5/11の日記XSS対策:JavaScriptなどのエスケープ - ockeghem(徳丸浩)の日記に対する金床さんのコメントに触発されて、JavaScriptのエスケープについて検討してみよう。ただし、現実のアプリケーション開発においては、私はJavaScriptの動的生成を推奨していないが、これはエスケープ処理をどのように考えるかと言うレッスンのつもりで検討することにする。 金床さんのコメントで紹介されたリンクには、以下のようなガイドライン案が提案されている。 JavaScriptの文字列でのエスケープ手順としては、以下が今のところ正解っぽい感じです。 1. 「\」を「\\」に置換する 2. 「"」を「\"」に置換する 3. 「'」を「\'」に置換する 4. 「/」を「\/」に置換する 5. 「<」を「\x3c」に置換する 6. 「>」を「\x3e」に置換する 7. 「0x0D(CR)
昨日の日記に対して、id:ikepyonさんからトラックバックを頂戴した。内容はそちら(Tipsと考え方とXSS対策)を読んでいただくとして、興味深いテーマなので少し突っ込んでみたい。 # 日によって「です・ます」で書いたり、「だ・である」で書いているのは気分の問題なので、あまり気にしないでいただきたい Tipsだけでなく、物事の本質を見極め、何が危険で、何が安全なのかということを考える必要があると思う。 昨日の記事は、(一般的な)XSS対策として、どの文字をエスケープするのが「本質的」だったかを考えたかったのであって、あれをTipsととらえると確かに失敗する。 JavaScriptのスクリプトなどが入っている場合も昨日と同じ方法論で考えることは可能である。まずはこれを検討してみよう。 スクリプトがonXXXのイベントハンドラとして記述されている場合 この場合は、HTMLタグの属性値として
http://d.hatena.ne.jp/hoshikuzu/20060130#P20060130BARSFAKE http://d.hatena.ne.jp/amachang/20071010/1192012056 (IT戦記 - 一行で IE の JavaScript を高速化する方法) はじめに 次のような限定されたケースにおいてなのですが。説明上の都合でこれを課題Aと呼ぶこととします。 <SCRIPT TYPE="text/javascript"> <!-- var strA = "$data"; // ・・・以下サイト運営者による処理記述例 alert(0); //--> </SCRIPT>上記のようなケースに限定してのオハナシですけれど、$dataをエスケープする方向でのXSS対策として金床さんなどによってかつて論議されて、このままでは使えそうにないと棄却されたJavaScr
2009年12月17日01:19 カテゴリ経済 「需要か供給か」という不毛な論争 菅直人氏と竹中平蔵氏の論争が話題を呼んでいる。これが日本の国家戦略の出発点になるだけに重要な意味をもつが、議論がさっぱり噛み合っていない。 そのひとつの原因は、竹中氏のプレゼンテーションにある。彼は「経済成長を決めるのは供給側だ」として、民営化や規制改革によって経済の効率を高めるべきだと説くのだが、菅氏がこれに「今の不況は需要不足だ」と反撃し、竹中氏が「需要も大事だ」と答えたため、わけがわからなくなった。竹中氏は潜在成長率というべきところを、わかりやすく「供給側」といったのだろうが、それが問題を混乱させてしまった。 経済問題の原因を「需要か供給か」と問うのは意味がない。「不況は需要不足だから供給を増やす構造改革はナンセンス」などという話がよくあるが、不況はつねに現象的には需要不足である。問題は、その原因が何か
成長戦略策定会議・検討チームの会合を前に握手する菅副総理・国家戦略相(左)と慶応大の竹中平蔵教授=16日午前、東京都千代田区 菅直人副総理・国家戦略担当相は16日、内閣府で行われた成長戦略策定会議の「検討チーム」に竹中平蔵元総務相を招き、成長戦略について約35分間にわたり議論を戦わせた。やりとりの詳細は以下の通り。 【菅氏:経験を教えてほしい】 「本当に突然のお願いにもかかわらず、お出ましただき、ありがとうございます。言うまでもありませんが、竹中教授は私の現在のポジションの先輩にあたられる経済財政担当相をやられて、骨太の方針を何度も中心的にまとめられた。まさにこれまでの政権における成長戦略の牽引(けんいん)役だったと認識しています。ざっくばらんに今の状況の中でどういうことをやるべきかというお考えなり、あるいはこの間の経験の中でここはこうやったらうまくいったと、ここはなかなかうまくいかなかっ
つまり誰得ランキング結果(1st~6th)⇒mylist/16432560 バックナンバー⇒mylist/111938662nd⇒sm9418527
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
government of the people, by the people, for the people 鳩山首相が昨夜、米国のルース大使に、普天間基地の移設先を当面決めないことを伝えた。 これに対する、ワシントンのクローリー米国務次官補のコメントは予想通りだった。 「われわれは移設が日本にとり複雑な問題だと分かっている」。 一定の理解を示したと、時事通信は伝えている。 急に米政府が物分りが良くなった印象だが、とくに日米関係が良くなったわけでも悪くなったわけでもない。日本のメディアが勝手に「日米同盟の危機だ」と騒いでいるだけである。 これまでにも何度か書いたように、米国としては沖縄海兵隊のグアム移転予算が差し迫った問題だった。 国防総省が要求していた3億ドルあまりのグアム移転予算について、米下院はそのまま通したが、上院では11月17日の本会議で、予算額の70%を削って可決していた。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
