masa [> HTMLエンコーディング もしかしたらASP.NETの仕様上なかなか難しい問題なのかもしれません。Label.T..]

_ masa [思い込みが甘かった。でした。]

_ masa [> FireFox Mozilla/5.0 (Windows; U; Windows NT 5.1; ja-JP; ..]


2006-01-28


2006-01-30

_ [etc] Microsoft Developer Security Day

日時
2006 年 3 月 2 日(木) 13:00〜18:30 (受付開始 12:00)
会場
品川三菱ビル 4F ダイヤモンドプラザ
対象
ソフトウェア、企業情報システムの設計/開発/構築に携わる全ての技術者
セキュリティの現状と開発者のセキュリティの理解を深めたい方
参加費
無料

2/13 追記:
セッションの概要が出ました。


無料アクセス解析