クロスサイトスクリプティングと同じ要領でネットワークプリンタに接続して印刷してしまう「Cross Site Printing」と呼ばれている手法が公開されています。 <img src="myprinter:9100/Print_from_the_web"> ポート9100でネットワークプリンタが印刷できる状態で待機しているので印刷できてしまいます…

年末ということで来年の予測を一つ。2008年急速に普及すると思われる物は64bit版OSだと思います。 メモリが急速に安くなってきており8GB程度のメモリが搭載できるPCであれば安価に購入できます。32bit版Windows/Linuxでは多くのメモリを搭載しても3.1GBから3.6GB程度のメモリしか利用できません。メモリを多く積んだPCを使い切るには64…

一般的なユーザはインターネットを利用する場合のリスクを十分理解していない場合が多いと思います。コンピュータに詳しくない方が、より安全に利用する為のTipsを考えてみました。 常に最新バージョンのブラウザを利用する 常に最新バージョンのブラグインを利用する JavaScript/プラグインを無効にする ブラウザにインストールする拡張機能（プラグイン）は最小限に…

eMediaWireに掲載されていたレポートによると「Internetに接続されているPCの3台に1台はLimeWireをインストールしている」としています。 File-sharing application LimeWire is now found on more than one-third of all PCs worldwide, accordin…

一応IE6/IE7でこのブログを自分で見た事があるのですがオーバーフローが発生した場合のページを見ていませんでした。b2evolutionに付属してきたevopressテンプレートのスタイルシートをそのまま使用しているのですがIE6でIE6/Firefox/Opera等と同等に表示するためにblockquoteのCSS定義に width: 400px; ov…

Flash Playerに深刻な脆弱性（簡単に他所のサイトのアカウントが乗っ取れる脆弱性と他の脆弱性）がありアップデートがリリースされています。 悪意のあるSWFファイルを読み込ませることによって脆弱性を悪用することができ、攻撃が成功すればシステムを乗っ取ることも可能だという。 http://internet.watch.impress.co.jp/cda/…

クロスサイトスクリプティングを防ぐための10のTipsをgihyo.jpのブログに載せました。 Webサーバの設定になるので書いてませんがApacheなどでも明示的に文字エンコーディングを指定した方が、誤って違った文字エンコーディングで静的コンテンツを書いてしまった場合でも分かるのでよいと思います。 AddDefaultCharset utf-8 などとht…

前のエントリで改竄は大きなセキュリティ上の問題ではない旨説明がされている、と紹介しましたが新リリースのアナウンス部分に新しい情報が追加されていました。 http://www.squirrelmail.org/index.php Due to the package compromise of 1.4.11, and 1.4.12, we are forced…

追記: 攻撃が目的の改竄だった模様です。 http://blog.ohgaki.net/index.php/yohgaki/2007/12/16/squirrelmail-1 ---- http://squirrelmail.org/index.php によると、12/8にSquirrelMail 1.4.12のコードが改竄されていたようです。 While …

http://www.securiteam.com/unixfocus/6N00D0AKKM.html に解説されている脆弱性は基本中の基本です。 Most database query in WordPress uses escape() method to sanitize SQL string, which is essentially filteri…