ブログ移転・統合のお知らせ こんにちは。Windows & Devices 開発統括部です。 日頃から、本ブログサイトをご利用頂き誠にありがとうございます。 この度、ブログサイトを Windows Blog for... Date: 09/01/2016 既定の日本語入力(IME)を変更する手順(他社製日本語入力をお使いの方へ) こんにちは。Windows & Devices 開発統括部です。 Windows 10 をお使い頂きありがとうございます。 他社製日本語入力(ATOK、Google... Date: 08/01/2016 日本語入力(IME) の知っておくと便利な機能(2) 皆さま、こんにちは。Windows & Devices 開発統括部です。 Windows 10... Date: 07/26/2016 日本語入力(IME) の知っておくと便利な機能(1) 皆さま、
NSS研究所の調査によって、市場に出ているブラウザの中で最も安全なものはInternet Explorer8であることが明らかになりました。研究のスポンサーがMicrosoftだというのが気になるところですが、調査によるとフィッシング攻撃に対してはIEもFirefoxも同程度の反応を見せたものの、マルウェアに対してはIEが圧倒的な能力を見せたそうです。 詳細は以下から。 IE 8 Found To Be Safest Web Browser In Studies Funded by Microsoft - HotHardware 調査はIntetnet Explorer 8とFirefox 3、Safari 4、Google Chrome 2、Opera 10ベータを比較する形で行われました。 まずは、608件のマルウェアURLに対してアクセスを行った結果のブロック率。IE8が81%をブロ
IE8のXSSフィルタは、WebアプリにXSS脆弱性があったとしても、それが発動する可能性を減らしてくれるものです。 しかし、そのXSSフィルタが裏目に出るようなこともあります。 例えば、以下のような静的なHTMLファイル(test.html)を作ってWebサーバにおきます。 <h3>ie8 test</h3> <!-- 1 --> <script> var u=document.URL; </script> <!-- 2 --> <script> u=u.replace(/&/g,'&').replace(/</g,'<'); </script> <!-- 3 --> <script> document.write('URL:'+u); </script> 上のページは静的なページで、DOM Based XSSの脆弱性もありません。ですが、被害者のユーザがIE8を使っている
やぁ、みんな,元気?長谷川陽介です。今日はIE8 RC1のXSSフィルタの改善点をこっそり教えちゃうよ。 いつもは攻撃側でひらがなの名前でやってるんだけど,きょうは防御側ということで,名乗りも漢字に変えたんだ。だってさ,Microsoft SWIのDavid Rossさんから翻訳許可もらったのにひらがなとか失礼じゃないか。 では始めよう。 //blogs.technet.com/swi/archive/2009/01/30/xss-filter-improvements-in-ie8-rc1.aspx">XSS Filter Improvements in IE8 RC1:http://blogs.technet.com/swi/archive/2009/01/30/xss-filter-improvements-in-ie8-rc1.aspx 月曜日にIE8 RC1がリリースされました。
IE8 ではかなりの数のメソッドやプロパティが増えているようです。書き残します。 element.getAttribute について追記しました。 window.toStaticHTML window.toStaticHTML は、XDomainRequest や postMessage で受け取った文字列(HTML)をサニタイズ(消毒)するメソッド。 XHRやJsonで受け取った文字列のサニタイズにもシーンを選べば使えるのだろうか。 onclick等のイベントハンドラ系を潰す。 <div onclick="alert('hoge')">hoge</div> ↓ <div>hoge</div> scriptタグを潰す。 <script>alert("hoge")</script> ↓ 無かったことになる CSS::expressionを潰す img { expression(uuClass
第13回Admintech.jp勉強会 を無事開催することができました。参加された皆様、本当にありがとうございました。参加者のみなさんがいるからこそ勉強会が成り立っています! 次回も是非ご参加をお願いいたします。 いろいろ内容のメモを書こうと思ったのですが、おそらく各講師の方から発表資料(の抜粋)が後日公開されるのと、id:heavenshell さんが非常にすばらしいまとめを書いてくれていますので、それを見てくださいませ(id:heavenshell さん、ありがとうございます!!) というわけで、私の発表資料を http://utf-8.jp/public/20080927/h6.html?file=data.txt に置いておきます。id:amachang の s6 を改造して、プレゼンデータをHTMLの外に追い出して、テキストファイルにはてな記法に近い形で書けるようにしています(h
椎名林檎は今年デビュー10周年。 知らない人もいるかもしれないので,野暮を承知で紹介すると,椎名林檎は「歌舞伎町の女王」や「ここでキスして。」,「丸の内サディスティック」などのソロアーティストとしての活動のほか,東京事変というバンドの中心メンバーとしての活躍でも知られる女性アーティストだ。類まれなる才能を開花させ,その時代ごとに人々を魅了してきた彼女は,今年10周年を記念して「私と放電」というアルバムを発表した。シングルクリップ集であるこのアルバムの最初を飾るのが「すべりだい」。10年前のデビューシングル「幸福論」のカップリング曲だ。 この「すべりだい」は恋人との過去を思い出す若い女の子の気持ちが歌われている。別れへと導いたと思われる行動や感情のすれ違い,それらを悔いてももう時間は戻らない。そのような女の子の心が痛いほどよくわかる。そう,もし時間が戻るなら。だが,戻らないのならば,記憶が薄
2008/08/28 マイクロソフトは8月28日、次期Webブラウザのベータ2版「Internet Explorer 8 ベータ2」(IE8ベータ2)の国内でのダウンロード提供を開始した。Windows XP/Vista/Widows Server 2008/2008に対応する。これに合わせて同社は東京都内で会見を開き、IE8の新機能やIE7との違いを説明した。 起動や描画速度、互換性が向上 IE7との最大の違いは速度と互換性の向上だ。 IE6やIE7に比べて起動して最初のWebページを表示し終えるまでの時間が短くなっているほか、JavaScriptエンジンも高速化。SunSpiderを使ったベンチマークではIE6の7倍、IE7の5倍の高速化を実現しているという。 互換性については、IE7以前の描画モードとの下位互換性と、Web標準準拠による、ほかのWebブラウザの互換性の2つの意味がある
CSRFなメイリングリストを拝見していたら早速貫通報告がチラホラ。 やはり。 ないよりずっとマシだけれどといった気分なのでしょうか。 …サーバサイド起源のXSS脆弱性の面倒をブラウザサイドでみてやらなくてはいけない(MUST)、なんてことは絶対にないわけで。 サーバ側の構築者さんたちは、絶対にブラウザに期待してはいけない。それと。MicroSoft社に希望したいのだけれども、そんなところに注力しないで、ブラウザサイド起源のXSS脆弱性を先にブラウザサイドでなんとかしてほしい、是非、是非、是非。 そっちのほうがはるかに悪性なんだからね。 わかるでしょ? 報告済みだしずいぶんと古いネタなんだけど、いつになったら直す気なんだか…さっぱりわからないし。 その後どうなったのかの連絡も来ないし。 消費者側に立ち続けて大企業からいっさい金をもらわない、素晴らしい伝統の雑誌「暮しの手帖」だったら取り上げか
Archived MSDN and TechNet Blogs 2/7/2020 2 minutes to read MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. Archived blogs are grouped alphabetically by the initial letter of the blog name. Blogs and blog posts can be searched by their names, using the Search box at the top of the page. Actively updated blogs have been moved to other blog sites,
さあ、その想いをカタチにしよう。 Google Cloud が企業の未来に向けた生産性 向上とコラボレーション実現のヒントを解説 サーバースペシャリストへの道 PCサポートとサーバ管理の共通項 ひとり情シスのためのスキル向上のコツ IT部門のDXはこれだ! IT運用管理新時代における最適な運用管理 の現場作り 結果に差がつくウェビナーへの投資 デジタル営業時代における見込み顧客獲得へ ウェビナーの運用・集客・フォローの最適化 非構造化データのデジタル活用へ 社内の文書コンテンツを一元管理 デジタル変革と内部統制の二兎を得るECM 自社利用の知見・経験を顧客に提供 コンテナ活用を推進する日立製作所 VMware Tanzuを利用したモダナイズを伝授 ITインフラ運用からの解放 HCI+JP1による統合運用による負荷激減で 次世代IT部門への役割変革へ一歩前進 セキュリティモデルは変わった!
さっき IE8 Beta 2 が出ましたね! ということで、インストールをしてみました! で IE8 Beta 2 の DOM オブジェクトに以下の Getter Setter 用の関数群を発見! __defineGetter__ __defineSetter__ __lookupGetter__ __lookupSetter__ ちゃんと動いている見たいです! これは本当にすごいです!感動! var body = document.body; // IE にだけ存在しない // textContent プロパティを body に作ってみる body.__defineGetter__( 'textContent', body.__lookupGetter__('innerText')); body.__defineSetter__( 'textContent', body.__lookup
Azure ARM template for Cool Storage Azure Cool Blob Storage has been made available a few weeks ago. With this new type of Azure Storage... Date: 05/29/2016 Using the Azure API Management REST API as workaround to RBAC functionality If you are using Azure API Management today, you might have noticed the service is only available in... Date: 12/21/2015 Azure API Management - Using PowerShell for ba
というわけで、第01回まっちゃ445勉強会の午前のライトニングトークで、「押さえておきたいIE8のセキュリティ新機能」という感じの話をします。↓こんな感じ!
開発には firefox3 を愛用していますが、通常のブラウジング用には Sleipnir を愛用しています。あまりに使い慣れてしまったので、他のブラウザへの移行は何度か試したものの Sleipinr に結局落ち着いてしまいます。 ただ、以前も ecl.js (Escape Codec Library) と Sleipnir の相性が悪い件について なんて記事を書いたとおり、Sleipinr で描画エンジンにデフォルトの trident(ieのエンジン) を選択しているとどうにも動作がもっさりする・・・っていうか何十秒もフリーズしたかのように応答なしなる現象が頻発します。そのまま永久に応答なしになったり、突然ブラウザが落ちることもあるので、正直むかつきます。かといって、描画エンジンを Gecko にすると、描画が firefox になっちゃうので、これまた違います。 会社の XP マシンで
米Microsoftは米国時間2008年7月2日,次期Webブラウザ「Internet Explorer 8(IE 8)」の新たなセキュリティ機能について明らかにした。XSS(クロスサイト・スクリプティング)攻撃やマルウエアの侵入からユーザーを保護するフィルタなどを追加する。8月にリリース予定のIE 8ベータ2に搭載する。 XSS攻撃を遮断する「XSS Filter」は,Type-1(non-persistent)に分類されるXSSの脆弱性に焦点を当てた。Type-1 XSSを悪用した攻撃はここ数年で急増しているという。XSS Filterの搭載により,攻撃者がユーザーのコンピュータからセッション・クッキーを盗んだり,ユーザーのキー入力を読み取ったり,重要情報を取り出したりすることを防げる。 マルウエア防止フィルタ「SmartScreen」は,従来のフィッシング・フィルタ「Phishing
Web security and beyond... My blog has moved... My blog has moved to randomdross.blogspot.com. Please update your RSS readers, etc. Date: 08/04/2014 Hyperlink Spoofing and the Modern Web Over the past six months or so I’ve been looking at hyperlink spoofing threats as a bit of a... Date: 04/26/2012 Creating XSS I’ve seen MS10-002 pop up a few times in discussion recently. This is a reference to th
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く